consejo sobre usuario

Hola,

Quizás la diferencia esté en los conceptos de USUARIO y CUENTA. SQL Server
requiere una CUENTA y no un USUARIO para levantar el servicio. Si necesitas
usar una CUENTA de dominio para levantar el servicio (por acceso red,
funciones de mail, etc.); esta CUENTA debe tener derecho de "Inicio como
Servicio" en el servidor SQL y ser miembro del grupo de Administradores del
Servidor porque dicha CUENTA necesita acceder a ciertos recursos del sistema
como disco, registro, etc.
Dicha CUENTA (de dominio) no tiene porque estar asignada a ningún USUARIO,
por lo cual no estarías violando las normas de seguridad. Es mas a dicha
cuenta le podrías quitar el derecho de acceso interactivo (como cualquier
usuario).

Saludos.
José Hurtado

"Imac_Man" escribió en el mensaje
news:

saludos amigos

estoy en clases del moc de administracion de sql, y ayer el isntructor
mencionaba que para levantar los servicios de sql, teniamos que tener un
usuaio que fuera miembro del dominio (domain user) y que extra fuera

miembro

del grupo de los adminmistradores locales de la maquina en que estaba
instalado el sql, el caso es que la ultima auditroria que tuvimos
tuve problemas por tener usuarios que eran miembros del grupo de
adminsitradores locales de algunas pc, dijeron que no es correcto tener
administradores en ningun lugar o ninguna pc, asi que esto me crea
confusion, debido a que como puedo estar creando usuarios administradores

si

los auditores de sistemas usando baseline security de microsoft me dicen

que

no esta bien que es lo correcto.


gracias de antemano

A lo que el instructor se referia, es que la base y
servidor de PRODUCCION, donde reside el servicio de SQL
para TODA LA EMPRESA, debera ser levantado por un usuario
similar al ADMINISTRADOR de la RED.

No a que el servicio de SQL que acostumbramos colocar en
algunas PC's como "Local Host", sea levantado por un
administrador.

Saludos

Hola:
Siento decirte que los auditores tienen razon, y no tu profesor.
Es importante que desde el punto de vista de seguridad el servidor de
SQL no use una cuenta Administrador, ni siquiera de la computadora donde
reside.
Lo "politicamente correcto" desde el punto de vista de seguridad seria:
a) Crear una Cuenta de Usuario de Dominio, que este exenta de cambios de
clave y prohibida los cambios de clave..
b) Dar derechos en el sistema de Archivo para que el SQL pueda usar el
programa. Todos los permisos sobre la ruta donde esta instalado. Ejemplo:
C:\Program Files\Microsoft SQL Server.
c) Dar derechos en el sistema de Archivo para que el SQL puede usar las
BD. Todos los permisos en las rutas adecuadas.
d) Dar Derecho de Usuario para Iniciar Sesion como un Servicio.
e) Dar Derechos en el Registry en
(HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer). Lectura y Escritura.
f) Asignar una clave compleja a la cuenta de usuario (mas de 15
caracteres, con Letras Mayusculas/Minusculas, Simbolos y Numeros).
g) Asignar la cuenta al Servicio.
i) Definir un procedimiento para cambiar la clave periodicamente.
Espero que te sirva el procedimiento.
Saludos,


Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.
Imac_Man escribio:

saludos amigos

estoy en clases del moc de administracion de sql, y ayer el isntructor
mencionaba que para levantar los servicios de sql, teniamos que tener
un usuaio que fuera miembro del dominio (domain user) y que extra
fuera miembro del grupo de los adminmistradores locales de la maquina
en que estaba instalado el sql, el caso es que la ultima
auditroria que tuvimos tuve problemas por tener usuarios que eran
miembros del grupo de adminsitradores locales de algunas pc, dijeron
que no es correcto tener administradores en ningun lugar o ninguna
pc, asi que esto me crea confusion, debido a que como puedo estar
creando usuarios administradores si los auditores de sistemas usando
baseline security de microsoft me dicen que no esta bien que es
lo correcto.


gracias de antemano