为什么在SQL Server 2012中使用托管服务帐户而不是虚拟帐户?

14

在SQL Server 2012中,服务帐户创建为虚拟账户(VAS),如所描述这里,而不是托管服务帐户(MSAS)。

根据说明,我可以看到这些重要的区别:

  • MSA是域帐户,VA是本地帐户
  • MSA使用AD处理的自动密码管理,VA没有密码
  • 在Kerberos上下文中,MSA自动注册SPN,而VA不注册

还有其他区别吗?如果不使用Kerberos,为什么DBA会更喜欢MSA?

更新另一个用户已经注意到MS文档中有关VA可能矛盾

虚拟帐户是自动管理的,并且虚拟帐户可以在域环境中访问网络。

虚拟帐户无法通过身份验证到远程位置。所有虚拟帐户均使用计算机帐户的权限。以格式设置机器帐户 <domain_name>\<computer_name>$

什么是“机器帐户”?如何/何时/为什么获得“预配”?“在域环境中访问网络”和“在域环境中认证到远程位置”之间有什么区别?

sql-server  sql-server-2012  windows  password  kerberos 
约旦
source
1
您的最后一段增加了4个问题。S / O规则建议每个请求一个问题。我可以回答以下问题之一:“计算机帐户”是本地(NT)服务帐户。每台机器都有一个。当您将NT服务作为“系统”运行时,它将在此特殊本地帐户下运行。由于它不是由域管理的,因此它不能真正(固有地)被域中的其他计算机信任。安装操作系统后,将自动创建该帐户。这是点对点网络时代的倒退。
TimG 2014年
因此,如果“所有虚拟帐户都使用计算机帐户的许可”,则根据此定义,它不可能“在域环境中访问网络”。
jordanpg 2014年
1
(在上一条消息中,我遗漏了一些内容)。服务器加入域时,本地“系统”帐户将映射到域帐户<域名称> \ <计算机名称> $。该帐户是实际的域帐户。
TimG 2014年
我会说,通常不使用计算机帐户来“在域环境中访问网络”。如您所料,它非常通用,因此存在大量的后门。您可以像其他任何帐户一样授予该帐户权限,但不建议这样做。
TimG 2014年
不可能是所有非典型的事情。“使用计算机帐户的权限”的VA是几乎所有MSSQL12服务帐户的默认帐户类型。MS要么省略诸如“但是,不建议使用VA来访问域中的网络”之类的句子,要么恰恰是此目的。这就是为什么我问这个问题。
jordanpg 2014年

Answers:

4

这就是我的看法。

使用虚拟设备时,您将模拟计算机帐户。

问题在于,很容易制作一个VA或使用现有的VA(例如NT Authority \ NETWORKSERVICE)。如果授予计算机帐户访问实例的权限,则以VA运行的应用程序将能够连接到该实例并执行操作。

对于托管帐户,您将必须向要使用该帐户的任何应用程序提供该帐户的凭据,从而使您的权限更加精细。

纳比尔·贝克尔
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.