आप SQL Server 2012 में वर्चुअल खाते के बजाय प्रबंधित सेवा खाते का उपयोग क्यों करेंगे?

14

SQL सर्वर 2012 में, सेवा खातों को वर्चुअल खातों (VA) के रूप में बनाया गया है , जैसा कि यहां वर्णित है , प्रबंधित सेवा खातों (MSAs) के विपरीत ।

विवरणों के आधार पर मैं इनमें से महत्वपूर्ण अंतर देख सकता हूं:

  • MSAs डोमेन खाते हैं, VA स्थानीय खाते हैं
  • MSAs AD द्वारा संभाले जाने वाले स्वचालित पासवर्ड प्रबंधन का उपयोग करते हैं, VA के पास कोई पासवर्ड नहीं है
  • कर्बरोस संदर्भ में, MSAs स्वतः SPN रजिस्टर करते हैं, VAs नहीं करते हैं

क्या कोई अन्य मतभेद हैं? यदि केर्बरोस उपयोग में नहीं है, तो एक डीबीए कभी एमएसए क्यों पसंद करेगा?

अद्यतन : किसी अन्य उपयोगकर्ता ने VA के विषय में एमएस डॉक्स में एक संभावित विरोधाभास का उल्लेख किया है :

वर्चुअल खाता स्वत: प्रबंधित होता है, और आभासी खाता नेटवर्क को डोमेन वातावरण में एक्सेस कर सकता है।

बनाम

वर्चुअल खातों को दूरस्थ स्थान पर प्रमाणित नहीं किया जा सकता है। सभी आभासी खाते मशीन खाते की अनुमति का उपयोग करते हैं। प्रारूप में मशीन खाते का प्रावधान करें <domain_name>\<computer_name>$

"मशीन खाता" क्या है? कैसे / कब / क्यों यह "प्रावधान" मिलता है? "एक डोमेन वातावरण में नेटवर्क तक पहुँचने" और "एक दूरस्थ वातावरण में प्रमाणित करने में क्या अंतर है" [डोमेन वातावरण में] के बीच अंतर क्या है?

sql-server  sql-server-2012  windows  password  kerberos 
jordanpg
स्रोत
1
आपके अंतिम पैराग्राफ में 4 और प्रश्न जोड़े गए हैं। एस / ओ नियम प्रति अनुरोध एक प्रश्न की सिफारिश करते हैं। मैं इनमें से एक प्रश्न का उत्तर दे सकता हूं: एक "मशीन खाता" एक स्थानीय (NT) सेवा खाता है। प्रत्येक मशीन में एक है। जब आप "सिस्टम" के रूप में एक NT सेवा चलाते हैं, तो यह इस विशेष स्थानीय खाते के तहत चलती है। चूंकि यह एक डोमेन द्वारा प्रबंधित नहीं किया जाता है, इसलिए यह वास्तव में (अंतर्निहित) एक डोमेन में अन्य मशीनों द्वारा भरोसा नहीं किया जा सकता है। ओएस स्थापित होने पर खाता स्वचालित रूप से बनाया जाता है। यह पीयर-टू-पीयर नेटवर्क के दिनों के लिए एक फेंक-बैक है।
टिम
इसलिए यदि "सभी आभासी खाते मशीन खाते की अनुमति का उपयोग करते हैं" तो इस परिभाषा के अनुसार, यह संभवतः "एक डोमेन वातावरण में नेटवर्क का उपयोग" नहीं कर सकता है।
jordanpg
1
(मेरे पिछले संदेश में, मैंने कुछ छोड़ दिया है)। जब कोई सर्वर किसी डोमेन से जुड़ता है, तो स्थानीय "सिस्टम" खाता एक डोमेन खाते के लिए मैप हो जाता है <domain_name> \ <computer_name "$। वह खाता एक वास्तविक डोमेन खाता है।
टिम जी
मैं कहूंगा, "एक डोमेन वातावरण में नेटवर्क तक पहुंचने के लिए" मशीन खाते का उपयोग करना सामान्य नहीं है। जैसा कि आप कल्पना कर सकते हैं, यह बहुत सामान्य है और इसलिए एक उदार बैक-डोर प्रस्तुत करता है। आप किसी अन्य खाते की तरह ही उस खाते के लिए अनुमति दे सकते हैं, लेकिन यह हतोत्साहित किया जाता है।
टिम
यह सब असामान्य नहीं हो सकता। VA, जो "मशीन खाते की अनुमति का उपयोग करते हैं", लगभग सभी MSSQL12 सेवा खातों के लिए डिफ़ॉल्ट खाता प्रकार हैं। या तो एमएस ने एक वाक्य छोड़ दिया जैसे "हालांकि, किसी डोमेन में नेटवर्क का उपयोग करने के लिए वीएएस का उपयोग करने की अनुशंसा नहीं की जाती है" या यह वही है जो इरादा है। इसीलिए मैंने सवाल पूछा।
jordanpg

जवाबों:

4

यहां मैं इसे देख रहा हूं।

जब आप किसी VA का उपयोग करते हैं, तो आप मशीन खाते का प्रतिरूपण करते हैं।

समस्या यह है, कि एक VA बनाना आसान है या मौजूदा एक (उदा। NT प्राधिकरण \ NETWORKSERVICE) का उपयोग करना आसान है। यदि आप एक उदाहरण के लिए मशीन खाते तक पहुंच प्रदान करते हैं, तो वीए के रूप में चल रहा एक एप्लिकेशन उस उदाहरण से कनेक्ट करने और कार्रवाई करने में सक्षम होगा।

एक प्रबंधित खाते के साथ, आपको उस खाते के लिए क्रेडेंशियल्स प्रदान करना होगा, जो भी एप्लिकेशन उनका उपयोग करना चाहता है, वह आपको अनुमतियों के साथ अधिक ग्रैन्युलैरिटी की अनुमति देता है।

नबील बेकर
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.