Na documentação do SQL Server da Microsoft sobre a configuração da conta de serviço do Windows, a decisão de usar um VA (conta virtual) ou um MSA (conta de serviço gerenciada) depende se
recursos externos ao computador SQL Server são necessários
O que exatamente essa frase significa aqui? Estou procurando uma explicação que faça sentido para um 'DBA acidental' com experiência mínima de configuração do SQL Server ou Windows Server. O que conta como um 'recurso' aqui e que tipos de 'necessidade' são relevantes?
Contexto: tenho uma nova VM do SQL Server 2019 no Azure, que foi configurada com VAs prontas para uso e estou tentando decidir se precisamos mudar para o uso de MSAs. Encontrei várias outras perguntas sobre esta mesma página de documentação e/ou a mesma decisão básica entre VAs ou MSAs (ou contas AD regulares) - mas nenhuma realmente explica essa frase específica de uma maneira que me ajude a aplicá-la ao meu cenário específico. O que é essencialmente um caso de uso de data warehouse: os dados chegarão a essa instância SQL de fontes externas, mas serão gerenciados por um aplicativo de automação DW de terceiros executando scripts SSIS, não diretamente pelo mecanismo SQL. (Este aplicativo tem suas próprias contas de serviço AD.)
Embora eu tenha explicado meu cenário específico aqui para tentar esclarecer a pergunta, estou ansioso por uma resposta genérica para que qualquer pessoa com qualquer caso de uso do SQL Server possa avaliar essa frase "recursos externos ao SQL Server" para suas necessidades. Respostas específicas para o meu caso de uso também são bem-vindas.
Esta página de documentação fornece uma explicação para aqueles curiosos o suficiente para rolar para baixo:
A ênfase acima é minha.
Em outras palavras, as contas virtuais são locais para um servidor e não podem controlar recursos em outros servidores, enquanto as contas de serviço gerenciadas têm escopo de domínio e podem, portanto, receber acesso a recursos em vários servidores.
Para uma instância autônoma do SQL Server, não há diferença na funcionalidade. Em um cluster, no entanto, a conta deve ter autoridade para acessar e/ou modificar vários recursos em mais de um servidor, portanto, uma conta de domínio seria apropriada.
No contexto do SQL Server, recursos externos são qualquer serviço, computador, compartilhamento de arquivos, etc., que não fazem parte da instalação e do processo do SQL Server.
Por exemplo, o comando INSERT BULK precisa de acesso a um local de arquivo para carregar os dados. Se isso estava em um computador diferente daquele que executa o SQL Server, o processo do SQL Server de alguma forma precisa ter permissões para acessar esse local.
Uma conta local normalmente não tem acesso fora de seu próprio limite de computador e, portanto, não teria acesso. Você precisaria considerar a conta da máquina nesse caso. Considerando que um MSA ainda é uma conta do AD que pode receber permissões em outro lugar (alguma configuração necessária no nível do AD também, através do IIRC).