SQL Server 2008

Microsoft

SQL Server 2008のサービスアカウント
http://msdn.microsoft.com/ja-jp/library/cc281953.aspx

Windows サービス アカウントの設定
http://msdn.microsoft.com/ja-jp/library/ms143504.aspx

以下、上記のマイクロソフトホームページから気になった記述。

・サービス SID を使用した SQL Server サービスの構成

          • -

Windows Server 2008 および Windows Vista オペレーティング システム上で動作する SQL Server 2008 では、サービス セキュリティ ID (SID) を使用してサービスを分離することができます。サービスを分離すると、高い特権のアカウントでサービスを実行したり、オブジェクトのセキュリティ保護を弱めたりしなくても、特定のオブジェクトにサービスがアクセスできるようになります。SQL Server サービスでは、この ID を使用して、他のサービスやアプリケーションによるリソースへのアクセスを制限できます。

サービスは、サービス SID を含むアクセス制御エントリを使用してリソースをセキュリティ保護することにより、オブジェクトを分離して排他的に使用できるようにします。"サービスごとの SID" と呼ばれるこの ID は、サービス名から派生するサービス固有の ID です。たとえば、SQL Server サービスのサービス SID 名は NT Service\MSSQL$ のようになります。SID がサービスに対して有効になると、SID は Windows のローカル セキュリティ グループに追加されます。サービスの所有者は、オブジェクトのアクセス制御リストを変更し、この SID へのアクセスを付与することができます。たとえば、通常の場合、HKEY_LOCAL_MACHINE\SOFTWARE のレジストリ キーを利用できるのは、管理者の資格情報を持つサービスだけです。サービスごとの SID をキーのアクセス制御リストに追加することで、キーへのアクセスを失わずに、より低い特権のアカウントでサービスを実行できるようになります。

インストール中に、SQL Server セットアップによって SQL Server の各コンポーネントのサービス グループが作成されます。Windows Server 2003 および Windows XP で、SQL Server サービスのサービス アカウントは、以前の SQL Server リリースと同様にこれらのオペレーティング システムのローカル サービス グループと機能に追加されます。SQL Server サービスは、ローカル グループのメンバとして SQL Serverインスタンスに接続します。Windows Server 2008 および Windows Vista で、サービス SID は SQL Server サービス アカウントではなく、ローカル セキュリティ グループに追加されます。

          • -

SQL Server サービス アカウントに作成されたアクセス制御リストの確認

          • -

SQL Server サービス アカウントは、リソースへのアクセス権を持っている必要があります。アクセス制御リストはユーザー グループ レベルで設定されます。

重要 :
フェールオーバー クラスタのインストールの場合、共有ディスク上のリソースをローカル アカウントの ACL に設定する必要があります。

          • -