我在不同的服务器上测试复制,我发现最简单的方法(对我来说)是在同一Windows帐户下运行所有复制代理(SnapShot代理,Logreader代理和分发代理)。
但是,根据Microsoft文档,这不是最佳安全实践。
在不同的 Windows 帐户下运行每个复制代理,并对所有复制代理连接使用 Windows 身份验证。有关指定帐户的详细信息,请参阅在复制中管理登录名和密码。
有人可以向我解释这背后的原因吗?另外,只有一个 Windows 帐户来运行所有代理有什么风险?
每个复制代理都应在不同的 Windows 帐户下运行,并且只应被授予所需的权限(也称为最小特权原则),并且是建议的方法。
这样做的原因是,不同的复制代理(快照、日志读取器、分发、合并、队列读取器)需要不同的权限,具体取决于代理和订阅类型,复制代理安全模型中的代理所需的权限部分对此进行了介绍。 购买遵循最小特权原则,我们允许代理仅访问执行其预期功能所需的资源。
简而言之,最小特权原则可提高安全性并降低风险。