Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

原文:Chapter 1 Securing Your Server and Network(4):使用虚拟服务帐号

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38037457，专题目录：http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意，任何人不得以“原创”形式发布，也不得已用于商业用途，本人不负责任何法律责任。

前一篇：http://blog.csdn.net/dba_huangzj/article/details/38017703

前言：

虚拟服务帐号（Virtual service account）和托管帐号一样，都是Windows Server 2008 R2引入的新特性，它是一个不需要密码管理的本地帐号，并且可以和NetworkService帐号一样通过计算机标识访问网络。相对于NetworkService，由于它是内置帐号并在服务间共享，在管控方面不如虚拟服务帐号（详见http://blog.csdn.net/dba_huangzj/article/details/37924127），所以虚拟帐号是更好的选择。

虚拟帐号可以按照每个服务配置安全性，但是不能手动创建和删除虚拟帐号，它是在安装服务到Windows Server 2008 R2时就创建的帐号，并和服务名一致。比如NT SERVICE\MSSQL$SQL2012中，SQL2012就是实例名。虚拟帐号可以想普通帐号一样在本地配置ACL，并且可以作为本地组成员。

实现：

为了让SQL Server运行在虚拟帐号下，按照下面步骤实现：

1. 打开SQL Server 配置管理器，并打开SQL Server 服务的【属性页】：

2.在【登录】标签中的【本帐户】中输入NT Service\MSSQL$<命名实例名> 或NT Service\MSSQLSERVER（默认实例） ，并且密码留空：

3. 点击【应用】并重启服务。

原理：

虚拟帐号可以被视为本地托管帐号，它们不需要管理（所以称为托管），不能进行创建，也不需要提供密码。但是需要注意，虚拟帐号不能用于SQL Server群集，因为它在每个节点上没有相同的SID，如果需要用于群集，可以使用域托管帐号。

另外，虚拟帐号可以作为网络中的计算机帐号访问网络资源，所以如果像让网络访问你的服务，优先考虑使用这类托管帐号。

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38063823