Freigeben über

Auswählen eines Kontos für den SQL Server-Agent-Dienst

  • Artikel

Aktualisiert: 05. Dezember 2005

Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem der SQL Server-Agent ausgeführt wird, und legt dessen Netzwerkberechtigungen fest. Der SQL Server-Agent wird als angegebenes Benutzerkonto ausgeführt. Aus Kompatibilitätsgründen mit früheren Versionen von SQL Server kann der SQL Server-Agent auch als lokales Systemkonto ausgeführt werden.

Sie wählen ein Konto für den SQL Server-Agent-Dienst mithilfe des SQL Server-Konfigurations-Managers aus. Dort können Sie zwischen folgenden Optionen wählen:

  • Integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:
    • Lokales Systemkonto. Der Name dieses Kontos lautet NT-AUTORITÄT\System. Hierbei handelt es sich um ein Konto mit weit reichenden Befugnissen, das über unbeschränkten Zugriff auf alle lokalen Systemressourcen verfügt. Es ist ein Mitglied der Windows-Gruppe Administratoren auf dem lokalen Computer und somit Mitglied der festen Serverrolle sysadmin in SQL Server.
      ms191543.security(de-de,SQL.90).gifSicherheitshinweis:
      Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Ein lokales Systemkonto verfügt über Berechtigungen, die für den SQL Server-Agent nicht erforderlich sind. Vermeiden Sie die Ausführung des SQL Server-Agents als lokales Systemkonto. Zur Verbesserung der Sicherheit sollten Sie ein Windows-Domänenkonto zusammen mit den im folgenden Abschnitt "Berechtigungen für Windows-Domänenkonten" aufgelisteten Berechtigungen verwenden.
    • Netzwerkdienstkonto. Der Name dieses Kontos lautet NT-AUTORITÄT\NetworkService. Es ist in Microsoft Windows XP und Microsoft Windows Server 2003 verfügbar. Alle Dienste, die unter dem Netzwerkdienstkonto ausgeführt werden, werden bei Netzwerkressourcen als der lokale Computer authentifiziert.
      ms191543.security(de-de,SQL.90).gifSicherheitshinweis:
      Da mehrere Dienste das Netzwerkdienstkonto verwenden können, ist es schwierig, zu steuern, welche Dienste Zugriff auf Netzwerkressourcen, einschließlich SQL Server-Datenbanken, erhalten. Es ist nicht empfehlenswert, das Netzwerkdienstkonto für den SQL Server-Agent-Dienst zu verwenden.
    ms191543.note(de-de,SQL.90).gifWichtig:
    Wählen Sie nicht das Konto Lokaler Dienst aus. Der SQL Server-Agent-Dienst kann unter diesem Konto nicht ausgeführt werden. Es wird nicht unterstützt. Der Name dieses Kontos lautet NT-AUTORITÄT\LocalService, und es greift auf Netzwerkressourcen im Rahmen einer NULL-Sitzung ohne Anmeldeinformationen zu. Es ist in Microsoft Windows XP und Microsoft Windows Server 2003 verfügbar.
  • Dieses Konto. Hier können Sie das Windows-Domänenkonto angeben, unter dem der SQL Server-Agent-Dienst ausgeführt wird. Das von Ihnen ausgewählte Windows-Benutzerkonto sollte kein Mitglied der Windows-Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server-Agent-Dienstes kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Weitere Informationen dazu, welche Funktionalität von SQL Server-Agent für die verschiedenen Dienstkontotypen unterstützt wird, finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Berechtigungen für Windows-Domänenkonten

Zur Verbesserung der Sicherheit sollten Sie die Option Dieses Konto auswählen, um ein Windows-Domänenkonto anzugeben. Das von Ihnen angegebene Windows-Domänenkonto muss folgende Berechtigungen haben:

  • Berechtigung zum Anmelden als Dienst für alle Windows-Versionen (SeServiceLogonRight)
ms191543.note(de-de,SQL.90).gifHinweis:
Das Konto des SQL Server-Agent-Dienstes muss Teil der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein. Andernfalls führen Aufträge im Besitz von Domänenbenutzern, die keine Mitglieder der Windows-Gruppe Administratoren sind, zu Fehlern.
  • Auf Servern unter Windows erfordert das vom SQL Server-Agent-Dienst ausgeführte Konto folgende Berechtigungen, um Proxys für den SQL Server-Agent unterstützen zu können.
    • Berechtigung zum Handeln als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000)
    • Berechtigung zum Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)
    • Berechtigung zum Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)
    • Berechtigung zum Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)
    • Berechtigung zum Anmelden mithilfe der Batchanmeldung (SeBatchLogonRight)
ms191543.note(de-de,SQL.90).gifHinweis:
Wenn das Konto nicht über die Berechtigungen verfügt, die zur Unterstützung von Proxys erforderlich sind, können Aufträge nur von Mitgliedern der festen Serverrolle sysadmin erstellt werden.
ms191543.note(de-de,SQL.90).gifHinweis:
Um WMI-Warnbenachrichtigungen zu empfangen, muss das Dienstkonto des SQL Server-Agents über die Berechtigung für den Namespace verfügen, der die WMI-Ereignisse enthält. Außerdem muss es dazu berechtigt sein, EREIGNISBERECHTIGUNGEN ZU ÄNDERN.

SQL Server-Rollenmitgliedschaft

Das Konto, als das der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden SQL Server-Rollen sein:

  • Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein.
  • Um die Multiserver-Auftragverarbeitung verwenden zu können, muss das Konto Mitglied der msdb-Datenbankrolle TargetServersRole auf dem Masterserver sein.

Windows-Gruppenmitgliedschaft

Das Konto, unter dem der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden Windows-Gruppe sein:

  • Das Konto muss Mitglied der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein, um Aufträge für Benutzer ausführen zu können, die nicht Mitglied der Gruppe Administratoren sind.
    ms191543.security(de-de,SQL.90).gifSicherheitshinweis:
    Zur Verbesserung der Sicherheit sollte das Konto des SQL Server-Agent-Dienstes kein Mitglied der lokalen Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server-Agent-Dienstes kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Allgemeine Aufgaben

So geben Sie das Startkonto für den SQL Server-Agent-Dienst an
So geben Sie das Mailprofil für den SQL Server-Agent an
ms191543.note(de-de,SQL.90).gifHinweis:
Verwenden Sie den SQL Server-Konfigurations-Manager, um anzugeben, dass der SQL Server-Agent beim Start des Betriebssystems starten soll.

Siehe auch

Konzepte

Sicherheit für die Administration mit dem SQL Server-Agent
Implementieren der SQL Server-Agent-Sicherheit

Andere Ressourcen

Einrichten von Windows-Dienstkonten
Verwalten von Diensten mit dem SQL Server-Konfigurations-Manager

Hilfe und Informationen

Informationsquellen für SQL Server 2005

Änderungsverlauf

Version Verlauf

05. Dezember 2005
Geänderter Inhalt:
  • Es wurden Beschreibungen des integrierten Windows-Kontos Netzwerkdienst, das für den SQL Server-Agent-Dienst ausgewählt werden kann, hinzugefügt.
  • Es wurde der Hinweis Wichtig hinzugefügt, dass das integrierte Windows-Konto Lokaler Dienst von SQL Server-Agent nicht unterstützt wird.
  • Dem Hinweis Sicherheit im Abschnitt "Windows-Gruppenmitgliedschaft" wurden Informationen zu Einschränkungen hinzugefügt, die der Verwendung eines Startkontos des SQL Server-Agent-Dienstes zugeordnet sind, das kein Mitglied der Windows-Gruppe Administratoren ist.