Auswählen eines Kontos für den SQL Server-Agent-Dienst

Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem der SQL Server-Agent ausgeführt wird, und legt dessen Netzwerkberechtigungen fest. Der SQL Server-Agent wird als angegebenes Benutzerkonto ausgeführt. Aus Kompatibilitätsgründen mit früheren Versionen von SQL Server kann der SQL Server-Agent auch als lokales Systemkonto ausgeführt werden.

Sie wählen ein Konto für den SQL Server-Agent-Dienst mithilfe des SQL Server-Konfigurations-Managers aus. Dort können Sie zwischen folgenden Optionen wählen:

• Integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:

  • Lokales Systemkonto. Der Name dieses Kontos lautet NT-AUTORITÄT\System. Hierbei handelt es sich um ein Konto mit weit reichenden Befugnissen, das über unbeschränkten Zugriff auf alle lokalen Systemressourcen verfügt. Es ist ein Mitglied der Windows-Gruppe Administratoren auf dem lokalen Computer und somit Mitglied der festen Serverrolle sysadmin in SQL Server.

    Sicherheitshinweis

    Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Ein lokales Systemkonto verfügt über Berechtigungen, die für den SQL Server-Agent nicht erforderlich sind. Vermeiden Sie die Ausführung des SQL Server-Agents als lokales Systemkonto. Zur Verbesserung der Sicherheit sollten Sie ein Windows-Domänenkonto zusammen mit den im folgenden Abschnitt "Berechtigungen für Windows-Domänenkonten" aufgelisteten Berechtigungen verwenden.

  • Netzwerkdienstkonto. Der Name dieses Kontos lautet NT-AUTORITÄT\NetworkService. Es ist in Microsoft Windows XP und Microsoft Windows Server 2003 verfügbar. Alle Dienste, die unter dem Konto Netzwerkdienste ausgeführt werden, werden bei Netzwerkressourcen als der lokale Computer authentifiziert.

    Sicherheitshinweis
    Da mehrere Dienste das Netzwerkdienstkonto verwenden können, ist es schwierig, zu steuern, welche Dienste Zugriff auf Netzwerkressourcen, einschließlich SQL Server-Datenbanken, erhalten. Es ist nicht empfehlenswert, das Netzwerkdienstkonto für den SQL Server-Agent-Dienst zu verwenden.

    Wichtig
    Wählen Sie nicht das Konto Lokaler Dienst aus. Der SQL Server-Agent-Dienst kann unter diesem Konto nicht ausgeführt werden. Es wird nicht unterstützt. Der Name dieses Kontos lautet NT-AUTORITÄT\LocalService, und es greift auf Netzwerkressourcen im Rahmen einer NULL-Sitzung ohne Anmeldeinformationen zu. Es ist in Microsoft Windows XP und Microsoft Windows Server 2003 verfügbar.

• Dieses Konto. Hier können Sie das Windows-Domänenkonto angeben, unter dem der SQL Server-Agent-Dienst ausgeführt wird. Das von Ihnen ausgewählte Windows-Benutzerkonto sollte kein Mitglied der Windows-Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server-Agent-Diensts kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Weitere Informationen dazu, welche Funktionalität von SQL Server-Agent für die verschiedenen Dienstkontotypen unterstützt wird, finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Berechtigungen für Windows-Domänenkonten

Zur Verbesserung der Sicherheit sollten Sie die Option Dieses Konto auswählen, um ein Windows-Domänenkonto anzugeben. Das von Ihnen angegebene Windows-Domänenkonto muss folgende Berechtigungen haben:

• Berechtigung zum Anmelden als Dienst für alle Windows-Versionen (SeServiceLogonRight)

Hinweis
Das Konto des SQL Server-Agent-Diensts muss Teil der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein. Andernfalls führen Aufträge im Besitz von Domänenbenutzern, die keine Mitglieder der Windows-Gruppe Administratoren sind, zu Fehlern.

• Auf Servern unter Windows erfordert das vom SQL Server-Agent-Dienst ausgeführte Konto folgende Berechtigungen, um Proxys für den SQL Server-Agent unterstützen zu können.

  • Berechtigung zum Handeln als Teil des Betriebssystems (SeTcbPrivilege) (nur unter Windows 2000)

  • Berechtigung zum Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

  • Berechtigung zum Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

  • Berechtigung zum Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

  • Berechtigung zum Anmelden mithilfe der Batchanmeldung (SeBatchLogonRight)

Hinweis
Wenn das Konto nicht über die Berechtigungen verfügt, die zur Unterstützung von Proxys erforderlich sind, können Aufträge nur von Mitgliedern der festen Serverrolle sysadmin erstellt werden.

Hinweis
Um WMI-Warnbenachrichtigungen zu empfangen, muss das Dienstkonto des SQL Server-Agents über die Berechtigung für den Namespace verfügen, der die WMI-Ereignisse enthält. Außerdem muss es dazu berechtigt sein, EREIGNISBERECHTIGUNGEN ZU ÄNDERN.

SQL Server-Rollenmitgliedschaft

Das Konto, als das der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden SQL Server-Rollen sein:

• Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein.

• Um die Multiserver-Auftragverarbeitung verwenden zu können, muss das Konto Mitglied der msdb-Datenbankrolle TargetServersRole auf dem Masterserver sein.

Windows-Gruppenmitgliedschaft

• Das Konto, unter dem der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden Windows-Gruppe sein:

• Das Konto muss Mitglied der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein, um Aufträge für Benutzer ausführen zu können, die nicht Mitglied der Gruppe Administratoren sind.

  Sicherheitshinweis

  Zur Verbesserung der Sicherheit sollte das Konto des SQL Server-Agent-Diensts kein Mitglied der lokalen Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server-Agent-Diensts kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter Im SQL Server-Agent unterstützte Dienstkontotypen.

Allgemeine Aufgaben

So geben Sie das Startkonto für den SQL Server-Agent-Dienst an

• Vorgehensweise: Festlegen des Dienststartkontos für den SQL Server-Agent (SQL Server-Konfigurations-Manager)

So geben Sie das Mailprofil für den SQL Server-Agent an

• Vorgehensweise: Konfigurieren von SQL Server-Agent-Mail zum Verwenden von Datenbank-E-Mail (SQL Server Management Studio)

Hinweis
Verwenden Sie den SQL Server-Konfigurations-Manager, um anzugeben, dass der SQL Server-Agent beim Start des Betriebssystems starten soll.

Siehe auch

Verweis

Einrichten von Windows-Dienstkonten

Konzepte

Sicherheit für die Administration mit dem SQL Server-Agent

Implementieren der SQL Server-Agent-Sicherheit

Andere Ressourcen

Verwalten von Diensten: Themen zur Vorgehensweise (SQL Server Configuration Manager)