有多少数据库帐户

Question

应该为给定的应用程序设置多少个用户帐户？分离应该在哪里？

• 每个应用程序应该登录一次吗？
• 每个程序 1 个应用程序？
• 1 前端和后端？

你如何设置你的数据库帐户？

Answer 1

我会设置：

• 来自OOB的股票管理帐户。将此用于其他帐户无法执行的操作。把它锁起来，只有在你别无选择的时候才把它拖出来。
• 一个二级管理员帐户，每个管理员一个。在这个帐户中完成所有日常管理工作，但在这些管理员帐户上，省略真正危险的东西（DROP DATABASE、DROP SCHEMA 等）的权限，使用上面提到的开箱即用的管理员帐户为了那个原因。（这个想法是，强迫您以另一个帐户登录应该是一种心理指标，表明您将要做一些可能具有破坏性的事情，而且每天工作的管理员帐户可以有一个内置的“安全开关”可能削弱您的数据库的操作的缺少权限的形式）
• 如果您使用基于机器的连接（连接池、代理连接等），请为此使用一个帐户。授予此帐户运行所需的最低限度的权限（以防止该帐户通过 DROP DATABASE 等造成巨大危害）
• 如果您有来自最终用户的直接连接，则每个最终用户都有一个帐户，除非您的最终用户是一个广泛的类别，并且您无需为该类别分离权限。在这种情况下，每个用户组有一个帐户。

2009-07-03 重新编辑以提高清晰度。

Answer 2

我要：这取决于。这实际上取决于您的数据库将如何使用。不同的场景：

• 代表用户连接的内部应用程序。在这种情况下，我们在域中创建一个服务帐户并授予它访问域的权限。该应用程序使用此帐户进行所有数据库访问。
• 面向外部（Internet）的应用程序。在本例中，我们创建 SQL Server 登录名，因为 Web 服务器将位于 DMZ 中，因此不在域中。该应用程序使用此帐户进行所有数据库访问。
• 内部应用程序传递用户的凭据。在 SQL Server Reporting Services 和其他传递实际凭据很重要的情况下（审计跟踪），您会看到这一点。在这种情况下，您可能拥有不同级别的权限。每个级别都应该有相应的 Windows 域安全组。Windows 用户应该是这些组的成员。这些组应该与数据库中用户定义的数据库角色相关联。这些数据库角色应该拥有所有权限。
• 直接访问数据库。您将在报告类型的系统中看到更多这一点。在这种情况下，Windows 安全组再次通过使用数据库角色授予访问权限。