关于安装：您建议在开发环境中运行哪个用户帐户运行SQL Server Express 2008服务？

SQL Server Express 2008安装程序允许您为每个服务分配不同的用户帐户。

对于开发环境，您将使用域用户，本地用户，NT Authority \ nETWORK SERCVICE，NT Authority \ Local System或其他帐户，为什么？

---

不建议使用本地系统，它是管理员等效的帐户，因此可能导致利用管理员权限的可疑编码，而生产环境中不允许使用管理员权限，因为注重安全的管理员/ DBA确实不喜欢以管理员身份运行服务。

根据服务器实例是否需要访问其他域资源，应确定应以哪种类型的低特权帐户运行。

如果它不需要访问任何(非匿名)域资源，那么我通常会为其创建一个唯一的本地低特权帐户，以使其获得运行时的额外安全性好处，即不必在同一身份上下文中运行多个服务。 。请注意，SQL Server或SQL Server代理服务不支持本地服务帐户。

如果确实需要访问非匿名域资源，那么您有三个选择：

作为网络服务运行，它也是一个低特权帐户，但保留计算机的网络凭据。

在本地服务帐户下运行

在本地特权较低的自定义域帐户下运行。在开发人员帐户下运行的一个优点是，在不损害安全性的情况下，更容易将调试器附加到具有您自己身份的进程，因此调试更加容易(因为默认情况下，非管理员帐户没有特权将调试器附加到另一个身份进程) )。使用另一个域帐户的一个缺点是管理这些帐户的开销，尤其是因为理想情况下，每个开发人员的每个服务都应具有唯一的凭据，因此，如果开发人员要离开，则不会有任何泄漏。

我倾向于执行的大多数操作都不要求服务访问域资源，因此我倾向于使用自己管理的唯一本地低特权帐户。我还专门以非管理员用户身份运行(并且在XP SP2，Server 2003，Vista和Server 2008下都没有出现重大问题)，因此当我遇到需要服务访问域资源的情况时，我就不必担心有关使用我自己的域凭据的信息(再加上这种方式，我不必担心网络管理员会创建/维护一堆非生产域身份)。

---

这取决于。

• 本地系统-永远不会太高
  特权。
• 网络服务-
  也许，如果您需要连接到
  网络资源，但这就是
  疑。
• 本地服务-可能
  最好的选择，特权有限，
  不要解锁网络连接
• 本地互动用户？可以
  确实需要具有登录权限，或者
  充当用户？
• 域用户？善良
  不，除非您正在访问
  内部网络驱动器；如果
  SQL运行正常，然后攻击者
  针对域进行了身份验证。

---

MS现在对此有一篇很好的文章：
http://msdn.microsoft.com/zh-CN/library/ms143504(v=sql.105).aspx

他们声明SQL Server Engine不允许使用本地服务。
我个人使用Local System只是为了避免开发过程中的问题，但是在生产中，最佳实践是创建一个域级服务帐户，该帐户仅具有完成工作所需的权限。

---

无论它想用作默认值。改变那只是在以后麻烦。

---