Auswählen eines Kontos für den SQL Server-Agent-Dienst
Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem der SQL Server-Agent ausgeführt wird, und legt dessen Netzwerkberechtigungen fest. Der SQL Server-Agent wird als angegebenes Benutzerkonto ausgeführt. Sie wählen ein Konto für den SQL Server-Agent-Dienst mithilfe des SQL Server-Konfigurations-Managers aus. Dort können Sie zwischen folgenden Optionen wählen:
Integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:
Lokales Systemkonto. Der Name dieses Kontos lautet NT-AUTORITÄT\System. Hierbei handelt es sich um ein Konto mit weit reichenden Befugnissen, das über unbeschränkten Zugriff auf alle lokalen Systemressourcen verfügt. Es ist ein Mitglied der Windows-Gruppe Administratoren auf dem lokalen Computer und somit Mitglied der festen Serverrolle sysadmin in SQL Server.
Sicherheitshinweis Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Ein lokales Systemkonto verfügt über Berechtigungen, die für den SQL Server-Agent nicht erforderlich sind. Vermeiden Sie die Ausführung des SQL Server-Agents als lokales Systemkonto. Zur Verbesserung der Sicherheit sollten Sie ein Windows-Domänenkonto zusammen mit den im folgenden Abschnitt "Berechtigungen für Windows-Domänenkonten" aufgelisteten Berechtigungen verwenden.
Dieses Konto. Hier können Sie das Windows-Domänenkonto angeben, unter dem der SQL Server-Agent-Dienst ausgeführt wird. Das von Ihnen ausgewählte Windows-Benutzerkonto sollte kein Mitglied der Windows-Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server-Agent-Diensts kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter "Unterstützte Dienstkontotypen" weiter unten in diesem Thema.
Berechtigungen für Windows-Domänenkonten
Zur Verbesserung der Sicherheit sollten Sie die Option Dieses Konto auswählen, um ein Windows-Domänenkonto anzugeben. Das von Ihnen angegebene Windows-Domänenkonto muss folgende Berechtigungen haben:
- Berechtigung zum Anmelden als Dienst für alle Windows-Versionen (SeServiceLogonRight)
Hinweis |
---|
Das Konto des SQL Server-Agent-Diensts muss Teil der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein. Andernfalls führen Aufträge im Besitz von Domänenbenutzern, die keine Mitglieder der Windows-Gruppe Administratoren sind, zu Fehlern. |
Auf Servern unter Windows erfordert das vom SQL Server-Agent-Dienst ausgeführte Konto folgende Berechtigungen, um Proxys für den SQL Server-Agent unterstützen zu können.
Berechtigung zum Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)
Berechtigung zum Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)
Berechtigung zum Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)
Berechtigung zum Anmelden mithilfe der Batchanmeldung (SeBatchLogonRight)
Hinweis |
---|
Wenn das Konto nicht über die Berechtigungen verfügt, die zur Unterstützung von Proxys erforderlich sind, können Aufträge nur von Mitgliedern der festen Serverrolle sysadmin erstellt werden. |
Hinweis |
---|
Um WMI-Warnbenachrichtigungen zu empfangen, muss das Dienstkonto des SQL Server-Agents über die Berechtigung für den Namespace verfügen, der die WMI-Ereignisse enthält. Außerdem muss es dazu berechtigt sein, EREIGNISBERECHTIGUNGEN ZU ÄNDERN. |
SQL Server-Rollenmitgliedschaft
Das Konto, als das der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden SQL Server-Rollen sein:
Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein.
Um die Multiserver-Auftragsverarbeitung verwenden zu können, muss das Konto Mitglied der msdb-Datenbankrolle TargetServersRole auf dem Masterserver sein.
Unterstützte Dienstkontotypen
In der folgenden Tabelle werden die Windows-Kontotypen aufgelistet, die für den SQL Server-Agent-Dienst verwendet werden können.
Dienstkontotyp |
Nicht gruppierter Server |
Gruppierter Server |
Domänencontroller (nicht gruppiert) |
---|---|---|---|
Microsoft Windows-Domänenkonto (Mitglied der Windows-Administratorengruppe) |
Unterstützt |
Unterstützt |
Unterstützt |
Windows-Domänenkonto (kein Administratorkonto) |
Unterstützt1 |
Unterstützt1 |
Unterstützt1 |
Netzwerkdienstkonto (NT AUTHORITY\NetworkService) |
Unterstützt1, 3, 4 |
Nicht unterstützt |
Nicht unterstützt |
Lokales Benutzerkonto (kein Administratorkonto) |
Unterstützt1 |
Nicht unterstützt |
Nicht zutreffend |
Lokales Systemkonto (NT AUTHORITY\System) |
Unterstützt2 |
Nicht unterstützt |
Unterstützt2 |
Lokales Dienstkonto (NT AUTHORITY\LocalService) |
Nicht unterstützt |
Nicht unterstützt |
Nicht unterstützt |
1 Weitere Informationen zu Einschränkung 1 finden Sie weiter unten.
2 Weitere Informationen zu Einschränkung 2 finden Sie weiter unten.
3 Weitere Informationen zu Einschränkung 3 finden Sie weiter unten.
4 Weitere Informationen zu Einschränkung 4 finden Sie weiter unten.
Einschränkung 1: Verwenden von Nichtadministratorkonten für die Multiserververwaltung
Beim Eintragen von Zielservern auf einem Masterserver kann ein Fehler mit einer Fehlermeldung, die der folgenden ähnlich ist, auftreten: "Fehler beim Eintragen."
Starten Sie SQL Server und die SQL Server-Agent-Dienste neu, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Starten, Beenden, Anhalten, Fortsetzen und Neustarten des Datenbankmoduls, SQL Server-Agent oder des SQL Server-Browsers.
Einschränkung 2: Verwenden des lokalen Systemkontos für die Multiserververwaltung
Die Multiserververwaltung wird bei Ausführung des SQL Server-Agent-Diensts unter dem lokalen Systemkonto nur dann unterstützt, wenn sich der Masterserver und der Zielserver auf demselben Computer befinden. Wenn Sie diese Konfiguration verwenden, wird beim Eintragen der Zielserver auf dem Masterserver etwa die folgende Meldung zurückgegeben:
"Stellen Sie sicher, dass das Agentstartkonto für <target_server_computer_name> Rechte zur Anmeldung als Zielserver besitzt."
Sie können diese zu Informationszwecken ausgegebene Meldung ignorieren. Der Eintragungsvorgang wird dennoch erfolgreich abgeschlossen. Weitere Informationen finden Sie unter Erstellen einer Multiserverumgebung.
Einschränkung 3: Verwenden des Netzwerkdienstkontos als SQL Server-Benutzer
Beim SQL Server-Agent kann ein Fehler erzeugt werden, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und dem Netzwerkdienstkonto explizit der Zugriff auf eine SQL Server-Instanz als SQL Server-Benutzer erteilt wurde.
Starten Sie den Computer, auf dem SQL Server ausgeführt wird, neu, um diesen Fehler zu beheben. Dies muss nur einmal erfolgen.
Einschränkung 4: Verwenden des Netzwerkdienstkontos bei Ausführung von SQL Server Reporting Services auf demselben Computer
Beim SQL Server-Agent kann ein Fehler erzeugt werden, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und Reporting Services ebenfalls auf demselben Computer ausgeführt wird.
Starten Sie den Computer, auf dem SQL Server ausgeführt wird, neu, um diesen Fehler zu beheben. Starten Sie anschließend SQL Server und die SQL Server-Agent-Dienste neu. Dies muss nur einmal erfolgen.
Allgemeine Aufgaben
So geben Sie das Startkonto für den SQL Server-Agent-Dienst an
So geben Sie das Mailprofil für den SQL Server-Agent an
Hinweis |
---|
Verwenden Sie den SQL Server-Konfigurations-Manager, um anzugeben, dass der SQL Server-Agent beim Start des Betriebssystems starten soll. |
Siehe auch
Verweis
Konfigurieren von Windows-Dienstkonten und -Berechtigungen
Konzepte
Implementieren der SQL Server-Agent-Sicherheit
Andere Ressourcen
Verwalten von Diensten: Themen zur Vorgehensweise (SQL Server-Konfigurations-Manager)