Odkryliśmy, że konto SQL „sa” jest używane w sposób, w jaki nie powinno tak być, dlatego zmieniamy hasła sa we wszystkich naszych instancjach SQL.
(Mamy serwery SQL 2005 do 2017 działające w trybie uwierzytelniania mieszanego. Wszyscy użytkownicy i aplikacje powinni się łączyć z kontami domeny lub kontami SQL innymi niż sa. Monitorowałem, ale nie znalazłem żadnych innych aplikacji, użytkowników ani innych - wewnętrzne pająki korzystające z konta sa).
Kilka pytań:
P1: Czy zmiana hasła sa wymaga ponownego uruchomienia SQL?
Znalazłem kilka odniesień, które mówią, że po zmianie hasła do konta sa wymagane jest ponowne uruchomienie usługi SQL:
Czy to prawda? Czy tylko jeśli zmienię tryb uwierzytelniania? Czy tylko wtedy, gdy rutynowo loguję się jako SA?
Ten wątek centralny programu SQL Server sugeruje nawet, że zmiana może mieć wpływ na istniejące zadania agenta SQL i inne rzeczy; czy to problem? Czy tylko wtedy, gdy ktoś zakodował konto SA w pakiecie SSIS lub coś takiego?
(W razie potrzeby korzystamy z kont domeny dla usługi SQL i usługi agenta SQL oraz kont proxy domeny dla zadań wywołujących pakiety SSIS lub skrypty PowerShell).
Q2: Czy mogę zmienić hasło sa w „normalny” sposób?
Czy mogę to zresetować tak jak inne konta? Korzystanie z SSMS lub bardziej prawdopodobne poprzez:
ALTER LOGIN sa WITH PASSWORD = 'newpass';
Czy też musiałbym wejść w tryb jednego użytkownika lub coś, co wymagałoby planowanego przestoju? (Pamiętaj, że uruchamiałbym to z konta domeny, a nie będąc połączonym jako „sa”).
P3: Czy powinniśmy starać się regularnie zmieniać hasło? Czy tylko wtedy, gdy znajdziemy problem?
Czy jest to zalecana „najlepsza praktyka”?