Warum sollten Sie in SQL Server 2012 ein verwaltetes Dienstkonto anstelle eines virtuellen Kontos verwenden?

In SQL Server 2012 werden Dienstkonten im Gegensatz zu verwalteten Dienstkonten (MSAs) wie hier beschrieben als virtuelle Konten (VAs) erstellt.

Die wichtigen Unterschiede, die ich für diese sehe, basieren auf den Beschreibungen:

MSAs sind Domänenkonten, VAs sind lokale Konten
MSAs verwenden die automatische Kennwortverwaltung, die von AD verwaltet wird, VAs haben keine Kennwörter
In einem Kerberos-Kontext registrieren MSAs SPNs automatisch, VAs nicht

Gibt es noch andere Unterschiede? Wenn Kerberos nicht verwendet wird, warum würde ein DBA jemals einen MSA bevorzugen?

UPDATE : Ein anderer Benutzer hat in den MS-Dokumenten einen möglichen Widerspruch in Bezug auf VAs festgestellt :

Das virtuelle Konto wird automatisch verwaltet, und das virtuelle Konto kann in einer Domänenumgebung auf das Netzwerk zugreifen.

gegen

Virtuelle Konten können nicht an einem Remotestandort authentifiziert werden. Alle virtuellen Konten verwenden die Berechtigung des Computerkontos. Stellen Sie das Computerkonto im Format bereit <domain_name>\<computer_name>$.

Was ist das "Maschinenkonto"? Wie / wann / warum wird es "bereitgestellt"? Was ist der Unterschied zwischen "Zugriff auf das Netzwerk in einer Domänenumgebung" und "Authentifizierung an einem Remotestandort [in einer Domänenumgebung]"?

— jordanpg
quelle

Ihr letzter Absatz fügte 4 weitere Fragen hinzu. S / O-Regeln empfehlen eine Frage pro Anfrage. Ich kann eine der folgenden Fragen beantworten: Ein "Computerkonto" ist ein lokales (NT) Dienstkonto. Jede Maschine hat eine. Wenn Sie einen NT-Dienst als "System" ausführen, wird er unter diesem speziellen lokalen Konto ausgeführt. Da es nicht von einer Domäne verwaltet wird, kann es von anderen Computern in einer Domäne nicht wirklich (von Natur aus) als vertrauenswürdig eingestuft werden. Das Konto wird automatisch erstellt, wenn das Betriebssystem installiert wird. Es ist ein Rückfall in die Zeit der Peer-to-Peer-Netzwerke.

— TimG

Wenn also "alle virtuellen Konten die Berechtigung des Computerkontos verwenden", kann nach dieser Definition möglicherweise nicht "in einer Domänenumgebung auf das Netzwerk zugegriffen werden".

— jordanpg

(In meiner vorherigen Nachricht habe ich etwas ausgelassen). Wenn ein Server einer Domäne beitritt, wird das lokale Konto "System" einem Domänenkonto <Domänenname> \ <Computername> $ zugeordnet. Dieses Konto ist ein tatsächliches Domänenkonto.

— TimG

Ich würde sagen, es ist nicht typisch, ein Computerkonto zu verwenden, um "in einer Domänenumgebung auf das Netzwerk zuzugreifen". Wie Sie sich vorstellen können, ist es ziemlich generisch und bietet daher eine großzügige Hintertür. Sie können Berechtigungen für dieses Konto gewähren, genau wie für jedes andere Konto, aber davon wird abgeraten.

— TimG

So untypisch kann es nicht sein. VAs, die "die Berechtigung des Computerkontos verwenden", sind der Standardkontotyp für fast alle MSSQL12-Dienstkonten. Entweder hat die MS einen Satz wie "Es wird jedoch nicht empfohlen, VAs zu verwenden, um auf das Netzwerk in einer Domäne zuzugreifen" ausgelassen, oder genau dies ist beabsichtigt. Deshalb habe ich die Frage gestellt.

— Jordanpg

So sehe ich das.

Wenn Sie eine VA verwenden, geben Sie sich als das Computerkonto aus.

Das Problem ist, dass es einfach ist, eine VA zu erstellen oder eine vorhandene zu verwenden (z. B. NT Authority \ NETWORKSERVICE). Wenn Sie dem Computerkonto Zugriff auf eine Instanz gewähren, kann eine Anwendung, die als VA ausgeführt wird, eine Verbindung zu dieser Instanz herstellen und Aktionen ausführen.

Bei einem verwalteten Konto müssen Sie die Anmeldeinformationen für dieses Konto für alle Anwendungen bereitstellen, die sie verwenden möchten, damit Sie die Berechtigungen genauer festlegen können.

— Nabil Becker
quelle