我在不同的服务器上测试复制,我发现(对我来说)最简单的方法是在同一个 Windows 帐户下运行所有复制代理(SnapShot 代理、Logreader 代理和分发代理)。
但是,根据 Microsoft 文档,这不是最佳安全实践。
在不同的 Windows 帐户下运行每个复制代理,并对所有复制代理连接使用 Windows 身份验证。有关指定帐户的更多信息,请参阅在复制中管理登录名和密码。
有人可以向我解释这背后的原因吗?另外,只有一个 Windows 帐户来运行所有代理有什么风险?
问问题
916 次
1 回答
1
每个复制代理应该在不同的 Windows 帐户下运行,并且应该只被授予所需的权限,也称为最小权限原则,并且是推荐的方法。
这是因为不同的复制代理(快照、日志读取器、分发、合并、队列读取器)需要不同的权限,具体取决于代理和订阅类型,这些在Replication Agent中的代理所需的权限部分中进行了介绍安全模型。购买遵循最小特权原则,我们允许代理仅访问执行其预期功能所需的资源。
简而言之,最小特权原则提高了您的安全性并降低了风险。
于 2017-11-03T18:03:50.617 回答