我用 C# 编写了一个 Windows 服务,它应该使用System.Data.SqlClient 连接到 SQL-Server 2005 Express 数据库。
由于 Microsoft 更喜欢使用 Windows 身份验证而不是 SQL 身份验证,因此我尝试使用可信连接/集成安全性连接到数据库。
但是这不起作用,因为我得到了:
System.Data.SqlClient.SqlException:用户登录失败 'NT AUTHORITY\LOCAL SERVICE'。
是否可以使用其他 Windows 帐户登录?
【问题讨论】:
标签: c# .net sql-server sql-server-2005 windows-services
目前,该服务似乎在 LocalService Account 下运行,并且该服务帐户当前未在 SQL 上授权。
可以通过以下两种方式之一解决这种情况:在 SQL 中授权的帐户下运行帐户或在 SQL 中添加 LocalService 帐户作为登录。具体来说:
编辑:第一种方法可能更可取,因为 LocalService 帐户在系统中非常普遍,授予它访问 SQL 的权限会暴露 SQL,并且数据库将使用它的特定服务或驱动程序受到威胁。
相反,通过引入特定帐户,人们可以更好地控制谁访问 SQL 对象以及如何访问。这当然带来了配置这样一个帐户的问题,关于它应该被授予的权限,在系统级别(不是 SQL),并且根据底层服务的作用,可能需要创建这个帐户相当强大,因此在其他方面有潜在的责任....
【讨论】:
当服务控制管理器启动 Windows 服务时,该进程以特定用户身份执行,就像操作系统上运行的任何其他进程一样。
有许多“内置”用户帐户可用于运行 Windows 服务。如果您查看“计算机管理”中的“服务”节点,则可以看到完整的 Windows 服务集及其运行帐户(在 Windows 7 中称为“登录身份”)。
根据我的经验,当我们希望 Windows 服务使用集成安全性与数据库通信时,我们采用以下第二种方法:
1) 将其中一个内置帐户分配为“登录身份”帐户,并将此帐户添加为具有适当数据库权限的 SQL Server 实例上的登录名
2) 使用/创建一个本地或域帐户供 Windows 服务使用,然后将此帐户添加为具有适当数据库权限的登录名。在安装服务期间,可以通过安装程序提示输入用户帐户凭据。
我不能声称自己足够专家来指出每种方法的所有优缺点,但是值得考虑以下几点:
使用方法 1,所有作为所选内置帐户运行的服务和进程都将有权访问您的数据库。方法 2 并非如此。
使用方法 1,密码配置由机器本身管理,但使用方法 2,密码可以由管理员管理,并且符合任何所需的安全策略。
希望对你有帮助
【讨论】:
如果您想使用受信任的 Windows 身份验证,最简单的方法是使用有权访问 sql server 数据库的域帐户(所需权限最少)运行服务。
【讨论】:
您需要在 SQL Express 中授予对 LOCAL SERVICE 帐户的访问权限。根据我的评论,我的建议是创建一个可以运行您的服务的新帐户,然后在 SQL Express 中添加相关权限,换句话说,不要在 LOCAL SERVICE 下运行您的服务。
【讨论】:
正如 mjv 所说,您需要授予本地服务帐户访问数据库的权限或使用其他帐户来运行该服务。您询问了如何以编程方式更改帐户,这是通过为服务创建安装程序并将帐户属性更改为“用户”然后指定用户名和密码来运行服务来完成的。
如果您滚动到底部,以下链接包含有关创建安装程序的信息:
http://msdn.microsoft.com/en-us/library/aa984464(VS.71).aspx
虽然以下提供了有关 Account 属性的更多详细信息:
希望这会有所帮助。
【讨论】: