SQL Server 2012'de neden sanal hesap yerine yönetilen bir hizmet hesabı kullanasınız?

14

SQL Server 2012'de, hizmet hesapları yönetilen hizmet hesaplarının (MSA'lar) aksine burada açıklandığı gibi sanal hesaplar (VA) olarak oluşturulur .

Açıklamalara dayanarak bunlar için görebildiğim önemli farklılıklar:

  • MSA'lar etki alanı hesapları, VA'lar yerel hesaplardır
  • MSA'lar AD tarafından işlenen otomajik şifre yönetimini kullanır, VA'ların şifresi yoktur
  • Kerberos bağlamında, MSA'lar SPN'leri otomatik olarak kaydeder, VA'lar

Başka farklar var mı? Kerberos kullanımda değilse, bir DBA neden MSA'yı tercih eder?

GÜNCELLEME : Başka bir kullanıcı , MS dokümanlarında VA'larla ilgili olası bir çelişki kaydetti :

Sanal hesap otomatik olarak yönetilir ve sanal hesap bir etki alanı ortamında ağa erişebilir.

e karşı

Sanal hesaplar uzak bir konuma doğrulanamaz. Tüm sanal hesaplar makine hesabının iznini kullanır. Makine hesabını biçiminde sağlayın <domain_name>\<computer_name>$.

"Makine hesabı" nedir? Nasıl / ne zaman / neden "hazırlanıyor"? "Etki alanı ortamında ağa erişme" ile "[etki alanı ortamında] uzak bir yerde kimlik doğrulama" arasındaki fark nedir?

sql-server  sql-server-2012  windows  password  kerberos 
jordanpg
kaynak
1
Son paragrafınıza 4 soru daha eklendi. S / O kuralları istek başına bir soru önerir. Şu sorulardan birini yanıtlayabilirim: "Makine hesabı" yerel (NT) hizmet hesabıdır. Her makinede bir tane var. Bir NT hizmeti "Sistem" olarak çalıştırdığınızda, bu özel yerel hesap altında çalışır. Bir alan tarafından yönetilmediğinden, bir alandaki diğer makineler tarafından gerçekten (doğal olarak) güvenilemez. İşletim sistemi yüklendiğinde hesap otomatik olarak oluşturulur. Eşler arası ağların günlerine bir geri dönüş.
TimG
Bu nedenle, "tüm sanal hesaplar makine hesabının iznini kullanıyorsa", bu tanımla, büyük olasılıkla "bir etki alanı ortamında ağa erişemez".
jordanpg
1
(önceki mesajımda bir şey bıraktım). Bir sunucu bir etki alanına katıldığında, yerel "Sistem" hesabı <etkialanı_adı> \ <bilgisayar_adı> $ etki alanı hesabıyla eşlenir. Bu hesap gerçek bir alan adı hesabıdır.
TimG
"Etki alanı ortamında ağa erişmek" için bir makine hesabı kullanmak tipik değildir. Tahmin edebileceğiniz gibi, oldukça genel ve bu nedenle cömert bir arka kapı sunuyor. Diğer tüm hesaplarda olduğu gibi bu hesap için izin verebilirsiniz, ancak önerilmez.
TimG
Bu kadar atipik olamaz. "Makine hesabının iznini kullanan" VA'lar, neredeyse tüm MSSQL12 hizmet hesapları için varsayılan hesap türüdür. MS, "ancak, bir etki alanındaki ağa erişmek için VA'ların kullanılması önerilmez" gibi bir cümle bırakmıştır veya tam olarak amaçlanan budur. Bu yüzden soruyu sordum.
jordanpg

Yanıtlar:

4

İşte böyle görüyorum.

VA kullandığınızda, makine hesabını taklit edersiniz.

Sorun, bir VA yapmak veya mevcut bir kullanmak (örneğin NT Authority \ NETWORKSERVICE) kolay olmasıdır. Makine hesabına bir örneğe erişim izni verirseniz, VA olarak çalışan bir uygulama bu örneğe bağlanabilir ve eylemler gerçekleştirebilir.

Yönetilen bir hesapla, uygulamanın kullanmak istediği her hesaba o hesabın kimlik bilgilerini sağlamanız ve izinlerle daha ayrıntılı bir ayrıntı sağlamanız gerekir.

Nabil Becker
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.