多少个数据库帐户

我会设置：

• OOB 附带的股票管理帐户。将此用于其他帐户无法执行的操作。把它锁起来，只有在你别无选择的时候才把它拖出来。
• 一个辅助管理员帐户，每个管理员一个。在此帐户中完成所有日常管理员工作，但在这些管理员帐户上，忽略真正危险的东西（DROP DATABASE、DROP SCHEMA 等）的权限，使用上面提到的开箱即用管理员帐户为了那个原因。（这个想法是，强迫你以另一个帐户登录应该是一个心理指标，表明你即将做一些可能具有破坏性的事情，而且每天工作的管理员帐户可以有一个内置的“安全开关”可能会削弱您的数据库的操作的缺失 privs 的形式）
• 如果您使用基于机器的连接（连接池、代理连接等），请为此使用帐户。授予此帐户运行所需的最低权限（以防止该帐户通过 DROP DATABASE 等造成巨大伤害）
• 如果您有来自最终用户的直接连接，则每个最终用户一个帐户，除非您的最终用户是一个广泛的类别，并且您无需为该类别分离出 privs。在这种情况下，每个用户组都有一个帐户。

2009-07-03 为清晰而重新编辑。

我要去：这取决于。这实际上取决于您的数据库将如何使用。不同的场景：

• 代表用户连接的内部应用程序。在这种情况下，我们在域中创建一个服务帐户并授予它对该域的访问权限。应用程序使用这一帐户进行所有数据库访问。
• 面向外部（互联网）的应用程序。在这种情况下，我们创建一个 SQL Server 登录，因为 Web 服务器将在 DMZ 中，因此不会在域中。应用程序使用这一帐户进行所有数据库访问。
• 内部应用程序传递用户的凭据。您可以在 SQL Server Reporting Services 和传递实际凭据很重要的其他情况下看到这一点（审计跟踪）。在这种情况下，您可能会拥有不同级别的权限。每个级别都应该有相应的 Windows 域安全组。Windows 用户应该是这些组的成员。这些组应与数据库中用户定义的数据库角色相关联。这些数据库角色应该具有所有权限。
• 直接访问数据库。您会在报告类型的系统中看到更多这一点。在这种情况下，Windows 安全组再次获得通过使用数据库角色授予的访问权限。

你会在这个问题上得到各种各样的答案。

我设置了连接字符串中使用的单个应用程序（阅读“每个应用程序”）帐户。没有用户（除了我的开发组）可以直接访问数据库。

我主要在企业 MS 环境（.NET、SQL Server、Active Directory）中工作。通常，身份验证通过当前登录的用户上下文和特定于应用程序的安全表进行。代码处理身份验证，然后从数据库获取应用程序授权。这减轻了我的大部分用户维护负担，并将其交给了我们的 IT 部门（密码策略和重置、帐户到期、禁用等）。

• 我相信至少需要有足够的帐户，以便如果一个 db-client 开始引起问题，您可以禁用该帐户而不禁用对服务器的所有访问
• 通常我不会使用设置帐户来访问单个数据库。
• 我为 Web 应用程序与内部客户端使用单独的帐户。