Безопасность агентов репликации SQL Server

Я тестировал репликацию на разных серверах и обнаружил, что самый простой (для меня) способ сделать это — запустить все агенты репликации (агент SnapShot, агент Logreader и агент Distribution) под одной и той же учетной записью Windows.

Однако, согласно документации Microsoft, это не лучшая практика безопасности.

Запускайте каждый агент репликации под другой учетной записью Windows и используйте проверку подлинности Windows для всех подключений агента репликации. Дополнительные сведения об указании учетных записей см. в разделе Управление именами входа и паролями в репликации.

Может кто-нибудь объяснить мне причину этого? Кроме того, каковы риски использования только одной учетной записи Windows для запуска всех агентов?


sql-server replication windows-security rmo
person Muhannad    schedule 03.11.2017    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Каждый агент репликации должен запускаться под другой учетной записью Windows, и ему должны быть предоставлены только необходимые разрешения, также известные как принцип наименьших привилегий и является рекомендуемым подходом.

Причина этого в том, что для разных агентов репликации (Snapshot, Log Reader, Distribution, Merge, Queue Reader) требуются разные разрешения в зависимости от агента и типа подписки, которые рассматриваются в разделе Разрешения, которые Требуется агентам в Модель безопасности агента репликации. Купить, следуя принципу наименьших привилегий, мы разрешаем агентам доступ только к тем ресурсам, которые необходимы для выполнения их предполагаемой функции.

Проще говоря, принцип наименьших привилегий повышает вашу безопасность и снижает риск.

person Brandon Williams    schedule 03.11.2017