Чому б ви використовували керований обліковий запис служби, а не віртуальний обліковий запис у SQL Server 2012?

14

У SQL Server 2012 облікові записи служб створюються як віртуальні акаунти (VA), як описано тут , на відміну від керованих облікових записів послуг (MSA).

Важливі відмінності я бачу для них, виходячи з описів:

  • MSA - це доменні акаунти, VA - локальні акаунти
  • MSA використовують автоматичне керування паролями, що обробляється AD, VA не мають паролів
  • у контексті Кербероса MSA автоматично реєструють SPN, а VA - ні

Чи є інші відмінності? Якщо Kerberos не використовується, навіщо DBA ніколи віддавати перевагу MSA?

ОНОВЛЕННЯ : Інший користувач відзначив можливе протиріччя в документах MS щодо VA :

Віртуальним обліковим записом керує автоматично, і віртуальний обліковий запис може отримати доступ до мережі у доменному середовищі.

проти

Не можна автентифікувати віртуальні облікові записи у віддаленому місці. Усі віртуальні акаунти використовують дозвіл машинного рахунку. Надайте обліковий запис машини у форматі <domain_name>\<computer_name>$.

Що таке "машинний рахунок"? Як / коли / чому він стає "забезпеченим"? Яка різниця між "доступом до мережі в доменному середовищі" та "автентифікацією на віддалене місце [у середовищі домену]"?

sql-server  sql-server-2012  windows  password  kerberos 
jordanpg
джерело
1
Ваш останній абзац додав ще 4 запитання. Правила S / O рекомендують одне запитання на запит. Я можу відповісти на одне з цих питань: "Машинний рахунок" - це локальний обліковий запис (NT). Кожна машина має одну. Коли ви запускаєте службу NT як "Система", вона працює під цим спеціальним локальним обліковим записом. Оскільки ним не керує домен, йому не можна дійсно (по суті) довіряти інші машини в домені. Обліковий запис створюється автоматично при встановленні ОС. Це повернення до днів однорангових мереж.
TimG
Отже, якщо "всі віртуальні облікові записи використовують дозвіл машинного облікового запису", за цим визначенням він не міг би "отримати доступ до мережі в доменному середовищі".
jordanpg
1
(у попередньому повідомленні я щось залишив). Коли сервер приєднується до домену, локальний обліковий запис "Система" відображається в обліковому записі домену <domain_name> \ <<ім'я комп'ютера> $. Цей обліковий запис є фактичним обліковим записом домену.
TimG
Я б сказав, не типово використовувати машинний рахунок для "доступу до мережі в доменному середовищі". Як ви можете собі уявити, він досить загальний і тому представляє щедрий задній двер. Ви можете надати дозволи для цього облікового запису, як і будь-який інший обліковий запис, але це не рекомендується.
TimG
Це не може бути все нетипово. VA, які "використовують дозвіл на машинний обліковий запис", є типом облікового запису для майже всіх облікових записів MSSQL12. Або MS не випустила речення на кшталт "однак, не рекомендується використовувати VA для доступу до мережі в домені", або це саме те, що призначено. Ось чому я задав питання.
jordanpg

Відповіді:

4

Ось як я це бачу.

Використовуючи VA, ви представляєте себе на рахунку машини.

Проблема полягає в тому, що легко зробити VA або використовувати існуючий (наприклад, NT Authority \ NETWORKSERVICE). Якщо ви надаєте доступ до екземпляра машинного облікового запису, програма, яка працює як VA, зможе підключитися до цього примірника та виконувати дії.

З керованим обліковим записом вам потрібно буде надати облікові дані цього облікового запису будь-якій програмі, яка хоче їх використовувати, що дозволяє вам більш детально мати права доступу.

Набіл Бекер
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.