SQL Server 2012에서 가상 계정 대신 관리 서비스 계정을 사용하는 이유는 무엇입니까?


14

SQL Server 2012에서 서비스 계정은 여기 에 설명 된대로 MSA ( 관리 서비스 계정)가 아닌 VA ( 가상 계정 ) 로 생성됩니다 .

설명을 기반으로 이들에 대해 볼 수있는 중요한 차이점은 다음과 같습니다.

  • MSA는 도메인 계정, VA는 로컬 계정
  • MSA는 AD가 처리하는 자동 암호 관리를 사용하고 VA에는 암호가 없습니다.
  • Kerberos 컨텍스트에서 MSA는 SPN을 자동으로 등록하지만 VA는 그렇지 않습니다.

다른 차이점이 있습니까? Kerberos를 사용하지 않는 경우 왜 DBA가 MSA를 선호합니까?

업데이트 : 다른 사용자VA에 관한 MS 문서에서 가능한 모순을 지적했습니다 .

가상 계정은 자동 관리되며 가상 계정은 도메인 환경의 네트워크에 액세스 할 수 있습니다.

가상 계정은 원격 위치에서 인증 될 수 없습니다. 모든 가상 계정은 컴퓨터 계정의 권한을 사용합니다. 형식으로 시스템 계정을 프로비저닝하십시오 <domain_name>\<computer_name>$.

"기계 계정"은 무엇입니까? "프로비저닝"은 어떻게 / 언제 / 왜? "도메인 환경에서 네트워크에 액세스"와 "[도메인 환경에서] 원격 위치에 인증"의 차이점은 무엇입니까?


1
마지막 단락에는 4 개의 질문이 더 추가되었습니다. S / O 규칙은 요청 당 하나의 질문을 권장합니다. 다음 질문 중 하나에 대답 할 수 있습니다. "기계 계정"은 로컬 (NT) 서비스 계정입니다. 각 기계에는 하나가 있습니다. NT 서비스를 "시스템"으로 실행하면이 특수 로컬 계정으로 실행됩니다. 도메인에서 관리하지 않기 때문에 도메인의 다른 컴퓨터에서 실제로 (내재적으로) 신뢰할 수 없습니다. OS가 설치되면 계정이 자동으로 생성됩니다. 그것은 피어 투 피어 네트워크 시대로 되돌아 간 것입니다.
TimG

따라서이 정의에 따라 "모든 가상 계정이 컴퓨터 계정의 권한을 사용하는 경우" "도메인 환경의 네트워크에 액세스 할 수 없습니다".
jordanpg

1
(이전 메시지에서 나는 무언가를 빠뜨렸다). 서버가 도메인에 가입하면 로컬 "시스템"계정이 도메인 계정 <domain_name> \ <computer_name> $에 매핑됩니다. 해당 계정은 실제 도메인 계정입니다.
TimG

"도메인 환경에서 네트워크에 액세스하기 위해 컴퓨터 계정을 사용하는 것은 일반적이지 않습니다." 당신이 상상할 수 있듯이, 그것은 매우 일반적이며 따라서 풍부한 백도어를 제공합니다. 다른 계정과 마찬가지로 해당 계정에 대한 권한을 부여 할 수 있지만 사용하지 않는 것이 좋습니다.
TimG

비정형 일 수는 없습니다. "머신 계정의 권한을 사용하는"VA는 거의 모든 MSSQL12 서비스 계정의 기본 계정 유형입니다. MS는 "하지만 VA를 사용하여 도메인의 네트워크에 액세스하는 것은 권장되지 않습니다"와 같은 문장을 생략했거나 정확하게 의도 된 것입니다. 그래서 내가 질문을 한 것입니다.
jordanpg

답변:


4

내가 보는 방법은 다음과 같습니다.

VA를 사용하면 컴퓨터 계정을 가장합니다.

문제는 VA를 쉽게 만들거나 기존 VA (예 : NT Authority \ NETWORKSERVICE)를 사용하기 쉽다는 것입니다. 머신 계정에 인스턴스에 대한 액세스 권한을 부여하면 VA로 실행중인 애플리케이션이 해당 인스턴스에 연결하여 작업을 수행 할 수 있습니다.

관리 계정을 사용하면 응용 프로그램에서 사용하려는 모든 응용 프로그램에 해당 계정의 자격 증명을 제공해야하므로 권한을보다 세분화 할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.