SQL 服务器复制代理安全
SQL Server replication agents security
我在不同的服务器上测试复制,我发现最简单的方法(对我来说)是 运行 所有复制代理(SnapShot 代理、Logreader 代理和分发代理)在同一个 Windows 帐户。
但是,根据 Microsoft 文档,这不是最佳安全做法。
Run each replication agent under a different Windows account, and use Windows Authentication for all replication agent connections. For more information about specifying accounts, see Manage Logins and Passwords in Replication.
有人可以向我解释一下这背后的原因吗?另外,运行 所有代理只有一个 windows 帐户的风险是什么?
每个复制代理应 运行 在不同的 Windows 帐户下,并且只应获得 运行 所需的权限,也称为 principle of least privilege,并且是推荐的方法。
这是因为不同的复制代理(快照、日志Reader、分发、合并、队列Reader)根据代理和订阅类型需要不同的权限,这些权限是Replication Agent Security Model 中的 代理所需的权限 部分已介绍。购买遵循最小权限原则,我们只允许代理访问执行其预期功能所必需的资源。
简而言之,最小权限原则可提高您的安全性并降低风险。
我在不同的服务器上测试复制,我发现最简单的方法(对我来说)是 运行 所有复制代理(SnapShot 代理、Logreader 代理和分发代理)在同一个 Windows 帐户。
但是,根据 Microsoft 文档,这不是最佳安全做法。
Run each replication agent under a different Windows account, and use Windows Authentication for all replication agent connections. For more information about specifying accounts, see Manage Logins and Passwords in Replication.
有人可以向我解释一下这背后的原因吗?另外,运行 所有代理只有一个 windows 帐户的风险是什么?
每个复制代理应 运行 在不同的 Windows 帐户下,并且只应获得 运行 所需的权限,也称为 principle of least privilege,并且是推荐的方法。
这是因为不同的复制代理(快照、日志Reader、分发、合并、队列Reader)根据代理和订阅类型需要不同的权限,这些权限是Replication Agent Security Model 中的 代理所需的权限 部分已介绍。购买遵循最小权限原则,我们只允许代理访问执行其预期功能所必需的资源。
简而言之,最小权限原则可提高您的安全性并降低风险。