SQL Server 2012에서 서비스 계정은 여기 에 설명 된대로 MSA ( 관리 서비스 계정)가 아닌 VA ( 가상 계정 ) 로 생성됩니다 .
설명을 기반으로 이들에 대해 볼 수있는 중요한 차이점은 다음과 같습니다.
- MSA는 도메인 계정, VA는 로컬 계정
- MSA는 AD가 처리하는 자동 암호 관리를 사용하고 VA에는 암호가 없습니다.
- Kerberos 컨텍스트에서 MSA는 SPN을 자동으로 등록하지만 VA는 그렇지 않습니다.
다른 차이점이 있습니까? Kerberos를 사용하지 않는 경우 왜 DBA가 MSA를 선호합니까?
업데이트 : 다른 사용자 가 VA에 관한 MS 문서에서 가능한 모순을 지적했습니다 .
가상 계정은 자동 관리되며 가상 계정은 도메인 환경의 네트워크에 액세스 할 수 있습니다.
대
가상 계정은 원격 위치에서 인증 될 수 없습니다. 모든 가상 계정은 컴퓨터 계정의 권한을 사용합니다. 형식으로 시스템 계정을 프로비저닝하십시오
<domain_name>\<computer_name>$.
"기계 계정"은 무엇입니까? "프로비저닝"은 어떻게 / 언제 / 왜? "도메인 환경에서 네트워크에 액세스"와 "[도메인 환경에서] 원격 위치에 인증"의 차이점은 무엇입니까?
1
마지막 단락에는 4 개의 질문이 더 추가되었습니다. S / O 규칙은 요청 당 하나의 질문을 권장합니다. 다음 질문 중 하나에 대답 할 수 있습니다. "기계 계정"은 로컬 (NT) 서비스 계정입니다. 각 기계에는 하나가 있습니다. NT 서비스를 "시스템"으로 실행하면이 특수 로컬 계정으로 실행됩니다. 도메인에서 관리하지 않기 때문에 도메인의 다른 컴퓨터에서 실제로 (내재적으로) 신뢰할 수 없습니다. OS가 설치되면 계정이 자동으로 생성됩니다. 그것은 피어 투 피어 네트워크 시대로 되돌아 간 것입니다.
—
TimG
따라서이 정의에 따라 "모든 가상 계정이 컴퓨터 계정의 권한을 사용하는 경우" "도메인 환경의 네트워크에 액세스 할 수 없습니다".
—
jordanpg
(이전 메시지에서 나는 무언가를 빠뜨렸다). 서버가 도메인에 가입하면 로컬 "시스템"계정이 도메인 계정 <domain_name> \ <computer_name> $에 매핑됩니다. 해당 계정은 실제 도메인 계정입니다.
—
TimG
"도메인 환경에서 네트워크에 액세스하기 위해 컴퓨터 계정을 사용하는 것은 일반적이지 않습니다." 당신이 상상할 수 있듯이, 그것은 매우 일반적이며 따라서 풍부한 백도어를 제공합니다. 다른 계정과 마찬가지로 해당 계정에 대한 권한을 부여 할 수 있지만 사용하지 않는 것이 좋습니다.
—
TimG
비정형 일 수는 없습니다. "머신 계정의 권한을 사용하는"VA는 거의 모든 MSSQL12 서비스 계정의 기본 계정 유형입니다. MS는 "하지만 VA를 사용하여 도메인의 네트워크에 액세스하는 것은 권장되지 않습니다"와 같은 문장을 생략했거나 정확하게 의도 된 것입니다. 그래서 내가 질문을 한 것입니다.
—
jordanpg