Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
SQL Server
Az SQL Server minden szolgáltatása egy folyamatot vagy folyamatkészletet jelöl az SQL Server-műveletek windowsos hitelesítésének kezeléséhez. Ez a cikk az SQL Server jelen kiadásában található szolgáltatások alapértelmezett konfigurációját, valamint az SQL Server telepítése során és után megadható SQL Server-szolgáltatások konfigurációs beállításait ismerteti. Ez a cikk segítséget nyújt a felhasználóknak a szolgáltatásfiókok részleteinek megértésében.
A legtöbb szolgáltatás és azok tulajdonságai az SQL Server Configuration Managerrel konfigurálhatók. Az alábbiakban a legutóbbi verziók elérési útjait mutatjuk be, amikor a Windows telepítve van a C meghajtóra.
| SQL Server-verzió | Útvonal |
|---|---|
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
Az Azure Arc által engedélyezett SQL Server
Az SQL Serverhez készült Azure-bővítmény által megkövetelt engedélyekért lásd: Windows-szolgáltatásfiókok és engedélyek konfigurálása az AZURE-bővítményhez az SQL Serverhez.
Az SQL Server által telepített szolgáltatások
A telepíteni kívánt összetevőktől függően az SQL Server telepítője a következő szolgáltatásokat telepíti:
| Szolgáltatás | Leírás |
|---|---|
| SQL Server Database Services | Az SQL Server relációs adatbázismotor szolgáltatása. A végrehajtható fájl a következő \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe: . |
| SQL Server-ügynök | Végrehajtja a feladatokat, figyeli az SQL Servert, riasztásokat aktivál, és lehetővé teszi bizonyos felügyeleti feladatok automatizálását. Az SQL Server Agent szolgáltatás jelen van, de le van tiltva az SQL Server Express példányai esetén. A végrehajtható fájl a következő \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe: . |
| Elemzési Szolgáltatások | Online elemzési feldolgozást (OLAP) és adatbányászati funkciókat biztosít üzletiintelligencia-alkalmazásokhoz. A végrehajtható fájl a következő \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe: . |
| Jelentési Szolgáltatások | Kezeli, végrehajtja, létrehozza, ütemezi és kézbesíti a jelentéseket. A végrehajtható fájl a következő \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe: . |
| Integrációs Szolgáltatások | Felügyeleti támogatást nyújt az Integration Services-csomagok tárolásához és végrehajtásához. A végrehajtható elérési út a következő \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe: . |
Az Integrációs szolgáltatások további szolgáltatásokat is tartalmazhatnak a kibővített üzembe helyezéshez. További információ : Útmutató: Integrációs szolgáltatások (SSIS) vertikális felskálázása.
| Szolgáltatás | Leírás |
|---|---|
| SQL Server Böngésző | A névfeloldási szolgáltatás, amely SQL Server-kapcsolatadatokat biztosít az ügyfélszámítógépekhez. A végrehajtható elérési út a következő: C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Teljes szöveges keresés | A strukturált és félstrukturált adatok tartalmára és tulajdonságaira vonatkozó teljes szöveges indexek gyorsan létrehozhatók, hogy dokumentumszűrést és szótörést biztosítsanak az SQL Server számára. |
| SQL-író | Lehetővé teszi az alkalmazások biztonsági mentését és visszaállítását a Kötet árnyékmásolata szolgáltatás (VSS) keretrendszerben. |
| SQL Server elosztott visszajátszásvezérlő | Nyomkövetési visszajátszás vezénylését biztosítja több elosztott lejátszású ügyfélszámítógépen. |
| Elosztott SQL Server-visszajátszási ügyfél | Egy vagy több elosztott visszajátszási ügyfélszámítógép, amely egy elosztott lejátszásvezérlővel együttműködve szimulálja az egyidejű számítási feladatokat az SQL Server adatbázismotor egy példányán. |
| SQL Server Launchpad | Megbízható szolgáltatás, amely a Microsoft által biztosított külső végrehajtható fájlokat üzemelteti, például az R-szolgáltatások vagy a Machine Learning Services részeként telepített R- vagy Python-futtatókörnyezeteket. A műholdas folyamatokat a Launchpad folyamat indíthatja el, de az erőforrás az adott példány konfigurációja alapján van szabályozva. A Launchpad szolgáltatás a saját felhasználói fiókjában fut, és egy adott, regisztrált futtatókörnyezet minden műholdas folyamata örökli a Launchpad felhasználói fiókját. A műholdas folyamatokat igény szerint hozzák létre és pusztítják el a végrehajtási idő alatt. A Launchpad nem tudja létrehozni a használt fiókokat, ha az SQL Servert olyan számítógépre telepíti, amelyet szintén tartományvezérlőként használ. Ezért az R-szolgáltatások (In-Database) vagy a Machine Learning Services (In-Database) beállítása meghiúsul egy tartományvezérlőn. |
| SQL Server PolyBase-rendszer | Elosztott lekérdezési képességeket biztosít külső adatforrásokhoz. |
| SQL Server PolyBase adatáthelyezési szolgáltatás | Lehetővé teszi az adatáthelyezést az SQL Server és a külső adatforrások, valamint a PolyBase-méretezési csoportok SQL-csomópontjai között. |
AZ SQL Server által telepített CEIP-szolgáltatások
Az Ügyfélélmény fokozása program (CEIP) szolgáltatástelemetriai adatokat küld vissza a Microsoftnak.
A telepíteni kívánt összetevőktől függően az SQL Server telepítése a következő CEIP-szolgáltatásokat telepíti.
| Szolgáltatás | Leírás |
|---|---|
| SQLTELEMETRY | A Felhasználói élmény fokozása program, amely visszaküldi az adatbázismotor telemetriai adatait a Microsoftnak. |
| SSASTELEMETRIA | A Felhasználói élmény fokozása program, amely SSAS-telemetriai adatokat küld vissza a Microsoftnak. |
| SSISTELEMETRIA | Az Ügyfélélmény fokozása program, amely SSIS telemetriai adatokat küld vissza a Microsoftnak. |
Szolgáltatástulajdonságok és konfiguráció
Az SQL Server indításához és futtatásához használt indítási fiókok lehetnek tartományi felhasználói fiókok, helyi felhasználói fiókok, felügyelt szolgáltatásfiókok, virtuális fiókok vagy beépített rendszerfiókok. Az indításhoz és a futtatáshoz az SQL Server minden szolgáltatásának rendelkeznie kell egy indítási fiókkal a telepítés során.
Megjegyzés:
Az SQL Server 2016 (13.x) és újabb verzióihoz készült SQL Server feladatátvevő fürtpéldány esetén a tartományi felhasználói fiókok vagy a csoport által felügyelt szolgáltatásfiókok használhatók indítási fiókként az SQL Serverhez.
Ez a szakasz az SQL Server-szolgáltatások indítására konfigurálható fiókokat, az SQL Server Telepítő által használt alapértelmezett értékeket, a szolgáltatásonkénti SID-k fogalmát, az indítási beállításokat és a tűzfal konfigurálását ismerteti.
- Alapértelmezett szolgáltatásfiókok
- Automatikus indítás
- A Szolgáltatás StartupType konfigurálása
- Tűzfalport
Alapértelmezett szolgáltatásfiókok
Az alábbi táblázat az összes összetevő telepítésekor a telepítő által használt alapértelmezett szolgáltatásfiókokat sorolja fel. A felsorolt alapértelmezett fiókok az ajánlott fiókok, kivéve a feljegyzett fiókokat.
Önálló kiszolgáló vagy tartományvezérlő
| Összetevő | Windows Server 2008 | Windows 7, Windows Server 2008 R2 és újabb |
|---|---|---|
| Adatbázismotor | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| SQL Server-ügynök | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| SSAS | HÁLÓZATI SZOLGÁLTATÁS | Virtuális fiók12 |
| SSIS (SQL Server Intergrációs Szolgáltatások) | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| SSRS-ből | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| SQL Server elosztott visszajátszásvezérlő | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| Elosztott SQL Server-visszajátszási ügyfél | HÁLÓZATI SZOLGÁLTATÁS | 1. virtuális fiók |
| FD Launcher (Teljes szöveges keresés) | HELYI SZOLGÁLTATÁS | Virtuális fiók |
| SQL Server Böngésző | HELYI SZOLGÁLTATÁS | HELYI SZOLGÁLTATÁS |
| SQL Server VSS-író | HELYI RENDSZER | HELYI RENDSZER |
| Advanced Analytics-bővítmények | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| PolyBase motor | HÁLÓZATI SZOLGÁLTATÁS | HÁLÓZATI SZOLGÁLTATÁS |
| PolyBase adatáthelyezési szolgáltatás | HÁLÓZATI SZOLGÁLTATÁS | HÁLÓZATI SZOLGÁLTATÁS |
1 Ha az SQL Server-számítógépen kívüli erőforrásokra van szükség, a Microsoft egy felügyelt szolgáltatásfiók (MSA) használatát javasolja, amely a szükséges minimális jogosultságokkal van konfigurálva.
2 Amikor tartományvezérlőre van telepítve, a szolgáltatásfiókként használt virtuális fiók nem támogatott.
SQL Server feladatátvevő fürtpéldány
| Összetevő | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Adatbázismotor | Nincs. Adjon meg egy tartományi felhasználói fiókot. | Adjon meg egy tartományi felhasználói fiókot. |
| SQL Server-ügynök | Nincs. Adjon meg egy tartományi felhasználói fiókot. | Adjon meg egy tartományi felhasználói fiókot. |
| SSAS | Nincs. Adjon meg egy tartományi felhasználói fiókot. | Adjon meg egy tartományi felhasználói fiókot. |
| SSIS (SQL Server Intergrációs Szolgáltatások) | HÁLÓZATI SZOLGÁLTATÁS | Virtuális fiók |
| SSRS-ből | HÁLÓZATI SZOLGÁLTATÁS | Virtuális fiók |
| FD Launcher (Teljes szöveges keresés) | HELYI SZOLGÁLTATÁS | Virtuális fiók |
| SQL Server Böngésző | HELYI SZOLGÁLTATÁS | HELYI SZOLGÁLTATÁS |
| SQL Server VSS-író | HELYI RENDSZER | HELYI RENDSZER |
Fióktulajdonságok módosítása
Fontos
Mindig használja az SQL Server-eszközöket, például az SQL Server Configuration Managert az SQL Server adatbázismotorja vagy az SQL Server Agent szolgáltatásai által használt fiók módosításához, vagy a fiók jelszavának módosításához. A fiók nevének módosítása mellett az SQL Server Configuration Manager további konfigurációkat is végrehajt, például frissíti a Helyi Windows biztonsági tárolót, amely védi az adatbázismotor szolgáltatás főkulcsát. Más eszközök, például a Windows Services Control Manager megváltoztathatják a fiók nevét, de nem módosítják az összes szükséges beállítást.
Ha bármely SQL-szolgáltatás szolgáltatásfiókjait más módon módosítja, az váratlan viselkedéshez vagy hibákhoz vezethet. Ha például az SQL Agent szolgáltatásfiókját egy tartományi fiókra módosítja a Windows-szolgáltatások kisalkalmazásával, láthatja, hogy az operációs rendszert (Cmdexec), replikációt vagy SSIS-feladatot használó SQL-ügynök-feladatok az alábbihoz hasonló hibával meghiúsulhatnak:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.A hiba elhárításához tegye a következőket az SQL Server Configuration Managerrel:
- Ideiglenesen módosítsa az SQL Agent szolgáltatásfiókját alapértelmezett virtuális fiókra (alapértelmezett példány: NT Service\SQLSERVERAGENT. Névvel ellátott példány: NT Service\SQLAGENT$<instance_name>.)
- Az SQL Server Agent Service újraindítása
- A szolgáltatásfiók visszaállítása a kívánt tartományi fiókra
- Az SQL Server Agent szolgáltatás újraindítása
SharePoint-farmban üzembe helyezhető Analysis Services-példányok esetén mindig a SharePoint Központi felügyeletével módosíthatja a Power Pivot szolgáltatásalkalmazások és az Analysis Services szolgáltatás kiszolgálófiókjait. A társított beállítások és engedélyek a központi felügyelet használatakor az új fiókadatok használatára frissülnek.
A Reporting Services beállításainak módosításához használja a Reporting Services konfigurációs eszközét.
Felügyelt szolgáltatásfiókok, csoport által felügyelt szolgáltatásfiókok és virtuális fiókok
A felügyelt szolgáltatásfiókok, a csoport által felügyelt szolgáltatásfiókok és a virtuális fiókok úgy vannak kialakítva, hogy olyan kulcsfontosságú alkalmazásokat biztosítsanak, mint például az SQL Server saját fiókjaik elkülönítése, ugyanakkor nincs szükség arra, hogy a rendszergazda manuálisan felügyelje a szolgáltatásnévnevet (SPN) és a hitelesítő adatokat ezen fiókokhoz. Ezek sokkal egyszerűbbé teszik a szolgáltatásfiókok felhasználóinak, jelszavainak és egyszerű szolgáltatásneveinek hosszú távú kezelését.
-
A felügyelt szolgáltatásfiókok (MSA) a tartományvezérlő által létrehozott és felügyelt tartományi fiókok egy típusa. A szolgáltatás futtatásához egyetlen tagszámítógéphez van hozzárendelve. A jelszót a tartományvezérlő automatikusan kezeli. Nem használhat MSA-t a számítógépre való bejelentkezéshez, de a számítógép MSA használatával elindíthat egy Windows-szolgáltatást. Az MSA képes regisztrálni egy egyszerű szolgáltatásnevet (SPN) az Active Directoryban olvasási és írási servicePrincipalName engedélyek megadásakor. Az MSA neve például
DOMAIN\ACCOUNTNAME$utótaggal$van elnevezve. MSA megadásakor hagyja üresen a jelszót. Mivel egy MSA egyetlen számítógéphez van rendelve, nem használható a Windows-fürt különböző csomópontjain.Megjegyzés:
Az MSA-t a tartományi rendszergazdának létre kell hoznia az Active Directoryban, mielőtt az SQL Server telepítője használhatja az SQL Server-szolgáltatásokhoz.
Csoport által felügyelt szolgáltatásfiókok
A csoportosan felügyelt szolgáltatásfiókok (gMSA) több kiszolgáló MSA-jának számít. A Windows egy kiszolgálócsoporton futó szolgáltatások szolgáltatásfiókját kezeli. Az Active Directory automatikusan frissíti a csoport által felügyelt szolgáltatásfiók jelszavát a szolgáltatások újraindítása nélkül. Az SQL Server-szolgáltatásokat úgy konfigurálhatja, hogy csoport által felügyelt szolgáltatásfiókot használjon. Az SQL Server az SQL Server 2014-től kezdve támogatja a különálló példányokhoz, az SQL Server 2016-os és újabb verzióihoz pedig a feladatátvevő fürtpéldányokhoz és a rendelkezésre állási csoportokhoz tartozó csoport által felügyelt szolgáltatásfiókokat.
Ha gMSA-t szeretne használni az SQL Server 2014-hez vagy újabb verziókhoz, az operációs rendszernek Windows Server 2012 R2 vagy újabb operációs rendszernek kell lennie. A Windows Server 2012 R2-vel rendelkező kiszolgálókhoz kb 2998082 kell alkalmazni, hogy a szolgáltatások a jelszó módosítása után azonnal zavartalanul bejelentkezhessenek.
További információt a Windows Server 2016-os és újabb verziók csoportos felügyeltszolgáltatás-fiókjai című témakörben talál. A Windows Server korábbi verzióival kapcsolatban lásd a csoportosan felügyelt szolgáltatásfiókokat.
Megjegyzés:
A gMSA-t a tartományi rendszergazdának létre kell hoznia az Active Directoryban, mielőtt az SQL Server telepítője használhatja az SQL Server-szolgáltatásokhoz.
-
A virtuális fiókok (a Windows Server 2008 R2-től és a Windows 7-től kezdve) felügyelt helyi fiókok , amelyek a szolgáltatásfelügyelet egyszerűsítése érdekében az alábbi funkciókat biztosítják. A virtuális fiók automatikusan felügyelt, és a virtuális fiók egy tartományi környezetben érheti el a hálózatot. Ha az SQL Server beállítása során a szolgáltatásfiókok alapértelmezett értékét használják, a rendszer a szolgáltatásnévként használt példánynevet használó virtuális fiókot használja a formátumban
NT SERVICE\<SERVICENAME>. A virtuális fiókként futó szolgáltatások a számítógépfiók hitelesítő adataival férnek hozzá a hálózati erőforrásokhoz<domain_name>\<computer_name>$formátumban. Ha virtuális fiókot ad meg az SQL Server indításához, hagyja üresen a jelszót. Ha a virtuális fiók nem tudja regisztrálni a szolgáltatásnévnevet (SPN), regisztrálja manuálisan az egyszerű szolgáltatásnevet. Az egyszerű szolgáltatásnév manuális regisztrálásával kapcsolatos további információkért lásd a kézi egyszerű szolgáltatásnév-regisztrációt.Megjegyzés:
A virtuális fiókok nem használhatók az SQL Server feladatátvevő fürtpéldányához, mert a virtuális fiók nem rendelkezik ugyanazzal a biztonsági azonosítóval a fürt minden csomópontján.
Az alábbi táblázat példákat sorol fel a virtuális fiókok nevére.
Szolgáltatás Virtuális fiók neve Az Adatbázismotor szolgáltatás alapértelmezett példánya NT SERVICE\MSSQLSERVEREgy adatbázismotor-szolgáltatás nevesített példánya PAYROLLNT SERVICE\MSSQL$PAYROLLSQL Server Agent szolgáltatás az SQL Server alapértelmezett példányán NT Service\SQLSERVERAGENTSQL Server Agent szolgáltatás az SQL Server egy nevesített példányán PAYROLLNT SERVICE\SQLAGENT$PAYROLL
A felügyelt szolgáltatásfiókokkal és virtuális fiókokkal kapcsolatos további információkért tekintse meg a szolgáltatásfiókok részletes útmutatója és a felügyelt szolgáltatásfiókok gyakori kérdéseinek (GYIK)felügyelt szolgáltatásfiókok és virtuális fiókok fogalmai című szakaszát.
Megjegyzés:
Mindig a lehető legalacsonyabb felhasználói jogosultságokkal futtassa az SQL Server-szolgáltatásokat. Ha lehetséges, használjon MSA-t, gMSA-t vagy virtuális fiókot . Ha az MSA, a gMSA és a virtuális fiókok nem lehetségesek, használjon egy adott alacsony jogosultságú felhasználói fiókot vagy tartományi fiókot az SQL Server-szolgáltatások megosztott fiókja helyett. Használjon külön fiókokat a különböző SQL Server-szolgáltatásokhoz. Ne adjon további engedélyeket az SQL Server szolgáltatásfiókjának vagy a szolgáltatáscsoportoknak. Az engedélyek csoporttagságon keresztül vagy közvetlenül egy szolgáltatás sid-nek vannak megadva, ahol a szolgáltatás biztonsági azonosítója támogatott.
Automatikus indítás
A felhasználói fiókok mellett minden szolgáltatás három lehetséges indítási állapottal rendelkezik, amelyeket a felhasználók szabályozhatnak:
- Fogyatékos. A szolgáltatás telepítve van, de jelenleg nem fut.
- Kézikönyv. A szolgáltatás telepítve van, de csak akkor indul el, ha egy másik szolgáltatásnak vagy alkalmazásnak szüksége van a működésére.
- Automatikus. A szolgáltatást az operációs rendszer automatikusan elindítja.
A beállítás során az indítási állapot van kiválasztva. Névvel ellátott példány telepítésekor az SQL Server Browser szolgáltatást automatikusan el kell indítani.
Szolgáltatások konfigurálása felügyelet nélküli telepítés során
Az alábbi táblázat a telepítés során konfigurálható SQL Server-szolgáltatásokat mutatja be. Felügyelet nélküli telepítés esetén használhatja a kapcsolókat egy konfigurációs fájlban vagy egy parancssorban.
| SQL Server-szolgáltatás neve | Kapcsolók felügyelet nélküli telepítéshez 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Integrációs Szolgáltatások | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| SQL Server elosztott visszajátszásvezérlő | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Elosztott SQL Server-visszajátszási ügyfél | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R-szolgáltatások vagy Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| PolyBase motor | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 A felügyelet nélküli telepítésekkel kapcsolatos további információkért és mintaszintaxisért tekintse meg az SQL Server parancssorból való telepítését ismertető témakört.
2 Az SQL Server Agent szolgáltatás le van tiltva az SQL Server Express és az SQL Server Express speciális szolgáltatásokkal rendelkező példányainál.
3 A Launchpad-fiók beállítása a kapcsolókon keresztül jelenleg nem támogatott. A fiók és más szolgáltatásbeállítások módosításához használja az SQL Server Configuration Managert.
Tűzfalport
A legtöbb esetben az adatbázismotort a telepítéskor olyan eszközökkel lehet csatlakoztatni, mint az SQL Server Management Studio, amely az SQL Serverrel azonos számítógépre van telepítve. Az SQL Server telepítője nem nyit portokat a Windows tűzfalon. Előfordulhat, hogy más számítógépekről nem lehet kapcsolatokat létesíteni, amíg az adatbázismotor nem konfigurálva van egy TCP-port figyelésére, és a megfelelő port meg van nyitva a Windows tűzfalon lévő kapcsolatokhoz. További információ: A Windows tűzfal konfigurálása az SQL Server Accessengedélyezéséhez.
Szolgáltatásengedélyek
Ez a szakasz azOKAT az engedélyeket ismerteti, amelyeket az SQL Server telepítője konfigurál az SQL Server-szolgáltatások szolgáltatásonkénti SID-jeihez.
- Szolgáltatáskonfiguráció és hozzáférés-vezérlés
- Windows-jogosultságok és jogosultságok
- A szolgáltatásonkénti SQL Server SID-knek vagy az SQL Server helyi Windows-csoportjainak megadott fájlrendszer-engedélyek
- Más Windows-felhasználói fiókoknak vagy -csoportoknak adott fájlrendszer-engedélyek
- Szokatlan lemezhelyekkel kapcsolatos fájlrendszer-engedélyek
- További szempontok áttekintése
- Beállításjegyzék-engedélyek
- WMI
- Elnevezett csövek
Szolgáltatáskonfiguráció és hozzáférés-vezérlés
Az SQL Server lehetővé teszi, hogy az egyes szolgáltatások szolgáltatásonkénti SID-jét a szolgáltatás elkülönítése és mélységi védelme érdekében biztosítsa. A szolgáltatásonkénti SID a szolgáltatás nevéből származik, és egyedi az adott szolgáltatásra. Előfordulhat például, hogy az adatbázismotor-szolgáltatás neve egy elnevezett példányhoz tartozó szolgáltatás SID-neve.NT Service\MSSQL$<instance_name> A szolgáltatáselkülönítés lehetővé teszi bizonyos objektumok elérését anélkül, hogy nagy jogosultságú fiókot kellene futtatnia, vagy gyengítenie kellene az objektum biztonsági védelmét. Egy szolgáltatás SID-jét tartalmazó hozzáférés-vezérlési bejegyzés használatával az SQL Server-szolgáltatás korlátozhatja az erőforrásokhoz való hozzáférést.
Megjegyzés:
Windows 7 és Windows Server 2008 R2 (és újabb) rendszereken a szolgáltatásonkénti SID lehet a szolgáltatás által használt virtuális fiók.
A legtöbb összetevő esetében az SQL Server közvetlenül konfigurálja az ACL-t a szolgáltatásonkénti fiókhoz, így a szolgáltatásfiók módosítása az erőforrás-ACL-folyamat megismétlése nélkül is elvégezhető.
Az SSAS telepítésekor létrejön egy szolgáltatásonkénti SID az Analysis Services szolgáltatáshoz. Létrejön egy helyi Windows-csoport, amely a formátumot SQLServerMSASUser$<computer_name>$<instance_name>használja. A szolgáltatásonkénti SID NT SERVICE\MSSQLServerOLAPService tagságot kap a helyi Windows-csoportban, és a helyi Windows-csoport megkapja a megfelelő engedélyeket az ACL-ben. Ha az Analysis Services szolgáltatás elindításához használt fiók módosul, az SQL Server Configuration Managernek módosítania kell bizonyos Windows-engedélyeket (például a szolgáltatásként való bejelentkezés jogát), de a helyi Windows-csoporthoz rendelt engedélyek frissítés nélkül is elérhetők, mert a szolgáltatásonkénti SID nem változott. Ez a módszer lehetővé teszi az Analysis Services szolgáltatás átnevezését a frissítések során.
Az SQL Server telepítése során az SQL Server telepítője létrehoz egy helyi Windows-csoportot az SSAS és az SQL Server Browser szolgáltatás számára. Ezekhez a szolgáltatásokhoz az SQL Server konfigurálja az ACL-t a helyi Windows-csoportokhoz.
A szolgáltatás konfigurációjától függően a szolgáltatás vagy szolgáltatás BIZTONSÁGI azonosítója szolgáltatásfiókja a szolgáltatáscsoport tagjaként lesz hozzáadva a telepítés vagy frissítés során.
Windows-jogosultságok és jogosultságok
A szolgáltatás indításához hozzárendelt fióknak rendelkeznie kell a szolgáltatás indítási, leállítási és szünetelteti engedélyével . Ezt az SQL Server telepítőprogramja automatikusan hozzárendeli. Először telepítse a távoli kiszolgálófelügyeleti eszközöket (RSAT). Tekintse meg a Windows 10 távoli kiszolgálófelügyeleti eszközeit.
Az alábbi táblázat azOKAT az engedélyeket mutatja be, amelyeket az SQL Server telepítője a szolgáltatásonkénti SID-kre vagy az SQL Server-összetevők által használt helyi Windows-csoportokra kér.
| SQL Server szolgáltatás | Az SQL Server telepítője által megadott engedélyek |
|---|---|
|
SQL Server adatbázismotor: (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett példány: NT SERVICE\MSSQLSERVER. Elnevezett példány: NT Service\MSSQL$<instance_name>.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Folyamatszintű jogkivonat cseréje (SeAssignPrimaryTokenPrivilege) A keresztirányú ellenőrzés megkerülése (SeChangeNotifyPrivilege) Folyamat memóriakvótáinak módosítása (SeIncreaseQuotaPrivilege) SQL-író indításának engedélye Az Eseménynapló szolgáltatás olvasásának engedélye A távoli eljáráshívási szolgáltatás olvasásának engedélye |
|
SQL Server-ügynök:1 (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett példány: NT Service\SQLSERVERAGENT. Elnevezett példány: NT Service\SQLAGENT$<instance_name>.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Folyamatszintű jogkivonat cseréje (SeAssignPrimaryTokenPrivilege) A keresztirányú ellenőrzés megkerülése (SeChangeNotifyPrivilege) Folyamat memóriakvótáinak módosítása (SeIncreaseQuotaPrivilege) |
|
SSAS: (Minden jogosultságot egy helyi Windows-csoport kap. Alapértelmezett példány: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Elnevezett példány: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot a SharePoint-példányhoz: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Csak táblázatos: Folyamatmunkakészlet növelése (SeIncreaseWorkingSetPrivilege) Folyamat memóriakvótáinak módosítása (SeIncreaseQuotaPrivilege) Lapok zárolása a memóriában (SeLockMemoryPrivilege) – erre csak akkor van szükség, ha a lapozás teljesen ki van kapcsolva. Csak feladatátvevő fürt telepítése esetén: Ütemezési prioritás növelése (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett példány: NT SERVICE\ReportServer. Elnevezett példány: NT SERVICE\ReportServer$<instance_name>.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) |
|
SSIS: (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett példány és elnevezett példány: NT SERVICE\MsDtsServer150. Az Integration Services nem rendelkezik külön folyamatokkal egy elnevezett példányhoz.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Engedély az alkalmazás eseménynaplójába való íráshoz. A keresztirányú ellenőrzés megkerülése (SeChangeNotifyPrivilege) Ügyfél megszemélyesítése hitelesítés után (SeImpersonatePrivilege) |
|
Teljes szöveges keresés: (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett példány: NT Service\MSSQLFDLauncher. Elnevezett példány: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Folyamat memóriakvótáinak módosítása (SeIncreaseQuotaPrivilege) A keresztirányú ellenőrzés megkerülése (SeChangeNotifyPrivilege) |
|
SQL Server Browser: (Minden jogosultságot egy helyi Windows-csoport kap. Alapértelmezett vagy elnevezett példány: SQLServer2005SQLBrowserUser$<computer_name>. Az SQL Server Browser nem rendelkezik külön eljárással egy elnevezett példányhoz.) |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) |
|
SQL Server VSS-író: (Minden jog a szolgáltatásonkénti SID-nek van megadva. Alapértelmezett vagy elnevezett példány: NT Service\SQLWriter. Az SQL Server VSS-író nem rendelkezik külön folyamatokkal egy elnevezett példányhoz.) |
Az SQLWriter szolgáltatás a HELYI RENDSZER fiók alatt fut, amely rendelkezik az összes szükséges engedéllyel. Az SQL Server beállítása nem ellenőrzi vagy nem ad engedélyeket ehhez a szolgáltatáshoz. |
| SQL Server elosztott visszajátszásvezérlő: | Bejelentkezés szolgáltatásként (SeServiceLogonRight) |
| ELOSZTOTT SQL Server-visszajátszási ügyfél: | Bejelentkezés szolgáltatásként (SeServiceLogonRight) |
| PolyBase motor és DMS: | Bejelentkezés szolgáltatásként (SeServiceLogonRight) |
| Dob: |
Bejelentkezés szolgáltatásként (SeServiceLogonRight) Folyamatszintű jogkivonat cseréje (SeAssignPrimaryTokenPrivilege) A keresztirányú ellenőrzés megkerülése (SeChangeNotifyPrivilege) Folyamat memóriakvótáinak módosítása (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) és SQL Server 2017 (14.x)) | alapértelmezés szerint nem rendelkezik a helyi bejelentkezés engedélyezése engedéllyel |
| Machine Learning Services: "Minden alkalmazáscsomag" [AppContainer] (SQL Server 2019 (15.x)) | Az SQL Server "Binn", R_Services és PYTHON_Services könyvtárainak olvasása és végrehajtása |
1 Az SQL Server Agent szolgáltatás le van tiltva az SQL Server Express példányai esetén.
Az SQL Server szolgáltatásonkénti SID-jeinek vagy helyi Windows-csoportjainak megadott fájlrendszer-engedélyek
Az SQL Server szolgáltatásfiókjainak hozzáféréssel kell rendelkezniük az erőforrásokhoz. A hozzáférés-vezérlési listák a szolgáltatásonkénti SID-hez vagy a helyi Windows-csoporthoz vannak beállítva.
Fontos
Feladatátvevő fürt telepítésekor a megosztott lemezeken lévő erőforrásokat helyi fiók ACL-ére kell állítani.
Az alábbi táblázat az SQL Server telepítője által beállított ACL-eket mutatja be:
| Szolgáltatásfiók a következőhöz: | Fájlok és mappák | Hozzáférés |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Teljes vezérlés |
| Instid\MSSQL\binn | Olvasás, végrehajtás | |
| Instid\MSSQL\data | Teljes vezérlés | |
| Instid\MSSQL\FTData | Teljes vezérlés | |
| Instid\MSSQL\Install | Olvasás, végrehajtás | |
| Instid\MSSQL\Log | Teljes vezérlés | |
| Instid\MSSQL\Repldata | Teljes vezérlés | |
| 150\megosztott | Olvasás, végrehajtás | |
| Instid\MSSQL\Template Data (csak SQL Server Express esetén) | Olvasás | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Teljes vezérlés |
| Instid\MSSQL\Log | Olvasás, írás, törlés, végrehajtás | |
| 150\com | Olvasás, végrehajtás | |
| 150\megosztott | Olvasás, végrehajtás | |
| 150\shared\Errordumps | Olvasás, írás | |
| ServerName\EventLog | Teljes vezérlés | |
| FTS | Instid\MSSQL\FTData | Teljes vezérlés |
| Instid\MSSQL\FTRef | Olvasás, végrehajtás | |
| 150\megosztott | Olvasás, végrehajtás | |
| 150\shared\Errordumps | Olvasás, írás | |
| Instid\MSSQL\Install | Olvasás, végrehajtás | |
| Instid\MSSQL\jobs | Olvasás, írás | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Teljes vezérlés |
| Instid\OLAP | Olvasás, végrehajtás | |
| Instid\Olap\Data | Teljes vezérlés | |
| Instid\Olap\Log | Olvasás, írás | |
| Instid\OLAP\Backup | Olvasás, írás | |
| Instid\OLAP\Temp | Olvasás, írás | |
| 150\shared\Errordumps | Olvasás, írás | |
| ReportServer | Instid\Reporting Services\Log Files | Olvasás, írás, törlés |
| Instid\Reporting Services\ReportServer | Olvasás, végrehajtás | |
| Instid\Reporting Services\ReportServer\global.asax | Teljes vezérlés | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Olvasás | |
| Instid\Reporting Services\RSTempfiles | Olvasás, írás, végrehajtás, törlés | |
| Instid\Reporting Services\RSWebApp | Olvasás, végrehajtás | |
| 150\megosztott | Olvasás, végrehajtás | |
| 150\shared\Errordumps | Olvasás, írás | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Olvasás |
| 150\dts\binn | Olvasás, végrehajtás | |
| 150\megosztott | Olvasás, végrehajtás | |
| 150\shared\Errordumps | Olvasás, írás | |
| SQL Server Böngésző | 150\shared\ASConfig | Olvasás |
| 150\megosztott | Olvasás, végrehajtás | |
| 150\shared\Errordumps | Olvasás, írás | |
| SQLWriter | N/A (helyi rendszerként fut) | |
| Felhasználó | Instid\MSSQL\binn | Olvasás, végrehajtás |
| Instid\Reporting Services\ReportServer | Mappa tartalmának olvasása, végrehajtása, listázása | |
| Instid\Reporting Services\ReportServer\global.asax | Olvasás | |
| Instid\Reporting Services\RSWebApp | Mappa tartalmának olvasása, végrehajtása, listázása | |
| 150\dts | Olvasás, végrehajtás | |
| 150\tools | Olvasás, végrehajtás | |
| 100\tools | Olvasás, végrehajtás | |
| 90\tools | Olvasás, végrehajtás | |
| 80\tools | Olvasás, végrehajtás | |
| 150\sdk | Olvasás | |
| Microsoft SQL Server\150\Setup Bootstrap | Olvasás, végrehajtás | |
| SQL Server elosztott visszajátszásvezérlő | <ToolsDir>\DReplayController\Log\ (üres könyvtár) | Mappa tartalmának olvasása, végrehajtása, listázása |
| <ToolsDir>\DReplayController\DReplayController.exe | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayController\resources|Mappa tartalmának olvasása, végrehajtása, listázása | ||
| <ToolsDir>\DReplayController\{all dlls} | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayController\DReplayController.config | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayController\IRDefinition.xml | Mappa tartalmának olvasása, végrehajtása, listázása | |
| Elosztott SQL Server-visszajátszási ügyfél | <ToolsDir>\DReplayClient\Log|Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayClient\DReplayClient.exe | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayClient\resources|Mappa tartalmának olvasása, végrehajtása, listázása | ||
| <ToolsDir>\DReplayClient\ (minden dll) | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayClient\DReplayClient.config | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Mappa tartalmának olvasása, végrehajtása, listázása | |
| <ToolsDir>\DReplayClient\IRDefinition.xml | Mappa tartalmának olvasása, végrehajtása, listázása | |
| Dob | %binn | Olvasás, végrehajtás |
| ExtensiblilityData | Teljes vezérlés | |
| Log\ExtensibilityLog | Teljes vezérlés |
1 Az SQL Server Agent szolgáltatás le van tiltva az SQL Server Express és az SQL Server Express speciális szolgáltatásokkal rendelkező példányainál.
Ha az adatbázisfájlokat felhasználó által meghatározott helyen tárolják, szolgáltatásonkénti SID-hozzáférést kell biztosítani ehhez a helyhez. További információ a fájlrendszer-engedélyek szolgáltatásonkénti SID-hez való megadásáról: Fájlrendszerengedélyek konfigurálása az adatbázismotor-hozzáféréshez.
Más Windows-felhasználói fiókoknak vagy -csoportoknak adott fájlrendszer-engedélyek
Előfordulhat, hogy bizonyos hozzáférés-vezérlési engedélyeket meg kell adni a beépített fiókoknak vagy más SQL Server-szolgáltatásfiókoknak. Az alábbi táblázat az SQL Server telepítője által beállított további ACL-eket sorolja fel.
| Összetevő kérése | Számla | Erőforrás | Engedélyek |
|---|---|---|---|
| MSSQLServer | Teljesítménynapló-felhasználók | Instid\MSSQL\binn | Mappa tartalmának listázása |
| Teljesítményfigyelő felhasználók | Instid\MSSQL\binn | Mappa tartalmának listázása | |
| Teljesítménynapló-felhasználók, teljesítményfigyelő felhasználók | \WINNT\system32\sqlctr150.dll | Olvasás, végrehajtás | |
| Csak rendszergazda |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Teljes vezérlés | |
| Rendszergazdák, rendszer | \tools\binn\schemas\sqlserver\2004\07\showplan | Teljes vezérlés | |
| Felhasználók | \tools\binn\schemas\sqlserver\2004\07\showplan | Olvasás, végrehajtás | |
| Jelentéskészítési Szolgáltatások | Jelentéskészítő kiszolgáló Windows-szolgáltatásfiókja | <install>\Reporting Services\LogFiles | töröl OLVASÁS_ELLENŐRZÉS SZINKRONIZÁLNI FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
| Jelentéskészítő kiszolgáló Windows-szolgáltatásfiókja | <install>\Reporting Services\ReportServer | Olvasás | |
| Jelentéskészítő kiszolgáló Windows-szolgáltatásfiókja | <install>\Reporting Services\ReportServer\global.asax | Teljes | |
| Jelentéskészítő kiszolgáló Windows-szolgáltatásfiókja | <install>\Reporting Services\RSWebApp | Olvasás, végrehajtás | |
| Mindenki | <install>\Reporting Services\ReportServer\global.asax | OLVASÁS_ELLENŐRZÉS FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
| ReportServer Windows Services-fiók | <\Reporting Services\ReportServer\rsreportserver.config telepítése> | töröl OLVASÁS_ELLENŐRZÉS SZINKRONIZÁLNI FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
| Mindenki | Jelentéskészítő kiszolgáló kulcsai (Instid hive) | Lekérdezési érték Alkulcsok számbavétele Értesít Olvasási vezérlő |
|
| Terminálszolgáltatások felhasználója | Jelentéskészítő kiszolgáló kulcsai (Instid hive) | Lekérdezési érték Érték beállítása Alkulcs létrehozása Alkulcs számbavétele Értesít Törlés Olvasási vezérlő |
|
| Haladó felhasználók | Jelentéskészítő kiszolgáló kulcsai (Instid hive) | Lekérdezési érték Érték beállítása Alkulcs létrehozása Alkulcsok számbavétele Értesít Törlés Olvasási vezérlő |
1 Ez a WMI-szolgáltató névtere.
Szokatlan lemezhelyekkel kapcsolatos fájlrendszer-engedélyek
A telepítési helyek alapértelmezett meghajtója a rendszermeghajtó, általában a C meghajtó. Ez a szakasz további szempontokat ismertet, amikor a tempdb vagy a felhasználói adatbázisok szokatlan helyekre vannak telepítve.
Nem alapértelmezett meghajtó
Ha olyan helyi meghajtóra van telepítve, amely nem az alapértelmezett meghajtó, a szolgáltatásonkénti SID-nek hozzáféréssel kell rendelkeznie a fájl helyéhez. Az SQL Server telepítője kiépíti a szükséges hozzáférést.
Hálózati megosztás
Ha az adatbázisok hálózati megosztásra vannak telepítve, a szolgáltatásfióknak hozzáféréssel kell rendelkeznie a felhasználó és tempdb az adatbázisok fájlhelyéhez. Az SQL Server telepítője nem tudja kiépíteni a hálózati megosztáshoz való hozzáférést. A felhasználónak a telepítés futtatása előtt ki kell adnia a hozzáférést a szolgáltatásfiók tempdb-helyéhez. Az adatbázis létrehozása előtt a felhasználónak ki kell adnia a felhasználói adatbázis helyéhez való hozzáférést.
Megjegyzés:
A virtuális fiókok nem hitelesíthetők távoli helyen. Minden virtuális fiók a gépfiók engedélyét használja. A gépfiók létrehozása a <domain_name>\<computer_name>$formátumban.
További szempontok áttekintése
Az alábbi táblázat azOKAT az engedélyeket mutatja be, amelyek szükségesek az SQL Server-szolgáltatásokhoz a további funkciók biztosításához.
| Szolgáltatás/alkalmazás | Funkcionalitás | Szükséges engedély |
|---|---|---|
| SQL Server (MSSQLSERVER) | Írjon egy e-mail-pontra xp_sendmail használatával. | Hálózati írási engedélyek. |
| SQL Server (MSSQLSERVER) | Futtassa a xp_cmdshell az SQL Server-rendszergazda kivételével. | Az operációs rendszer részeként járjon el, és cserélje le a folyamatszintű jogkivonatot. |
| SQL Server Agent (MSSQLSERVER) | Használja az automatikus újraindítás funkciót. | A Rendszergazdák helyi csoport tagjának kell lennie. |
| Adatbázismotor hangolási tanácsadója | Adatbázisok az optimális lekérdezési teljesítmény érdekében. | Az első használatkor a rendszergazdai hitelesítő adatokkal rendelkező felhasználónak inicializálnia kell az alkalmazást. Az inicializálást követően a dbo-felhasználók az Adatbázismotor hangolási tanácsadója segítségével csak azokat a táblákat hangolhatják, amelyek a tulajdonában vannak. További információ: Az adatbázismotor hangolási tanácsadójának elindítása és használata. |
Fontos
Az SQL Server frissítése előtt engedélyezze az SQL Server-ügynököt, és ellenőrizze a szükséges alapértelmezett konfigurációt: hogy az SQL Server Agent szolgáltatásfiók tagja-e az SQL Server sysadmin rögzített kiszolgálói szerepkörének.
Beállításjegyzék-engedélyek
A beállításjegyzék-hive a példányérzékeny összetevők alatt HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> jön létre. Például:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
A nyilvántartás emellett fenntartja a példányazonosítók példánynévre való térképezését is. A példányazonosító és példánynév leképezés az alábbiak szerint kerül fenntartásra:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
A Windows Management Instrumentation (WMI) képesnek kell lennie csatlakozni az adatbázismotorhoz. Ennek támogatásához a Windows WMI-szolgáltató (NT SERVICE\winmgmt) szolgáltatásonkénti SID-je ki van építve az adatbázismotorban.
Az SQL WMI-szolgáltató minimális engedélyekkel rendelkezik:
A db_ddladmin vagy db_owner rögzített adatbázis-szerepkörök tagsága az
msdbadatbázisban.CREATE DDL EVENT NOTIFICATION engedély a kiszolgálón.
CREATE TRACE EVENT NOTIFICATION permission in the Database Engine.
BÁRMELY ADATBÁZIS kiszolgálószintű engedélyének megtekintése .
Az SQL Server beállítása létrehoz egy SQL WMI-névteret, és olvasási engedélyt ad az SQL Server Agent service-SID számára.
Névvel ellátott csövek
Az SQL Server telepítője minden telepítésben hozzáférést biztosít az SQL Server adatbázismotorhoz a megosztott memóriaprotokollon keresztül, amely egy helyi névvel ellátott cső.
Ellátás
Ez a szakasz bemutatja, hogyan vannak kiépítve fiókok a különböző SQL Server-összetevőkben.
Adatbázismotor kiépítése
A következő fiókok lesznek hozzáadva bejelentkezésként az SQL Server adatbázismotorjában.
Windows-tagok
A telepítés során az SQL Server beállításához legalább egy felhasználói fiókot el kell nevezni a sysadmin rögzített kiszolgálói szerepkör tagjaként.
SA-fiók
Az sa-fiók mindig adatbázismotor-bejelentkezésként van jelen, és tagja a sysadmin rögzített kiszolgálói szerepkörnek. Ha az adatbázismotor csak Windows-hitelesítéssel van telepítve (vagyis ha az SQL Server-hitelesítés nincs engedélyezve), az sa bejelentkezés továbbra is jelen van, de le van tiltva, és a jelszó összetett és véletlenszerű. Az sa-fiók engedélyezésével kapcsolatos információkért lásd: Kiszolgálóhitelesítési mód módosítása.
AZ SQL Server szolgáltatásonkénti SID-bejelentkezése és jogosultságai
Az SQL Server szolgáltatás szolgáltatásonkénti BIZTONSÁGI azonosítója (más néven szolgáltatásbiztonsági tag (SID)) adatbázismotor-bejelentkezésként van kiépítve. A szolgáltatásonkénti SID-bejelentkezés a sysadmin rögzített kiszolgálói szerepkör tagja. A szolgáltatásonkénti SID-ről további információt a Szolgáltatásazonosítók használata az SQL Server szolgáltatásainak engedélyeinek megadásához című témakörben talál.
SQL Server-ügynök bejelentkezése és jogosultságai
Az SQL Server Agent szolgáltatásonkénti SID-azonosítója adatbázismotor-bejelentkezésként van kiépítve. A szolgáltatásonkénti SID-bejelentkezés a sysadmin rögzített kiszolgálói szerepkör tagja.
Always On rendelkezésre állási csoportok és SQL feladatátvevő fürtpéldányok és jogosultságok
Az adatbázismotor Always On rendelkezésre állási csoportként vagy SQL-feladatátvevő fürtpéldányként (SQL FCI) való telepítésekor a LOCAL SYSTEM ki van építve az adatbázismotorban. A HELYI RENDSZER bejelentkezési jogosultsága az ALTER ANY RENDELKEZÉSRE ÁLLÁSI CSOPORT (Always On rendelkezésre állási csoportok esetén) és a VIEW SERVER STATE engedély (SQL FCI esetén).
SQL-író és -jogosultságok
Az SQL Server VSS-író szolgáltatás szolgáltatásonkénti SID-azonosítója adatbázismotor-bejelentkezésként van kiépítve. A szolgáltatásonkénti SID-bejelentkezés a sysadmin rögzített kiszolgálói szerepkör tagja.
SQL WMI és jogosultságok
Az SQL Server Beállítása adatbázismotor-bejelentkezésként helyezi üzembe a NT SERVICE\Winmgmt fiókot, és hozzáadja a sysadmin rögzített kiszolgálói szerepkörhöz.
SSRS kiépítése
A beállítás során megadott fiók az RSExecRole adatbázis-szerepkör tagjaként van kiépítve. További információ: A jelentéskészítő kiszolgáló szolgáltatásfiókjának (SSRS Configuration Manager) konfigurálása.
SSAS kiépítése
Az SSAS szolgáltatásfiókra vonatkozó követelményei a kiszolgáló üzembe helyezésétől függően változnak. Ha a SharePointhoz készült Power Pivotot telepíti, az SQL Server beállításához konfigurálnia kell az Analysis Services szolgáltatást, hogy tartományfiók alatt fusson. A SharePointba beépített felügyelt fiókkezelő eszköz támogatásához tartományi fiókokra van szükség. Emiatt az SQL Server telepítője nem biztosít alapértelmezett szolgáltatásfiókot( például virtuális fiókot) a SharePoint-telepítéshez készült Power Pivothoz. A Power Pivot SharePointhoz való kiépítéséről további információt a Power Pivot szolgáltatásfiókok konfigurálása című témakörben talál.
Az összes többi különálló SSAS-telepítés esetében kiépítheti a szolgáltatást tartományi fiók, beépített rendszerfiók, felügyelt fiók vagy virtuális fiók alatt való futtatáshoz. A fiókkiépítésről további információt a Szolgáltatásfiókok konfigurálása (Analysis Services) című témakörben talál.
Fürtözött telepítések esetén meg kell adnia egy tartományi fiókot vagy egy beépített rendszerfiókot. Sem a felügyelt fiókok, sem a virtuális fiókok nem támogatottak az SSAS-feladatátvevő fürtök esetében.
Minden SSAS-telepítéshez meg kell adnia az Analysis Services-példány rendszergazdáját. A rendszergazdai jogosultságok ki vannak építve az Analysis Services-kiszolgáló szerepkörben.
SSRS kiépítése
A beállítás során megadott fiók ki van építve az adatbázismotorban az RSExecRole adatbázisszerepkör tagjaként. További információ: A jelentéskészítő kiszolgáló szolgáltatásfiókjának (SSRS Configuration Manager) konfigurálása.
Frissítés a korábbi verziókról
Ez a szakasz az SQL Server egy korábbi verziójáról való frissítés során végrehajtott módosításokat ismerteti.
Az SQL Server 2019 (15.x) használatához támogatott operációs rendszer szükséges. Az SQL Server alacsonyabb operációsrendszer-verzión futó korábbi verzióinak frissíteniük kell az operációs rendszert az SQL Server frissítése előtt.
Az SQL Server 2005 (9.x) SQL Server 2019 -re (15.x) való frissítése során a telepítő a következő módon konfigurálja az SQL Server-példányt:
- Az adatbázismotor a szolgáltatásonkénti SID biztonsági környezetével fut. A szolgáltatásonkénti SID hozzáférést kap az SQL Server-példány fájlmappáihoz (például a DATA-hoz) és az SQL Server beállításkulcsaihoz.
- Az adatbázismotor szolgáltatásonkénti SID-azonosítója a sysadmin rögzített kiszolgálói szerepkör tagjaként van kiépítve az adatbázismotorban.
- A szolgáltatásonkénti SID-k hozzáadódnak a helyi SQL Server Windows-csoportokhoz, kivéve, ha az SQL Server feladatátvevő fürtpéldány.
- Az SQL Server-erőforrások továbbra is ki lesznek építve a helyi SQL Server Windows-csoportok számára.
- A szolgáltatások helyi Windows-csoportját a rendszer átnevezi a következőre
SQLServer2005MSSQLUser$<computer_name>$<instance_name>SQLServerMSSQLUser$<computer_name>$<instance_name>: . Az áttelepített adatbázisok fájlhelyeinek hozzáférés-vezérlési bejegyzései (ACE) a helyi Windows-csoportokhoz vannak állítva. Az új adatbázisok fájlhelyeinek ACE-jei vannak a szolgáltatásonkénti SID-hez.
Az SQL Server 2008 -ról (10.0.x) való frissítés során az SQL Server telepítője megőrzi az SQL Server 2008 (10.0.x) szolgáltatásonkénti BIZTONSÁGI AZONOSÍTÓit.
SQL Server-feladatátvevő fürtpéldány esetén a szolgáltatáshoz konfigurált tartományi fiók ACE-je megmarad.
Függelék
Ez a szakasz további információkat tartalmaz az SQL Server-szolgáltatásokról.
- A szolgáltatásfiókok leírása
- Példányérzékeny és példány nélküli szolgáltatások azonosítása
- Honosított szolgáltatásnevek
Szolgáltatásfiókok leírása
A szolgáltatásfiók egy Windows-szolgáltatás, például az SQL Server adatbázismotor elindításához használt fiók. Az SQL Server futtatásához nem szükséges a szolgáltatásfiókot bejelentkezésként hozzáadni az SQL Serverhez a service SID mellett, amely mindig jelen van, és tagja a sysamin rögzített kiszolgálói szerepkörnek.
Bármely operációs rendszerrel elérhető fiókok
A korábban ismertetett új MSA, gMSA és virtuális fiókok mellett az alábbi fiókok is használhatók.
Ha a szolgáltatásnak kapcsolatba kell lépnie a hálózati szolgáltatásokkal, hozzá kell férnie a tartományi erőforrásokhoz, például fájlmegosztásokhoz, vagy ha csatolt kiszolgálókapcsolatokat használ más, SQL Servert futtató számítógépekkel, akkor előfordulhat, hogy minimális jogosultságú tartományi fiókot használ. Számos kiszolgáló–kiszolgáló tevékenységet csak tartományi felhasználói fiókkal lehet végrehajtani. Ezt a fiókot a tartományfelügyeletnek előre létre kell hoznia a környezetben.
Ha az SQL Servert tartományi fiók használatára konfigurálja, elkülönítheti a szolgáltatás jogosultságait, de manuálisan kell kezelnie a jelszavakat, vagy egyéni megoldást kell létrehoznia a jelszavak kezeléséhez. Sok kiszolgálóalkalmazás használja ezt a stratégiát a biztonság fokozására, de ez a stratégia további adminisztrációt és összetettséget igényel. Ezekben az üzemelő példányokban a szolgáltatásgazdák jelentős időt töltenek olyan karbantartási feladatok elvégzésével, mint a szolgáltatásjelszavak és a szolgáltatásnévnevek (SPN-ek) kezelése, amelyek a Kerberos-hitelesítéshez szükségesek. Emellett ezek a karbantartási feladatok megzavarhatják a szolgáltatást.
Ha a számítógép nem része tartománynak, akkor windowsos rendszergazdai engedélyekkel nem rendelkező helyi felhasználói fiók használata javasolt.
A Helyi szolgáltatás fiók egy olyan beépített fiók, amely ugyanolyan szintű hozzáféréssel rendelkezik az erőforrásokhoz és objektumokhoz, mint a Felhasználók csoport tagjai. Ez a korlátozott hozzáférés segít megvédeni a rendszert, ha egyes szolgáltatások vagy folyamatok sérülnek. A helyi szolgáltatásfiókként futó szolgáltatások hitelesítő adatok nélküli null munkamenetként férnek hozzá a hálózati erőforrásokhoz.
A helyi szolgáltatásfiók nem támogatott az SQL Server vagy az SQL Server Agent szolgáltatások esetében. A helyi szolgáltatás nem támogatott, mivel a fiók ezeket a szolgáltatásokat futtatja, mivel megosztott szolgáltatás, és a helyi szolgáltatásban futó egyéb szolgáltatások rendszergazdai hozzáféréssel rendelkeznek az SQL Serverhez.
A fiók tényleges neve .NT AUTHORITY\LOCAL SERVICE
A hálózati szolgáltatásfiók egy beépített fiók, amely több erőforráshoz és objektumhoz rendelkezik hozzáféréssel, mint a Felhasználók csoport tagjai. A hálózati szolgáltatásfiókként futó szolgáltatások a számítógépfiók hitelesítő adataival férnek hozzá a hálózati erőforrásokhoz <domain_name>\<computer_name>$. A fiók tényleges neve .NT AUTHORITY\NETWORK SERVICE
A helyi rendszer egy nagyon magas jogosultságú beépített fiók. Széles körű jogosultságokkal rendelkezik a helyi rendszeren, és számítógépként működik a hálózaton. A fiók tényleges neve NT AUTHORITY\SYSTEM.
Példányérzékeny és példány nélküli szolgáltatások azonosítása
A példányérzékeny szolgáltatások az SQL Server egy adott példányához vannak társítva, és saját beállításjegyzék-csalánkiütésekkel rendelkeznek. A példányérzékeny szolgáltatások több példányát is telepítheti az SQL Server telepítőjének futtatásával minden egyes összetevőhöz vagy szolgáltatáshoz. A példány nélküli szolgáltatások az összes telepített SQL Server-példány között meg vannak osztva. Nincsenek társítva egy adott példányhoz, csak egyszer vannak telepítve, és nem telepíthetők egymás mellett.
Az SQL Server példányérzékeny szolgáltatásai a következők:
SQL Server
SQL Server-ügynök
Vegye figyelembe, hogy az SQL Server Agent szolgáltatás le van tiltva az SQL Server Express és az SQL Server Express speciális szolgáltatásokkal rendelkező példányainál.
-
Elemző Szolgáltatások
A SharePoint integrált módban az Analysis Services egyetlen, elnevezett példányként "Power Pivotként" fut. A példány neve ki lett javítva. Nem adhat meg másik nevet. Minden fizikai kiszolgálón csak egy Analysis Services-példány telepíthető Power Pivotként.
-
Jelentéskészítési Szolgáltatások
Teljes szöveges keresés
Az SQL Server példány nélküli szolgáltatásai a következők:
- Integrációs Szolgáltatások
- SQL Server Böngésző
- SQL-író
Honosított szolgáltatásnevek
Az alábbi táblázat a Windows honosított verziói által megjelenített szolgáltatásneveket mutatja be.
| Nyelv | A helyi szolgáltatás neve | Hálózati szolgáltatás neve | A helyi rendszer neve | Rendszergazdai csoport neve |
|---|---|---|---|---|
| Angol Egyszerűsített kínai Hagyományos kínai Koreai Japán |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Német | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Francia | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Olasz | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Spanyol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Orosz | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |
Következő lépések
- SQL Server telepítési biztonsági szempontjai
- A SQL Server alapértelmezett és elnevezett példányainak fájl elérési útjai
- a Master Data Services telepítése