เหตุใดคุณจึงต้องใช้บัญชีบริการที่มีการจัดการแทนที่จะเป็นบัญชีเสมือนใน SQL Server 2012

14

ใน SQL Server 2012 บัญชีบริการจะถูกสร้างเป็นบัญชีเสมือน (VAs) ตามที่อธิบายไว้ที่นี่ตรงข้ามกับบัญชีบริการที่ได้รับการจัดการ (MSAs)

ความแตกต่างที่สำคัญที่ฉันสามารถเห็นได้จากสิ่งเหล่านี้ตามคำอธิบาย:

  • MSAs เป็นบัญชีโดเมน VAs เป็นบัญชีท้องถิ่น
  • MSAs ใช้การจัดการรหัสผ่านอัตโนมัติที่จัดการโดย AD, VAs ไม่มีรหัสผ่าน
  • ในบริบท Kerberos, MSAs ลงทะเบียน SPNs โดยอัตโนมัติ VAs ไม่

มีความแตกต่างอื่น ๆ อีกไหม? ถ้า Kerberos ไม่ได้ใช้งานทำไม DBA ถึงต้องการ MSA

อัปเดต : ผู้ใช้รายอื่นได้ระบุถึงความขัดแย้งที่เป็นไปได้ในเอกสาร MS ที่เกี่ยวข้องกับ VAs :

บัญชีเสมือนมีการจัดการโดยอัตโนมัติและบัญชีเสมือนสามารถเข้าถึงเครือข่ายในสภาพแวดล้อมของโดเมน

กับ

บัญชีเสมือนไม่สามารถรับรองความถูกต้องไปยังสถานที่ห่างไกล บัญชีเสมือนทั้งหมดใช้สิทธิ์ของบัญชีเครื่อง <domain_name>\<computer_name>$บทบัญญัติบัญชีเครื่องในรูปแบบ

"บัญชีเครื่องจักร" คืออะไร? วิธีการ / เมื่อ / ทำไมมันได้รับ "การจัดเตรียม"? อะไรคือความแตกต่างระหว่าง "การเข้าถึงเครือข่ายในสภาพแวดล้อมโดเมน" และ "การตรวจสอบความถูกต้องไปยังสถานที่ห่างไกล [ในสภาพแวดล้อมของโดเมน]"

sql-server  sql-server-2012  windows  password  kerberos 
jordanpg
แหล่งที่มา
1
ย่อหน้าสุดท้ายของคุณเพิ่ม 4 คำถามเพิ่มเติม กฎ S / O แนะนำคำถามหนึ่งข้อต่อคำขอ ฉันสามารถตอบคำถามเหล่านี้อย่างใดอย่างหนึ่ง: "บัญชีเครื่องจักร" เป็นบัญชีบริการท้องถิ่น (NT) แต่ละเครื่องมีหนึ่ง เมื่อคุณเรียกใช้บริการ NT เป็น "ระบบ" บริการนี้จะทำงานภายใต้บัญชีภายในเครื่องพิเศษนี้ เนื่องจากไม่ได้รับการจัดการโดยโดเมนจึงไม่สามารถเชื่อถือได้โดยเครื่องอื่น ๆ ในโดเมน บัญชีจะถูกสร้างขึ้นโดยอัตโนมัติเมื่อติดตั้งระบบปฏิบัติการ มันเป็นการย้อนกลับไปสู่ยุคของเครือข่ายเพียร์ทูเพียร์
TimG
ดังนั้นหาก "บัญชีเสมือนทั้งหมดใช้สิทธิ์ของบัญชีเครื่อง" ดังนั้นตามคำจำกัดความนี้จึงไม่สามารถ "เข้าถึงเครือข่ายในสภาพแวดล้อมของโดเมน"
jordanpg
1
(ในข้อความก่อนหน้าของฉันฉันเหลืออะไรไว้) เมื่อเซิร์ฟเวอร์รวมโดเมนบัญชี "System" ในระบบจะถูกแมปกับบัญชีโดเมน <domain_name> \ <computer_name> $ บัญชีนั้นเป็นบัญชีโดเมนจริง
TimG
ฉันจะบอกว่ามันไม่ปกติที่จะใช้บัญชีเครื่องเพื่อ "เข้าถึงเครือข่ายในสภาพแวดล้อมของโดเมน" อย่างที่คุณจินตนาการได้มันเป็นเรื่องธรรมดาและดังนั้นจึงนำเสนอประตูหลังที่ใจกว้าง คุณสามารถให้สิทธิ์สำหรับบัญชีนั้นเช่นเดียวกับบัญชีอื่น ๆ แต่มันก็หมดกำลังใจ
TimG
ไม่สามารถผิดปกติได้ทั้งหมด VAs ซึ่ง "ใช้การอนุญาตของบัญชีเครื่อง" เป็นประเภทบัญชีเริ่มต้นสำหรับบัญชีบริการ MSSQL12 เกือบทั้งหมด ทั้ง MS ออกจากประโยคเช่น "อย่างไรก็ตามไม่แนะนำให้ใช้ VAs ในการเข้าถึงเครือข่ายในโดเมน" หรือนี่คือสิ่งที่ตั้งใจไว้ นั่นคือเหตุผลที่ฉันถามคำถาม
jordanpg

คำตอบ:

4

นี่คือวิธีที่ฉันเห็น

เมื่อคุณใช้ VA คุณจะปลอมตัวเป็นบัญชีของเครื่อง

ปัญหาคือว่ามันเป็นเรื่องง่ายที่จะสร้าง VA หรือใช้ที่มีอยู่ (เช่น NT Authority \ NETWORKSERVICE) หากคุณให้สิทธิ์การเข้าถึงบัญชีเครื่องจักรกับอินสแตนซ์แอปพลิเคชันที่ทำงานเป็น VA จะสามารถเชื่อมต่อกับอินสแตนซ์นั้นและดำเนินการต่างๆ

ด้วยบัญชีที่มีการจัดการคุณจะต้องให้ข้อมูลประจำตัวสำหรับบัญชีนั้นกับแอปพลิเคชันใดก็ตามที่ต้องการใช้เพื่อให้สิทธิ์ที่ละเอียดยิ่งขึ้นแก่คุณ

นาบิลเบกเกอร์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.