W SQL Server 2012 konta usług są tworzone jako konta wirtualne (VA), jak opisano tutaj , w przeciwieństwie do kont usług zarządzanych (MSA).
Istotne różnice, jakie widzę dla nich, na podstawie opisów:
- MSA to konta domeny, VA to konta lokalne
- MSA korzystają z automatycznego zarządzania hasłami obsługiwanymi przez AD, VA nie mają haseł
- w kontekście Kerberos MSA automatycznie rejestrują nazwy SPN, VA nie
Czy są jakieś inne różnice? Jeśli Kerberos nie jest używany, dlaczego DBA miałoby w ogóle preferować MSA?
AKTUALIZACJA : Inny użytkownik zauważył możliwą sprzeczność w dokumentach MS dotyczących VA :
Konto wirtualne jest automatycznie zarządzane, a konto wirtualne może uzyskać dostęp do sieci w środowisku domeny.
przeciw
Kont wirtualnych nie można uwierzytelnić w zdalnej lokalizacji. Wszystkie konta wirtualne korzystają z uprawnień konta komputera. Podaj konto komputera w formacie
<domain_name>\<computer_name>$
.
Co to jest „konto komputera”? Jak / kiedy / dlaczego zostaje „zabezpieczony”? Jaka jest różnica między „dostępem do sieci w środowisku domeny” a „uwierzytelnianiem się w zdalnej lokalizacji [w środowisku domeny]”?
źródło
Odpowiedzi:
Oto jak to widzę.
Korzystając z VA, podszywasz się pod konto komputera.
Problem polega na tym, że łatwo jest utworzyć VA lub użyć istniejącej (np. NT Authority \ NETWORKSERVICE). Jeśli udzielisz konta komputera dostępu do instancji, aplikacja działająca jako VA będzie mogła połączyć się z tą instancją i wykonywać działania.
W przypadku konta zarządzanego konieczne będzie podanie poświadczeń tego konta dowolnej aplikacji, która chce ich używać, co pozwoli na większą szczegółowość z uprawnieniami.
źródło