SQL server productieomgeving en users

Optie 3: Je kan ook per CNC-machine een SQL-user aanmaken op dezelfde database.

Maar op basis van vereiste permissies op de database en/of bepaalde tables, is het toch wel te beredeneren of je 1 of meerdere users zou willen hebben?

MAX3400 schreef op vrijdag 15 december 2017 @ 10:29:
Optie 3: Je kan ook per CNC-machine een SQL-user aanmaken op dezelfde database.

Hoezo is dat anders dan zijn optie 2?

Hangt er vanaf hoe je de term user interpreteerd. Als user zou ie uniek zijn. Als je zegt, we gebruiken het als rol, dan kun je met 1 user af.

Wat MAX3400 zegt, als je allemaal dezelfde rechten toekent, gewoon lekker 1 user. Eenvoudiger in het onderhoud/beheer.

storeman schreef op vrijdag 15 december 2017 @ 10:31:
[...]


Hoezo is dat anders dan zijn optie 2?

Ik dacht dat ik wat anders typte....

Wat MAX3400 zegt, als je allemaal dezelfde rechten toekent, gewoon lekker 1 user. Eenvoudiger in het onderhoud/beheer.

Dan herzie ik mijn antwoord; beter niet.

Als je met 1 user voor 10 machines wil werken, zou het uit troubleshooting handiger zijn als je met 10 users werkt. Tenminste, als er dan rare akties plaatsvinden op SQL, kan je op basis van de named user dus "makkelijker" 1 CNC uitzetten/repareren dan dat je alle 10 moet uitzetten en gaan graven naar oorzaak/gevolg.

Just my 2 cents; er is niet beschreven wat de SQL user moet gaan doen en welke permissies te benodigd zijn.

storeman schreef op vrijdag 15 december 2017 @ 10:31:
[...]
Wat MAX3400 zegt, als je allemaal dezelfde rechten toekent, gewoon lekker 1 user. Eenvoudiger in het onderhoud/beheer.

Weet ik niet... Als één useraccount compromised is, moet je alle CNC machines bijlangs. Heeft elke CNC machine, zijn eigen account, dan hoeft er maar één aangepast te worden.

En dan nog de meest belangrijke vraag, hoe veilig wil je het allemaal hebben?

Ik kan mij voorstellen dat je dit soort accounts een wachtwoord gebruikt wat niet expired. Wel zou ik dan toegang tot SQL beperken via de Windows Firewall zodat ook alleen de CNC machines toegang hebben (plus evt. wat mgt-systemen).

Question Mark schreef op vrijdag 15 december 2017 @ 11:24:
[...]

Weet ik niet... Als één useraccount compromised is, moet je alle CNC machines bijlangs. Heeft elke CNC machine, zijn eigen account, dan hoeft er maar één aangepast te worden.

Als er eentje compromised is, en die machines zijn identiek, dan kun je er geen enkele meer vertrouwen tenzij je precies weet waarom dat ene account wel gelekt is en de rest niet.

Ik werk vaak in situaties waar meerdere servers dezelfde database benaderen. Die servers zijn identiek, worden door hetzelfde team beheerd, en lopen dezelfde risico’s. Dus als eentje compromised is moet je aannemen dat de ander ook compromised is. In die situatie wordt meestal op elke server hetzelfde SQL account gebruikt.

Maar voor troubleshooting kan het juist wel weer handig zijn om met verschillende accounts te werken.

Is het niet mogelijk om op basis van AD account dit te doen? Ik zou dan gewoon een AD groep aanmaken, en daarin per machine een AD service accounts toe voegen.

Ga in iedergeval voor een account per machine. Altijd gemakkelijk om per machine wat te traceren.

Question Mark schreef op vrijdag 15 december 2017 @ 11:24:
[...]

Weet ik niet... Als één useraccount compromised is, moet je alle CNC machines bijlangs. Heeft elke CNC machine, zijn eigen account, dan hoeft er maar één aangepast te worden.

En dan nog de meest belangrijke vraag, hoe veilig wil je het allemaal hebben?

Ik kan mij voorstellen dat je dit soort accounts een wachtwoord gebruikt wat niet expired. Wel zou ik dan toegang tot SQL beperken via de Windows Firewall zodat ook alleen de CNC machines toegang hebben (plus evt. wat mgt-systemen).

De hamvraag lijkt me dan welke rechten er in SQL nodig zijn voor dat account.
Als het RO is, dan gewoon lekker makkelijk 1 account. Zodra er meer rechten aan te pas komen wil je misschien accounts gaan scheiden ivm tracebility en auditing.