SQL Server 2012で仮想アカウントではなく管理されたサービスアカウントを使用する理由は何ですか?

14

SQL Server 2012のでは、サービスアカウントは、次のように作成された仮想口座説明するように、(VAS)ここでは対照的に、管理されたサービスアカウント(MSAは)。

説明に基づいて、これらについて見られる重要な違い:

  • MSAはドメインアカウント、VAはローカルアカウントです
  • MSAはADによって処理される自動マジックパスワード管理を使用し、VAにはパスワードがありません
  • Kerberosコンテキストでは、MSAはSPNを自動的に登録しますが、VAは

他に違いはありますか?Kerberosが使用されていない場合、DBAがMSAを好むのはなぜですか?

更新別のユーザーは、VAに関するMSドキュメントの矛盾可能性に気付きました

仮想アカウントは自動管理されており、仮想アカウントはドメイン環境のネットワークにアクセスできます。

仮想アカウントは、リモートロケーションに対して認証できません。すべての仮想アカウントは、マシンアカウントの権限を使用します。次の形式でマシンアカウントをプロビジョニングします <domain_name>\<computer_name>$

「マシンアカウント」とは何ですか?どのように/いつ/なぜ「プロビジョニング」されますか?「ドメイン環境でネットワークにアクセスする」と「(ドメイン環境で)リモートロケーションに認証する」の違いは何ですか?

sql-server  sql-server-2012  windows  password  kerberos 
ヨルダンプ
ソース
1
最後の段落でさらに4つの質問を追加しました。S / Oルールでは、リクエストごとに1つの質問を推奨しています。これらの質問のいずれかに答えることができます。「マシンアカウント」はローカル(NT)サービスアカウントです。各マシンには1つあります。NTサービスを「システム」として実行すると、この特別なローカルアカウントで実行されます。ドメインによって管理されていないため、ドメイン内の他のマシンから実際に(本質的に)信頼することはできません。アカウントは、OSのインストール時に自動的に作成されます。これは、ピアツーピアネットワークの時代への後退です。
TimG 14年
したがって、「すべての仮想アカウントがマシンアカウントの権限を使用する」場合、この定義により、「ドメイン環境のネットワークにアクセスする」ことはできません。
ヨルダンプ14年
1
(前のメッセージで、私は何かを省きました)。サーバーがドメインに参加すると、ローカルの「システム」アカウントがドメインアカウント<domain_name> \ <computer_name> $にマップされます。そのアカウントは実際のドメインアカウントです。
TimG 14年
「ドメイン環境のネットワークにアクセスする」ためにマシンアカウントを使用することは一般的ではありません。ご想像のとおり、これは非常に汎用的であるため、寛大な裏口があります。他のアカウントと同様に、そのアカウントにアクセス許可を付与できますが、お勧めできません。
TimG 14年
それはすべて非定型にすることはできません。「マシンアカウントのアクセス許可を使用する」VAは、ほとんどすべてのMSSQL12サービスアカウントのデフォルトのアカウントタイプです。MSが「しかし、VAを使用してドメイン内のネットワークにアクセスすることは推奨されない」などの文を省略したか、これがまさに意図したとおりです。それが私が質問をした理由です。
ヨルダンプ14年

回答:

4

これが私の見方です。

VAを使用すると、マシンアカウントを偽装します。

問題は、VAを作成するか、既存のものを使用するのが簡単なことです(例:NT Authority \ NETWORKSERVICE)。マシンアカウントにインスタンスへのアクセスを許可すると、VAとして実行されているアプリケーションはそのインスタンスに接続してアクションを実行できます。

管理されたアカウントでは、使用するアプリケーションにアカウントの資格情報を提供する必要があるため、アクセス許可をより細かく指定できます。

ナビル・ベッカー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.