Konto wirtualne i zarządzane / Virtual Account and Managed Service Account

28-Lis-2013

SQL server powinien mieć ściśle ustawione uprawnienia. Najlepiej zrobić to przygotowując konto domenowe i wskazać to konto jako serwisowe dla SQL Server. Zawsze problemem pozostaje, czy na takim koncie również wymuszać regularną zmianę hasła. Okazuje się że tak. Dlatego Microsoft przygotował dla nas coś innego:

  1. Managed Service Account (MSA) –  konto zakładane w AD.  Początkowo bez hasła. Służy ono wyłącznie do uruchamiania usług. Kiedy podczas instalacji wskażesz takie konto, jako serwisowe, to konto samo regularnie będzie zmieniać hasło. Łatwo też będzie decydować o uprawnieniach takiego użytkownika w domenie.
  2. Virtual Account – można powiedzieć, że to MSA, ale założone lokalnie na danym komputerze. To konto również może sięgać do zdalnych zasobów, ale robi to z uprawnieniami konta komputera.

 

Powyżej widać usługi uruchomione na utworzonych przez instalatora kontach wirtualnych. Mamy tu 2 instancje – domyślną i SQLExpress. Każda instancja ma tu własne dedykowane konto wirtualne.

Te dwa rodzaje kont są dostępne od Windows 7 i Windows Server 2008. Konta nie można wykorzystać do logowania się. Podsumowując są bezpieczne i samoobsługowe. Życie DBA się upraszcza.

http://msdn.microsoft.com/en-us/library/ms143504%28SQL.110%29.aspx#VA_Desc

Dodaj komentarz:

Autor: Rafał Kraik