Freigeben über


Einrichten von Windows-Dienstkonten

Jeder Dienst in SQL Server stellt einen Prozess oder eine Gruppe von Prozessen zum Verwalten der Authentifizierung von SQL Server-Vorgängen mit Windows dar. In diesem Thema werden die Standardkonfiguration von Diensten in dieser Version von SQL Server und die Konfigurationsoptionen für SQL Server-Dienste beschrieben, die Sie während der SQL Server-Installation festlegen können.

Je nach den Komponenten, die Sie installieren möchten, installiert das SQL Server-Setup die folgenden Dienste:

  • SQL Server-Datenbankdienste – Der Dienst für das relationale SQL ServerDatabase Engine (Datenbankmodul).

  • SQL Server-Agent – Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.

    HinweisHinweis

    Damit SQL Server und der SQL Server-Agent unter Windows als Dienste ausgeführt werden können, müssen SQL Server und dem SQL Server-Agent ein Windows-Benutzerkonto zugewiesen sein. Weitere Informationen dazu, wie Sie die Kontoinformationen zu den einzelnen Diensten anpassen können, finden Sie unter Vorgehensweise: Installieren von SQL Server 2008 (Setup).

  • Analysis Services - Bietet OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen.

  • Reporting Services – Wird zum Verwalten, Ausführen, Erstellen, Planen und Übermitteln von Berichten verwendet.

  • Integration Services - Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.

  • SQL Server-Browser – Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt.

  • Volltextsuche – Erstellt schnell Volltextindizes für den Inhalt und die Eigenschaften von strukturierten und semistrukturierten Daten, um eine Dokumentenfilterung und Wörtertrennung für SQL Server zu ermöglichen.

  • Hilfsdienst von SQL Server für Active Directory – Veröffentlicht und verwaltet SQL Server-Dienste in Active Directory.

  • SQL Writer – Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS (Volume Shadow Copy Service)-Framework.

    Wichtiger HinweisWichtig

    Verwenden Sie immer SQL Server-Tools, z. B. den SQL Server-Konfigurations-Manager, um das von den SQL Server- oder SQL Server-Agentdiensten verwendete Konto oder das Kennwort für das Konto zu ändern. Zusätzlich zum Ändern des Kontonamens konfiguriert der SQL Server-Konfigurations-Manager weitere Einstellungen. So legt er z. B. Berechtigungen in der Windows-Registrierung fest, damit die SQL Server-Einstellungen vom neuen Konto gelesen werden können. Mit anderen Tools, z. B. dem Windows-Dienststeuerungs-Manager, kann der Kontoname geändert werden, jedoch nicht die zugehörigen Einstellungen. Wenn der Dienst nicht auf den SQL Server-Teil der Registrierung zugreifen kann, wird der Dienst möglicherweise nicht ordnungsgemäß gestartet.

Der übrige Teil dieses Themas ist in folgende Abschnitte unterteilt:

  • Konfigurieren des Starttyps für den Dienst

  • Verwenden von Startkonten für SQL Server-Dienste

  • Verwenden von Dienst-SIDs für SQL Server-Dienste

  • Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

  • Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien

  • Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten

  • Überprüfen von Windows-Berechtigungen für SQL Server-Dienste

  • Überprüfen zusätzlicher Aspekte

  • Lokalisierte Dienstnamen

Konfigurieren des Starttyps für den Dienst

Beim SQL Server-Setup können Sie den Starttyp – deaktiviert, manuell oder automatisch – für einige SQL Server-Dienste konfigurieren. In der folgenden Tabelle sind die SQL Server-Dienste dargestellt, die während der Installation konfiguriert werden können. Für unbeaufsichtigte Installationen können Sie die Schalter in einer Konfigurationsdatei oder an einer Eingabeaufforderung verwenden.

Name des SQL Server-Diensts

Konfiguration im Installations-Assistenten möglich?

Schalter für unbeaufsichtigte Installationen1

MSSQLSERVER

Ja

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

Ja

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

Ja

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

Ja

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

Ja

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Weitere Informationen und eine Beispielsyntax zu unbeaufsichtigten Installationen finden Sie unter Vorgehensweise: Installieren von SQL Server 2008 von der Eingabeaufforderung.

2Der SQL Server-Agent-Dienst ist auf Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert.

Verwenden von Startkonten für SQL Server-Dienste

Jeder Dienst, der in SQL Server gestartet und ausgeführt werden soll, muss über ein Konto verfügen, das während der Installation konfiguriert wurde. Startkonten, die zum Starten und Ausführen von SQL Server verwendet werden, können integrierte Systemkonten, lokale Benutzerkonten oder Domänenbenutzerkonten sein.

Domänenbenutzerkonto

Wenn der Dienst mit Netzwerkdiensten interagieren muss, auf Domänenressourcen wie Dateifreigaben zugreifen muss oder verknüpfte Serververbindungen mit anderen Computern mit SQL Server verwendet, kann ein Domänenkonto mit minimalen Rechten verwendet werden. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden. Dieses Konto sollte in Ihrer Umgebung von der Domänenverwaltung vorab erstellt werden.

Lokales Benutzerkonto

Wenn der Computer nicht Teil einer Domäne ist, empfiehlt sich ein lokales Benutzerkonto ohne die Berechtigungen eines Windows-Administrators.

Lokales Dienstkonto

Das lokale Dienstkonto ist ein integriertes Konto, das die gleichen Zugriffsrechte für Ressourcen und Objekte besitzt wie die Mitglieder der Gruppe Benutzer. Durch diesen beschränkten Zugriff wird das System bei Gefährdung einzelner Dienste oder Prozesse geschützt. Dienste, die unter dem lokalen Dienstkonto ausgeführt werden, greifen als NULL-Sitzung ohne Anmeldeinformationen auf Netzwerkressourcen zu. Beachten Sie, dass das lokale Dienstkonto nicht für den SQL Server-Agent oder den SQL Server-Agent unterstützt wird. Der Name des Kontos lautet "NT AUTHORITY\LOCAL SERVICE".

Netzwerkdienstkonto

Das Netzwerkdienstkonto ist ein integriertes Konto, das mehr Zugriffsrechte für Ressourcen und Objekte besitzt als die Mitglieder der Gruppe Benutzer. Dienste, die unter dem Konto Netzwerkdienste ausgeführt werden, können mithilfe der Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen. Der Name des Kontos lautet "NT AUTHORITY\NETWORK SERVICE".

Lokales Systemkonto

Das lokale Systemkonto ist ein integriertes Konto mit sehr hohen Privilegien. Es hat umfangreiche Privilegien auf dem lokalen System und repräsentiert im Netzwerk den Computer. Der Name des Kontos lautet "NT AUTHORITY\SYSTEM".

Neben einem Benutzerkonto verfügt jeder Dienst über drei mögliche Startstatus, die von den Benutzern gesteuert werden können:

  • Deaktiviert Der Dienst ist installiert, wird jedoch zurzeit nicht ausgeführt.

  • Manuell – Der Dienst ist installiert, wird jedoch nur gestartet, wenn ein anderer Dienst oder eine andere Anwendung seine Funktionalität benötigt.

  • Automatisch   Der Dienst wird vom Betriebssystem automatisch gestartet.

Die folgende Tabelle enthält optionale Konten und die Startstatus für die einzelnen SQL Server-Dienste.

Name des SQL Server-Diensts

Optionale Konten

Starttyp

Standardstatus nach Setup

SQL Server

SQL Server Express: Domänenbenutzer, Lokales System, Netzwerkdienst

Alle anderen Editionen: Domänenbenutzer, Lokales System, Netzwerkdienst1

Automatisch1

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

SQL Server-Agent

Domänenbenutzer, Lokales System, Netzwerkdienst1

Manuell1,2

Automatisch nur, wenn der Benutzer automatisches Starten auswählt

Beendet

Gestartet nur, wenn der Benutzer automatisches Starten auswählt

Analysis Services

Domänenbenutzer, Netzwerkdienst, Lokaler Dienst, Lokales System1

Automatisch1

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Reporting Services

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Automatisch

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Integration Services 

Domänenbenutzer, Lokales System, Netzwerkdienst, Lokaler Dienst

Automatisch

Gestartet

Beendet nur, wenn der Benutzer kein automatisches Starten auswählt

Volltextsuche

Verwenden Sie ein anderes als das Konto für den SQL Server-Dienst.

Das Konto wird unter Windows Server 2008 und Windows Vista standardmäßig auf Lokaler Dienst festgelegt.

Automatisch

Gestartet

Beendet nur, wenn unter Windows Server 2003 oder Windows XP kein Konto angegeben ist.

SQL Server-Browser

Lokaler Dienst

Deaktiviert3

Automatisch nur, wenn der Benutzer automatisches Starten auswählt

Beendet

Gestartet nur, wenn der Benutzer automatisches Starten auswählt.

Hilfsdienst von SQL Server für Active Directory

Lokales System, Netzwerkdienst

Deaktiviert

Beendet

SQL Writer

Lokales System

Automatisch

Gestartet

Wichtig   

1Verwenden Sie für Failoverclusterkonfigurationen das Domänenbenutzerkonto, und legen Sie den Starttyp auf Manuell fest.

2Der SQL Server-Agentdienst ist für Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert.

3Für Failoverclusterinstallationen und benannte Instanzen wird für den SQL Server-Browser festgelegt, dass er nach dem Setup automatisch gestartet wird.

Sicherheitshinweis   SQL Server-Dienste müssen immer mit den geringst möglichen Benutzerrechten ausgeführt werden. Verwenden Sie für SQL Server-Dienste ein bestimmtes Benutzerkonto mit geringen Privilegien oder ein Domänenkonto statt eines freigegebenen Kontos. Verwenden Sie separate Konten für andere SQL Server-Dienste. Gewähren Sie dem SQL Server-Dienstkonto oder den Dienstgruppen keine zusätzlichen Berechtigungen. Berechtigungen werden durch Gruppenmitgliedschaft oder direkt für eine Dienst-SID gewährt, sofern eine Dienst-SID unterstützt wird.

Unterstützte Dienstkonfigurationen

Von SQL Server werden Ressourcen-ACLs mithilfe einer Sicherheitsgruppe und nicht direkt mithilfe des Dienstkontos festgelegt. Dadurch kann das Dienstkonto geändert werden, ohne den Prozess für Ressourcen-ACLs zu wiederholen. Bei der Sicherheitsgruppe kann es sich um eine lokale Sicherheitsgruppe, um eine Domänensicherheitsgruppe oder um eine Dienst-SID handeln.

Während der Installation von SQL Server wird vom SQL Server-Setup für jede SQL Server-Komponente eine Dienstgruppe erstellt. Diese Gruppen vereinfachen das Erteilen der Berechtigungen, die zum Ausführen von SQL Server-Diensten und sonstigen ausführbaren Dateien erforderlich sind, und tragen zur Sicherung von SQL Server-Dateien bei.

Je nach Dienstkonfiguration wird das Dienstkonto für einen Dienst oder eine Dienst-SID während der Installation oder während eines Upgrades als Element der Dienstgruppe hinzugefügt.

SQL Server ermöglicht in SQL Server 2008 die Verwendung von SIDs-pro-Dienst für die einzelnen Dienste unter dem Betriebssystem Windows Server 2008 oder Windows Vista, um die Dienstisolation und eine tiefgreifende Verteidigung zu gewährleisten. Die SID-pro-Dienst ergibt sich aus dem Dienstnamen und ist für diesen Dienst eindeutig. Ein Beispiel eines Dienst-SID-Namens für den SQL Server-Dienst wäre "NT Service\MSSQL$<Instanzname>". Die Dienstisolierung ermöglicht den Zugriff auf bestimmte Objekte, ohne dass hierzu ein Konto mit umfangreichen Berechtigungen verwendet oder die Sicherheit des Objekts gefährdet werden muss. Durch einen Zugriffssteuerungseintrag mit einer Dienst-SID kann ein SQL Server-Dienst den Zugriff auf die eigenen Ressourcen einschränken.

Die folgende Tabelle enthält die unterstützten Dienstkonfigurationen für neue und aktualisierte Installationen unter Windows Server 2008 oder Windows Vista.

Neuinstallation

Upgrade

  • Eigenständige Instanz – Dienstgruppe mit Dienst-SID

  • Failoverclusterinstanz – Dienst-SID

  • Failoverclusterinstanz – Domänendienstgruppe

  • Domänencontroller – Dienst-SID

  • Domänencontroller – Dienstgruppe mit Dienstkonto

  • Eigenständige Instanz – Domänendienstgruppe mit Dienst-SID

  • Failoverclusterinstanz – Domänendienstgruppe mit Dienstkonto

Die folgende Tabelle enthält die Dienstkonfigurationen für neue und aktualisierte Installationen unter Windows Server 2003 oder Windows XP.

Neuinstallation

Upgrade

  • Eigenständige Instanz - Dienstgruppe mit Dienstkonto

  • Failoverclusterinstanz – Domänendienstgruppe mit Dienstkonto

  • Domänencontroller – Dienstgruppe mit Dienstkonto

  • Eigenständige Instanz – Domänendienstgruppe mit Dienstkonto

  • Failoverclusterinstanz – Domänendienstgruppe mit Dienstkonto

Bei eigenständigen Instanzen von SQL Server unter dem Betriebssystem Windows Vista oder Windows Server 2008 werden der Dienstgruppe Dienst-SIDs hinzugefügt, und die Dienst-SID für das SQL Server-Modul und den SQL Server-Agent wird der Sysadmin-Serverrolle als Anmeldung hinzugefügt.

Bei SQL Server-Failoverclusterinstanzen unter den Betriebssystemen Windows Vista und Windows Server 2008 wird vom SQL Server-Setup standardmäßig die Dienst-SID verwendet. Die ACLs für SQL Server sowie für die Betriebssystemressource werden auf die Dienst-SID festgelegt.

HinweisHinweis

Wenn Sie Domänengruppen für einen SQL Server-Failovercluster verwenden möchten, müssen diese vor der Ausführung des Setups erstellt werden. Wenn Sie die SQL Server-Dienste auf einem SQL Server-Failovercluster installieren, wird die Verwendung eindeutiger Domänengruppen empfohlen.

Ändern von Kontoeigenschaften

Zum Ändern des Dienstkontos, des Kennworts, des Dienststarttyps oder anderer Eigenschaften eines SQL Server-bezogenen Diensts verwenden Sie den SQL Server-Konfigurations-Manager. Verwenden Sie für Reporting Services das Reporting Services-Konfigurationstool. Beachten Sie, dass durch Umbenennen der Instanz von SQL Server keine SQL Server-Sicherheitsgruppen umbenannt werden. Die Sicherheitsgruppen funktionieren nach der Umbenennung weiterhin mit den alten Namen.

Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

Instanzabhängige Dienste werden mit einer bestimmten Instanz von SQL Server verknüpft und haben eine eigene Registrierungsstruktur. Sie können mehrere Kopien von instanzabhängigen Diensten installieren, indem Sie das SQL Server-Setup für die einzelnen Komponenten oder Dienste ausführen. Nicht instanzabhängige Dienste werden für alle installierten SQL Server-Instanzen freigegeben. Sie sind nicht mit einer bestimmten Instanz verknüpft, werden nur einmal installiert und können nicht parallel installiert werden.

Instanzabhängige Dienste in SQL Server umfassen Folgendes:

  • SQL Server

  • SQL Server-Agent

    Beachten Sie, dass der SQL Server-Agentdienst auf Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert ist.

  • Analysis Services

  • Reporting Services

  • Volltextsuche

Nicht instanzabhängige Dienste in SQL Server umfassen Folgendes:

  • Integration Services

  • SQL Server-Browser

  • Hilfsdienst von SQL Server für Active Directory

  • SQL Writer

Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien

Die folgende Tabelle enthält die Benutzergruppen, die vom SQL Server-Setup erstellt werden und bestimmte Windows NT-Benutzerrechte erhalten.

SQL Server-Dienst

Benutzergruppe

Vom SQL Server-Setup erteilte Standardberechtigungen

SQL Server

Standardinstanz: SQLServerMSSQLUser$ComputerName$MSSQLSERVER

Benannte Instanz: "SQLServerMSSQLUser$Computername$Instanzname"

Anmelden als Dienst (SeServiceLogonRight)1

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Berechtigung zum Starten des Hilfsdiensts von SQL Server für Active Directory

Berechtigung zum Starten von SQL Writer

Berechtigung zum Lesen des Ereignisprotokolldiensts

Berechtigungen zum Lesen des Remoteprozeduraufrufdiensts

Wichtiger HinweisWichtig
Bei SQL Server-Instanzen unter Windows Vista und höher werden der SQL Server-Dienst-SID die Benutzerrechte zum Anmelden als Dienst, zum Ersetzen von Token auf Prozessebene, zum Auslassen von durchsuchenden Prüfungen sowie zum Anpassen von Speicherkontingenten für einen Prozess gewährt.

SQL Server Agent3

Standardinstanz: "SQLServerSQLAgentUser$Computername$MSSQLSERVER"

Benannte Instanz: "SQLServerSQLAgentUser$Computername$Instanzname"

Anmelden als Dienst (SeServiceLogonRight)

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Analysis Services

Standardinstanz: SQLServerMSASUser$ComputerName$MSSQLSERVER

Benannte Instanz: SQLServerMSASUser$ComputerName$InstanceName

Anmelden als Dienst (SeServiceLogonRight)

SSRS

Standardinstanz: SQLServerReportServerUser$ComputerName$MSRS10.MSSQLSERVER

Benannte Instanz: SQLServerReportServerUser$ComputerName$MSRS10.InstanceName

Anmelden als Dienst (SeServiceLogonRight)

Integration Services 

Standardinstanz oder benannte Instanz: SQLServerDTSUser$ComputerName

Anmelden als Dienst (SeServiceLogonRight)

Berechtigung zum Schreiben in das Anwendungsereignisprotokoll

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Annehmen der Identität eines Clients nach der Authentifizierung (SeImpersonatePrivilege)

Volltextsuche

Standardinstanz: SQLServerFDHostUser$ ComputerName$MSSQL10.MSSQLSERVER

Benannte Instanz: "SQLServerFDHostUser$Computername$MSSQL10.Instanzname"

Anmelden als Dienst (SeServiceLogonRight)

Wichtiger HinweisWichtig
Bei SQL Server-Instanzen unter Windows Vista und höher wird der Dienst-SID des FD-Startprogramms die Berechtigung zum Anmelden als Dienst gewährt.

SQL Server-Browser

Standardinstanz oder benannte Instanz: "SQLServerSQLBrowserUser$Computername"

Anmelden als Dienst (SeServiceLogonRight)

Hilfsdienst von SQL Server für Active Directory

Standardinstanz oder benannte Instanz: SQLServerMSSQLServerADHelperUser$ComputerName

Keine2

SQL Writer

N/V

Keine2

1Diese Berechtigung wird standardmäßig allen SQL Server-Diensten erteilt.

2SQL Server-Setup überprüft oder erteilt keine Berechtigungen für diesen Dienst.

3Der SQL Server-Agentdienst ist auf Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert.

Überprüfen der für SQL Server-Dienstkonten erstellten Zugriffssteuerungslisten

SQL Server-Dienstkonten müssen über einen Zugriff auf Ressourcen verfügen. Zugriffssteuerungslisten werden auf Benutzergruppenebene festgelegt.

Wichtiger HinweisWichtig

Für Failovercluster-Installationen müssen Ressourcen für freigegebene Datenträger auf eine Zugriffssteuerungsliste für ein lokales Konto festgelegt werden.

In der folgenden Tabelle werden die vom SQL Server-Setup festgelegten Zugriffssteuerungslisten aufgeführt.

Dienstkonto1 für

Dateien und Ordner

Zugriff

MSSQLServer

Instid\MSSQL\backup

Vollzugriff

 

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\MSSQL\data

Vollzugriff

 

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\Install

Lesen, Ausführen

 

Instid\MSSQL\Log

Vollzugriff

 

Instid\MSSQL\Repldata

Vollzugriff

 

100\shared

Lesen, Ausführen

 

Instid\MSSQL\Template-Daten (nurSQL Server Express )

Lesen

SQLServerAgent2

Instid\MSSQL\binn

Vollzugriff

 

Instid\MSSQL\binn

Vollzugriff

 

Instid\MSSQL\Log

Lesen, Schreiben, Löschen, Ausführen

 

100\com

Lesen, Ausführen

 

100\shared

Lesen, Ausführen

 

100\shared\Errordumps

Lesen, Schreiben

ServerName\EventLog

Vollzugriff

FTS

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\FTRef

Lesen, Ausführen

 

100\shared

Lesen, Ausführen

 

100\shared\Errordumps

Lesen, Schreiben

 

Instid\MSSQL\Install

Lesen, Ausführen

Instid\MSSQL\jobs

Lesen, Schreiben

MSSQLServerOLAPservice

100\shared\ASConfig

Vollzugriff

 

Instid\OLAP

Lesen, Ausführen

 

Instid\Olap\Data

Vollzugriff

 

Instid\Olap\Log

Lesen, Schreiben

 

Instid\OLAP\Backup

Lesen, Schreiben

 

Instid\OLAP\Temp

Lesen, Schreiben

 

100\shared\Errordumps

Lesen, Schreiben

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Lesen, Schreiben, Löschen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen

 

Instid\Reportingservices\Reportserver\global.asax

Vollzugriff

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lesen

 

Instid\Reporting Services\reportManager

Lesen, Ausführen

 

Instid\Reporting Services\RSTempfiles

Lesen, Schreiben, Ausführen, Löschen

 

100\shared

Lesen, Ausführen

 

100\shared\Errordumps

Lesen, Schreiben

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

Lesen

 

100\dts\binn

Lesen, Ausführen

 

100\shared

Lesen, Ausführen

 

100\shared\Errordumps

Lesen, Schreiben

SQL Server-Browser

100\shared\ASConfig

Lesen

 

100\shared

Lesen, Ausführen

 

100\shared\Errordumps

Lesen, Schreiben

MSADHelper

Nicht zutreffend (wird unter einem Netzwerkdienstkonto ausgeführt)

 

SQLWriter

N/V (Wird als lokales System ausgeführt)

 

Benutzer

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen, Ordnerinhalt auflisten

 

Instid\Reportingservices\Reportserver\global.asax

Lesen

 

Instid\Reporting Services\ReportManager

Lesen, Ausführen

 

Instid\Reporting Services\ReportManager\pages

Lesen

 

Instid\Reporting Services\ReportManager\Styles

Lesen

 

100\dts

Lesen, Ausführen

 

100\tools

Lesen, Ausführen

 

90\tools

Lesen, Ausführen

 

80\tools

Lesen, Ausführen

 

100\sdk

Lesen

 

Microsoft SQL Server\100\Setup Bootstrap

Lesen, Ausführen

1 Bei SQL Server-Failoverclusterinstallationen oder SQL Server-Installationen auf einem Domänencontroller werden ACLs unter dem Betriebssystem Windows Vista oder Windows Server 2008 für die SQL Server-Dienst-SID (und nicht für die SQL Server-Dienstgruppe) festgelegt.

2Der SQL Server-Agent-Dienst ist für Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert.

Einige Zugriffssteuerungsberechtigungen müssen u. U. für integrierte Konten oder andere SQL Server-Dienstkonten erteilt werden. In der folgenden Tabelle werden weitere vom SQL Server-Setup festgelegte Zugriffssteuerungslisten aufgeführt.

Anfordernde Komponente

Konto

Ressource

Berechtigungen

MSSQLServer

Leistungsprotokollbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Systemmonitorbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Leistungsprotokollbenutzer, Systemmonitorbenutzer

\WINNT\system32\sqlctr100.dll

Lesen, Ausführen

 

Nur Administrator

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Vollzugriff

 

Administratoren, System

\tools\binn\schemas\sqlserver\2004\07\showplan

Vollzugriff

 

Benutzer

\tools\binn\schemas\sqlserver\2004\07\showplan

Lesen, Ausführen

Reporting Services

<Report Server-Webdienstkonto>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Berichts-Manager-Anwendungspoolidentität, ASP.NET-Konto, jeder

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lesen

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager\Pages\*.*

Lesen

 

<Report Server-Webdienstkonto>

<install>\Reporting Services\ReportServer

Lesen

 

<Report Server-Webdienstkonto>

<install>\Reporting Services\ReportServer\global.asax

Full

 

Jeder

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Netzwerkdienst

<install>\Reporting Services\ReportServer\ReportService.asmx

Full

 

Jeder

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Report Server-Windows-Dienstkonto

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Jeder

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Unterschlüssel auflisten

Benachrichtigen

Lesezugriff

 

Terminaldienstebenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

 

Hauptbenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

1Dies ist der Namespace des WMI-Anbieters.

Überprüfen von Windows-Berechtigungen für SQL Server-Dienste

In der folgenden Tabelle werden Dienstnamen, der zum Verweisen auf die Standardinstanzen und benannten Instanzen von SQL Server-Diensten verwendete Begriff, eine Beschreibung der Dienstfunktion sowie erforderliche Mindestberechtigungen gezeigt:

Anzeigename

Dienstname

Beschreibung

Erforderliche Berechtigungen

SQL Server (InstanceName)

Standardinstanz: MSSQLSERVER

Benannte Instanz: MSSQL$InstanceName

SQL Server Database Engine (Datenbankmodul).

Der Pfad der ausführbaren Datei ist \MSSQL\Binn\sqlservr.exe.

Lokales Benutzerkonto oder Domänenbenutzerkonto wird empfohlen.

Anmelden als Dienst (SeServiceLogonRight).1

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege).

Umgehen der Traversierungsüberprüfung (SeChangeNotifyPrivilege).

Anpassen von Speicherkontingenten für einen Prozess (SeIncreaseQuotaPrivilege).

Berechtigung zum Starten des Hilfsdiensts von SQL Server für Active Directory.

Berechtigung zum Starten von SQL Writer.

Berechtigung zum Lesen des Ereignisprotokolldiensts.

Berechtigungen zum Lesen des Remoteprozeduraufruf-Diensts.

MindestberechtigungenFunktionalität
Startkonto des MSSQLServer-Diensts
Das Konto muss sich in der Liste der Konten befinden, die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk, auf dem SQL Server installiert ist, sowie für das Stammverzeichnis eines anderen Laufwerks, auf dem SQL Server-Dateien gespeichert werden, besitzen.
HinweisHinweis
Die Berechtigungen zum Auflisten der Ordner für das Stammlaufwerk müssen von den Unterordnern nicht geerbt werden.
Startkonto des MSSQLServer-DienstsDas Konto muss Berechtigungen für den Vollzugriff auf alle Ordner besitzen, in denen Daten oder Protokolldateien (MDF, NDF, LDF) gespeichert sind.

SQL Server-Agent (InstanceName)1

Standardinstanz: SQLServerAgent

Benannte Instanz: SQLAgent$InstanceName

Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.

Der Pfad der ausführbaren Datei ist \MSSQL\Binn\sqlagent.exe.

MindestberechtigungenFunktionalität
Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein. 
Das Konto muss über die folgenden Windows-Berechtigungen verfügen:Anmelden als Dienst Ersetzen von Token auf Prozessebene Anpassen von Speicherkontingenten für einen Prozess Umgehen von durchsuchenden Prüfungen.

Analysis Services-Dienste (InstanceName)

Standardinstanz: MSSQLServerOLAPService

Benannte Instanz: MSOLAP$InstanceName

Der Dienst, der OLAP- (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen bereitstellt.

Der Pfad der ausführbaren Datei ist \OLAP\Bin\msmdsrv.exe.

 

Reporting Services

Standardinstanz: ReportServer

Benannte Instanz: ReportServer$InstanceName

Wird zum Verwalten, Ausführen, Erstellen, Planen und Übermitteln von Berichten verwendet.

Der Pfad der ausführbaren Datei ist \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Integration Services

Standardinstanz oder benannte Instanz: MSDTSServer

Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit.

Der Pfad der ausführbaren Datei ist \DTS\Binn\msdtssrvr.exe.

 

Volltextsuche

Standardinstanz oder benannte Instanz: SQL-Volltextfilterdaemon-Startprogramm

Dienst zum Starten des Volltextfilterdaemon-Prozesses zur Dokumentenfilterung und Wörtertrennung für die SQL Server-Volltextsuche.

 

SQL Server-Browser

Standardinstanz oder benannte Instanz: SQLBrowser

Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt. Dieser Dienst wird für mehrere Instanzen von SQL Server und SSIS freigegeben.

Der Pfad der ausführbaren Datei ist <Laufwerk>:\Programme\Microsoft SQL Server\100\Shared\sqlbrowser.exe.

 

Hilfsdienst von SQL Server für Active Directory

Standardinstanz oder benannte Instanz: MSSQLServerADHelper

Veröffentlicht und verwaltet SQL Server-Dienste in Windows Active Directory.

Der Pfad der ausführbaren Datei ist <Laufwerk>:\Programme\Microsoft SQL Server\100\Shared\sqladhelper.exe.

 

SQL Writer

SQLWriter

Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS-Framework (Volume Shadow Copy Service, Volumeschattenkopie-Dienst). Vom SQL Writer-Dienst gibt es nur eine einzelne Instanz für alle SQL Server-Instanzen auf dem Server.

Der Pfad der ausführbaren Datei ist <Laufwerk>:\Programme\Microsoft SQL Server\100\Shared\sqlwriter.exe.

 

1Der SQL Server-Agent-Dienst ist auf Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert.

Überprüfen zusätzlicher Aspekte

In der folgenden Tabelle werden die Berechtigungen angezeigt, die für SQL Server-Dienste erforderlich sind, damit sie zusätzliche Funktionen bereitstellen:

Dienst/Anwendung

Funktionalität

Erforderliche Berechtigung

SQL Server (MSSQLSERVER)

Schreiben in einen Mailslot mithilfe von xp_sendmail.

Netzwerkschreibberechtigungen.

SQL Server (MSSQLSERVER)

Ausführen von xp_cmdshell für einen Benutzer, der kein SQL Server-Administrator ist.

Einsetzen als Teil des Betriebssystems und Ersetzen von Token auf Prozessebene.

SQL Server-Agent (MSSQLSERVER)

Verwenden des Features für den automatischen Neustart.

Muss Mitglied der lokalen Administrators-Gruppe sein.

Optimierungsratgeber für Database Engine (Datenbankmodul)

Optimiert Datenbanken für eine optimale Abfrageleistung.

Bei der ersten Verwendung muss ein Benutzer mit Anmeldeinformationen als Systemadministrator die Anwendung initialisieren. Nach der Initialisierung können dbo-Benutzer mithilfe des Optimierungsratgebers für Database Engine (Datenbankmodul) nur diejenigen Tabellen optimieren, die sie besitzen. Weitere Informationen finden Sie unter "Initialisieren des Database Engine (Datenbankmodul)-Optimierungsratgebers" in der SQL Server-Onlinedokumentation.

Wichtiger HinweisWichtig

Aktivieren Sie vor dem Aktualisieren auf SQL Server die Windows-Authentifizierung für den SQL Server-Agent, und überprüfen Sie die erforderliche Standardkonfiguration, d. h., das Konto des SQL Server-Agentdiensts muss Mitglied der SQL Serversysadmin-Gruppe sein.

Lokalisierte Dienstnamen

In der folgenden Tabelle sind Dienstnamen aufgeführt, die in lokalisierten Versionen von Windows angezeigt werden.

Sprache

Name für lokalen Dienst

Name für Netzwerkdienst

Name für lokales System

Name für Administratorgruppe

Englisch

Chinesisch (vereinfacht)

Chinesisch (traditionell)

Koreanisch

Japanisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Deutsch

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Französisch

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

Italienisch

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Spanisch

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Änderungsverlauf

Aktualisierter Inhalt

Dem Einführungsabschnitt wurde ein Hinweis zu den Tools hinzugefügt, mit denen die Kontoeinstellungen für SQL Server 2008 konfiguriert oder geändert werden können.

Die Parameter für die unbeaufsichtigte Installation in der Tabelle "Konfigurieren des Starttyps für den Dienst" wurden aktualisiert.

Der Tabelle "Überprüfen der für SQL Server-Dienstkonten erteilten Windows NT-Rechte und -Privilegien" wurden Warnungen zur Verdeutlichung der Berechtigungen hinzugefügt, die den Dienst-SIDs gewährt werden.