Kann der Kontoname von 'Distributor_Admin' geändert werden?

7

'Distributor_Admin' ist ein SQL-Auth-Konto, das für die Replikation verwendet wird. Standardmäßig wird Sysadmin gewährt, und derzeit sieht es so aus, als könne es nicht zurück zu db_owner gewählt werden (siehe verwandte Benötigt Distributor_admin Sysadmin? ).

Laut einigen Quellen (S. 4 von PDF) ist Distributor_Admin einer der acht häufigsten SQL-Benutzernamen, die bei Brute-Force-Angriffen verwendet werden. Es wird als bewährte Methode angesehen, das Konto "sa" umzubenennen. Kann das Konto "Distributor_Admin" auch umbenannt werden?

Ich habe mich umgesehen und finde niemanden, der diese Alternative vorschlägt. Ich habe einige Posts gefunden, die die Möglichkeit implizierten, dass der 'Distributor_Admin' fest in den Replikationsprozess codiert wird.

Es gibt nicht viele aktuelle Dokumentationen zum Konto "Distributor_Admin" mit Replikation.

sql-server replication security James Jenkins
quelle

Antworten:

10

Nein, es kann nicht umbenannt werden. Die gute Nachricht ist, dass das Konto nur auf dem Distributor vorhanden ist, der keine Benutzerdaten enthält.

Sie können das Konto sicher deaktivieren, wenn Sie keine neuen Replikationsverleger einrichten. Wenn Sie einen neuen Herausgeber einrichten müssen, aktivieren Sie die Kontoeinrichtung des Herausgebers und deaktivieren Sie das Konto erneut.

Es muss sysadminRechte haben. Es muss in der Lage sein, Verbindungsserver zu erstellen.

mrdenny
quelle
1
Nur eine Klarstellung der Idee, das Konto "vendor_admin" zu deaktivieren. Ich würde empfehlen, dies nicht zu tun, wenn Sie Remote-Publisher haben (dh einen Publisher, der nicht dieselbe SQL-Instanz wie der Distributor ist). In diesem Szenario wird "Distributor_Admin" für Verbindungen vom Typ "Administrator" verwendet, die vom Herausgeber stammen. Beispielsweise verwendet der tägliche SQL Agent-Job "Abgelaufene Abonnementbereinigung" ihn über den Verbindungsserver "repl_distributor". Für das häufigere Szenario mit lokalen Herausgebern ist das Deaktivieren von Distributor_Admin in Ordnung. Aktivieren Sie es einfach erneut, wenn Sie Änderungen an der Veröffentlichung vornehmen.
Mike