Einrichten von Windows-Dienstkonten

Aktualisiert: 12. Dezember 2006

Jeder Dienst in SQL Server stellt einen Prozess oder eine Gruppe von Prozessen zum Verwalten der Authentifizierung von SQL Server-Vorgängen mit Microsoft Windows dar. In diesem Thema werden die Standardkonfiguration von Diensten in dieser Version von SQL Server und die Konfigurationsoptionen für SQL Server-Dienste veranschaulicht, die während der SQL Server-Installation festgelegt werden können.

Sicherheitshinweis   SQL Server-Dienste müssen immer mit den geringst möglichen Benutzerrechten ausgeführt werden.

Je nach den von Ihnen installierten Microsoft SQL Server 2005-Komponenten installiert das SQL Server 2005-Setup die folgenden Dienste:

• SQL Server-Datenbankdienste – Der Dienst für das relationale SQL Server Datenbankmodul.
• SQL Server-Agent – Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.

  Hinweis:

  Damit SQL Server und der SQL Server-Agent unter Windows als Dienste ausgeführt werden können, müssen SQL Server und dem SQL Server-Agent ein Windows-Benutzerkonto zugewiesen sein. Im Allgemeinen wird SQL Server und dem SQL Server-Agent dasselbe Benutzerkonto zugewiesen, entweder das lokale Systemkonto oder ein Domänenbenutzerkonto. Sie können jedoch während des Installationsvorgangs die Einstellungen für die Dienste anpassen. Weitere Informationen dazu, wie Sie die Kontoinformationen zu den einzelnen Diensten anpassen können, finden Sie unter Dienstkonto.

• Analysis Services - Bietet OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen.
• Reporting Services – Wird zum Verwalten, Ausführen, Rendern, Planen und Übermitteln von Berichten verwendet.
• Notification Services - Eine Plattform zum Entwickeln und Bereitstellen von Anwendungen, die Benachrichtigungen generieren und senden.
• Integration Services - Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.
• Volltextsuche – Erstellt schnell Volltextindizes für den Inhalt und die Eigenschaften von strukturierten und semistrukturierten Daten, um schnelle linguistische Suchvorgänge in diesen Daten zu ermöglichen.
• SQL Server-Browser – Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt.
• Hilfsdienst von SQL Server für Active Directory – Veröffentlicht und verwaltet SQL Server-Dienste in Active Directory.
• SQL Writer – Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS-Framework (Volume Shadow Copy Service).

Der übrige Teil dieses Themas ist in folgende Abschnitte unterteilt:

• Konfigurieren von beim SQL Server-Setup verfügbar gemachten Diensten
• Verwenden von Startkonten für SQL Server-Dienste
• Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten
• Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien
• Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten
• Überprüfen von Windows-Berechtigungen für SQL Server-Dienste
• Überprüfen zusätzlicher Aspekte
• Lokalisierte Dienstnamen

Konfigurieren von beim SQL Server-Setup verfügbar gemachten Diensten

Während des SQL Server-Setups können Sie einige SQL Server-Dienste mit dem Startkonto konfigurieren und festlegen, ob der Dienst automatisch gestartet werden soll. In der folgenden Tabelle sind die SQL Server-Dienste dargestellt, die während der Installation konfiguriert werden können. Für unbeaufsichtigte Installationen können Sie die Schalter in einer Installationsdatei oder von der Eingabeaufforderung verwenden.

Name des SQL Server-Dienstes	Konfiguration im Installations-Assistenten möglich?	Schalter für unbeaufsichtigte Installationen1
MSSQLSERVER	Ja	SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART
SQLServerAgent	Ja	AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART
MSSQLServerOLAPService	Ja	ASACCOUNT, ASPASSWORD, ASAUTOSTART
ReportServer	Ja	RSACCOUNT, RSPASSWORD, RSAUTOSTART
SQLBrowser	Ja	SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Weitere Informationen und eine Beispielsyntax zu Remoteinstallationen und unbeaufsichtigten Installationen finden Sie unter Vorgehensweise: Installieren von SQL Server 2005 von der Eingabeaufforderung.

2SQLBROWSERAUTOSTART kann auch angegeben werden, wenn der SQL Server-Browser bereits installiert ist.

Die im Folgenden aufgeführten Dienste können nicht bei der Installation konfiguriert werden. Sie werden mit Standardeinstellungen installiert:

• Notification Services
• Integration Services
• Volltextsuche
• Hilfsdienst für Active Directory
• SQL Writer

Verwenden von Startkonten für SQL Server-Dienste

Es muss für den jeweiligen Dienst in SQL Server 2005 ein Benutzerkonto festgelegt sein, um einen Dienst starten und ausführen zu können. Bei Benutzerkonten kann es sich um integrierte Systemkonten oder um Domänenbenutzerkonten handeln.

Neben einem Benutzerkonto verfügt jeder Dienst über drei mögliche Startstatus, die von den Benutzern gesteuert werden können:

• Deaktiviert Der Dienst ist installiert, wird jedoch zurzeit nicht ausgeführt.
• Manuell Der Dienst ist installiert, wird jedoch nur gestartet, wenn ein anderer Dienst oder eine andere Anwendung seine Funktionalität benötigt.
• Automatisch Der Dienst wird vom Betriebssystem beim Booten gestartet, nachdem die Gerätetreiber geladen wurden.

In der folgenden Tabelle werden Standardkonten und optionale Konten und die Startstatus für die einzelnen SQL Server-Dienste angezeigt.

Name des SQL Server-Dienstes	Standardkonto	Optionale Konten	Starttyp	Standardstatus nach Setup
SQL Server	SQL Server Express Edition für Windows 2000: Lokales System SQL Server Express Edition für alle anderen unterstützten Betriebssysteme: Netzwerkdienst Alle anderen Editionen für alle unterstützten Betriebssysteme: Domänenbenutzer1	SQL Server Express Edition: Domänenbenutzer, Lokales System, Netzwerkdienst1 Alle anderen Editionen: Domänenbenutzer, Lokales System, Netzwerkdienst1	Automatisch2	Gestartet Beendet nur, wenn der Benutzer kein automatisches Starten auswählt
SQL Server-Agent	Domänenbenutzer3	Domänenbenutzer, Lokales System, Netzwerkdienst1,6	Disabled Automatisch nur, wenn der Benutzer automatisches Starten auswählt	Beendet Gestartet nur, wenn der Benutzer automatisches Starten auswählt
Analysis Services	Domänenbenutzer3	Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst	Automatisch	Gestartet Beendet nur, wenn der Benutzer kein automatisches Starten auswählt
Reporting Services	Domänenbenutzer3	Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst	Automatisch	Gestartet Beendet nur, wenn der Benutzer kein automatisches Starten auswählt
Notification Services4	N/V	N/V	N/V	N/V
Integration Services	Windows 2000: Lokales System Alle anderen unterstützten Betriebssysteme: Netzwerkdienst	Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst	Automatisch	Gestartet Beendet nur, wenn der Benutzer kein automatisches Starten auswählt
Volltextsuche	Gleiches Konto wie SQL Server	Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst	Manuell	Beendet Gestartet nur, wenn der Benutzer automatisches Starten auswählt
SQL Server-Browser	SQL Server Express Edition für Windows 2000: Lokales System SQL Server Express Edition für alle anderen unterstützten Betriebssysteme: Lokaler Dienst Alle anderen Editionen für alle unterstützten Betriebssysteme: Domänenbenutzer1,3	Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst	Deaktiviert5 Automatisch nur, wenn der Benutzer automatisches Starten auswählt	Beendet5 Gestartet nur, wenn der Benutzer automatisches Starten auswählt
Hilfsdienst von SQL Server für Active Directory	Netzwerkdienst	Lokales System, Netzwerkdienst	Disabled	Beendet
SQL Writer	Lokales System	Lokales System	Automatisch	Gestartet

1Wichtig   Microsoft empfiehlt, dass Sie das Netzwerkdienstkonto nicht für die Agent-Dienste SQL Server und SQL Server verwenden. Lokale Benutzerkonten oder Domänenbenutzerkonten sind für diese SQL Server-Dienste besser geeignet.

2Legen Sie in Failoverclusterkonfigurationen Manuell fest.

3Für unbeaufsichtigte Installationen ist diese Eigenschaft erforderlich. Wenn sie nicht angegeben ist, erzeugt das Setup einen Fehler. Verwenden Sie SQLAccount=LocalSystem oder ASAccount=LocalSystem, um das lokale System anzugeben. Weitere Informationen und eine Beispielsyntax zu Remoteinstallationen und unbeaufsichtigten Installationen finden Sie unter Vorgehensweise: Installieren von SQL Server 2005 von der Eingabeaufforderung.

4 SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

5Für Failoverclusterinstallationen ist der SQL Server-Browser auf automatisches Starten festgelegt und wird nach dem Setup standardmäßig gestartet.

6Weitere Informationen zu unterstützten Windows-Konten für den SQL Server-Agent finden Sie im Thema über die unterstützten Windows-Kontotypen, die zum Ausführen des SQL Server-Agent-Dienstes in SQL Server 2005 verwendet werden können.

Wichtig:

Für Failoverclusterinstallationen sind lokale Systemkonten und lokale Dienstkonten für Clusterdienste, wie SQL Server, SQL Server-Agent und SSAS, nicht zulässig. Weitere Informationen finden Sie unter Vor dem Installieren der Failover-Clusterunterstützung. Bei SQL Server 2005-Installationen in gleichzeitigen Konfigurationen mit früheren Versionen von SQL Server müssen SQL Server 2005-Dienste Konten verwenden, die der globalen Domänengruppe angehören müssen. Darüber hinaus dürfen Konten, die von SQL Server 2005-Diensten genutzt werden, nicht der lokalen Administratorgruppe angehören. Werden diese Richtlinien nicht eingehalten, führt dies zu unerwarteten Ergebnissen im Hinblick auf die Sicherheit.

Verwenden eines Domänenbenutzerkontos

Ein Domänenbenutzerkonto wird unter Umständen bevorzugt, wenn der Dienst mit Netzwerkdiensten interagieren muss. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden, zum Beispiel:

• Remoteprozeduraufrufe (Remote Procedure Calls, RPCs)
• Replikation
• Sichern auf Netzlaufwerken.
• Heterogene Verknüpfungen, die Remotedatenquellen einbeziehen.
• E-Mail-Features des SQL Server-Agents und SQL Mail. Diese Einschränkung gilt, wenn Sie Microsoft Exchange verwenden. Die meisten anderen E-Mail-Systeme erfordern ebenfalls, dass Clients (wie die Agent-Dienste SQL Server und SQL Server) unter Konten mit Netzwerkzugriff ausgeführt werden.

Verwenden des lokalen Dienstkontos

Das lokale Dienstkonto ist ein spezielles, integriertes Konto, das mit einem authentifizierten Benutzerkonto vergleichbar ist. Es bietet denselben Zugriff auf Ressourcen und Objekte wie Mitglieder der Gruppe Benutzer. Durch diesen beschränkten Zugriff wird Ihr System geschützt, wenn einzelne Dienste oder Prozesse gefährdet sind. Bei Diensten, die als lokales Dienstkonto ausgeführt werden, erfolgt das Zugreifen auf Netzwerkressourcen als NULL-Sitzung ohne Anmeldeinformationen.

Verwenden des Netzwerkdienstkontos

Das Netzwerkdienstkonto ist ein spezielles, integriertes Konto, das mit einem authentifizierten Benutzerkonto vergleichbar ist. Es bietet denselben Zugriff auf Ressourcen und Objekte wie Mitglieder der Gruppe Benutzer. Bei Diensten, die als Netzwerkdienstkonto ausgeführt werden, erfolgt das Zugreifen auf Netzwerkressourcen mithilfe der Anmeldeinformationen des Computerkontos.

Wichtig:
Microsoft empfiehlt, dass Sie das Netzwerkdienstkonto nicht für die Agent-Dienste SQL Server oder SQL Server verwenden. Lokale Benutzerkonten oder Domänenbenutzerkonten sind für diese SQL-Dienste besser geeignet.

Verwenden des lokalen Systemkontos

Beim lokalen Systemkonto handelt es sich um ein Konto mit hohen Privilegien. Seien Sie vorsichtig, wenn Sie SQL Server-Dienstkonten Berechtigungen für das lokale System zuweisen.

Sicherheitshinweis:
Führen Sie die SQL Server-Dienste unter einem lokalen Windows-Konto mit den geringst möglichen Privilegien aus, um die Sicherheit Ihrer SQL Server-Installation zu erhöhen.

Ändern von Benutzerkonten

Zum Ändern des Kennworts oder anderer Eigenschaften eines SQL Server-bezogenen Dienstes verwenden Sie den SQL Server-Konfigurations-Manager. Wenn Sie das Windows-Kennwort ändern, müssen Sie auch die Einstellungen für die SQL Server-Dienste unter Windows aktualisieren. Wenn Sie Kerberos aktiviert haben, müssen Sie die SPN-Verzeichniseigenschaft (Service Principal Name, Dienstprinzipalname) für Active Directory aktualisieren.

Weitere Informationen finden Sie unter Ändern von Kennwörtern und Benutzerkonten. Informationen zum Verwenden des Dienste-Add-Ins für Microsoft Windows zum Ändern von SQL Server-Dienstkonten finden Sie unter SO WIRD'S GEMACHT: Ändern des SQL Server-Dienstkontos über die Systemsteuerung.

Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

Einige SQL Server-Dienste sind instanzabhängig, wogegen andere nicht instanzabhängig sind. Jeder instanzabhängige Dienst ist mit einer bestimmten Instanz von SQL Server verknüpft und hat eine eigene Registrierungsstruktur. Sie können mehrere Kopien von instanzabhängigen Diensten installieren, indem Sie das SQL Server-Setup zur Installation der einzelnen Komponenten oder Dienste ausführen. Nicht instanzabhängige Dienste werden von allen installierten Instanzen von SQL Server gemeinsam verwendet. Sie sind nicht mit einer bestimmten Instanz verknüpft, werden nur einmal installiert und können nicht parallel installiert werden.

Zu den instanzabhängigen Diensten in Microsoft SQL Server 2005 gehören:

• SQL Server
• SQL Server-Agent
• Analysis Services
• Reporting Services
• Volltextsuche

Zu den nicht instanzabhängigen Diensten in SQL Server 2005 gehören:

• Notification Services
• Integration Services
• SQL Server-Browser
• Hilfsdienst von SQL Server für Active Directory
• SQL Writer

Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien

Das SQL Server-Setup erstellt Benutzergruppen für unterschiedliche SQL Server-Dienste und fügt die Dienstkonten den geeigneten Benutzergruppen hinzu. Diese Gruppen vereinfachen das Erteilen der Berechtigungen, die zum Ausführen von SQL Server-Diensten und sonstigen ausführbaren Dateien erforderlich sind, und tragen zur Sicherung von SQL Server-Dateien bei. Beachten Sie, dass beim Installieren von SQL Server 2005 auf einem Domänencontroller eindeutige Gruppennamen erforderlich sind.

Den vom SQL Server-Setup erstellten Benutzergruppen werden die folgenden Windows NT-Rechte und -Privilegien erteilt.

SQL Server-Dienst	Benutzergruppe	Vom SQL Server-Setup erteilte Standardberechtigungen
SQL Server	Standardinstanz: SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER Benannte Instanz: SQLServer2005MSSQLUser$ComputerName$InstanceName	Anmelden als Dienst (SeServiceLogonRight) Einsetzen als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000) Anmelden als Stapelverarbeitungsauftrag (SeBatchLogonRight) Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege) Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege) Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege) Berechtigung zum Starten des Hilfsdienstes von SQL Server für Active Directory Berechtigung zum Starten von SQL Writer
SQL Server-Agent	Standardinstanz: SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER Benannte Instanz: SQLServer2005SQLAgentUser$ComputerName$InstanceName	Anmelden als Dienst (SeServiceLogonRight) Einsetzen als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000) Anmelden als Stapelverarbeitungsauftrag (SeBatchLogonRight) Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege) Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege) Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)
Analysis Services	Standardinstanz: SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER Benannte Instanz: SQLServer2005MSOLAPUser$ComputerName$InstanceName	Anmelden als Dienst (SeServiceLogonRight)
Reporting Services1	Standardinstanz: SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER und SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER Benannte Instanz: SQLServer2005ReportServerUser$ComputerName$InstanceName und SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName	Anmelden als Dienst (SeServiceLogonRight)
Notification Services2	Standardinstanz oder benannte Instanz: SQLServer2005NotificationServicesUser$ComputerName	N/V
Integration Services	Standardinstanz oder benannte Instanz: SQLServer2005DTSUser$ComputerName	Anmelden als Dienst (SeServiceLogonRight) Berechtigung zum Schreiben in das Anwendungsereignisprotokoll Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege) Erstellen globaler Objekte (SeCreateGlobalPrivilege) Annehmen der Identität eines Clients nach der Authentifizierung (SeImpersonatePrivilege)
Volltextsuche	Standardinstanz: SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER Benannte Instanz: SQLServer2005MSFTEUser$ComputerName$InstanceName	Anmelden als Dienst (SeServiceLogonRight)
SQL Server-Browser	Standardinstanz oder benannte Instanz: SQLServer2005SQLBrowserUser$ComputerName	Anmelden als Dienst (SeServiceLogonRight)
Hilfsdienst von SQL Server für Active Directory	Standardinstanz oder benannte Instanz: SQLServer2005MSSQLServerADHelperUser$ComputerName	Keine3
SQL Writer	N/V	Keine3

1Für Reporting Services muss das SQL Server-Setup auch die Benutzergruppen SQLServer2005ReportingServicesWebServiceUser$InstanceName und SQLServer2005ASP.NETUser erstellen und ihnen Zugriffssteuerungslisten (Access Control Lists, ACLs) erteilen. Weitere Informationen finden Sie unten im Abschnitt zu Zugriffssteuerungslisten.

2 SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

3 SQL Server-Setup überprüft oder erteilt keine Berechtigungen für diesen Dienst.

Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten

SQL Server 2005-Dienstkonten müssen über einen Zugriff auf Ressourcen verfügen. Zugriffssteuerungslisten (Access Control Lists, ACLs) werden auf Benutzergruppenebene festgelegt. In der folgenden Tabelle werden die vom SQL Server-Setup festgelegten Zugriffssteuerungslisten aufgeführt.

Wichtig:
Für Failoverclusterinstallationen können für Zugriffssteuerungslisten in einer lokalen Benutzergruppe keine Ressourcen für freigegebene Datenträger festgelegt werden. Stattdessen werden diese Ressourcen auf eine Zugriffssteuerungsliste für ein lokales Konto festgelegt.

Dienstkonto für	Dateien und Ordner	Zugriff
MSSQLServer	Instid\MSSQL\backup	Vollzugriff
	Instid\MSSQL\binn	Lesen, Ausführen
	Instid\MSSQL\data	Vollzugriff
	Instid\MSSQL\FTData	Vollzugriff
	Instid\MSSQL\Install	Lesen, Ausführen
	Instid\MSSQL\Log	Vollzugriff
	Instid\MSSQL\Repldata	Vollzugriff
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
	90\com	Lesen, Ausführen
	Instid\MSSQL\Template Data (Nur SQL Server Express)	Lesen
SQLServerAgent	Instid\MSSQL\binn	Vollzugriff
	Instid\MSSQL\Log	Vollzugriff
	Instid\MSSQL\jobs	Vollzugriff
	90\com	Lesen, Ausführen
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
FTS	Instid\MSSQL\FTData	Vollzugriff
	Instid\MSSQL\FTRef	Lesen, Ausführen
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
	Instid\MSSQL\Install	Lesen, Ausführen
MSSQLServerOLAPservice	90\shared	Lesen, Ausführen
	90\shared\msmdlocal.ini	Vollzugriff
	Instid\OLAP	Lesen, Ausführen
	Instid\Olap\Data	Vollzugriff
	Instid\Olap\Log	Lesen, Schreiben
	90\shared\Errordumps	Lesen, Schreiben
SQLServer2005ReportServerUser	Instid\Reporting Services\Log Files	Lesen, Schreiben, Löschen
	Instid\Reporting Services\ReportServer	Lesen, Ausführen
	Instid\Reportingservices\Reportserver\global.asax	Vollzugriff
	Instid\Reportingservices\Reportserver\Reportserver.config	Lesen, Schreiben
	Instid\Reporting Services\reportManager	Lesen, Ausführen
	Instid\Reporting Services\RSTempfiles	Lesen, Schreiben
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
SQLServer2005ReportingServicesWebServiceUser	Instid\Reporting Services\Log Files	Lesen, Schreiben, Löschen
	Instid\Reporting Services\ReportServer	Lesen, Ausführen
	Instid\Reportingservices\Reportserver\global.asax	Vollzugriff
	InstID\Reporting Services\reportservice.asmx	Vollzugriff
	Instid\Reportingservices\Reportserver\Reportserver.config	Lesen, Schreiben, Löschen
	Instid\Reporting Services\reportManager	Lesen, Ausführen
	Instid\Reporting Services\RSTempfiles	Lesen, Schreiben
	Instid\Reporting Services\reportManager\pages	Lesen
	Instid\Reporting Services\reportManager\Styles	Lesen
	Instid\Reporting Services\reportManager\webctrl_client\1_0	Lesen
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
Notification Services	90\Notification services	Lesen, Ausführen, Ordnerinhalt auflisten
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
MSDTSServer	90\dts\binn\MsDtsSrvr.ini.xml	Lesen
	90\dts\binn	Lesen, Ausführen
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
SQL Server-Browser	90\shared\msmdlocal.ini	Lesen
	90\shared	Lesen, Ausführen
	90\shared\Errordumps	Lesen, Schreiben
MSADHekper	N/V (Wird als integrierte Konten ausgeführt)
SQLWriter	N/V (Wird als lokales System ausgeführt)
Benutzer	Instid\MSSQL\binn	Lesen, Ausführen
	Instid\Reporting Services\ReportServer	Lesen, Ausführen
	Instid\Reportingservices\Reportserver\global.asax	Lesen
	InstID\Reporting Services\reportservice.asmx	Lesen, Ausführen
	Instid\Reporting Services\reportManager	Lesen, Ausführen
	Instid\Reporting Services\reportManager\pages	Lesen
	Instid\Reporting Services\reportManager\Styles	Lesen
	90\dts	Lesen, Ausführen
	90\tools	Lesen, Ausführen
	80\tools	Lesen, Ausführen
	90\sdk	Lesen
	Microsoft SQL Server\90\Setup Bootstrap	Lesen, Ausführen

Zugriffssteuerungsberechtigungen müssen nicht nur für Startkonten des SQL Server-Dienstes, sondern möglicherweise auch für integrierte Konten oder andere SQL Server-Dienstkonten erteilt werden. In der folgenden Tabelle werden weitere vom SQL Server-Setup festgelegte Zugriffssteuerungslisten aufgeführt.

Anfordernde Komponente	Konto	Ressource	Berechtigungen
MSSQLServer	Leistungsprotokollbenutzer	Instid\MSSQL\binn	Ordnerinhalt auflisten
	Systemmonitorbenutzer	Instid\MSSQL\binn	Ordnerinhalt auflisten
	Leistungsprotokollbenutzer	Instid\MSSQL\binn\sqlctr90.dll	Lesen, Ausführen
	Systemmonitorbenutzer	Instid\MSSQL\binn\sqlctr90.dll	Lesen, Ausführen
	Nur Administrator	\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Vollzugriff
	Administratoren	\tools\binn\schemas\sqlserver\2003\03\showplan	Vollzugriff
	System	\tools\binn\schemas\sqlserver\2003\03\showplan	Vollzugriff
	Benutzer	\tools\binn\schemas\sqlserver\2003\03\showplan	Lesen, Ausführen
Reporting Services	<Berichtsserver-Webdienstkonto>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Anwendungspoolidentität für Berichts-Manager	<install>\Reporting Services\ReportManager	Lesen
	ASP.NET-Konto	<install>\Reporting Services\ReportManager	Lesen
	Jeder	<install>\Reporting Services\ReportManager	Lesen
	Anwendungspoolidentität für Berichts-Manager	<install>\Reporting Services\ReportManager\Pages\*.*	Lesen
	ASP.NET-Konto	<install>\Reporting Services\ReportManager\Pages\*.*	Lesen
	Jeder	<install>\Reporting Services\ReportManager\Pages\*.*	Lesen
	Anwendungspoolidentität für Berichts-Manager	<install>\Reporting Services\ReportManager\Styles\*.*	Lesen
	ASP.NET-Konto	<install>\Reporting Services\ReportManager\Styles\*.*	Lesen
	Jeder	<install>\Reporting Services\ReportManager\Styles\*.*	Lesen
	Anwendungspoolidentität für Berichts-Manager	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lesen
	ASP.NET-Konto	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lesen
	Jeder	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lesen
	<Berichtsserver-Webdienstkonto>	<install>\Reporting Services\ReportServer	Lesen
	<Berichtsserver-Webdienstkonto>	<install>\Reporting Services\ReportServer\global.asax	Full
	Jeder	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Netzwerkdienst	<install>\Reporting Services\ReportServer\ReportService.asmx	Full
	Jeder	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Berichtsserver-Windows-Dienstkonto	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Jeder	Berichtsserverschlüssel (Instid-Struktur)	Wert abfragen Unterschlüssel auflisten Benachrichtigen Lesezugriff
	Terminaldienstebenutzer	Berichtsserverschlüssel (Instid-Struktur)	Wert abfragen Wert festlegen Unterschlüssel erstellen Unterschlüssel auflisten Benachrichtigen Löschen Lesezugriff
	Hauptbenutzer	Berichtsserverschlüssel (Instid-Struktur)	Wert abfragen Wert festlegen Unterschlüssel erstellen Unterschlüssel auflisten Benachrichtigen Löschen Lesezugriff

1Dies ist der Namespace des WMI-Anbieters.

Überprüfen von Windows-Berechtigungen für SQL Server-Dienste

In der folgenden Tabelle werden Dienstnamen, der zum Verweisen auf die Standardinstanzen und benannten Instanzen von SQL Server-Diensten verwendete Begriff, eine Beschreibung der Dienstfunktion sowie erforderliche Mindestberechtigungen angezeigt.

Anzeigename

Dienstname

Beschreibung

Erforderliche Berechtigungen

SQL Server (InstanceName)

Standardinstanz: MSSQLSERVER

Benannte Instanz: MSSQL$InstanceName

SQL Server-Datenbankmodul.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\sqlservr.exe.

Lokaler Benutzer wird empfohlen.

Mindestberechtigungen

Funktionalität

Startkonto des MSSQLServer-Dienstes

Das Konto muss sich in der Liste der Konten befinden, die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk besitzen, auf dem SQL Server installiert ist, sowie für das Stammverzeichnis eines anderen Laufwerks, auf dem SQL Server-Dateien gespeichert sind.

Hinweis:

Die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk müssen von den Unterordnern nicht geerbt werden.

Startkonto des MSSQLServer-DienstesDas Konto muss Berechtigungen für den Vollzugriff auf alle Ordner besitzen, in denen Daten oder Protokolldateien (MDF, .NDF, .LDF) gespeichert sind.

SQL Server-Agent (InstanceName)

Standardinstanz: SQLServerAgent

Benannte Instanz: SQLAgent$InstanceName

Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\sqlagent90.exe.

Mindestberechtigungen

Funktionalität

Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein. 

Das Konto muss über die folgenden Windows-Berechtigungen verfügen1Anmelden als Dienst. Anmelden als Stapelverarbeitungsauftrag. Ersetzen von Token auf Prozessebene. Anpassen des Arbeitsspeicherkontingents für einen Prozess. Einsetzen als Teil des Betriebssystems. Umgehen von durchsuchenden Prüfungen.

Analysis Services-Dienste (InstanceName)

Standardinstanz: MSSQLServerOLAPService

Benannte Instanz: MSOLAP$InstanceName

Der Dienst, der OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen bereitstellt.

Der Pfad zur ausführbaren Datei ist \OLAP\Bin\msmdsrv.exe.

 

Berichtsserver

Standardinstanz: ReportServer

Benannte Instanz: ReportServer$InstanceName

Wird zum Verwalten, Ausführen, Rendern, Planen und Übermitteln von Berichten verwendet.

Der Pfad zur ausführbaren Datei ist \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Notification Services

 

Notification Services ist eine Plattform für das Entwickeln und Bereitstellen von Anwendungen, die Benachrichtigungen generieren und senden. SQL Server-Setup kann installiert werden, eine Konfiguration von Notification Services ist jedoch nicht möglich. Weitere Informationen zum Aktivieren von Notification Services nach dem Setup finden Sie unter "Konfigurieren von Windows-Diensten von Notification Services" in der SQL Server 2005-Onlinedokumentation.

 

Integration Services

Standardinstanz oder benannte Instanz: MSDTSServer

Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.

Der Pfad zur ausführbaren Datei ist \DTS\Binn\msdtssrvr.exe.

 

SQL Server-Browser

Standardinstanz oder benannte Instanz: SQLBrowser

Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt. Dieser Dienst wird von mehreren Instanzen von SQL Server und SSIS gemeinsam verwendet.

Der Pfad zur ausführbaren Datei ist \90\shared\sqlbrowser.exe.

 

Microsoft-Volltextsuche (MSFTESQL)

Standardinstanz: MSFTESQL

Benannte Instanz: MSFTESQL$InstanceName

Erstellt schnell Volltextindizes für Inhalt und Eigenschaften von strukturierten und semistrukturierten Daten, um schnelle Suchvorgänge in diesen Daten zu ermöglichen.

Der Pfad zur ausführbaren Datei ist \MSSQL\Binn\msftesql.exe.

 

Hilfsdienst von SQL Server für Active Directory

Standardinstanz oder benannte Instanz: MSSQLServerADHelper

Veröffentlicht und verwaltet SQL Server-Dienste in Windows Active Directory.

Der Pfad zur ausführbaren Datei ist \90\Shared\sqladhelper.exe.

 

SQL Writer

SQLWriter

Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS-Framework (Volume Shadow Copy Service, Volumeschattenkopie-Dienst). Vom SQL Writer-Dienst gibt es nur eine einzelne Instanz für alle SQL Server-Instanzen auf dem Server.

Der Pfad zur ausführbaren Datei ist \90\Shared\sqlwriter.exe.

 

1Weitere Informationen dazu, wie überprüft werden kann, ob die einzelnen erforderlichen Windows-Berechtigungen festgelegt sind, finden Sie unter Vorgehensweise: Überprüfen der Berechtigungen für die SQL Server-Dienste.

Überprüfen zusätzlicher Aspekte

In der folgenden Tabelle werden Berechtigungen angezeigt, die für SQL Server-Dienste erforderlich sind, damit sie zusätzliche Funktionalität bereitstellen.

Dienst/Anwendung	Funktionalität	Erforderliche Berechtigung
SQL Server (MSSQLSERVER)	Schreiben in einen Mailslot mithilfe von xp_sendmail.	Netzwerkschreibprivilegien.
SQL Server (MSSQLSERVER)	Ausführen von xp_cmdshell für einen Benutzer, der nicht SQL Server-Administrator ist.	Einsetzen als Teil des Betriebssystems und Ersetzen von Token auf Prozessebene.
SQL Server-Agent (MSSQLSERVER)	Verwenden des Features für den automatischen Neustart.	Muss ein Mitglied der lokalen Gruppe Administratoren sein.
Optimierungsratgeber für Datenbankmodul	Optimiert Datenbanken für eine optimale Abfrageleistung.	Bei der ersten Verwendung muss ein Benutzer mit Systemadministratorprivilegien die Anwendung initialisieren. Nach der Initialisierung können Benutzer, die Tabellen besitzen (dbo-Benutzer), mithilfe des Optimierungsratgebers für Datenbankmodul nur diejenigen Tabellen optimieren, die sie besitzen. Weitere Informationen finden Sie unter "Initialisieren des Datenbankmodul-Optimierungsratgebers" in der SQL Server 2005-Onlinedokumentation.

Wichtig:
Bevor Sie ein Update auf SQL Server 2005 durchführen, aktivieren Sie die Windows-Authentifizierung für den SQL Server-Agent, und stellen Sie sicher, dass das SQL Server-Agent-Dienstkonto ein Mitglied der sysadmin-Gruppe von SQL Server ist.

Lokalisierte Dienstnamen

In der folgenden Tabelle werden Dienstnamen angezeigt, die in lokalisierten Versionen von Microsoft Windows verwendet werden.

Sprache	Name für lokalen Dienst	Name für Netzwerkdienst	Name für lokales System	Name für Administratorgruppe
Englisch Chinesisch (vereinfacht) Chinesisch (traditionell) Koreanisch Japanisch	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Deutsch	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Französisch	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Italienisch	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Spanisch	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russisch	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Siehe auch

Verweis

Dienstkonto
Dienstkonten (Cluster)

Konzepte

Sicherheitsüberlegungen für eine SQL Server-Installation

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf

Version	Verlauf
12. Dezember 2006	Geänderter Inhalt: Sicherheitsrichtlinien für Dienstkonten in gleichzeitigen Konfigurationen wurden hinzugefügt. Der Starttyp und der Standardstatus des SQL Writer-Dienstes in SQL Server 2005 SP2 wurde aktualisiert:
17. Juli 2006	Geänderter Inhalt: Die Anordnung des Inhalts und die Darstellung wurden überarbeitet, um die Lesbarkeit des Themas zu verbessern. Ein Link zum Knowledge Base-Artikel über das Ändern von SQL Server- und SQL Server-Agent-Dienstkonten mithilfe des Dienste-Add-Ins wurde hinzugefügt. Die lokalisierten russischen Dienstnamen wurden hinzugefügt.
05. Dezember 2005	Geänderter Inhalt: LocalService wurde aus der Liste der Konten entfernt, die der SQL Server-Agent verwenden kann. Die vom SQL Server-Setup erstellten Benutzergruppen wurden aktualisiert.