Freigeben über


Einrichten von Windows-Dienstkonten

Aktualisiert: 12. Dezember 2006

Jeder Dienst in SQL Server stellt einen Prozess oder eine Gruppe von Prozessen zum Verwalten der Authentifizierung von SQL Server-Vorgängen mit Microsoft Windows dar. In diesem Thema werden die Standardkonfiguration von Diensten in dieser Version von SQL Server und die Konfigurationsoptionen für SQL Server-Dienste veranschaulicht, die während der SQL Server-Installation festgelegt werden können.

Sicherheitshinweis   SQL Server-Dienste müssen immer mit den geringst möglichen Benutzerrechten ausgeführt werden.

Je nach den von Ihnen installierten Microsoft SQL Server 2005-Komponenten installiert das SQL Server 2005-Setup die folgenden Dienste:

  • SQL Server-Datenbankdienste – Der Dienst für das relationale SQL Server Datenbankmodul.
  • SQL Server-Agent – Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.
    ms143504.note(de-de,SQL.90).gifHinweis:
    Damit SQL Server und der SQL Server-Agent unter Windows als Dienste ausgeführt werden können, müssen SQL Server und dem SQL Server-Agent ein Windows-Benutzerkonto zugewiesen sein. Im Allgemeinen wird SQL Server und dem SQL Server-Agent dasselbe Benutzerkonto zugewiesen, entweder das lokale Systemkonto oder ein Domänenbenutzerkonto. Sie können jedoch während des Installationsvorgangs die Einstellungen für die Dienste anpassen. Weitere Informationen dazu, wie Sie die Kontoinformationen zu den einzelnen Diensten anpassen können, finden Sie unter Dienstkonto.
  • Analysis Services - Bietet OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen.
  • Reporting Services – Wird zum Verwalten, Ausführen, Rendern, Planen und Übermitteln von Berichten verwendet.
  • Notification Services - Eine Plattform zum Entwickeln und Bereitstellen von Anwendungen, die Benachrichtigungen generieren und senden.
  • Integration Services - Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.
  • Volltextsuche – Erstellt schnell Volltextindizes für den Inhalt und die Eigenschaften von strukturierten und semistrukturierten Daten, um schnelle linguistische Suchvorgänge in diesen Daten zu ermöglichen.
  • SQL Server-Browser – Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt.
  • Hilfsdienst von SQL Server für Active Directory – Veröffentlicht und verwaltet SQL Server-Dienste in Active Directory.
  • SQL Writer – Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS-Framework (Volume Shadow Copy Service).

Der übrige Teil dieses Themas ist in folgende Abschnitte unterteilt:

  • Konfigurieren von beim SQL Server-Setup verfügbar gemachten Diensten
  • Verwenden von Startkonten für SQL Server-Dienste
  • Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten
  • Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien
  • Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten
  • Überprüfen von Windows-Berechtigungen für SQL Server-Dienste
  • Überprüfen zusätzlicher Aspekte
  • Lokalisierte Dienstnamen

Konfigurieren von beim SQL Server-Setup verfügbar gemachten Diensten

Während des SQL Server-Setups können Sie einige SQL Server-Dienste mit dem Startkonto konfigurieren und festlegen, ob der Dienst automatisch gestartet werden soll. In der folgenden Tabelle sind die SQL Server-Dienste dargestellt, die während der Installation konfiguriert werden können. Für unbeaufsichtigte Installationen können Sie die Schalter in einer Installationsdatei oder von der Eingabeaufforderung verwenden.

Name des SQL Server-Dienstes Konfiguration im Installations-Assistenten möglich? Schalter für unbeaufsichtigte Installationen1

MSSQLSERVER

Ja

SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART

SQLServerAgent

Ja

AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART

MSSQLServerOLAPService

Ja

ASACCOUNT, ASPASSWORD, ASAUTOSTART

ReportServer

Ja

RSACCOUNT, RSPASSWORD, RSAUTOSTART

SQLBrowser

Ja

SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Weitere Informationen und eine Beispielsyntax zu Remoteinstallationen und unbeaufsichtigten Installationen finden Sie unter Vorgehensweise: Installieren von SQL Server 2005 von der Eingabeaufforderung.

2SQLBROWSERAUTOSTART kann auch angegeben werden, wenn der SQL Server-Browser bereits installiert ist.

Die im Folgenden aufgeführten Dienste können nicht bei der Installation konfiguriert werden. Sie werden mit Standardeinstellungen installiert:

  • Notification Services
  • Integration Services
  • Volltextsuche
  • Hilfsdienst für Active Directory
  • SQL Writer

Verwenden von Startkonten für SQL Server-Dienste

Es muss für den jeweiligen Dienst in SQL Server 2005 ein Benutzerkonto festgelegt sein, um einen Dienst starten und ausführen zu können. Bei Benutzerkonten kann es sich um integrierte Systemkonten oder um Domänenbenutzerkonten handeln.

Neben einem Benutzerkonto verfügt jeder Dienst über drei mögliche Startstatus, die von den Benutzern gesteuert werden können:

  • Deaktiviert Der Dienst ist installiert, wird jedoch zurzeit nicht ausgeführt.
  • Manuell Der Dienst ist installiert, wird jedoch nur gestartet, wenn ein anderer Dienst oder eine andere Anwendung seine Funktionalität benötigt.
  • Automatisch Der Dienst wird vom Betriebssystem beim Booten gestartet, nachdem die Gerätetreiber geladen wurden.

In der folgenden Tabelle werden Standardkonten und optionale Konten und die Startstatus für die einzelnen SQL Server-Dienste angezeigt.

Name des SQL Server-Dienstes Standardkonto Optionale Konten Starttyp Standardstatus nach Setup

SQL Server

SQL Server Express Edition für Windows 2000: Lokales System

SQL Server Express Edition für alle anderen unterstützten Betriebssysteme: Netzwerkdienst

Alle anderen Editionen für alle unterstützten Betriebssysteme: Domänenbenutzer1

SQL Server Express Edition: Domänenbenutzer, Lokales System, Netzwerkdienst1

Alle anderen Editionen: Domänenbenutzer, Lokales System, Netzwerkdienst1

Automatisch2

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

SQL Server-Agent

Domänenbenutzer3

Domänenbenutzer, Lokales System, Netzwerkdienst1,6

Disabled

Automatisch nur, wenn der Benutzer automatisches Starten auswählt

Beendet

Gestartet nur, wenn der Benutzer automatisches Starten auswählt

Analysis Services

Domänenbenutzer3

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Automatisch

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Reporting Services

Domänenbenutzer3

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Automatisch

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Notification Services4

N/V

N/V

N/V

N/V

Integration Services

Windows 2000: Lokales System

Alle anderen unterstützten Betriebssysteme: Netzwerkdienst

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Automatisch

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Volltextsuche

Gleiches Konto wie SQL Server

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Manuell

Beendet

Gestartet nur, wenn der Benutzer automatisches Starten auswählt

SQL Server-Browser

SQL Server Express Edition für Windows 2000: Lokales System

SQL Server Express Edition für alle anderen unterstützten Betriebssysteme: Lokaler Dienst

Alle anderen Editionen für alle unterstützten Betriebssysteme: Domänenbenutzer1,3

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Deaktiviert5

Automatisch nur, wenn der Benutzer automatisches Starten auswählt

Beendet5

Gestartet nur, wenn der Benutzer automatisches Starten auswählt

Hilfsdienst von SQL Server für Active Directory

Netzwerkdienst

Lokales System, Netzwerkdienst

Disabled

Beendet

SQL Writer

Lokales System

Lokales System

Automatisch

Gestartet

1Wichtig   Microsoft empfiehlt, dass Sie das Netzwerkdienstkonto nicht für die Agent-Dienste SQL Server und SQL Server verwenden. Lokale Benutzerkonten oder Domänenbenutzerkonten sind für diese SQL Server-Dienste besser geeignet.

2Legen Sie in Failoverclusterkonfigurationen Manuell fest.

3Für unbeaufsichtigte Installationen ist diese Eigenschaft erforderlich. Wenn sie nicht angegeben ist, erzeugt das Setup einen Fehler. Verwenden Sie SQLAccount=LocalSystem oder ASAccount=LocalSystem, um das lokale System anzugeben. Weitere Informationen und eine Beispielsyntax zu Remoteinstallationen und unbeaufsichtigten Installationen finden Sie unter Vorgehensweise: Installieren von SQL Server 2005 von der Eingabeaufforderung.

4 SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

5Für Failoverclusterinstallationen ist der SQL Server-Browser auf automatisches Starten festgelegt und wird nach dem Setup standardmäßig gestartet.

6Weitere Informationen zu unterstützten Windows-Konten für den SQL Server-Agent finden Sie im Thema über die unterstützten Windows-Kontotypen, die zum Ausführen des SQL Server-Agent-Dienstes in SQL Server 2005 verwendet werden können.

ms143504.note(de-de,SQL.90).gifWichtig:
Für Failoverclusterinstallationen sind lokale Systemkonten und lokale Dienstkonten für Clusterdienste, wie SQL Server, SQL Server-Agent und SSAS, nicht zulässig. Weitere Informationen finden Sie unter Vor dem Installieren der Failover-Clusterunterstützung. Bei SQL Server 2005-Installationen in gleichzeitigen Konfigurationen mit früheren Versionen von SQL Server müssen SQL Server 2005-Dienste Konten verwenden, die der globalen Domänengruppe angehören müssen. Darüber hinaus dürfen Konten, die von SQL Server 2005-Diensten genutzt werden, nicht der lokalen Administratorgruppe angehören. Werden diese Richtlinien nicht eingehalten, führt dies zu unerwarteten Ergebnissen im Hinblick auf die Sicherheit.

Verwenden eines Domänenbenutzerkontos

Ein Domänenbenutzerkonto wird unter Umständen bevorzugt, wenn der Dienst mit Netzwerkdiensten interagieren muss. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden, zum Beispiel:

  • Remoteprozeduraufrufe (Remote Procedure Calls, RPCs)
  • Replikation
  • Sichern auf Netzlaufwerken.
  • Heterogene Verknüpfungen, die Remotedatenquellen einbeziehen.
  • E-Mail-Features des SQL Server-Agents und SQL Mail. Diese Einschränkung gilt, wenn Sie Microsoft Exchange verwenden. Die meisten anderen E-Mail-Systeme erfordern ebenfalls, dass Clients (wie die Agent-Dienste SQL Server und SQL Server) unter Konten mit Netzwerkzugriff ausgeführt werden.

Verwenden des lokalen Dienstkontos

Das lokale Dienstkonto ist ein spezielles, integriertes Konto, das mit einem authentifizierten Benutzerkonto vergleichbar ist. Es bietet denselben Zugriff auf Ressourcen und Objekte wie Mitglieder der Gruppe Benutzer. Durch diesen beschränkten Zugriff wird Ihr System geschützt, wenn einzelne Dienste oder Prozesse gefährdet sind. Bei Diensten, die als lokales Dienstkonto ausgeführt werden, erfolgt das Zugreifen auf Netzwerkressourcen als NULL-Sitzung ohne Anmeldeinformationen.

Verwenden des Netzwerkdienstkontos

Das Netzwerkdienstkonto ist ein spezielles, integriertes Konto, das mit einem authentifizierten Benutzerkonto vergleichbar ist. Es bietet denselben Zugriff auf Ressourcen und Objekte wie Mitglieder der Gruppe Benutzer. Bei Diensten, die als Netzwerkdienstkonto ausgeführt werden, erfolgt das Zugreifen auf Netzwerkressourcen mithilfe der Anmeldeinformationen des Computerkontos.

ms143504.note(de-de,SQL.90).gifWichtig:
Microsoft empfiehlt, dass Sie das Netzwerkdienstkonto nicht für die Agent-Dienste SQL Server oder SQL Server verwenden. Lokale Benutzerkonten oder Domänenbenutzerkonten sind für diese SQL-Dienste besser geeignet.

Verwenden des lokalen Systemkontos

Beim lokalen Systemkonto handelt es sich um ein Konto mit hohen Privilegien. Seien Sie vorsichtig, wenn Sie SQL Server-Dienstkonten Berechtigungen für das lokale System zuweisen.

ms143504.security(de-de,SQL.90).gifSicherheitshinweis:
Führen Sie die SQL Server-Dienste unter einem lokalen Windows-Konto mit den geringst möglichen Privilegien aus, um die Sicherheit Ihrer SQL Server-Installation zu erhöhen.

Ändern von Benutzerkonten

Zum Ändern des Kennworts oder anderer Eigenschaften eines SQL Server-bezogenen Dienstes verwenden Sie den SQL Server-Konfigurations-Manager. Wenn Sie das Windows-Kennwort ändern, müssen Sie auch die Einstellungen für die SQL Server-Dienste unter Windows aktualisieren. Wenn Sie Kerberos aktiviert haben, müssen Sie die SPN-Verzeichniseigenschaft (Service Principal Name, Dienstprinzipalname) für Active Directory aktualisieren.

Weitere Informationen finden Sie unter Ändern von Kennwörtern und Benutzerkonten. Informationen zum Verwenden des Dienste-Add-Ins für Microsoft Windows zum Ändern von SQL Server-Dienstkonten finden Sie unter SO WIRD'S GEMACHT: Ändern des SQL Server-Dienstkontos über die Systemsteuerung.

Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

Einige SQL Server-Dienste sind instanzabhängig, wogegen andere nicht instanzabhängig sind. Jeder instanzabhängige Dienst ist mit einer bestimmten Instanz von SQL Server verknüpft und hat eine eigene Registrierungsstruktur. Sie können mehrere Kopien von instanzabhängigen Diensten installieren, indem Sie das SQL Server-Setup zur Installation der einzelnen Komponenten oder Dienste ausführen. Nicht instanzabhängige Dienste werden von allen installierten Instanzen von SQL Server gemeinsam verwendet. Sie sind nicht mit einer bestimmten Instanz verknüpft, werden nur einmal installiert und können nicht parallel installiert werden.

Zu den instanzabhängigen Diensten in Microsoft SQL Server 2005 gehören:

  • SQL Server
  • SQL Server-Agent
  • Analysis Services
  • Reporting Services
  • Volltextsuche

Zu den nicht instanzabhängigen Diensten in SQL Server 2005 gehören:

  • Notification Services
  • Integration Services
  • SQL Server-Browser
  • Hilfsdienst von SQL Server für Active Directory
  • SQL Writer

Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien

Das SQL Server-Setup erstellt Benutzergruppen für unterschiedliche SQL Server-Dienste und fügt die Dienstkonten den geeigneten Benutzergruppen hinzu. Diese Gruppen vereinfachen das Erteilen der Berechtigungen, die zum Ausführen von SQL Server-Diensten und sonstigen ausführbaren Dateien erforderlich sind, und tragen zur Sicherung von SQL Server-Dateien bei. Beachten Sie, dass beim Installieren von SQL Server 2005 auf einem Domänencontroller eindeutige Gruppennamen erforderlich sind.

Den vom SQL Server-Setup erstellten Benutzergruppen werden die folgenden Windows NT-Rechte und -Privilegien erteilt.

SQL Server-Dienst Benutzergruppe Vom SQL Server-Setup erteilte Standardberechtigungen

SQL Server

Standardinstanz: SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServer2005MSSQLUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

Einsetzen als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000)

Anmelden als Stapelverarbeitungsauftrag (SeBatchLogonRight)

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Berechtigung zum Starten des Hilfsdienstes von SQL Server für Active Directory

Berechtigung zum Starten von SQL Writer

SQL Server-Agent

Standardinstanz: SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServer2005SQLAgentUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

Einsetzen als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000)

Anmelden als Stapelverarbeitungsauftrag (SeBatchLogonRight)

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Analysis Services

Standardinstanz: SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServer2005MSOLAPUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

Reporting Services1

Standardinstanz: SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER und SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServer2005ReportServerUser$ComputerName$InstanceName und SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

Notification Services2

Standardinstanz oder benannte Instanz: SQLServer2005NotificationServicesUser$ComputerName

N/V

Integration Services

Standardinstanz oder benannte Instanz: SQLServer2005DTSUser$ComputerName

Anmelden als Dienst (SeServiceLogonRight)

Berechtigung zum Schreiben in das Anwendungsereignisprotokoll

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Erstellen globaler Objekte (SeCreateGlobalPrivilege)

Annehmen der Identität eines Clients nach der Authentifizierung (SeImpersonatePrivilege)

Volltextsuche

Standardinstanz: SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServer2005MSFTEUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

SQL Server-Browser

Standardinstanz oder benannte Instanz: SQLServer2005SQLBrowserUser$ComputerName

Anmelden als Dienst (SeServiceLogonRight)

Hilfsdienst von SQL Server für Active Directory

Standardinstanz oder benannte Instanz: SQLServer2005MSSQLServerADHelperUser$ComputerName

Keine3

SQL Writer

N/V

Keine3

1Für Reporting Services muss das SQL Server-Setup auch die Benutzergruppen SQLServer2005ReportingServicesWebServiceUser$InstanceName und SQLServer2005ASP.NETUser erstellen und ihnen Zugriffssteuerungslisten (Access Control Lists, ACLs) erteilen. Weitere Informationen finden Sie unten im Abschnitt zu Zugriffssteuerungslisten.

2 SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

3 SQL Server-Setup überprüft oder erteilt keine Berechtigungen für diesen Dienst.

Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten

SQL Server 2005-Dienstkonten müssen über einen Zugriff auf Ressourcen verfügen. Zugriffssteuerungslisten (Access Control Lists, ACLs) werden auf Benutzergruppenebene festgelegt. In der folgenden Tabelle werden die vom SQL Server-Setup festgelegten Zugriffssteuerungslisten aufgeführt.

ms143504.note(de-de,SQL.90).gifWichtig:
Für Failoverclusterinstallationen können für Zugriffssteuerungslisten in einer lokalen Benutzergruppe keine Ressourcen für freigegebene Datenträger festgelegt werden. Stattdessen werden diese Ressourcen auf eine Zugriffssteuerungsliste für ein lokales Konto festgelegt.
Dienstkonto für Dateien und Ordner Zugriff

MSSQLServer

Instid\MSSQL\backup

Vollzugriff

 

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\MSSQL\data

Vollzugriff

 

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\Install

Lesen, Ausführen

 

Instid\MSSQL\Log

Vollzugriff

 

Instid\MSSQL\Repldata

Vollzugriff

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

 

90\com

Lesen, Ausführen

 

Instid\MSSQL\Template Data (Nur SQL Server Express)

Lesen

SQLServerAgent

Instid\MSSQL\binn

Vollzugriff

 

Instid\MSSQL\Log

Vollzugriff

 

Instid\MSSQL\jobs

Vollzugriff

 

90\com

Lesen, Ausführen

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

FTS

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\FTRef

Lesen, Ausführen

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

 

Instid\MSSQL\Install

Lesen, Ausführen

MSSQLServerOLAPservice

90\shared

Lesen, Ausführen

 

90\shared\msmdlocal.ini

Vollzugriff

 

Instid\OLAP

Lesen, Ausführen

 

Instid\Olap\Data

Vollzugriff

 

Instid\Olap\Log

Lesen, Schreiben

 

90\shared\Errordumps

Lesen, Schreiben

SQLServer2005ReportServerUser

Instid\Reporting Services\Log Files

Lesen, Schreiben, Löschen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen

 

Instid\Reportingservices\Reportserver\global.asax

Vollzugriff

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lesen, Schreiben

 

Instid\Reporting Services\reportManager

Lesen, Ausführen

 

Instid\Reporting Services\RSTempfiles

Lesen, Schreiben

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

SQLServer2005ReportingServicesWebServiceUser

Instid\Reporting Services\Log Files

Lesen, Schreiben, Löschen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen

 

Instid\Reportingservices\Reportserver\global.asax

Vollzugriff

 

InstID\Reporting Services\reportservice.asmx

Vollzugriff

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lesen, Schreiben, Löschen

 

Instid\Reporting Services\reportManager

Lesen, Ausführen

 

Instid\Reporting Services\RSTempfiles

Lesen, Schreiben

 

Instid\Reporting Services\reportManager\pages

Lesen

 

Instid\Reporting Services\reportManager\Styles

Lesen

 

Instid\Reporting Services\reportManager\webctrl_client\1_0

Lesen

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

Notification Services

90\Notification services

Lesen, Ausführen, Ordnerinhalt auflisten

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

MSDTSServer

90\dts\binn\MsDtsSrvr.ini.xml

Lesen

 

90\dts\binn

Lesen, Ausführen

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

SQL Server-Browser

90\shared\msmdlocal.ini

Lesen

 

90\shared

Lesen, Ausführen

 

90\shared\Errordumps

Lesen, Schreiben

MSADHekper

N/V (Wird als integrierte Konten ausgeführt)

 

SQLWriter

N/V (Wird als lokales System ausgeführt)

 

Benutzer

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen

 

Instid\Reportingservices\Reportserver\global.asax

Lesen

 

InstID\Reporting Services\reportservice.asmx

Lesen, Ausführen

 

Instid\Reporting Services\reportManager

Lesen, Ausführen

 

Instid\Reporting Services\reportManager\pages

Lesen

 

Instid\Reporting Services\reportManager\Styles

Lesen

 

90\dts

Lesen, Ausführen

 

90\tools

Lesen, Ausführen

 

80\tools

Lesen, Ausführen

 

90\sdk

Lesen

 

Microsoft SQL Server\90\Setup Bootstrap

Lesen, Ausführen

Zugriffssteuerungsberechtigungen müssen nicht nur für Startkonten des SQL Server-Dienstes, sondern möglicherweise auch für integrierte Konten oder andere SQL Server-Dienstkonten erteilt werden. In der folgenden Tabelle werden weitere vom SQL Server-Setup festgelegte Zugriffssteuerungslisten aufgeführt.

Anfordernde Komponente Konto Ressource Berechtigungen

MSSQLServer

Leistungsprotokollbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Systemmonitorbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Leistungsprotokollbenutzer

Instid\MSSQL\binn\sqlctr90.dll

Lesen, Ausführen

 

Systemmonitorbenutzer

Instid\MSSQL\binn\sqlctr90.dll

Lesen, Ausführen

 

Nur Administrator

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Vollzugriff

 

Administratoren

\tools\binn\schemas\sqlserver\2003\03\showplan

Vollzugriff

 

System

\tools\binn\schemas\sqlserver\2003\03\showplan

Vollzugriff

 

Benutzer

\tools\binn\schemas\sqlserver\2003\03\showplan

Lesen, Ausführen

Reporting Services

<Berichtsserver-Webdienstkonto>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager

Lesen

 

ASP.NET-Konto

<install>\Reporting Services\ReportManager

Lesen

 

Jeder

<install>\Reporting Services\ReportManager

Lesen

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager\Pages\*.*

Lesen

 

ASP.NET-Konto

<install>\Reporting Services\ReportManager\Pages\*.*

Lesen

 

Jeder

<install>\Reporting Services\ReportManager\Pages\*.*

Lesen

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager\Styles\*.*

Lesen

 

ASP.NET-Konto

<install>\Reporting Services\ReportManager\Styles\*.*

Lesen

 

Jeder

<install>\Reporting Services\ReportManager\Styles\*.*

Lesen

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lesen

 

ASP.NET-Konto

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lesen

 

Jeder

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lesen

 

<Berichtsserver-Webdienstkonto>

<install>\Reporting Services\ReportServer

Lesen

 

<Berichtsserver-Webdienstkonto>

<install>\Reporting Services\ReportServer\global.asax

Full

 

Jeder

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Netzwerkdienst

<install>\Reporting Services\ReportServer\ReportService.asmx

Full

 

Jeder

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Berichtsserver-Windows-Dienstkonto

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Jeder

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Unterschlüssel auflisten

Benachrichtigen

Lesezugriff

 

Terminaldienstebenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

 

Hauptbenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

1Dies ist der Namespace des WMI-Anbieters.

Überprüfen von Windows-Berechtigungen für SQL Server-Dienste

In der folgenden Tabelle werden Dienstnamen, der zum Verweisen auf die Standardinstanzen und benannten Instanzen von SQL Server-Diensten verwendete Begriff, eine Beschreibung der Dienstfunktion sowie erforderliche Mindestberechtigungen angezeigt.

Anzeigename

Dienstname

Beschreibung

Erforderliche Berechtigungen

SQL Server (InstanceName)

Standardinstanz: MSSQLSERVER

Benannte Instanz: MSSQL$InstanceName

SQL Server-Datenbankmodul.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\sqlservr.exe.

Lokaler Benutzer wird empfohlen.

Mindestberechtigungen

Funktionalität

Startkonto des MSSQLServer-Dienstes

Das Konto muss sich in der Liste der Konten befinden, die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk besitzen, auf dem SQL Server installiert ist, sowie für das Stammverzeichnis eines anderen Laufwerks, auf dem SQL Server-Dateien gespeichert sind.

ms143504.note(de-de,SQL.90).gifHinweis:

Die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk müssen von den Unterordnern nicht geerbt werden.

Startkonto des MSSQLServer-DienstesDas Konto muss Berechtigungen für den Vollzugriff auf alle Ordner besitzen, in denen Daten oder Protokolldateien (MDF, .NDF, .LDF) gespeichert sind.

SQL Server-Agent (InstanceName)

Standardinstanz: SQLServerAgent

Benannte Instanz: SQLAgent$InstanceName

Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\sqlagent90.exe.

Mindestberechtigungen

Funktionalität

Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein. 

Das Konto muss über die folgenden Windows-Berechtigungen verfügen1Anmelden als Dienst. Anmelden als Stapelverarbeitungsauftrag. Ersetzen von Token auf Prozessebene. Anpassen des Arbeitsspeicherkontingents für einen Prozess. Einsetzen als Teil des Betriebssystems. Umgehen von durchsuchenden Prüfungen.

Analysis Services-Dienste (InstanceName)

Standardinstanz: MSSQLServerOLAPService

Benannte Instanz: MSOLAP$InstanceName

Der Dienst, der OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen bereitstellt.

Der Pfad zur ausführbaren Datei ist \OLAP\Bin\msmdsrv.exe.

 

Berichtsserver

Standardinstanz: ReportServer

Benannte Instanz: ReportServer$InstanceName

Wird zum Verwalten, Ausführen, Rendern, Planen und Übermitteln von Berichten verwendet.

Der Pfad zur ausführbaren Datei ist \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Notification Services

 

Notification Services ist eine Plattform für das Entwickeln und Bereitstellen von Anwendungen, die Benachrichtigungen generieren und senden. SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

 

Integration Services

Standardinstanz oder benannte Instanz: MSDTSServer

Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.

Der Pfad zur ausführbaren Datei ist \DTS\Binn\msdtssrvr.exe.

 

SQL Server-Browser

Standardinstanz oder benannte Instanz: SQLBrowser

Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt. Dieser Dienst wird von mehreren Instanzen von SQL Server und SSIS gemeinsam verwendet.

Der Pfad zur ausführbaren Datei ist \90\shared\sqlbrowser.exe.

 

Microsoft-Volltextsuche (MSFTESQL)

Standardinstanz: MSFTESQL

Benannte Instanz: MSFTESQL$InstanceName

Erstellt schnell Volltextindizes für Inhalt und Eigenschaften von strukturierten und semistrukturierten Daten, um schnelle Suchvorgänge in diesen Daten zu ermöglichen.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\msftesql.exe.

 

Hilfsdienst von SQL Server für Active Directory

Standardinstanz oder benannte Instanz: MSSQLServerADHelper

Veröffentlicht und verwaltet SQL Server-Dienste in Windows Active Directory.

Der Pfad zur ausführbaren Datei ist \90\Shared\sqladhelper.exe.

 

SQL Writer

SQLWriter

Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS-Framework (Volume Shadow Copy Service, Volumeschattenkopie-Dienst). Vom SQL Writer-Dienst gibt es nur eine einzelne Instanz für alle SQL Server-Instanzen auf dem Server.

Der Pfad zur ausführbaren Datei ist \90\Shared\sqlwriter.exe.

 

1Weitere Informationen dazu, wie überprüft werden kann, ob die einzelnen erforderlichen Windows-Berechtigungen festgelegt sind, finden Sie unter Vorgehensweise: Überprüfen der Berechtigungen für die SQL Server-Dienste.

Überprüfen zusätzlicher Aspekte

In der folgenden Tabelle werden Berechtigungen angezeigt, die für SQL Server-Dienste erforderlich sind, damit sie zusätzliche Funktionalität bereitstellen.

Dienst/Anwendung Funktionalität Erforderliche Berechtigung

SQL Server (MSSQLSERVER)

Schreiben in einen Mailslot mithilfe von xp_sendmail.

Netzwerkschreibprivilegien.

SQL Server (MSSQLSERVER)

Ausführen von xp_cmdshell für einen Benutzer, der nicht SQL Server-Administrator ist.

Einsetzen als Teil des Betriebssystems und Ersetzen von Token auf Prozessebene.

SQL Server-Agent (MSSQLSERVER)

Verwenden des Features für den automatischen Neustart.

Muss ein Mitglied der lokalen Gruppe Administratoren sein.

Optimierungsratgeber für Datenbankmodul

Optimiert Datenbanken für eine optimale Abfrageleistung.

Bei der ersten Verwendung muss ein Benutzer mit Systemadministratorprivilegien die Anwendung initialisieren. Nach der Initialisierung können Benutzer, die Tabellen besitzen (dbo-Benutzer), mithilfe des Optimierungsratgebers für Datenbankmodul nur diejenigen Tabellen optimieren, die sie besitzen. Weitere Informationen finden Sie unter "Initialisieren des Datenbankmodul-Optimierungsratgebers" in der SQL Server 2005-Onlinedokumentation.

ms143504.note(de-de,SQL.90).gifWichtig:
Bevor Sie ein Update auf SQL Server 2005 durchführen, aktivieren Sie die Windows-Authentifizierung für den SQL Server-Agent, und stellen Sie sicher, dass das SQL Server-Agent-Dienstkonto ein Mitglied der sysadmin-Gruppe von SQL Server ist.

Lokalisierte Dienstnamen

In der folgenden Tabelle werden Dienstnamen angezeigt, die in lokalisierten Versionen von Microsoft Windows verwendet werden.

Sprache Name für lokalen Dienst Name für Netzwerkdienst Name für lokales System Name für Administratorgruppe

Englisch

Chinesisch (vereinfacht)

Chinesisch (traditionell)

Koreanisch

Japanisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Deutsch

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Französisch

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

Italienisch

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Spanisch

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Siehe auch

Verweis

Dienstkonto
Dienstkonten (Cluster)

Konzepte

Sicherheitsüberlegungen für eine SQL Server-Installation

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf

Version Verlauf

12. Dezember 2006

Geänderter Inhalt:
  • Sicherheitsrichtlinien für Dienstkonten in gleichzeitigen Konfigurationen wurden hinzugefügt.
  • Der Starttyp und der Standardstatus des SQL Writer-Dienstes in SQL Server 2005 SP2 wurde aktualisiert:

17. Juli 2006

Geänderter Inhalt:
  • Die Anordnung des Inhalts und die Darstellung wurden überarbeitet, um die Lesbarkeit des Themas zu verbessern.
  • Ein Link zum Knowledge Base-Artikel über das Ändern von SQL Server- und SQL Server-Agent-Dienstkonten mithilfe des Dienste-Add-Ins wurde hinzugefügt.
  • Die lokalisierten russischen Dienstnamen wurden hinzugefügt.

05. Dezember 2005

Geänderter Inhalt:
  • LocalService wurde aus der Liste der Konten entfernt, die der SQL Server-Agent verwenden kann.
  • Die vom SQL Server-Setup erstellten Benutzergruppen wurden aktualisiert.