Dlaczego miałbyś używać konta usługi zarządzanej zamiast konta wirtualnego w SQL Server 2012?

14

W SQL Server 2012 konta usług są tworzone jako konta wirtualne (VA), jak opisano tutaj , w przeciwieństwie do kont usług zarządzanych (MSA).

Istotne różnice, jakie widzę dla nich, na podstawie opisów:

  • MSA to konta domeny, VA to konta lokalne
  • MSA korzystają z automatycznego zarządzania hasłami obsługiwanymi przez AD, VA nie mają haseł
  • w kontekście Kerberos MSA automatycznie rejestrują nazwy SPN, VA nie

Czy są jakieś inne różnice? Jeśli Kerberos nie jest używany, dlaczego DBA miałoby w ogóle preferować MSA?

AKTUALIZACJA : Inny użytkownik zauważył możliwą sprzeczność w dokumentach MS dotyczących VA :

Konto wirtualne jest automatycznie zarządzane, a konto wirtualne może uzyskać dostęp do sieci w środowisku domeny.

przeciw

Kont wirtualnych nie można uwierzytelnić w zdalnej lokalizacji. Wszystkie konta wirtualne korzystają z uprawnień konta komputera. Podaj konto komputera w formacie <domain_name>\<computer_name>$.

Co to jest „konto komputera”? Jak / kiedy / dlaczego zostaje „zabezpieczony”? Jaka jest różnica między „dostępem do sieci w środowisku domeny” a „uwierzytelnianiem się w zdalnej lokalizacji [w środowisku domeny]”?

jordanpg
źródło
1
W ostatnim akapicie dodano 4 dodatkowe pytania. Reguły S / O zalecają jedno pytanie na żądanie. Mogę odpowiedzieć na jedno z następujących pytań: „Konto komputera” to lokalne konto usługi (NT). Każda maszyna ma jedną. Po uruchomieniu usługi NT jako „System” działa ona na tym specjalnym koncie lokalnym. Ponieważ nie jest zarządzany przez domenę, tak naprawdę (wewnętrznie) nie można mu ufać przez inne komputery w domenie. Konto jest tworzone automatycznie po zainstalowaniu systemu operacyjnego. Jest to powrót do czasów sieci peer-to-peer.
TimG
Jeśli więc „wszystkie konta wirtualne korzystają z uprawnień konta komputera”, to zgodnie z tą definicją nie może „dostępu do sieci w środowisku domeny”.
jordanpg
1
(w mojej poprzedniej wiadomości coś pominąłem). Gdy serwer dołącza do domeny, lokalne konto „System” jest mapowane na konto domeny <nazwa_domeny> \ <nazwa_komputera> $. To konto jest faktycznym kontem domeny.
TimG
Powiedziałbym, że nie jest typowe używanie konta komputera do „dostępu do sieci w środowisku domeny”. Jak możesz sobie wyobrazić, jest dość ogólny i dlatego oferuje obfite tylne drzwi. Możesz przyznać uprawnienia do tego konta, tak jak każde inne konto, ale jest to odradzane.
TimG
To nie może być aż tak nietypowe. VA, które „korzystają z uprawnień konta komputera”, są domyślnym typem konta dla prawie wszystkich kont usług MSSQL12. Każde państwo członkowskie pominęło zdanie typu „jednak nie zaleca się używania VA w celu uzyskania dostępu do sieci w domenie” lub jest to dokładnie to, co jest zamierzone. Dlatego zadałem pytanie.
jordanpg

Odpowiedzi:

4

Oto jak to widzę.

Korzystając z VA, podszywasz się pod konto komputera.

Problem polega na tym, że łatwo jest utworzyć VA lub użyć istniejącej (np. NT Authority \ NETWORKSERVICE). Jeśli udzielisz konta komputera dostępu do instancji, aplikacja działająca jako VA będzie mogła połączyć się z tą instancją i wykonywać działania.

W przypadku konta zarządzanego konieczne będzie podanie poświadczeń tego konta dowolnej aplikacji, która chce ich używać, co pozwoli na większą szczegółowość z uprawnieniami.

Nabil Becker
źródło