SQL Server 2012で仮想アカウントではなく管理されたサービスアカウントを使用するのはなぜですか?
SQL Server 2012では、サービスアカウントは 仮想アカウント (VA)として作成されます。説明は ここ ですが、 管理されたサービスアカウント (MSA)ではありません。 。
説明に基づいて、これらについて見ることができる重要な違い:
- MSAはドメインアカウント、VAはローカルアカウントです
- MSAはADによって処理されるautomagicパスワード管理を使用し、VAにはパスワードがありません
- kerberosコンテキストでは、MSAはSPNを自動的に登録しますが、VAは
他に違いはありますか? Kerberosが使用されていない場合、DBAはなぜMSAを好むのでしょうか。
[〜#〜] update [〜#〜]: Another user は VAに関するMSドキュメント :
仮想アカウントは自動管理され、仮想アカウントはドメイン環境でネットワークにアクセスできます。
versus
仮想アカウントはリモートの場所で認証できません。すべての仮想アカウントは、マシンアカウントの権限を使用します。
<domain_name>\<computer_name>$の形式でマシンアカウントをプロビジョニングします。
「マシンアカウント」とは何ですか?どのように/いつ/なぜ「プロビジョニング」されるのですか? 「ドメイン環境でのネットワークへのアクセス」と「リモートドメインへの認証(ドメイン環境で)」の違いは何ですか?
これが私の見方です。
VAを使用するときは、マシンアカウントを偽装します。
問題は、VAを作成するか、既存のものを使用すること(NT Authority\NETWORKSERVICEなど)を簡単に実行できることです。インスタンスにマシンアカウントのアクセスを許可すると、 VAとして実行すると、そのインスタンスに接続してアクションを実行できます。
管理アカウントでは、そのアカウントの資格情報を、使用したいアプリケーションに提供する必要があります。これにより、権限をさらに細かく設定できます。