Tại sao bạn sẽ sử dụng tài khoản dịch vụ được quản lý thay vì tài khoản ảo trong SQL Server 2012?

14

Trong SQL Server 2012, tài khoản dịch vụ được tạo dưới dạng tài khoản ảo (VA), như được mô tả ở đây , trái ngược với tài khoản dịch vụ được quản lý (MSA).

Sự khác biệt quan trọng tôi có thể thấy cho những điều này, dựa trên các mô tả:

  • MSA là tài khoản miền, VA là tài khoản cục bộ
  • MSA sử dụng quản lý mật khẩu tự động được xử lý bởi AD, VA không có mật khẩu
  • trong ngữ cảnh Kerberos, MSA tự động đăng ký SPN, VA không

Có sự khác biệt nào khác không? Nếu Kerberos không được sử dụng, tại sao DBA lại thích MSA hơn?

CẬP NHẬT : Một người dùng khác đã lưu ý một mâu thuẫn có thể có trong các tài liệu MS liên quan đến VA :

Tài khoản ảo được quản lý tự động và tài khoản ảo có thể truy cập mạng trong môi trường miền.

đấu với

Tài khoản ảo không thể được xác thực đến một địa điểm từ xa. Tất cả các tài khoản ảo đều sử dụng sự cho phép của tài khoản máy. Cung cấp tài khoản máy theo định dạng <domain_name>\<computer_name>$.

"Tài khoản máy" là gì? Làm thế nào / khi / tại sao nó được "cung cấp"? Sự khác biệt giữa "truy cập mạng trong môi trường miền" và "xác thực đến một vị trí từ xa [trong môi trường miền]" là gì?

sql-server  sql-server-2012  windows  password  kerberos 
jordanpg
nguồn
1
Đoạn cuối của bạn thêm 4 câu hỏi nữa. Quy tắc S / O đề xuất một câu hỏi cho mỗi yêu cầu. Tôi có thể trả lời một trong những câu hỏi sau: "Tài khoản máy" là tài khoản dịch vụ (NT) cục bộ. Mỗi máy có một. Khi bạn chạy một dịch vụ NT dưới dạng "Hệ thống", nó sẽ chạy trong tài khoản cục bộ đặc biệt này. Vì nó không được quản lý bởi một tên miền, nên nó thực sự không thể được tin tưởng bởi các máy khác trong một miền. Tài khoản được tạo tự động khi hệ điều hành được cài đặt. Nó là một sự quay trở lại thời của các mạng ngang hàng.
TimG
Vì vậy, nếu "tất cả các tài khoản ảo sử dụng sự cho phép của tài khoản máy" thì theo định nghĩa này, nó không thể "truy cập mạng trong môi trường miền".
jordanpg
1
(trong tin nhắn trước đây của tôi, tôi đã bỏ qua một cái gì đó). Khi máy chủ tham gia một tên miền, tài khoản "Hệ thống" cục bộ sẽ được ánh xạ tới tài khoản miền <domain_name> \ <computer_name> $. Tài khoản đó là một tài khoản miền thực tế.
TimG
Tôi có thể nói, việc sử dụng tài khoản máy để "truy cập mạng trong môi trường miền" không phải là điển hình. Như bạn có thể tưởng tượng, nó khá chung chung và do đó thể hiện một cửa sau hào phóng. Bạn có thể cấp quyền cho tài khoản đó, giống như bất kỳ tài khoản nào khác, nhưng điều đó không được khuyến khích.
TimG
Nó không thể là tất cả mà không điển hình. VA, "sử dụng sự cho phép của tài khoản máy", là loại tài khoản mặc định cho hầu hết tất cả các tài khoản dịch vụ MSSQL12. Hoặc MS đã bỏ qua một câu như "tuy nhiên, không nên sử dụng VA để truy cập mạng trong một miền" hoặc đây chính xác là những gì được dự định. Đó là lý do tại sao tôi đặt câu hỏi.
jordanpg

Câu trả lời:

4

Đây là cách tôi nhìn thấy nó.

Khi bạn sử dụng VA, bạn mạo danh tài khoản máy.

Vấn đề là, thật dễ dàng để tạo VA hoặc sử dụng một VA hiện có (ví dụ: NT Author \ NETWORKSERVICE). Nếu bạn cấp quyền truy cập tài khoản máy cho một cá thể, một ứng dụng đang chạy dưới dạng VA sẽ có thể kết nối với thể hiện đó và thực hiện các hành động.

Với tài khoản được quản lý, bạn sẽ phải cung cấp thông tin đăng nhập cho tài khoản đó cho bất kỳ ứng dụng nào muốn sử dụng chúng, cho phép bạn chi tiết hơn với quyền.

Nave Becker
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.