Почему вы должны использовать управляемую учетную запись службы, а не виртуальную учетную запись в SQL Server 2012?

14

В SQL Server 2012 учетные записи служб создаются как виртуальные учетные записи (VA), как описано здесь , в отличие от управляемых учетных записей служб (MSA).

Важные различия, которые я вижу для этого, основаны на описаниях:

  • MSA - это учетные записи домена, VA - локальные учетные записи.
  • MSA используют автоматическое управление паролями, обрабатываемое AD, у VA нет паролей
  • в контексте Kerberos MSA автоматически регистрируют имена участников-служб, а виртуальные машины - нет.

Есть ли другие отличия? Если Kerberos не используется, почему администратор БД предпочитает MSA?

ОБНОВЛЕНИЕ : Другой пользователь отметил возможное противоречие в документах MS относительно VA :

Виртуальная учетная запись управляется автоматически, и виртуальная учетная запись может получать доступ к сети в доменной среде.

против

Виртуальные учетные записи не могут быть аутентифицированы в удаленном местоположении. Все виртуальные учетные записи используют разрешение учетной записи компьютера. Предоставьте учетную запись машины в формате <domain_name>\<computer_name>$.

Что такое «учетная запись машины»? Как / когда / почему это "обеспечено"? В чем разница между «доступом к сети в доменной среде» и «аутентификацией в удаленном местоположении [в доменной среде]»?

sql-server sql-server-2012 windows password kerberos jordanpg
источник
1
Ваш последний абзац добавил еще 4 вопроса. Правила S / O рекомендуют один вопрос на запрос. Я могу ответить на один из следующих вопросов: «Учетная запись компьютера» - это учетная запись локальной (NT) службы. У каждой машины есть одна. Когда вы запускаете службу NT как «Система», она запускается под этой специальной локальной учетной записью. Поскольку он не управляется доменом, ему нельзя (по сути) доверять другим машинам в домене. Учетная запись автоматически создается при установке ОС. Это возврат к временам одноранговых сетей.
TimG
Таким образом, если «все виртуальные учетные записи используют разрешение учетной записи компьютера», то по этому определению он не может «получить доступ к сети в доменной среде».
jordanpg
1
(в моем предыдущем сообщении я что-то пропустил). Когда сервер присоединяется к домену, локальная системная учетная запись сопоставляется с учетной записью домена <имя_домена> \ <имя_компьютера> $. Эта учетная запись является реальной учетной записью домена.
TimG
Я бы сказал, что это не типично использовать учетную запись компьютера для «доступа к сети в доменной среде». Как вы можете себе представить, это довольно общий характер и, следовательно, представляет собой щедрый задний ход. Вы можете предоставить разрешения для этой учетной записи, как и любой другой учетной записи, но это не рекомендуется.
TimG
Это не может быть таким нетипичным. VA, которые «используют разрешение учетной записи компьютера», являются типом учетной записи по умолчанию почти для всех учетных записей службы MSSQL12. Либо MS пропустила предложение типа «однако, не рекомендуется использовать виртуальные машины для доступа к сети в домене», или это именно то, что предполагается. Вот почему я задал вопрос.
jordanpg

Ответы:

4

Вот как я это вижу.

Когда вы используете виртуальную машину, вы подражаете учетной записи компьютера.

Проблема в том, что легко создать виртуальную машину или использовать существующую (например, NT Authority \ NETWORKSERVICE). Если вы предоставите учетной записи компьютера доступ к экземпляру, приложение, работающее как виртуальный компьютер, сможет подключиться к этому экземпляру и выполнить действия.

В случае управляемой учетной записи вам нужно будет предоставить учетные данные для этой учетной записи любому приложению, которое захочет их использовать, что позволит вам получить более детализированные разрешения.

Набиль Беккер
источник