Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Každá služba v SQL Serveru představuje proces nebo sadu procesů pro správu ověřování operací SQL Serveru s Windows. Tento článek popisuje výchozí konfiguraci služeb v této verzi SQL Serveru a možnosti konfigurace pro služby SYSTÉMU SQL Server, které můžete nastavit během a po instalaci SQL Serveru. Tento článek pomáhá pokročilým uživatelům porozumět podrobnostem účtů služeb.
Poznámka:
Další informace o SQL Serveru v linuxových oprávněních najdete v tématu SQL Server v Linuxu – Průvodce zabezpečením a oprávněními.
Většinu služeb a jejich vlastností je možné nakonfigurovat pomocí nástroje SQL Server Configuration Manager. Tady jsou cesty k nedávným verzím, když je systém Windows nainstalován na jednotce C.
| Verze SQL Serveru | Cesta |
|---|---|
| SQL Server 2025 (17.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server aktivovaný službou Azure Arc
Oprávnění požadovaná rozšířením Azure pro SQL Server najdete v tématu Konfigurace účtů služby Windows a oprávnění pro rozšíření Azure pro SQL Server.
Služby nainstalované SQL Serverem
V závislosti na komponentách, které se rozhodnete nainstalovat, instalační program SQL Serveru nainstaluje následující služby:
| Služba | Popis |
|---|---|
| Databázové služby SQL Serveru | Služba pro relační databázový stroj SQL Serveru. Spustitelný soubor je \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| Agent SQL Serveru | Spouští úlohy, monitoruje SQL Server, aktivuje výstrahy a umožňuje automatizaci některých úloh správy. Služba agenta SQL Serveru je k dispozici, ale je zakázaná na instancích SQL Serveru Express. Spustitelný soubor je \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Služby analýzy | Poskytuje funkce online analytického zpracování (OLAP) a dolování dat pro aplikace business intelligence. Spustitelný soubor je \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Reporting Services | Spravuje, spouští, vytváří, plánuje a doručuje sestavy. Spustitelný soubor je \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| integrační služby | Poskytuje podporu správy pro ukládání a spouštění balíčků integračních služeb. Spustitelná cesta je \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
Integrační služby můžou zahrnovat další služby pro nasazení se škálováním na více instancí. Další informace najdete v tématu Návod: Nastavení horizontálního navýšení kapacity služby SSIS (Integration Services).
| Služba | Popis |
|---|---|
| Prohlížeč SQL Serveru | Služba překladu ip adres, která poskytuje informace o připojení SQL Serveru pro klientské počítače. Spustitelná cesta je C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Fulltextové vyhledávání | Rychle vytváří fulltextové indexy pro obsah a vlastnosti strukturovaných a částečně strukturovaných dat, aby se zajistilo filtrování dokumentů a dělení slov pro SQL Server. |
| Zapisovač SQL | Umožňuje aplikacím zálohování a obnovení pracovat v rámci služby Stínová kopie svazku (VSS). |
| Řadič distribuovaného přehrávání SQL Serveru | Poskytuje orchestraci přehrání trasování napříč několika klientskými počítači distribuovaného přehrávání. |
| Klient distribuovaného přehrání SQL Serveru | Jeden nebo více distribuovaných klientských počítačů, které spolupracují s řadičem distribuovaného přehrávání pro simulaci souběžných úloh s instancí databázového stroje SQL Serveru. |
| Launchpad SQL Serveru | Důvěryhodná služba, která hostuje externí spustitelné soubory poskytované Microsoftem, jako jsou moduly runtime R nebo Python nainstalované jako součást služeb R nebo Machine Learning Services. Satelitní procesy lze spustit procesem Launchpad, ale řídí se prostředky na základě konfigurace jednotlivých instancí. Služba Launchpad běží pod vlastním uživatelským účtem a každý satelitní proces pro konkrétní zaregistrovaný modul runtime dědí uživatelský účet launchpadu. Během provádění se vytvářejí a zničí satelitní procesy na vyžádání. Launchpad nemůže vytvořit účty, které používá, pokud nainstalujete SQL Server na počítač, který se používá také jako řadič domény. Nastavení služeb R (In-Database) nebo Machine Learning Services (In-Database) proto na řadiči domény selže. |
| PolyBase Engine SQL Serveru | Poskytuje možnosti distribuovaných dotazů externím zdrojům dat. |
| SQL Server PolyBase Data Movement Service | Umožňuje přesun dat mezi SQL Serverem a externími zdroji dat a mezi uzly SQL ve skupinách škálování PolyBase. |
Služby CEIP nainstalované SQL Serverem
Místní audit využití SQL Serveru a shromažďování diagnostických dat (CEIP) odesílá telemetrická data zpět do Microsoftu.
V závislosti na komponentách, které se rozhodnete nainstalovat, instalační program SQL Serveru nainstaluje následující služby programu Zlepšování softwaru a služeb na základě zkušeností uživatelů.
| Služba | Popis |
|---|---|
| SQLTELEMETRY | Program Zlepšování softwaru a služeb na základě zkušeností uživatelů, který odesílá telemetrická data databázového stroje zpět do Microsoftu. |
| SSASTELEMETRY | Program Zlepšování softwaru a služeb na základě zkušeností uživatelů, který odesílá telemetrická data služby SSAS zpět do Microsoftu. |
| SSISTELEMETRY | Program Zlepšování softwaru a služeb na základě zkušeností uživatelů, který odesílá telemetrická data služby SSIS zpět do Microsoftu. |
Vlastnosti a konfigurace služby
Spouštěcí účty používané ke spuštění a spuštění SQL Serveru můžou být uživatelské účty domény, místní uživatelské účty, účty spravované služby, virtuální účty nebo předdefinované systémové účty. Aby bylo možné spustit a spustit, musí mít každá služba v SQL Serveru nakonfigurovaný spouštěcí účet během instalace.
Poznámka:
Pro instanci clusteru s podporou převzetí služeb při selhání SQL Serveru pro SQL Server 2016 (13.x) a novější je možné účty uživatelů domény nebo účty služby spravované skupinami použít jako spouštěcí účty pro SQL Server.
Tato část popisuje účty, které je možné nakonfigurovat pro spuštění služeb SQL Serveru, výchozí hodnoty používané instalačním programem SYSTÉMU SQL Server, koncept identifikátorů SID pro jednotlivé služby, možnosti spuštění a konfiguraci brány firewall.
Výchozí účty služeb
Následující tabulka uvádí výchozí účty služeb používané nastavením při instalaci všech komponent. Uvedené výchozí účty jsou doporučené účty s výjimkou uvedených.
Samostatný server nebo řadič domény
| Součást | Systém Windows Server 2008 | Windows 7, Windows Server 2008 R2 a novější |
|---|---|---|
| Databázový stroj | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| Agent SQL Serveru | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| SSAS (SQL Server Analysis Services) | SÍŤOVÁ SLUŽBA | Virtuální účet12 |
| služba SSIS | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| SSRS | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| Řadič distribuovaného přehrávání SQL Serveru | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| Klient distribuovaného přehrání SQL Serveru | SÍŤOVÁ SLUŽBA | Virtuální účet1 |
| Spouštěč FD (fulltextové vyhledávání) | MÍSTNÍ SLUŽBA | Virtuální účet |
| Prohlížeč SQL Serveru | MÍSTNÍ SLUŽBA | MÍSTNÍ SLUŽBA |
| Zapisovač SQL Server VSS | MÍSTNÍ SYSTÉM | MÍSTNÍ SYSTÉM |
| Rozšíření Advanced Analytics | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| Modul PolyBase | SÍŤOVÁ SLUŽBA | SÍŤOVÁ SLUŽBA |
| PolyBase Data Movement Service | SÍŤOVÁ SLUŽBA | SÍŤOVÁ SLUŽBA |
1 Pokud jsou potřeba prostředky mimo počítač s SQL Serverem, společnost Microsoft doporučuje používat účet spravované služby (MSA), který je nakonfigurovaný s minimálními potřebnými oprávněními.
2 Při instalaci na řadič domény se virtuální účet nepodporuje, protože účet služby se nepodporuje.
Instance clusteru s podporou převzetí služeb při selhání SQL Serveru
| Součást | Systém Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Databázový stroj | Žádné. Zadejte uživatelský účet domény . | Zadejte uživatelský účet domény . |
| Agent SQL Serveru | Žádné. Zadejte uživatelský účet domény . | Zadejte uživatelský účet domény . |
| SSAS (SQL Server Analysis Services) | Žádné. Zadejte uživatelský účet domény . | Zadejte uživatelský účet domény . |
| služba SSIS | SÍŤOVÁ SLUŽBA | Virtuální účet |
| SSRS | SÍŤOVÁ SLUŽBA | Virtuální účet |
| Spouštěč FD (fulltextové vyhledávání) | MÍSTNÍ SLUŽBA | Virtuální účet |
| Prohlížeč SQL Serveru | MÍSTNÍ SLUŽBA | MÍSTNÍ SLUŽBA |
| Zapisovač SQL Server VSS | MÍSTNÍ SYSTÉM | MÍSTNÍ SYSTÉM |
Změna vlastností účtu
- Vždy používejte nástroje SQL Serveru, jako je SQL Server Configuration Manager, ke změně účtu používaného databázovým strojem SQL Serveru nebo službami agenta SQL Serveru nebo ke změně hesla pro účet. Kromě změny názvu účtu sql Server Configuration Manager provádí další konfiguraci, jako je aktualizace místního úložiště zabezpečení Systému Windows, která chrání hlavní klíč služby pro databázový stroj. Jiné nástroje, jako je správce řízení služeb systému Windows, můžou změnit název účtu, ale nezmění všechna požadovaná nastavení.
Pokud změníte účty služeb pro jakoukoli službu SQL jiným způsobem, může to vést k neočekávanému chování nebo chybám. Pokud například změníte účet služby agenta SQL na účet domény pomocí apletu služeb Systému Windows, můžete si všimnout, že úlohy agenta SQL, které používají operační systém (Cmdexec), replikace nebo kroky úlohy SSIS selžou s chybou, například:
Executed as user : Domain\Account.
The process couldn't be created for step Step Number of job Unique Job ID (reason: A required privilege isn't held by the client). The step failed.
Pokud chcete tuto chybu vyřešit, měli byste provést následující kroky pomocí nástroje SQL Server Configuration Manager:
- Dočasně změňte účet služby agenta SQL zpět na výchozí virtuální účet (výchozí instance: NT Service\SQLSERVERAGENT. Pojmenovaná instance: NT Service\SQLAGENT$<instance_name>.)
- Restartování služby agenta SQL Serveru
- Změna účtu služby zpět na požadovaný účet domény
- Restartování služby agenta SQL Serveru
V případě instancí služby Analysis Services, které nasadíte ve farmě Služby SharePoint, vždy pomocí centrální správy Služby SharePoint změňte účty serveru pro aplikace služby Power Pivot a službu Analysis Services. Přidružená nastavení a oprávnění se aktualizují tak, aby při použití Centrální správy používaly informace o novém účtu.
Pokud chcete změnit možnosti služby Reporting Services, použijte nástroj pro konfiguraci služby Reporting Services.
Účty spravované služby, účty služby spravované skupinou a virtuální účty
Účty spravovaných služeb, účty služby spravované skupinami a virtuální účty jsou navržené tak, aby poskytovaly klíčové aplikace, jako je SQL Server, s izolací vlastních účtů, a zároveň eliminuje nutnost správce ručně spravovat hlavní název služby (SPN) a přihlašovací údaje pro tyto účty. Tato nastavení usnadňují dlouhodobou správu uživatelů, hesel a hlavních názvů služeb pro účty služeb.
Účty spravované služby
Účet spravované služby (MSA) je typ účtu domény vytvořený a spravovaný řadičem domény. Je přiřazen k jednomu členskému počítači pro použití se službou. Heslo se spravuje automaticky řadičem domény. Službu MSA nemůžete použít k přihlášení k počítači, ale počítač může ke spuštění služby systému Windows použít službu MSA. Služba MSA má možnost registrovat hlavní název služby (SPN) v rámci služby Active Directory při udělení oprávnění servicePrincipalName pro čtení a zápis. MsA má název s příponou
$, napříkladDOMAIN\ACCOUNTNAME$. Při zadávání msa ponechte heslo prázdné. Vzhledem k tomu, že je služba MSA přiřazená k jednomu počítači, nedá se použít na různých uzlech clusteru s Windows.Poznámka:
Správce domény musí vytvořit službu MSA ve službě Active Directory, aby ji mohl použít pro služby SYSTÉMU SQL Server.
Účty služby spravované skupinou
Účet služby spravované skupinou (gMSA) je MSA pro více serverů. Systém Windows spravuje účet služby pro služby spuštěné na skupině serverů. Služba Active Directory automaticky aktualizuje heslo účtu služby spravované skupiny bez restartování služeb. Služby SQL Serveru můžete nakonfigurovat tak, aby používaly instanční objekt spravovaný skupinou. Počínaje SQL Serverem 2014 SQL Server podporuje účty služeb spravovaných skupinami pro samostatné instance a SQL Server 2016 a novější pro instance clusteru s podporou převzetí služeb při selhání a skupiny dostupnosti.
Pokud chcete použít gMSA pro SQL Server 2014 nebo novější, musí být operační systém Windows Server 2012 R2 nebo novější. Servery s Windows Serverem 2012 R2 vyžadují kb 2998082 použité, aby se služby mohly přihlásit bez přerušení okamžitě po změně hesla.
Další informace najdete v tématu Skupinové účty spravované služby pro Windows Server 2016 a novější. Předchozí verze Windows Serveru najdete v tématu Skupinové účty spravované služby.
Poznámka:
Správce domény musí správce domény vytvořit gMSA, aby ho mohl použít pro služby SQL Serveru.
virtuální účty
Virtuální účty jsou spravované místní účty , které poskytují následující funkce pro zjednodušení správy služeb. Virtuální účet se automaticky spravuje a virtuální účet má přístup k síti v doménovém prostředí. Pokud se výchozí hodnota používá pro účty služby během instalace SYSTÉMU SQL Server, virtuální účet, který používá název instance jako název služby, ve formátu
NT SERVICE\<SERVICENAME>. Služby, které běží jako virtuální účty, přistupují k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače ve formátu<domain_name>\<computer_name>$. Při zadávání virtuálního účtu, který se má spustit SQL Server, nechte heslo prázdné. Pokud se virtuálnímu účtu nepodaří zaregistrovat hlavní název služby (SPN), zaregistrujte hlavní název služby ručně. Další informace o ruční registraci hlavního názvu služby (SPN) najdete v tématu Registrace hlavního názvu služby pro připojení Kerberos.Poznámka:
Virtuální účty se nedají použít pro instanci clusteru s podporou převzetí služeb při selhání SQL Serveru, protože virtuální účet by neměl na každém uzlu clusteru stejný identifikátor SID.
Následující tabulka uvádí příklady názvů virtuálních účtů.
Služba Název virtuálního účtu Výchozí instance služby databázového stroje NT SERVICE\MSSQLSERVERPojmenovaná instance služby databázového stroje s názvem PAYROLLNT SERVICE\MSSQL$PAYROLLSlužba agenta SQL Serveru ve výchozí instanci SQL Serveru NT Service\SQLSERVERAGENTSlužba agenta SQL Serveru v instanci SQL Serveru s názvem PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Další informace o účtech spravovaných služeb a virtuálních účtech najdete v části Koncepty účtu spravované služby a konceptů virtuálních účtůúčtů služeb– podrobný průvodce a nejčastější dotazy k účtům spravovaných služeb.
Poznámka:
Vždy spouštět služby SQL Serveru pomocí nejnižších možných uživatelských práv. Pokud je to možné, použijte účet MSA, gMSA nebo virtuální účet . Pokud msa, gMSA a virtuální účty nejsou možné, místo sdíleného účtu SQL Serveru použijte konkrétní uživatelský účet nebo účet domény s nízkým oprávněním. Pro různé služby SQL Serveru používejte samostatné účty. Neudělujte dalším oprávněním k účtu služby SQL Serveru ani skupinám služeb. Oprávnění jsou udělena prostřednictvím členství ve skupině nebo udělena přímo identifikátoru SID služby, kde je podporován identifikátor SID služby.
Automatické spuštění
Kromě uživatelských účtů má každá služba tři možné stavy spuštění, které můžou uživatelé řídit:
- Zakázáno. Služba je nainstalovaná, ale aktuálně není spuštěná.
- Ruční. Služba se nainstaluje, ale spustí se jenom v případě, že jiná služba nebo aplikace potřebuje její funkce.
- Automaticky. Služba je automaticky spuštěna operačním systémem.
Během instalace je vybrán stav spuštění. Při instalaci pojmenované instance by měla být služba SQL Server Browser nastavena tak, aby se spustila automaticky.
Konfigurace služeb během bezobslužné instalace
Následující tabulka ukazuje služby SYSTÉMU SQL Server, které je možné nakonfigurovat během instalace. Pro bezobslužné instalace můžete použít přepínače v konfiguračním souboru nebo na příkazovém řádku.
| Název služby SQL Serveru | Přepínače pro bezobslužné instalace 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Integrační služby | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| Řadič distribuovaného přehrávání SQL Serveru | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Klient distribuovaného přehrání SQL Serveru | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R Services nebo Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| Modul PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Další informace a ukázkovou syntaxi pro bezobslužné instalace naleznete v tématu Instalace, konfigurace nebo odinstalace SQL Serveru ve Windows z příkazového řádku.
2 Služba agenta SQL Serveru je zakázána na instancích SQL Server Express a SQL Server Express s pokročilými službami.
3 Nastavení účtu pro Launchpad prostřednictvím přepínačů není aktuálně podporováno. Ke změně účtu a dalších nastavení služby použijte SQL Server Configuration Manager.
Port brány firewall
Ve většině případů se databázový stroj může připojit pomocí nástrojů, jako je SQL Server Management Studio nainstalovaný na stejném počítači jako SQL Server. Instalační program SQL Serveru neotevře porty v bráně Windows Firewall. Připojení z jiných počítačů nemusí být možná, dokud není databázový stroj nakonfigurovaný tak, aby naslouchal na portu TCP, a příslušný port je otevřen pro připojení v bráně Windows Firewall. Další informace naleznete v tématu Konfigurace brány Windows Firewall pro povolení přístupu k SQL Serveru.
Oprávnění služby
Tato část popisuje oprávnění, která instalační program SQL Serveru konfiguruje pro identifikátory SID služeb SQL Serveru pro jednotlivé služby.
- Konfigurace služby a řízení přístupu
- Oprávnění a práva systému Windows
- Oprávnění systému souborů udělená sql Serveru na identifikátory SID pro jednotlivé služby nebo místní skupiny systému Windows SQL Serveru
- Oprávnění systému souborů udělená jiným uživatelským účtům nebo skupinám Windows
- Oprávnění systému souborů související s neobvyklými umístěními disků
- Kontrola dalších aspektů
- Oprávnění registru
- Rozhraní WMI
- pojmenované kanály
Konfigurace služby a řízení přístupu
SQL Server umožňuje identifikátor SID jednotlivých služeb pro každou z jejích služeb poskytovat izolaci služeb a hloubkovou ochranu. Identifikátor SID pro jednotlivé služby je odvozený z názvu služby a je pro tuto službu jedinečný. Název SID služby pro pojmenovanou instanci služby databázového stroje může být NT Service\MSSQL$<instance_name>například . Izolace služby umožňuje přístup ke konkrétním objektům bez nutnosti spouštět účet s vysokými oprávněními nebo oslabit ochranu objektu zabezpečení. Pomocí položky řízení přístupu, která obsahuje identifikátor SID služby, může služba SQL Serveru omezit přístup ke svým prostředkům.
Poznámka:
V systémech Windows 7 a Windows Server 2008 R2 (a novějších) může být identifikátor SID pro jednotlivé služby virtuálním účtem používaným službou.
U většiny komponent SQL Server nakonfiguruje seznam ACL pro účet pro jednotlivé služby přímo, takže změnu účtu služby je možné provést bez nutnosti opakovat proces seznamu ACL prostředku.
Při instalaci služby SSAS se vytvoří identifikátor SID pro jednotlivé služby pro službu Analysis Services. Vytvoří se místní skupina Systému Windows s názvem ve formátu SQLServerMSASUser$<computer_name>$<instance_name>. Identifikátor SID NT SERVICE\MSSQLServerOLAPService pro jednotlivé služby má udělené členství v místní skupině Windows a místní skupina Windows má udělená příslušná oprávnění v seznamu ACL. Pokud se účet použitý ke spuštění služby Analysis Services změní, sql Server Configuration Manager musí změnit některá oprávnění systému Windows (například právo přihlásit se jako služba), ale oprávnění přiřazená místní skupině Windows jsou stále dostupná bez jakékoli aktualizace, protože identifikátor SID pro jednotlivé služby se nezměnil. Tato metoda umožňuje přejmenování služby Analysis Services během upgradů.
Během instalace SQL Serveru vytvoří instalační program SYSTÉMU SQL Server místní skupinu systému Windows pro službu SSAS a službu SQL Server Browser. Pro tyto služby SQL Server nakonfiguruje seznam ACL pro místní skupiny Windows.
V závislosti na konfiguraci služby se během instalace nebo upgradu přidá účet služby pro službu nebo identifikátor SID služby jako člen skupiny služeb.
Oprávnění a práva systému Windows
Účet přiřazený ke spuštění služby potřebuje oprávnění Spustit, zastavit a pozastavit službu. Instalační program SYSTÉMU SQL Server tento program automaticky přiřadí. Nejprve nainstalujte nástroje pro vzdálenou správu serveru (RSAT). Viz Nástroje pro vzdálenou správu serveru pro Windows 10.
V následující tabulce jsou uvedena oprávnění, která instalační program SQL Serveru požaduje pro identifikátory SID pro jednotlivé služby nebo místní skupiny Windows používané komponentami SYSTÉMU SQL Server.
| Služba SQL Serveru | Oprávnění udělená nastavením SQL Serveru |
|---|---|
|
Databázový stroj SQL Serveru: (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí instance: NT SERVICE\MSSQLSERVER. Pojmenovaná instance: NT Service\MSSQL$<instance_name>.) |
Přihlášení jako služba (SeServiceLogonRight)Nahrazení tokenu na úrovni procesu (SeAssignPrimaryTokenPrivilege) Obejití kontroly procházení (SeChangeNotifyPrivilege) Úprava kvót paměti pro proces (SeIncreaseQuotaPrivilege) Oprávnění ke spuštění zapisovače SQL Oprávnění ke čtení služby Protokolu událostí Oprávnění ke čtení služby Vzdálené volání procedur |
|
Agent SQL Serveru:1 (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí instance: NT Service\SQLSERVERAGENT. Pojmenovaná instance: NT Service\SQLAGENT$<instance_name>.) |
Přihlášení jako služba (SeServiceLogonRight)Nahrazení tokenu na úrovni procesu (SeAssignPrimaryTokenPrivilege) Obejití kontroly procházení (SeChangeNotifyPrivilege) Úprava kvót paměti pro proces (SeIncreaseQuotaPrivilege) |
|
SSAS: (Všechna práva jsou udělena místní skupině Windows. Výchozí instance: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Pojmenovaná instance: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot pro instanci SharePointu: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Přihlášení jako služba (SeServiceLogonRight)Pouze pro tabulkové: Zvýšení pracovní sady procesů (SeIncreaseWorkingSetPrivilege) Úprava kvót paměti pro proces (SeIncreaseQuotaPrivilege) Uzamknout stránky v paměti (SeLockMemoryPrivilege) – to je potřeba jenom v případě, že je stránkování zcela vypnuté. Pouze pro instalace clusteru s podporou převzetí služeb při selhání: Zvýšení priority plánování (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí instance: NT SERVICE\ReportServer. Pojmenovaná instance: NT SERVICE\ReportServer$<instance_name>.) |
Přihlášení jako služba (SeServiceLogonRight) |
|
SSIS: (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí instance a pojmenovaná instance: NT SERVICE\MsDtsServer150. Integrační služby nemají samostatný proces pro pojmenovanou instanci.) |
Přihlášení jako služba (SeServiceLogonRight)Oprávnění k zápisu do protokolu událostí aplikace Obejití kontroly procházení (SeChangeNotifyPrivilege) Zosobnění klienta po ověření (SeImpersonatePrivilege) |
|
Fulltextové vyhledávání: (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí instance: NT Service\MSSQLFDLauncher. Pojmenovaná instance: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Přihlášení jako služba (SeServiceLogonRight)Úprava kvót paměti pro proces (SeIncreaseQuotaPrivilege) Obejití kontroly procházení (SeChangeNotifyPrivilege) |
|
Prohlížeč SQL Serveru: (Všechna práva jsou udělena místní skupině Windows. Výchozí nebo pojmenovaná instance: SQLServer2005SQLBrowserUser$<computer_name>. Sql Server Browser nemá samostatný proces pro pojmenovanou instanci.) |
Přihlášení jako služba (SeServiceLogonRight) |
|
Zapisovač služby SQL Server VSS: (Všechna práva jsou udělena identifikátoru SID pro jednotlivé služby. Výchozí nebo pojmenovaná instance: NT Service\SQLWriter. Zapisovač služby SQL Server VSS nemá pro pojmenovanou instanci samostatný proces.) |
Služba SQLWriter běží pod účtem LOCAL SYSTEM , který má všechna požadovaná oprávnění. Instalace SQL Serveru nekontroluje ani neuděluje oprávnění pro tuto službu. |
| Kontroler distribuovaného přehrávání SQL Serveru: |
Přihlášení jako služba (SeServiceLogonRight) |
| Klient distribuovaného přehrání SQL Serveru: |
Přihlášení jako služba (SeServiceLogonRight) |
| PolyBase Engine a DMS: |
Přihlášení jako služba (SeServiceLogonRight) |
| Hlavní panel: |
Přihlášení jako služba (SeServiceLogonRight)Nahrazení tokenu na úrovni procesu (SeAssignPrimaryTokenPrivilege) Obejití kontroly procházení (SeChangeNotifyPrivilege) Úprava kvót paměti pro proces (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) a SQL Server 2017 (14.x)) | nemá ve výchozím nastavení oprávnění Povolit přihlášení místně . |
| Machine Learning Services: Všechny balíčky aplikací [AppContainer] (SQL Server 2019 (15.x)) | Čtení a spouštění oprávnění k adresářům BINN, R_Services a PYTHON_Services SQL Serveru |
1 Služba agenta SQL Serveru je zakázaná na instancích SQL Serveru Express.
Oprávnění systému souborů udělená SQL Serveru na identifikátory SID služby nebo místním skupinám Windows
Účty služby SQL Serveru musí mít přístup k prostředkům. Seznamy řízení přístupu jsou nastavené pro identifikátor SID pro jednotlivé služby nebo místní skupinu Windows.
Důležité
U instalací clusteru s podporou převzetí služeb při selhání musí být prostředky na sdílených discích nastavené na seznam ACL místního účtu.
Následující tabulka uvádí seznamy ACL, které jsou nastavené nastavením SQL Serveru:
| Účet služby pro | Soubory a složky | Přístup |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Úplné řízení |
| Instid\MSSQL\binn | Čti, vykonávat | |
| Instid\MSSQL\data | Úplné řízení | |
| Instid\MSSQL\FTData | Úplné řízení | |
| Instid\MSSQL\Install | Čti, vykonávat | |
| Instid\MSSQL\Log | Úplné řízení | |
| Instid\MSSQL\Repldata | Úplné řízení | |
| 150\shared | Čti, vykonávat | |
| Instid\MSSQL\Template Data (pouze SQL Server Express) | Čti | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Úplné řízení |
| Instid\MSSQL\Log | Čtení, zápis, odstranění, spuštění | |
| 150\com | Čti, vykonávat | |
| 150\shared | Čti, vykonávat | |
| 150\shared\Errordumps | Čtení, zápis | |
| ServerName\EventLog | Úplné řízení | |
| FTS | Instid\MSSQL\FTData | Úplné řízení |
| Instid\MSSQL\FTRef | Čti, vykonávat | |
| 150\shared | Čti, vykonávat | |
| 150\shared\Errordumps | Čtení, zápis | |
| Instid\MSSQL\Install | Čti, vykonávat | |
| Instid\MSSQL\jobs | Čtení, zápis | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Úplné řízení |
| Instid\OLAP | Čti, vykonávat | |
| Instid\Olap\Data | Úplné řízení | |
| Instid\Olap\Log | Čtení, zápis | |
| Instid\OLAP\Backup | Čtení, zápis | |
| Instid\OLAP\Temp | Čtení, zápis | |
| 150\shared\Errordumps | Čtení, zápis | |
| ReportServer | Instid\Reporting Services\Soubory protokolů | Čtení, zápis, odstranění |
| Instid\Reporting Services\ReportServer | Čti, vykonávat | |
| Instid\Reporting Services\ReportServer\global.asax | Úplné řízení | |
| \Reporting Services\ReportServer\rsreportserver.config instid | Čti | |
| Instid\Reporting Services\RSTempfiles | Čtení, zápis, spuštění, odstranění | |
| Instid\Reporting Services\RSWebApp | Čti, vykonávat | |
| 150\shared | Čti, vykonávat | |
| 150\shared\Errordumps | Čtení, zápis | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Čti |
| 150\dts\binn | Čti, vykonávat | |
| 150\shared | Čti, vykonávat | |
| 150\shared\Errordumps | Čtení, zápis | |
| Prohlížeč SQL Serveru | 150\shared\ASConfig | Čti |
| 150\shared | Čti, vykonávat | |
| 150\shared\Errordumps | Čtení, zápis | |
| SQLWriter | Není k dispozici (spouští se jako místní systém) | |
| Uživatel | Instid\MSSQL\binn | Čti, vykonávat |
| Instid\Reporting Services\ReportServer | Čtení, spuštění, obsah složky seznamu | |
| Instid\Reporting Services\ReportServer\global.asax | Čti | |
| Instid\Reporting Services\RSWebApp | Čtení, spuštění, obsah složky seznamu | |
| 150\dts | Čti, vykonávat | |
| 150\tools | Čti, vykonávat | |
| 100\tools | Čti, vykonávat | |
| 90\tools | Čti, vykonávat | |
| 80\tools | Čti, vykonávat | |
| 150\sdk | Čti | |
| Microsoft SQL Server\150\Setup Bootstrap | Čti, vykonávat | |
| Řadič distribuovaného přehrávání SQL Serveru | <ToolsDir>\DReplayController\Log\ (prázdný adresář) | Čtení, spuštění, obsah složky seznamu |
| <Nástroje\DReplayController\DReplayController.exe> | Čtení, spuštění, obsah složky seznamu | |
| <ToolsDir>\DReplayController\resources| Čtení, spuštění, obsah složky seznamu | ||
| <ToolsDir\>DReplayController\{all dlls} | Čtení, spuštění, obsah složky seznamu | |
| <Nástroje\DReplayController\DReplayController.config> | Čtení, spuštění, obsah složky seznamu | |
| <ToolsDir\>DReplayController\IRTemplate.tdf | Čtení, spuštění, obsah složky seznamu | |
| <Nástroje\DReplayController\IRDefinition.xml> | Čtení, spuštění, obsah složky seznamu | |
| Klient distribuovaného přehrání SQL Serveru | <ToolsDir>\DReplayClient\Log| Čtení, spuštění, obsah složky seznamu | |
| <Nástroje\DReplayClient\DReplayClient.exe> | Čtení, spuštění, obsah složky seznamu | |
| <ToolsDir>\DReplayClient\resources| Čtení, spuštění, obsah složky seznamu | ||
| <ToolsDir>\DReplayClient\ (všechny knihovny DLL) | Čtení, spuštění, obsah složky seznamu | |
| <Nástroje\DReplayClient\DReplayClient.config> | Čtení, spuštění, obsah složky seznamu | |
| <ToolsDir\>DReplayClient\IRTemplate.tdf | Čtení, spuštění, obsah složky seznamu | |
| <Nástroje\DReplayClient\IRDefinition.xml> | Čtení, spuštění, obsah složky seznamu | |
| Hlavní panel | %binn | Čti, vykonávat |
| ExtensiblilityData | Úplné řízení | |
| Log\ExtensibilityLog | Úplné řízení |
1 Služba agenta SQL Serveru je zakázána na instancích SQL Server Express a SQL Server Express s pokročilými službami.
Pokud jsou soubory databáze uloženy v uživatelem definovaném umístění, musíte mu udělit přístup k identifikátoru SID pro jednotlivé služby. Další informace o udělení oprávnění systému souborů identifikátoru SID pro jednotlivé služby naleznete v tématu Konfigurace oprávnění systému souborů pro přístup k databázovému stroji.
Oprávnění systému souborů udělená jiným uživatelským účtům nebo skupinám Windows
Některá oprávnění řízení přístupu se můžou udělit integrovaným účtům nebo jiným účtům služby SQL Serveru. Následující tabulka uvádí další seznamy ACL, které jsou nastavené nastavením SQL Serveru.
| Žádost o komponentu | Účet | Zdroj | Povolení |
|---|---|---|---|
| MSSQLServer | Uživatelé protokolu výkonu | Instid\MSSQL\binn | Obsah složky seznamu |
| Uživatelé monitoru výkonu | Instid\MSSQL\binn | Obsah složky seznamu | |
| Uživatelé protokolu výkonu, sledování výkonu uživatelé | \WINNT\system32\sqlctr150.dll | Čti, vykonávat | |
| Pouze správce |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Úplné řízení | |
| Administrátoři, systém | \tools\binn\schemas\sqlserver\2004\07\showplan | Úplné řízení | |
| Uživatelé | \tools\binn\schemas\sqlserver\2004\07\showplan | Čti, vykonávat | |
| Reportovací služby | Účet služby systému Windows Serveru sestav | <install>\Reporting Services\LogFiles | DELETEŘÍZENÍ_ČTENÍ SYNCHRONIZOVAT FILE_GENERIC_READ FILE_GENERIC_WRITE ČTENÍ_DAT_Z_SOUBORU FILE_WRITE_DATA (zápis dat do souboru) Přidání dat do souboru FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES (čtení atributů souboru) FILE_WRITE_ATTRIBUTES |
| Účet služby systému Windows Serveru sestav | <install>\Reporting Services\ReportServer | Čti | |
| Účet služby systému Windows Serveru sestav | <install>\Reporting Services\ReportServer\global.asax | Úplný | |
| Účet služby systému Windows Serveru sestav | <install>\Reporting Services\RSWebApp | Čti, vykonávat | |
| Všichni | <install>\Reporting Services\ReportServer\global.asax | ŘÍZENÍ_ČTENÍ ČTENÍ_DAT_Z_SOUBORU FILE_READ_EA FILE_READ_ATTRIBUTES (čtení atributů souboru) |
|
| Účet služby Systému Windows Serveru sestav | <instalace>\Reporting Services\ReportServer\rsreportserver.config | DELETEŘÍZENÍ_ČTENÍ SYNCHRONIZOVAT FILE_GENERIC_READ FILE_GENERIC_WRITE ČTENÍ_DAT_Z_SOUBORU FILE_WRITE_DATA (zápis dat do souboru) Přidání dat do souboru FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES (čtení atributů souboru) FILE_WRITE_ATTRIBUTES |
|
| Všichni | Klíče serveru sestav (instid hive) | Hodnota dotazu Vytvoření výčtu podklíčů Oznámit Řízení čtení |
|
| Uživatel terminálové služby | Klíče serveru sestav (instid hive) | Hodnota dotazu Nastavit hodnotu Vytvořit podklíč Vytvoření výčtu podklíče Oznámit Vymazat Řízení čtení |
|
| Zkušenější uživatelé | Klíče serveru sestav (instid hive) | Hodnota dotazu Nastavit hodnotu Vytvořit podklíč Vytvoření výčtu podklíčů Oznámit Vymazat Řízení čtení |
1 Toto je obor názvů zprostředkovatele WMI.
Oprávnění systému souborů související s neobvyklými umístěními disků
Výchozí jednotka pro umístění pro instalaci je systémová jednotka, obvykle jednotka C. Tato část popisuje další aspekty instalace tempdb uživatelských databází do neobvyklých umístění.
Jiná než výchozí jednotka
Při instalaci na místní jednotku, která není výchozí jednotkou, musí mít identifikátor SID pro jednotlivé služby přístup k umístění souboru. Instalační program SQL Serveru zřídí požadovaný přístup.
Sdílená síťová složka
Při instalaci databází do sdílené síťové složky musí mít účet služby přístup k umístění souboru uživatele a tempdb databází. Instalační program SQL Serveru nemůže zřídit přístup ke sdílené síťové složce. Před spuštěním instalace musí uživatel zřídit přístup k tempdb umístění pro účet služby. Před vytvořením databáze musí uživatel zřídit přístup k umístění uživatelské databáze.
Poznámka:
Virtuální účty nelze ověřit na vzdáleném místě. Všechny virtuální účty používají oprávnění účtu počítače. Zřiďte účet počítače ve formátu <domain_name>\<computer_name>$.
Kontrola dalších aspektů
V následující tabulce jsou uvedena oprávnění požadovaná pro služby SQL Serveru, která poskytují další funkce.
| Služba nebo aplikace | Funkčnost | Požadovaná oprávnění |
|---|---|---|
| SQL Server (MSSQLSERVER) | Zápis do slotu pošty pomocí xp_sendmail. |
Oprávnění k zápisu do sítě. |
| SQL Server (MSSQLSERVER) | Spusťte xp_cmdshell uživatele jiného uživatele než správce SQL Serveru. |
Jednat jako součást operačního systému a nahradit token na úrovni procesu. |
| Agent SQL Serveru (MSSQLSERVER) | Použijte funkci automatického restartování. | Musí být členem místní skupiny Administrators. |
| Poradce pro ladění databázového stroje | Databáze Tunes pro zajištění optimálního výkonu dotazů | Při prvním použití musí uživatel, který má přihlašovací údaje správce systému, inicializovat aplikaci. Po inicializaci mohou uživatelé dbo použít Poradce pro ladění databázového stroje k ladění pouze těch tabulek, které vlastní. Další informace najdete v tématu Start a použití Poradce pro ladění databázového stroje. |
Důležité
Před upgradem SQL Serveru povolte agenta SQL Serveru a ověřte požadovanou výchozí konfiguraci: Účet služby agenta SQL Serveru je členem pevné role serveru správce systému SQL Server.
Oprávnění registru
Podregistr registru se vytvoří v rámci HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> komponent pracujících s instancemi. Například:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Registr také udržuje mapování ID instance na název instance. Mapování ID instance na název instance se udržuje takto:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
rozhraní WMI
Rozhraní WMI (Windows Management Instrumentation) musí být schopné připojit se k databázovému stroji. Pro podporu je v databázovém stroji zřízen identifikátor SID pro jednotlivé služby poskytovatele rozhraní WMI (NT SERVICE\winmgmtWindows WMI).
Zprostředkovatel služby WMI SQL vyžaduje následující minimální oprávnění:
Členství v db_ddladmin nebo db_owner pevné databázové role v
msdbdatabázi.CREATE DDL EVENT NOTIFICATIONoprávnění na serveru.CREATE TRACE EVENT NOTIFICATIONoprávnění v databázovém stroji.VIEW ANY DATABASEoprávnění na úrovni serveru.Nastavení SQL Serveru vytvoří obor názvů služby SQL WMI a udělí oprávnění ke čtení službě SQL Server Agent service-SID.
Pojmenované kanály
Ve všech instalacích poskytuje instalační program SYSTÉMU SQL Server přístup k databázovému stroji SQL Serveru prostřednictvím protokolu sdílené paměti, což je místní pojmenovaný kanál.
Provision
Tato část popisuje, jak se účty zřizují uvnitř různých komponent SQL Serveru.
Zřizování databázového stroje
Následující účty se přidají jako přihlášení do databázového stroje SQL Serveru.
Objekty zabezpečení systému Windows
Instalační program SYSTÉMU SQL Server vyžaduje, aby byl alespoň jeden uživatelský účet pojmenován jako člen pevné role serveru správce systému .
Účet SA
Účet sa je vždy k dispozici jako přihlášení databázového stroje a je členem pevné role serveru správce systému . Pokud je databázový stroj nainstalován pouze pomocí ověřování systému Windows (to znamená, že není povoleno ověřování SQL Serveru), přihlášení je stále k dispozici, sa ale je zakázáno a heslo je složité a náhodné. Informace o povolení sa účtu naleznete v tématu Změna režimu ověřování serveru.
Přihlášení a oprávnění SID SQL Serveru pro jednotlivé služby
Identifikátor SID pro jednotlivé služby (někdy se také označuje jako instanční objekt zabezpečení (SID) služby SQL Server je zřízený jako přihlášení databázového stroje. Přihlášení identifikátoru SID pro jednotlivé služby je členem pevné role serveru správce systému . Informace o identifikátorech SID pro jednotlivé služby naleznete v tématu Použití identifikátorů SID služby k udělení oprávnění ke službám na SQL Serveru.
Přihlašovací jméno a oprávnění agenta SQL Serveru
Identifikátor SID pro jednotlivé služby služby agenta SQL Serveru je zřízený jako přihlašovací údaje databázového stroje. Přihlášení identifikátoru SID pro jednotlivé služby je členem pevné role serveru správce systému .
Skupiny dostupnosti AlwaysOn a instance clusteru s podporou převzetí služeb při selhání SQL a oprávnění
Při instalaci databázového stroje jako skupin dostupnosti AlwaysOn nebo instance clusteru SQL s podporou převzetí služeb při selhání (SQL FCI) LOCAL SYSTEM se zřizuje v databázovém stroji. Přihlášení LOCAL SYSTEM je uděleno ALTER ANY AVAILABILITY GROUP oprávnění (pro skupiny dostupnosti AlwaysOn) a VIEW SERVER STATE oprávnění (pro FCI SQL).
Zapisovač SQL a oprávnění
Identifikátor SID pro jednotlivé služby služby SQL Server VSS Writer je zřízený jako přihlášení k databázovému stroji. Přihlášení identifikátoru SID pro jednotlivé služby je členem pevné role serveru správce systému .
Sql WMI a oprávnění
Nastavení SQL Serveru zřídí NT SERVICE\Winmgmt účet jako přihlášení databázového stroje a přidá ho do pevné role serveru správce systému .
Zřizování SSRS
Účet zadaný během instalace se zřídí jako člen databázové role RSExecRole . Další informace najdete v tématu Konfigurace účtu služby serveru sestav (Správce konfigurace serveru sestav).
Zřizování služby SSAS
Požadavky na účet služby SSAS se liší v závislosti na způsobu nasazení serveru. Pokud instalujete Power Pivot pro SharePoint, instalační program SQL Serveru vyžaduje, abyste službu Analysis Services nakonfigurovali tak, aby běžela pod účtem domény. Účty domény se vyžadují k podpoře zařízení spravovaného účtu, které je integrované do SharePointu. Z tohoto důvodu instalační program SQL Serveru neposkytuje výchozí účet služby, například virtuální účet, pro instalaci Power Pivotu pro SharePoint. Další informace o zřizování Power Pivotu pro SharePoint najdete v tématu Konfigurace účtů služby Power Pivot.
U všech ostatních samostatných instalací SSAS můžete zřídit službu tak, aby běžela pod účtem domény, integrovaným systémovým účtem, spravovaným účtem nebo virtuálním účtem. Další informace o zřizování účtů najdete v tématu Konfigurace účtů služby (Analysis Services).
U clusterovaných instalací musíte zadat účet domény nebo předdefinovaný systémový účet. Spravované účty ani virtuální účty nejsou podporovány pro clustery s podporou převzetí služeb při selhání služby SSAS.
Všechny instalace služby SSAS vyžadují, abyste zadali správce systému instance služby Analysis Services. Oprávnění správce jsou zřízena v roli serveru Analysis Services.
Zřizování SSRS
Účet zadaný během instalace je zřízen v databázovém stroji jako člen role databáze RSExecRole . Další informace najdete v tématu Konfigurace účtu služby serveru sestav (Správce konfigurace serveru sestav).
Upgrade z předchozích verzí
Tato část popisuje změny provedené během upgradu z předchozí verze SQL Serveru.
SQL Server 2019 (15.x) vyžaduje podporovaný operační systém. Před upgradem SQL Serveru musí být upgradována předchozí verze SQL Serveru s nižší verzí operačního systému.
Během upgradu sql Serveru 2005 (9.x) na SQL Server 2019 (15.x) nakonfiguruje instanci SQL Serveru následujícím způsobem:
- Databázový stroj běží s kontextem zabezpečení identifikátoru SID pro jednotlivé služby. Identifikátor SID pro jednotlivé služby má udělený přístup ke složkám souborů instance SQL Serveru (například
DATA) a klíčům registru SQL Serveru. - Identifikátor SID pro jednotlivé služby databázového stroje je zřízený v databázovém stroji jako člen pevné role serveru správce systému .
- Identifikátory SID pro jednotlivé služby se přidají do místních skupin systému Windows SYSTÉMU SQL Server, pokud sql Server není instancí clusteru s podporou převzetí služeb při selhání.
- Prostředky SQL Serveru zůstanou zřízené pro místní skupiny SYSTÉMU SQL Server s Windows.
- Místní skupina Windows pro služby se přejmenuje z
SQLServer2005MSSQLUser$<computer_name>$<instance_name>naSQLServerMSSQLUser$<computer_name>$<instance_name>. Umístění souborů pro migrované databáze mají položky řízení přístupu (ACL) pro místní skupiny Windows. Umístění souborů pro nové databáze mají acEs pro identifikátor SID pro jednotlivé služby.
- Databázový stroj běží s kontextem zabezpečení identifikátoru SID pro jednotlivé služby. Identifikátor SID pro jednotlivé služby má udělený přístup ke složkám souborů instance SQL Serveru (například
Během upgradu z SQL Serveru 2008 (10.0.x) zachová instalační program SYSTÉMU SQL Server 2008 (10.0.x) identifikátor SID pro jednotlivé služby.
V případě instance clusteru s podporou převzetí služeb při selhání SQL Serveru se zachovají řadiče ACL pro účet domény nakonfigurované pro službu.
Dodatek
Tato část obsahuje další informace o službách SQL Serveru.
- Popis účtů služeb
- Identifikace služeb s podporou instancí a služeb, které nejsou v instanci
- Lokalizované názvy služeb
Popis účtů služeb
Účet služby je účet používaný ke spuštění služby systému Windows, jako je databázový stroj SQL Serveru. Pro spuštění SQL Serveru není nutné přidat účet služby jako přihlášení k SQL Serveru kromě identifikátoru SID služby, který je vždy přítomný a členem pevné role serveru sysamin .
Účty dostupné v jakémkoli operačním systému
Kromě nových účtů MSA, gMSA a virtuálních účtů popsaných výše je možné použít i následující účty.
Uživatelský účet domény
Pokud služba musí pracovat se síťovými službami, přistupovat k prostředkům domény, jako jsou sdílené složky nebo pokud používá propojená připojení serveru k jiným počítačům s SQL Serverem, můžete použít minimálně privilegovaný účet domény. Mnoho aktivit mezi servery lze provádět pouze s uživatelským účtem domény. Správce domény by měl předem vytvořit tento účet ve vašem prostředí.
Pokud sql Server nakonfigurujete tak, aby používal účet domény, můžete izolovat oprávnění pro službu, ale musíte hesla spravovat ručně nebo vytvořit vlastní řešení pro správu těchto hesel. Mnoho serverových aplikací tuto strategii používá k vylepšení zabezpečení, ale tato strategie vyžaduje další správu a složitost. V těchto nasazeních správci služeb tráví značné množství času na úlohy údržby, jako je správa hesel služeb a hlavních názvů služeb (SPN), které jsou vyžadovány pro ověřování protokolem Kerberos. Kromě toho můžou tyto úlohy údržby narušit službu.
Místní uživatelské účty
Pokud počítač není součástí domény, doporučuje se místní uživatelský účet bez oprávnění správce Systému Windows.
Účet místní služby
Účet místní služby je integrovaný účet, který má stejnou úroveň přístupu k prostředkům a objektům jako členové skupiny Users. Tento omezený přístup pomáhá chránit systém, pokud dojde k ohrožení jednotlivých služeb nebo procesů. Služby, které běží jako účet místní služby, přistupují k síťovým prostředkům jako relace s hodnotou null bez přihlašovacích údajů.
Účet místní služby není podporován pro služby SQL Serveru ani agenta SQL Serveru. Místní služba není podporovaná jako účet, který tyto služby spouští, protože se jedná o sdílenou službu a všechny ostatní služby spuštěné v místní službě by měly mít přístup správce systému k SQL Serveru.
Skutečný název účtu je NT AUTHORITY\LOCAL SERVICE.
Účet síťové služby
Účet síťové služby je integrovaný účet, který má větší přístup k prostředkům a objektům než členové skupiny Users. Služby, které běží jako účet síťové služby, přistupují k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače ve formátu <domain_name>\<computer_name>$. Skutečný název účtu je NT AUTHORITY\NETWORK SERVICE.
Místní systémový účet
Místní systém je velmi vysoce privilegovaný integrovaný účet. Má rozsáhlá oprávnění k místnímu systému a funguje jako počítač v síti. Skutečný název účtu je NT AUTHORITY\SYSTEM.
Identifikace služeb s podporou instancí a služeb, které nejsou v instanci
Služby pracující s instancemi jsou přidružené ke konkrétní instanci SQL Serveru a mají vlastní podregistry registru. Více kopií služeb pracujících s instancemi můžete nainstalovat spuštěním instalačního programu SYSTÉMU SQL Server pro každou součást nebo službu. Služby, které nejsou v instanci, se sdílejí mezi všemi nainstalovanými instancemi SQL Serveru. Nejsou přidružené ke konkrétní instanci, instalují se jenom jednou a nejde je nainstalovat vedle sebe.
Mezi služby pracující s instancemi v SQL Serveru patří:
SQL Server
Agent SQL Serveru
Služba agenta SQL Serveru je zakázaná v instancích SQL Serveru Express a SQL Server Express s pokročilými službami.
-
Analysis Services
Služba Analysis Services v integrovaném režimu SharePointu běží jako Power Pivot jako jedna pojmenovaná instance. Název instance je opravený. Nemůžete zadat jiný název. Na každý fyzický server můžete nainstalovat jenom jednu instanci služby Analysis Services spuštěnou jako Power Pivot.
-
Reportovací služby
Fulltextové vyhledávání
Mezi služby, které v SQL Serveru nejsou žádné instance, patří:
- Integrační služby
- Prohlížeč SQL Serveru
- Zapisovač SQL
Lokalizované názvy služeb
Následující tabulka uvádí názvy služeb, které jsou zobrazeny lokalizovanými verzemi Systému Windows.
| Jazyk | Název místní služby | Název síťové služby | Název pro místní systém | Název skupiny správců |
|---|---|---|---|---|
| Angličtina Zjednodušená čínština Tradiční čínština Korejština Japonština |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Němčina | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| francouzský | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Italština | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Španělština | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Ruština | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |