我想让 Microsoft SQL Server 代理作业在 GMSA 帐户下运行,但它们需要有权访问 Azure 存储帐户中的 Azure 文件容器。
到目前为止,我发现的所有内容都表明将 Azure 文件凭据存储在服务的用户帐户下的 Windows 凭据管理器中,但我不知道如何为 GMSA 帐户执行此操作。
是否可以在 Windows 凭据管理器中存储一组凭据以供 GMSA 帐户使用,或者是否有其他方法可以让 GMSA 帐户向 Azure 文件进行身份验证?
最佳答案
Azure File 目前支持与 AADS 集成。这意味着,可以从 Azure Active Directory 中已有的帐户访问 Azure 文件共享:
“通过与 AAD 集成,SMB 可以使用加入 AAD DS 域的 Windows VM 中的 AAD 凭据来访问 Azure 文件共享。此外,Azure 文件支持在以下位置的所有文件夹和文件上保留、继承和强制执行 Microsoft 文件系统 NTFS ACL:文件共享。”
更多信息可参见here 该选项目前处于公共(public)预览状态。如果您指的是 Blob 存储(因为提到了容器文件),您可以在 link 中检查类似的信息。
关于sql-server - 使用 GMSA 帐户访问 Azure 文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54560216/