我在不同服务器上测试复制,我发现(对我来说)最简单的方法是在同一个Windows帐户下运行所有复制代理(SnapShot代理,Logreader代理和分发代理)。 / p>
但是,根据Microsoft文档,这不是最好的安全实践。
在不同的Windows帐户下运行每个复制代理,并对所有复制代理连接使用Windows身份验证。有关指定帐户的详细信息,请参阅管理复制中的登录名和密码。
有人可以向我解释这背后的原因吗?此外,只有一个Windows帐户运行所有代理的风险是什么?
答案 0 :(得分:1)
每个复制代理应该在不同的Windows帐户下运行,并且只应被授予所需的权限,也称为principle of least privilege,并且是推荐的方法。
这样做的原因是因为不同的复制代理(快照,日志读取器,分发,合并,队列读取器)需要不同的权限,具体取决于代理和订阅类型, 部分对此进行了介绍Replication Agent Security Model中代理 所需的权限。按照最小权限原则购买,我们允许代理仅访问执行其预期功能所必需的资源。
简而言之,最小特权原则可以提高您的安全性并降低风险。