Mengonfigurasikan Akun dan Izin Layanan Windows
Berlaku untuk: SQL Server
Setiap layanan di SQL Server mewakili proses atau serangkaian proses untuk mengelola autentikasi operasi SQL Server dengan Windows. Artikel ini menjelaskan konfigurasi default layanan dalam rilis SQL Server ini, dan opsi konfigurasi untuk layanan SQL Server yang dapat Anda atur selama dan setelah penginstalan SQL Server. Artikel ini membantu pengguna tingkat lanjut memahami detail akun layanan.
Sebagian besar layanan dan propertinya dapat dikonfigurasi dengan menggunakan Pengelola Konfigurasi SQL Server. Berikut adalah jalur ke versi terbaru ketika Windows diinstal pada drive C.
Versi SQL Server | Jalur |
---|---|
SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server 2012 | C:\Windows\SysWOW64\SQLServerManager11.msc |
SQL Server diaktifkan oleh Azure Arc
Untuk izin yang diperlukan oleh Ekstensi Azure untuk SQL Server, lihat Mengonfigurasi akun layanan Windows dan izin untuk Ekstensi Azure untuk SQL Server.
Layanan yang diinstal oleh SQL Server
Bergantung pada komponen yang Anda putuskan untuk diinstal, Penyiapan SQL Server menginstal layanan berikut:
Layanan | Deskripsi |
---|---|
SQL Server Database Services | Layanan untuk Mesin Database relasional SQL Server. File yang dapat dieksekusi adalah \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe . |
SQL Server Agent | Menjalankan pekerjaan, memantau SQL Server, mengaktifkan pemberitahuan, dan mengaktifkan otomatisasi beberapa tugas administratif. Layanan SQL Server Agent ada tetapi dinonaktifkan pada instans SQL Server Express. File yang dapat dieksekusi adalah \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe . |
Analysis Services | Menyediakan fungsionalitas pemrosesan analitik online (OLAP) dan penggalian data untuk aplikasi kecerdasan bisnis. File yang dapat dieksekusi adalah \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe . |
Layanan Pelaporan | Mengelola, menjalankan, membuat, menjadwalkan, dan memberikan laporan. File yang dapat dieksekusi adalah \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe . |
Layanan Integrasi | Menyediakan dukungan manajemen untuk penyimpanan dan eksekusi paket Layanan Integrasi. Jalur yang dapat dieksekusi adalah \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe . |
Layanan Integrasi dapat mencakup layanan tambahan untuk penyebaran peluasan skala. Untuk informasi selengkapnya, lihat Panduan: Menyiapkan Peluasan Skala Integration Services (SSIS).
Layanan | Deskripsi |
---|---|
SQL Server Browser | Layanan resolusi nama yang menyediakan informasi koneksi SQL Server untuk komputer klien. Jalur yang dapat dieksekusi adalah C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
Pencarian teks lengkap | Membuat indeks teks lengkap dengan cepat pada konten dan properti data terstruktur dan semistruktur untuk menyediakan pemfilteran dokumen dan pemecahan kata untuk SQL Server. |
Penulis SQL | Memungkinkan aplikasi pencadangan dan pemulihan beroperasi dalam kerangka kerja Layanan Salinan Bayangan Volume (VSS). |
Pengontrol Pemutaran Ulang Terdistribusi SQL Server | Menyediakan orkestrasi pemutaran ulang jejak di beberapa komputer klien Pemutaran Ulang Terdistribusi. |
Klien Pemutaran Ulang Terdistribusi SQL Server | Satu atau beberapa komputer klien Pemutaran Ulang Terdistribusi yang bekerja sama dengan pengontrol Pemutaran Ulang Terdistribusi untuk menyimulasikan beban kerja bersamaan terhadap instans Mesin Database SQL Server. |
SQL Server Launchpad | Layanan tepercaya yang menghosting executable eksternal yang disediakan oleh Microsoft, seperti runtime R atau Python yang diinstal sebagai bagian dari Layanan R atau Layanan Pembelajaran Mesin. Proses satelit dapat diluncurkan oleh proses Launchpad tetapi sumber daya diatur berdasarkan konfigurasi instans individual. Layanan Launchpad berjalan di bawah akun penggunanya sendiri, dan setiap proses satelit untuk runtime tertentu yang terdaftar mewarisi akun pengguna Launchpad. Proses satelit dibuat dan dihancurkan sesuai permintaan selama waktu eksekusi. Launchpad tidak dapat membuat akun yang digunakannya jika Anda menginstal SQL Server di komputer yang juga digunakan sebagai pengontrol domain. Oleh karena itu, penyiapan R Services (In-Database) atau Pembelajaran Mesin Services (In-Database) gagal pada pengendali domain. |
Mesin PolyBase SQL Server | Menyediakan kemampuan kueri terdistribusi ke sumber data eksternal. |
SQL Server PolyBase Data Movement Service | Memungkinkan pergerakan data antara SQL Server dan Sumber Data Eksternal dan antara simpul SQL di Grup Skala PolyBase. |
Layanan CEIP yang diinstal oleh SQL Server
Layanan Customer Experience Improvement Program (CEIP) mengirimkan data telemetri kembali ke Microsoft.
Bergantung pada komponen yang Anda putuskan untuk diinstal, penyiapan SQL Server menginstal layanan CEIP berikut.
Layanan | Deskripsi |
---|---|
SQLTELEMETRY | Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri mesin database kembali ke Microsoft. |
SSASTELEMETRY | Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri SSAS kembali ke Microsoft. |
SSISTELEMETRY | Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri SSIS kembali ke Microsoft. |
Properti dan konfigurasi layanan
Akun startup yang digunakan untuk memulai dan menjalankan SQL Server dapat berupa akun pengguna domain, akun pengguna lokal, akun layanan terkelola, akun virtual, atau akun sistem bawaan. Untuk memulai dan menjalankan, setiap layanan di SQL Server harus memiliki akun startup yang dikonfigurasi selama penginstalan.
Catatan
Untuk instans kluster failover SQL Server untuk SQL Server 2016 (13.x) dan yang lebih baru, akun pengguna domain atau akun layanan yang dikelola grup dapat digunakan sebagai akun startup untuk SQL Server.
Bagian ini menjelaskan akun yang dapat dikonfigurasi untuk memulai layanan SQL Server, nilai default yang digunakan oleh Penyiapan SQL Server, konsep SID per layanan, opsi startup, dan mengonfigurasi firewall.
Akun layanan default
Tabel berikut mencantumkan akun layanan default yang digunakan oleh penyiapan saat menginstal semua komponen. Akun default yang tercantum adalah akun yang direkomendasikan, kecuali seperti yang disebutkan.
Server atau pengendali domain yang berdiri sendiri
Komponen | Windows Server 2008 | Windows 7, Windows Server 2008 R2 dan yang lebih tinggi |
---|---|---|
Mesin Database | LAYANAN JARINGAN | Akun virtual 1 |
SQL Server Agent | LAYANAN JARINGAN | Akun virtual 1 |
SSAS | LAYANAN JARINGAN | Akun virtual 1 2 |
SSIS | LAYANAN JARINGAN | Akun virtual 1 |
SSRS | LAYANAN JARINGAN | Akun virtual 1 |
Pengontrol Pemutaran Ulang Terdistribusi SQL Server | LAYANAN JARINGAN | Akun virtual 1 |
Klien Pemutaran Ulang Terdistribusi SQL Server | LAYANAN JARINGAN | Akun virtual 1 |
Peluncur FD (Pencarian teks lengkap) | LAYANAN LOKAL | Akun virtual |
SQL Server Browser | LAYANAN LOKAL | LAYANAN LOKAL |
SQL Server VSS Writer | SISTEM LOKAL | SISTEM LOKAL |
Ekstensi Analitik Tingkat Lanjut | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
Mesin PolyBase | LAYANAN JARINGAN | LAYANAN JARINGAN |
Layanan Pergerakan Data PolyBase | LAYANAN JARINGAN | LAYANAN JARINGAN |
1 Ketika sumber daya di luar komputer SQL Server diperlukan, Microsoft merekomendasikan penggunaan akun layanan terkelola (MSA), dikonfigurasi dengan hak istimewa minimum yang diperlukan.
2 Saat diinstal pada pengendali domain, akun virtual karena akun layanan tidak didukung.
Instans kluster failover SQL Server
Komponen | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Mesin Database | Tidak ada. Sediakan akun pengguna domain. | Sediakan akun pengguna domain. |
SQL Server Agent | Tidak ada. Sediakan akun pengguna domain. | Sediakan akun pengguna domain. |
SSAS | Tidak ada. Sediakan akun pengguna domain. | Sediakan akun pengguna domain. |
SSIS | LAYANAN JARINGAN | Akun virtual |
SSRS | LAYANAN JARINGAN | Akun virtual |
Peluncur FD (Pencarian teks lengkap) | LAYANAN LOKAL | Akun virtual |
SQL Server Browser | LAYANAN LOKAL | LAYANAN LOKAL |
SQL Server VSS Writer | SISTEM LOKAL | SISTEM LOKAL |
Mengubah properti akun
Penting
Selalu gunakan alat SQL Server seperti Pengelola Konfigurasi SQL Server untuk mengubah akun yang digunakan oleh layanan SQL Server Database Engine atau SQL Server Agent, atau untuk mengubah kata sandi untuk akun tersebut. Selain mengubah nama akun, Pengelola Konfigurasi SQL Server melakukan konfigurasi tambahan seperti memperbarui penyimpanan keamanan lokal Windows yang melindungi kunci master layanan untuk Mesin Database. Alat lain seperti Pengelola Kontrol Layanan Windows dapat mengubah nama akun tetapi tidak mengubah semua pengaturan yang diperlukan.
Jika Anda mengubah akun layanan untuk layanan SQL apa pun dengan menggunakan cara lain, itu dapat menyebabkan perilaku atau kesalahan yang tidak terduga. Misalnya, jika Anda mengubah akun layanan Agen SQL ke akun domain menggunakan applet layanan Windows, Anda mungkin melihat bahwa pekerjaan agen SQL yang menggunakan sistem operasi (Cmdexec), Replikasi atau langkah pekerjaan SSIS mungkin gagal dengan kesalahan seperti berikut:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
Untuk mengatasi kesalahan ini, Anda harus melakukan hal berikut menggunakan Pengelola Konfigurasi SQL Server:
- Ubah akun layanan Agen SQL untuk sementara kembali ke akun virtual default (Instans default: NT Service\SQLSERVERAGENT. Instans bernama: NT Service\SQLAGENT$<instance_name>.)
- Mulai ulang Layanan Agen SQL Server
- Mengubah akun layanan kembali ke akun domain yang diinginkan
- Mulai ulang layanan SQL Server Agent
Untuk instans Analysis Services yang Anda sebarkan di farm SharePoint, selalu gunakan Administrasi Pusat SharePoint untuk mengubah akun server untuk aplikasi layanan Power Pivot dan layanan Analysis Services. Pengaturan dan izin terkait diperbarui untuk menggunakan informasi akun baru saat Anda menggunakan Administrasi Pusat.
Untuk mengubah opsi Reporting Services, gunakan Alat Konfigurasi Reporting Services.
Akun layanan terkelola, akun layanan terkelola grup, dan akun virtual
Akun layanan terkelola, akun layanan terkelola grup, dan akun virtual dirancang untuk menyediakan aplikasi penting seperti SQL Server dengan isolasi akun mereka sendiri, sambil menghilangkan kebutuhan administrator untuk mengelola Nama Prinsipal Layanan (SPN) dan kredensial secara manual untuk akun ini. Ini membuat manajemen jangka panjang pengguna akun layanan, kata sandi, dan SPN jauh lebih mudah.
-
Akun layanan terkelola (MSA) adalah jenis akun domain yang dibuat dan dikelola oleh pengendali domain. Ini ditetapkan ke satu komputer anggota untuk digunakan menjalankan layanan. Kata sandi dikelola secara otomatis oleh pengendali domain. Anda tidak dapat menggunakan MSA untuk masuk ke komputer, tetapi komputer dapat menggunakan MSA untuk memulai layanan Windows. MSA memiliki kemampuan untuk mendaftarkan Nama Prinsipal Layanan (SPN) dalam Direktori Aktif saat diberikan izin servicePrincipalName baca dan tulis. MSA dinamai dengan
$
akhiran, misalnyaDOMAIN\ACCOUNTNAME$
. Saat menentukan MSA, biarkan kata sandi kosong. Karena MSA ditetapkan ke satu komputer, MSA tidak dapat digunakan pada simpul kluster Windows yang berbeda.Catatan
MSA harus dibuat di Direktori Aktif oleh administrator domain sebelum penyiapan SQL Server dapat menggunakannya untuk layanan SQL Server.
Akun layanan yang dikelola grup
Akun layanan yang dikelola grup (gMSA) adalah MSA untuk beberapa server. Windows mengelola akun layanan untuk layanan yang berjalan pada sekelompok server. Direktori Aktif secara otomatis memperbarui kata sandi akun layanan yang dikelola grup tanpa memulai ulang layanan. Anda dapat mengonfigurasi layanan SQL Server untuk menggunakan perwakilan akun layanan yang dikelola grup. Dimulai dengan SQL Server 2014, SQL Server mendukung akun layanan yang dikelola grup untuk instans mandiri, dan SQL Server 2016 dan yang lebih baru untuk instans kluster failover, dan grup ketersediaan.
Untuk menggunakan gMSA untuk SQL Server 2014 atau yang lebih baru, sistem operasi harus Windows Server 2012 R2 atau yang lebih baru. Server dengan Windows Server 2012 R2 memerlukan KB 2998082 diterapkan sehingga layanan dapat masuk tanpa gangguan segera setelah perubahan kata sandi.
Untuk informasi selengkapnya, lihat Akun Layanan Terkelola Grup untuk Windows Server 2016 dan yang lebih baru. Untuk versi Windows Server sebelumnya, lihat Akun Layanan Terkelola Grup.
Catatan
GMSA harus dibuat di Direktori Aktif oleh administrator domain sebelum penyiapan SQL Server dapat menggunakannya untuk layanan SQL Server.
-
Akun virtual (dimulai dengan Windows Server 2008 R2 dan Windows 7) adalah akun lokal terkelola yang menyediakan fitur berikut untuk menyederhanakan administrasi layanan. Akun virtual dikelola secara otomatis, dan akun virtual dapat mengakses jaringan di lingkungan domain. Jika nilai default digunakan untuk akun layanan selama penyiapan SQL Server, akun virtual menggunakan nama instans saat nama layanan digunakan, dalam format
NT SERVICE\<SERVICENAME>
. Layanan yang berjalan sebagai akun virtual mengakses sumber daya jaringan dengan menggunakan kredensial akun komputer dalam format<domain_name>\<computer_name>$
. Saat menentukan akun virtual untuk memulai SQL Server, biarkan kata sandi kosong. Jika akun virtual gagal mendaftarkan Nama Perwakilan Layanan (SPN), daftarkan SPN secara manual. Untuk informasi selengkapnya tentang mendaftarkan SPN secara manual, lihat Pendaftaran SPN Manual.Catatan
Akun virtual tidak dapat digunakan untuk instans kluster failover SQL Server, karena akun virtual tidak akan memiliki SID yang sama pada setiap simpul kluster.
Tabel berikut mencantumkan contoh nama akun virtual.
Layanan Nama akun virtual Instans default layanan Mesin Database NT SERVICE\MSSQLSERVER
Instans bernama layanan Mesin Database bernama PAYROLL
NT SERVICE\MSSQL$PAYROLL
Layanan SQL Server Agent pada instans default SQL Server NT Service\SQLSERVERAGENT
Layanan SQL Server Agent pada instans SQL Server bernama PAYROLL
NT SERVICE\SQLAGENT$PAYROLL
Untuk informasi selengkapnya tentang akun layanan terkelola dan akun virtual, lihat bagian Akun layanan terkelola dan konsep akun virtual dari Panduan Langkah demi Langkah Akun Layanan dan Tanya Jawab Umum (FAQ) Akun Layanan Terkelola.
Catatan
Selalu jalankan layanan SQL Server dengan menggunakan hak pengguna serendah mungkin. Gunakan MSA, gMSA, atau akun virtual jika memungkinkan. Ketika MSA, gMSA, dan akun virtual tidak dimungkinkan, gunakan akun pengguna atau akun domain dengan hak istimewa rendah tertentu alih-alih akun bersama untuk layanan SQL Server. Gunakan akun terpisah untuk layanan SQL Server yang berbeda. Jangan berikan izin tambahan ke akun layanan SQL Server atau grup layanan. Izin diberikan melalui keanggotaan grup atau diberikan langsung ke SID layanan, di mana SID layanan didukung.
Startup otomatis
Selain memiliki akun pengguna, setiap layanan memiliki tiga kemungkinan status startup yang dapat dikontrol pengguna:
- Dinonaktifkan. Layanan diinstal tetapi saat ini tidak berjalan.
- Manual. Layanan ini diinstal, tetapi hanya dimulai ketika layanan atau aplikasi lain membutuhkan fungsionalitasnya.
- Otomatis. Layanan ini secara otomatis dimulai oleh sistem operasi.
Status startup dipilih selama penyiapan. Saat menginstal instans bernama, layanan Browser SQL Server harus diatur untuk memulai secara otomatis.
Mengonfigurasi layanan selama penginstalan tanpa pengawas
Tabel berikut ini memperlihatkan layanan SQL Server yang dapat dikonfigurasi selama penginstalan. Untuk penginstalan tanpa pengawas, Anda dapat menggunakan sakelar dalam file konfigurasi atau pada prompt perintah.
Nama layanan SQL Server | Sakelar untuk penginstalan tanpa pengawas 1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Layanan Integrasi | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
Pengontrol Pemutaran Ulang Terdistribusi SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
Klien Pemutaran Ulang Terdistribusi SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
Layanan R atau Layanan Pembelajaran Mesin | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
Mesin PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Untuk informasi selengkapnya dan sintaks sampel untuk penginstalan tanpa pengawas, lihat Menginstal SQL Server dari Prompt Perintah.
2 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Tingkat Lanjut.
3 Mengatur akun untuk Launchpad melalui sakelar saja saat ini tidak didukung. Gunakan Pengelola Konfigurasi SQL Server untuk mengubah akun dan pengaturan layanan lainnya.
Port firewall
Dalam kebanyakan kasus, ketika awalnya diinstal, Mesin Database dapat disambungkan oleh alat seperti SQL Server Management Studio yang diinstal pada komputer yang sama dengan SQL Server. Penyetelan SQL Server tidak membuka port di firewall Windows. Koneksi dari komputer lain mungkin tidak dimungkinkan sampai Mesin Database dikonfigurasi untuk mendengarkan port TCP, dan port yang sesuai dibuka untuk koneksi di firewall Windows. Untuk informasi selengkapnya, lihat Mengonfigurasi Windows Firewall untuk Mengizinkan Akses SQL Server.
Izin layanan
Bagian ini menjelaskan izin yang dikonfigurasi Penyiapan SQL Server untuk SID per layanan layanan SQL Server.
- Konfigurasi layanan dan kontrol akses
- Hak istimewa dan hak Windows
- Izin sistem file yang diberikan ke SQL Server per SID per layanan atau grup Windows lokal SQL Server
- Izin sistem file yang diberikan ke akun atau grup pengguna Windows lainnya
- Izin sistem file yang terkait dengan lokasi disk yang tidak biasa
- Meninjau pertimbangan tambahan
- Izin registri
- WMI
- Pipa bernama
Konfigurasi layanan dan kontrol akses
SQL Server memungkinkan SID per layanan untuk setiap layanannya untuk memberikan isolasi layanan dan pertahanan secara mendalam. SID per layanan berasal dari nama layanan dan unik untuk layanan tersebut. Misalnya, nama SID layanan untuk instans bernama dari layanan Mesin Database mungkin .NT Service\MSSQL$<instance_name>
Isolasi layanan memungkinkan akses ke objek tertentu tanpa perlu menjalankan akun hak istimewa tinggi atau melemahkan perlindungan keamanan objek. Dengan menggunakan entri kontrol akses yang berisi SID layanan, layanan SQL Server dapat membatasi akses ke sumber dayanya.
Catatan
Pada Windows 7 dan Windows Server 2008 R2 (dan yang lebih baru), SID per layanan dapat menjadi akun virtual yang digunakan oleh layanan.
Untuk sebagian besar komponen SQL Server mengonfigurasi ACL untuk akun per layanan secara langsung, sehingga mengubah akun layanan dapat dilakukan tanpa harus mengulangi proses ACL sumber daya.
Saat menginstal SSAS, SID per layanan untuk layanan Analysis Services dibuat. Grup Windows lokal dibuat, dinamai dalam format SQLServerMSASUser$<computer_name>$<instance_name>
. SID NT SERVICE\MSSQLServerOLAPService
per layanan diberikan keanggotaan di grup Windows lokal, dan grup Windows lokal diberikan izin yang sesuai dalam ACL. Jika akun yang digunakan untuk memulai layanan Analysis Services diubah, Pengelola Konfigurasi SQL Server harus mengubah beberapa izin Windows (seperti hak untuk masuk sebagai layanan), tetapi izin yang ditetapkan ke grup Windows lokal masih tersedia tanpa pembaruan apa pun, karena SID per layanan belum berubah. Metode ini memungkinkan layanan Analysis Services diganti namanya selama peningkatan.
Selama penginstalan SQL Server, Penyiapan SQL Server membuat grup Windows lokal untuk SSAS dan layanan Browser SQL Server. Untuk layanan ini, SQL Server mengonfigurasi ACL untuk grup Windows lokal.
Bergantung pada konfigurasi layanan, akun layanan untuk layanan atau SID layanan ditambahkan sebagai anggota grup layanan selama penginstalan atau peningkatan.
Hak istimewa dan hak Windows
Akun yang ditetapkan untuk memulai layanan memerlukan izin Mulai, hentikan, dan jeda untuk layanan. Program Penyetelan SQL Server secara otomatis menetapkan ini. Pertama-tama instal Alat Administrasi Server Jarak Jauh (RSAT). Lihat Alat Administrasi Server Jarak Jauh untuk Windows 10.
Tabel berikut ini memperlihatkan izin yang diminta Penyiapan SQL Server untuk SID per layanan atau grup Windows lokal yang digunakan oleh komponen SQL Server.
Layanan SQL Server | Izin yang diberikan oleh Penyiapan SQL Server |
---|---|
Mesin Database SQL Server: (Semua hak diberikan kepada SID per layanan. Instans default: NT SERVICE\MSSQLSERVER . Instans bernama: NT Service\MSSQL$<instance_name> .) |
Masuk sebagai layanan (SeServiceLogonRight) Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege) Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege) Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege) Izin untuk memulai SQL Writer Izin untuk membaca layanan Log Peristiwa Izin untuk membaca layanan Panggilan Prosedur Jarak Jauh |
SQL Server Agent: 1 (Semua hak diberikan kepada SID per layanan. Instans default: NT Service\SQLSERVERAGENT . Instans bernama: NT Service\SQLAGENT$<instance_name> .) |
Masuk sebagai layanan (SeServiceLogonRight) Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege) Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege) Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege) |
SSAS: (Semua hak diberikan kepada grup Windows lokal. Instans default: SQLServerMSASUser$<computer_name>$MSSQLSERVER . Instans bernama: SQLServerMSASUser$<computer_name>$<instance_name> . Power Pivot untuk instans SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot .) |
Masuk sebagai layanan (SeServiceLogonRight) Hanya untuk tabular: Meningkatkan set kerja proses (SeIncreaseWorkingSetPrivilege) Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege) Kunci halaman dalam memori (SeLockMemoryPrivilege) - ini hanya diperlukan ketika penomoran dimatikan sepenuhnya. Hanya untuk penginstalan kluster failover: Meningkatkan prioritas penjadwalan (SeIncreaseBasePriorityPrivilege) |
SSRS: (Semua hak diberikan kepada SID per layanan. Instans default: NT SERVICE\ReportServer . Instans bernama: NT SERVICE\ReportServer$<instance_name> .) |
Masuk sebagai layanan (SeServiceLogonRight) |
SSIS: (Semua hak diberikan kepada SID per layanan. Instans default dan instans bernama: NT SERVICE\MsDtsServer150 . Integration Services tidak memiliki proses terpisah untuk instans bernama.) |
Masuk sebagai layanan (SeServiceLogonRight) Izin untuk menulis ke log peristiwa aplikasi. Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege) Meniru klien setelah autentikasi (SeImpersonatePrivilege) |
Pencarian teks lengkap: (Semua hak diberikan kepada SID per layanan. Instans default: NT Service\MSSQLFDLauncher . Instans bernama: NT Service\ MSSQLFDLauncher$<instance_name> .) |
Masuk sebagai layanan (SeServiceLogonRight) Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege) Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege) |
Browser SQL Server: (Semua hak diberikan kepada grup Windows lokal. Instans default atau bernama: SQLServer2005SQLBrowserUser$<computer_name> . Browser SQL Server tidak memiliki proses terpisah untuk instans bernama.) |
Masuk sebagai layanan (SeServiceLogonRight) |
Penulis VSS SQL Server: (Semua hak diberikan kepada SID per layanan. Instans default atau bernama: NT Service\SQLWriter . SQL Server VSS Writer tidak memiliki proses terpisah untuk instans bernama.) |
Layanan SQLWriter berjalan di bawah akun SISTEM LOKAL yang memiliki semua izin yang diperlukan. Penyiapan SQL Server tidak memeriksa atau memberikan izin untuk layanan ini. |
Pengontrol Pemutaran Ulang Terdistribusi SQL Server: | Masuk sebagai layanan (SeServiceLogonRight) |
Klien Pemutaran Ulang Terdistribusi SQL Server: | Masuk sebagai layanan (SeServiceLogonRight) |
Mesin polyBase dan DMS: | Masuk sebagai layanan (SeServiceLogonRight) |
Launchpad: | Masuk sebagai layanan (SeServiceLogonRight) Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege) Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege) Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege) |
Layanan R/layanan Pembelajaran Mesin: SQLRUserGroup (SQL Server 2016 (13.x) dan SQL Server 2017 (14.x)) | tidak memiliki izin Izinkan Masuk secara lokal secara default |
Layanan Pembelajaran Mesin: 'Semua Paket Aplikasi' [AppContainer] (SQL Server 2019 (15.x)) | Membaca dan menjalankan izin ke direktori SQL Server 'Binn', R_Services, dan PYTHON_Services |
1 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express.
Izin sistem file yang diberikan ke SQL Server per SID layanan atau grup Windows lokal
Akun layanan SQL Server harus memiliki akses ke sumber daya. Daftar kontrol akses diatur untuk SID per layanan atau grup Windows lokal.
Penting
Untuk penginstalan kluster failover, sumber daya pada disk bersama harus diatur ke ACL untuk akun lokal.
Tabel berikut ini memperlihatkan ACL yang diatur oleh Penyiapan SQL Server:
Akun Layanan untuk | File dan folder | Access |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Kontrol penuh |
Instid\MSSQL\binn | Baca, Jalankan | |
Instid\MSSQL\data | Kontrol penuh | |
Instid\MSSQL\FTData | Kontrol penuh | |
Instid\MSSQL\Install | Baca, Jalankan | |
Instid\MSSQL\Log | Kontrol penuh | |
Instid\MSSQL\Repldata | Kontrol penuh | |
150\bersama | Baca, Jalankan | |
Instid\MSSQL\Template Data (hanya SQL Server Express) | Read | |
SQLServerAgent 1 | Instid\MSSQL\binn | Kontrol penuh |
Instid\MSSQL\Log | Baca, Tulis, Hapus, Jalankan | |
150\com | Baca, Jalankan | |
150\bersama | Baca, Jalankan | |
150\shared\Errordumps | Baca, Tulis | |
ServerName\EventLog | Kontrol penuh | |
FTS | Instid\MSSQL\FTData | Kontrol penuh |
Instid\MSSQL\FTRef | Baca, Jalankan | |
150\bersama | Baca, Jalankan | |
150\shared\Errordumps | Baca, Tulis | |
Instid\MSSQL\Install | Baca, Jalankan | |
Instid\MSSQL\jobs | Baca, Tulis | |
MSSQLServerOLAPservice | 150\shared\ASConfig | Kontrol penuh |
Instid\OLAP | Baca, Jalankan | |
Instid\Olap\Data | Kontrol penuh | |
Instid\Olap\Log | Baca, Tulis | |
Instid\OLAP\Backup | Baca, Tulis | |
Instid\OLAP\Temp | Baca, Tulis | |
150\shared\Errordumps | Baca, Tulis | |
ReportServer | Instid\Reporting Services\Log Files | Baca, Tulis, Hapus |
Instid\Reporting Services\ReportServer | Baca, Jalankan | |
Instid\Reporting Services\ReportServer\global.asax | Kontrol penuh | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Read | |
Instid\Reporting Services\RSTempfiles | Baca, Tulis, Jalankan, Hapus | |
Instid\Reporting Services\RSWebApp | Baca, Jalankan | |
150\bersama | Baca, Jalankan | |
150\shared\Errordumps | Baca, Tulis | |
MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Read |
150\dts\binn | Baca, Jalankan | |
150\bersama | Baca, Jalankan | |
150\shared\Errordumps | Baca, Tulis | |
SQL Server Browser | 150\shared\ASConfig | Read |
150\bersama | Baca, Jalankan | |
150\shared\Errordumps | Baca, Tulis | |
SQLWriter | N/A (Berjalan sebagai sistem lokal) | |
Pengguna | Instid\MSSQL\binn | Baca, Jalankan |
Instid\Reporting Services\ReportServer | Baca, Jalankan, Daftar Isi Folder | |
Instid\Reporting Services\ReportServer\global.asax | Read | |
Instid\Reporting Services\RSWebApp | Baca, Jalankan, Daftar Isi Folder | |
150\dts | Baca, Jalankan | |
150\alat | Baca, Jalankan | |
100\tools | Baca, Jalankan | |
90\alat | Baca, Jalankan | |
80\tools | Baca, Jalankan | |
150\sdk | Read | |
Microsoft SQL Server\150\Setup Bootstrap | Baca, Jalankan | |
Pengontrol Pemutaran Ulang Terdistribusi SQL Server | <ToolsDir>\DReplayController\Log\ (direktori kosong) | Baca, Jalankan, Daftar Isi Folder |
<ToolsDir>\DReplayController\DReplayController.exe | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayController\resources|Baca, Jalankan, Daftar Isi Folder | ||
<ToolsDir>\DReplayController\{all dlls} | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayController\DReplayController.config | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayController\IRDefinition.xml | Baca, Jalankan, Daftar Isi Folder | |
Klien Pemutaran Ulang Terdistribusi SQL Server | <ToolsDir>\DReplayClient\Log|Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayClient\resources|Baca, Jalankan, Daftar Isi Folder | ||
<ToolsDir>\DReplayClient\ (semua dll) | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayClient\DReplayClient.config | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Baca, Jalankan, Daftar Isi Folder | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Baca, Jalankan, Daftar Isi Folder | |
Launchpad | %binn | Baca, Jalankan |
ExtensiblilityData | Kontrol penuh | |
Log\ExtensibilityLog | Kontrol penuh |
1 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Lanjutan.
Saat file database disimpan di lokasi yang ditentukan pengguna, Anda harus memberikan akses SID per layanan ke lokasi tersebut. Untuk informasi selengkapnya tentang memberikan izin sistem file ke SID per layanan, lihat Mengonfigurasi Izin Sistem File untuk Akses Mesin Database.
Izin sistem file yang diberikan ke akun atau grup pengguna Windows lainnya
Beberapa izin kontrol akses mungkin harus diberikan ke akun bawaan atau akun layanan SQL Server lainnya. Tabel berikut ini mencantumkan ACL tambahan yang diatur oleh Penyiapan SQL Server.
Komponen permintaan | Akun | Sumber daya | Izin |
---|---|---|---|
MSSQLServer | Pengguna Log Performa | Instid\MSSQL\binn | Mencantumkan isi folder |
Pengguna Pemantau Performa | Instid\MSSQL\binn | Mencantumkan isi folder | |
Pengguna Log Performa, Pengguna Monitor Performa | \WINNT\system32\sqlctr150.dll | Baca, Jalankan | |
Hanya administrator | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 |
Kontrol penuh | |
Administrator, Sistem | \tools\binn\schemas\sqlserver\2004\07\showplan | Kontrol penuh | |
Pengguna | \tools\binn\schemas\sqlserver\2004\07\showplan | Baca, Jalankan | |
Layanan Pelaporan | Melaporkan Akun Layanan Windows Server | <install>\Reporting Services\LogFiles | DELETE READ_CONTROL MENSINKRONISASI FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Melaporkan Akun Layanan Windows Server | <install>\Reporting Services\ReportServer | Read | |
Melaporkan Akun Layanan Windows Server | <install>\Reporting Services\ReportServer\global.asax | Penuh | |
Melaporkan Akun Layanan Windows Server | <install>\Reporting Services\RSWebApp | Baca, Jalankan | |
Semua orang | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Akun ReportServer Windows Services | <install>\Reporting Services\ReportServer\rsreportserver.config | DELETE READ_CONTROL MENSINKRONISASI FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Semua orang | Kunci Server Laporan (Sarang instid) | Nilai Kueri Menghitung SubKunci Notify Kontrol Baca |
|
Pengguna Layanan Terminal | Kunci Server Laporan (Sarang instid) | Nilai Kueri Atur Nilai Membuat SubKunci Menghitung SubKunci Notify Hapus Kontrol Baca |
|
Pengguna Power | Kunci Server Laporan (Sarang instid) | Nilai Kueri Atur Nilai Buat Subkunci Menghitung Subkunci Notify Hapus Kontrol Baca |
1 Ini adalah namespace penyedia WMI.
Izin sistem file yang terkait dengan lokasi disk yang tidak biasa
Drive default untuk lokasi untuk penginstalan adalah drive sistem, biasanya drive C. Bagian ini menjelaskan pertimbangan tambahan ketika database tempdb atau pengguna diinstal ke lokasi yang tidak biasa.
Drive non-default
Saat diinstal ke drive lokal yang bukan drive default, SID per layanan harus memiliki akses ke lokasi file. Penyiapan SQL Server menyediakan akses yang diperlukan.
Berbagi jaringan
Saat database diinstal ke berbagi jaringan, akun layanan harus memiliki akses ke lokasi file pengguna dan tempdb
database. Penyiapan SQL Server tidak dapat menyediakan akses ke berbagi jaringan. Pengguna harus menyediakan akses ke lokasi tempdb untuk akun layanan sebelum menjalankan penyiapan. Pengguna harus menyediakan akses ke lokasi database pengguna sebelum membuat database.
Catatan
Akun virtual tidak dapat diautentikasi ke lokasi jarak jauh. Semua akun virtual menggunakan izin akun komputer. Provisikan akun komputer dalam format <domain_name>\<computer_name>$
.
Meninjau pertimbangan tambahan
Tabel berikut ini memperlihatkan izin yang diperlukan untuk layanan SQL Server untuk menyediakan fungsionalitas tambahan.
Layanan/Aplikasi | Fungsi | Izin yang diperlukan |
---|---|---|
SQL Server (MSSQLSERVER) | Tulis ke slot email menggunakan xp_sendmail. | Izin tulis jaringan. |
SQL Server (MSSQLSERVER) | Jalankan xp_cmdshell untuk pengguna selain administrator SQL Server. | Bertindak sebagai bagian dari sistem operasi dan mengganti token tingkat proses. |
SQL Server Agent (MSSQLSERVER) | Gunakan fitur hidupkan ulang otomatis. | Harus merupakan anggota grup lokal Administrator. |
Konsultan Penyetelan Mesin Database | Menyetel database untuk performa kueri yang optimal. | Pada penggunaan pertama, pengguna yang memiliki kredensial administratif sistem harus menginisialisasi aplikasi. Setelah inisialisasi, pengguna dbo dapat menggunakan Konsultan Penyetelan Mesin Database untuk menyetel hanya tabel yang mereka miliki. Untuk informasi selengkapnya, lihat Memulai dan menggunakan Konsultan Penyetelan Mesin Database. |
Penting
Sebelum Anda meningkatkan SQL Server, aktifkan SQL Server Agent dan verifikasi konfigurasi default yang diperlukan: bahwa akun layanan SQL Server Agent adalah anggota peran server tetap SQL Server sysadmin .
Izin registri
Sarang registri dibuat di bawah HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>
untuk komponen yang sadar instans. Contohnya:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Registri juga mempertahankan pemetaan ID instans ke nama instans. ID instans ke pemetaan nama instans dipertahankan sebagai berikut:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
Instrumentasi Manajemen Windows (WMI) harus dapat tersambung ke Mesin Database. Untuk mendukung hal ini, SID per layanan penyedia Windows WMI (NT SERVICE\winmgmt
) disediakan di Mesin Database.
Penyedia SQL WMI memerlukan izin minimal berikut:
Keanggotaan dalam peran database tetap db_ddladmin atau db_owner dalam
msdb
database.BUAT izin PEMBERITAHUAN PERISTIWA DDL di server.
IZIN CREATE TRACE EVENT NOTIFICATION di Mesin Database.
LIHAT izin tingkat server DATABASE APA PUN.
Penyiapan SQL Server membuat namespace layanan SQL WMI dan memberikan izin baca ke SQL Server Agent service-SID.
Saluran bernama
Di semua penginstalan, Penyiapan SQL Server menyediakan akses ke Mesin Database SQL Server melalui protokol memori bersama, yang merupakan pipa bernama lokal.
Penyediaan
Bagian ini menjelaskan bagaimana akun disediakan di dalam berbagai komponen SQL Server.
Provisi Mesin Database
Akun berikut ditambahkan sebagai login di Mesin Database SQL Server.
Prinsipal Windows
Selama penyiapan, Penyiapan SQL Server mengharuskan setidaknya satu akun pengguna dinamai sebagai anggota peran server tetap sysadmin .
Akun SA
Akun sa selalu hadir sebagai login Mesin Database dan merupakan anggota peran server tetap sysadmin . Ketika Mesin Database diinstal hanya menggunakan Autentikasi Windows (yaitu ketika Autentikasi SQL Server tidak diaktifkan), login sa masih ada tetapi dinonaktifkan dan kata sandinya kompleks dan acak. Untuk informasi tentang mengaktifkan akun sa , lihat Mengubah Mode Autentikasi Server.
Login dan hak istimewa SID per layanan SQL Server
SID per layanan (terkadang juga disebut perwakilan keamanan layanan (SID)) dari layanan SQL Server disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin . Untuk informasi tentang SID per layanan, lihat Menggunakan SID Layanan untuk memberikan izin ke layanan di SQL Server.
Info masuk dan hak istimewa SQL Server Agent
SID per layanan layanan SQL Server Agent disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin .
Grup ketersediaan AlwaysOn dan instans dan hak istimewa kluster failover SQL
Saat menginstal Mesin Database sebagai grup ketersediaan AlwaysOn atau instans kluster failover SQL (SQL FCI), SISTEM LOKAL disediakan di Mesin Database. Login SISTEM LOKAL diberikan izin UBAH GRUP KETERSEDIAAN APA PUN (untuk grup ketersediaan AlwaysOn) dan izin TAMPILKAN STATUS SERVER (untuk SQL FCI).
SQL Writer dan hak istimewa
SID per layanan layanan SQL Server VSS Writer disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin .
SQL WMI dan hak istimewa
Penyiapan SQL Server menyediakan NT SERVICE\Winmgmt
akun sebagai login Mesin Database dan menambahkannya ke peran server tetap sysadmin .
Provisi SSRS
Akun yang ditentukan selama penyiapan disediakan sebagai anggota peran database RSExecRole . Untuk informasi selengkapnya, lihat Mengonfigurasi Akun Layanan Server Laporan (Manajer Konfigurasi SSRS).
Provisi SSAS
Persyaratan akun layanan SSAS bervariasi tergantung pada cara Anda menyebarkan server. Jika Anda menginstal Power Pivot untuk SharePoint, Penyiapan SQL Server mengharuskan Anda mengonfigurasi layanan Analysis Services untuk dijalankan di bawah akun domain. Akun domain diperlukan untuk mendukung fasilitas akun terkelola yang dibangun ke dalam SharePoint. Untuk alasan ini, Penyetelan SQL Server tidak menyediakan akun layanan default, seperti akun virtual, untuk penginstalan Power Pivot untuk SharePoint. Untuk informasi selengkapnya tentang penyediaan Power Pivot untuk SharePoint, lihat Mengonfigurasi Akun Layanan Power Pivot.
Untuk semua penginstalan SSAS mandiri lainnya, Anda dapat menyediakan layanan untuk dijalankan di bawah akun domain, akun sistem bawaan, akun terkelola, atau akun virtual. Untuk informasi selengkapnya tentang provisi akun, lihat Mengonfigurasi Akun Layanan (Analysis Services).
Untuk penginstalan berkluster, Anda harus menentukan akun domain atau akun sistem bawaan. Baik akun terkelola maupun akun virtual tidak didukung untuk kluster failover SSAS.
Semua penginstalan SSAS mengharuskan Anda menentukan administrator sistem instans Analysis Services. Hak istimewa administrator disediakan dalam peran Server Analysis Services.
Provisi SSRS
Akun yang ditentukan selama penyiapan disediakan di Mesin Database sebagai anggota peran database RSExecRole . Untuk informasi selengkapnya, lihat Mengonfigurasi Akun Layanan Server Laporan (Manajer Konfigurasi SSRS).
Meningkatkan dari versi sebelumnya
Bagian ini menjelaskan perubahan yang dilakukan selama peningkatan dari versi SQL Server sebelumnya.
SQL Server 2019 (15.x) memerlukan sistem operasi yang didukung. Versi SQL Server sebelumnya yang berjalan pada versi sistem operasi yang lebih rendah harus memiliki sistem operasi yang ditingkatkan sebelum meningkatkan SQL Server.
Selama peningkatan penyiapan SQL Server 2005 (9.x) ke SQL Server 2019 (15.x) mengonfigurasi instans SQL Server dengan cara berikut:
- Mesin Database berjalan dengan konteks keamanan SID per layanan. SID per layanan diberikan akses ke folder file instans SQL Server (seperti DATA), dan kunci registri SQL Server.
- SID per layanan Mesin Database disediakan di Mesin Database sebagai anggota peran server tetap sysadmin .
- SID per layanan ditambahkan ke grup Windows SQL Server lokal, kecuali SQL Server adalah instans kluster failover.
- Sumber daya SQL Server tetap disediakan untuk grup Windows SQL Server lokal.
- Grup Windows lokal untuk layanan diganti namanya dari
SQLServer2005MSSQLUser$<computer_name>$<instance_name>
menjadiSQLServerMSSQLUser$<computer_name>$<instance_name>
. Lokasi file untuk database yang dimigrasikan memiliki Entri Kontrol Akses (ACE) untuk grup Windows lokal. Lokasi file untuk database baru memiliki ASE untuk SID per layanan.
Selama peningkatan dari SQL Server 2008 (10.0.x), Penyiapan SQL Server mempertahankan ACE untuk SQL Server 2008 (10.0.x) per SID layanan.
Untuk instans kluster failover SQL Server, ACE untuk akun domain yang dikonfigurasi untuk layanan dipertahankan.
Lampiran
Bagian ini berisi informasi tambahan tentang layanan SQL Server.
- Deskripsi Akun Layanan
- Mengidentifikasi layanan sadar instans dan instance-unaware
- Nama layanan yang dilokalkan
Deskripsi akun layanan
Akun layanan adalah akun yang digunakan untuk memulai layanan Windows, seperti SQL Server Database Engine. Untuk menjalankan SQL Server, tidak diharuskan untuk menambahkan Akun Layanan sebagai Masuk ke SQL Server selain SID Layanan, yang selalu ada dan anggota peran server tetap sysamin .
Akun yang tersedia dengan sistem operasi apa pun
Selain akun MSA, gMSA, dan virtual baru yang dijelaskan sebelumnya, akun berikut dapat digunakan.
Jika layanan harus berinteraksi dengan layanan jaringan, mengakses sumber daya domain seperti berbagi file atau jika menggunakan koneksi server tertaut ke komputer lain yang menjalankan SQL Server, Anda mungkin menggunakan akun domain dengan hak istimewa minimal. Banyak aktivitas server-ke-server hanya dapat dilakukan dengan akun pengguna domain. Akun ini harus dibuat sebelumnya oleh administrasi domain di lingkungan Anda.
Jika Anda mengonfigurasi SQL Server untuk menggunakan akun domain, Anda dapat mengisolasi hak istimewa untuk Layanan, tetapi harus mengelola kata sandi secara manual atau membuat solusi kustom untuk mengelola kata sandi ini. Banyak aplikasi server menggunakan strategi ini untuk meningkatkan keamanan, tetapi strategi ini memerlukan administrasi dan kompleksitas tambahan. Dalam penyebaran ini, administrator layanan menghabiskan banyak waktu untuk tugas pemeliharaan seperti mengelola kata sandi layanan dan nama perwakilan layanan (SPN), yang diperlukan untuk autentikasi Kerberos. Selain itu, tugas pemeliharaan ini dapat mengganggu layanan.
Jika komputer bukan bagian dari domain, akun pengguna lokal tanpa izin administrator Windows disarankan.
Akun Layanan Lokal adalah akun bawaan yang memiliki tingkat akses yang sama ke sumber daya dan objek sebagai anggota grup Pengguna. Akses terbatas ini membantu melindungi sistem jika layanan atau proses individu disusupi. Layanan yang berjalan sebagai akun layanan lokal mengakses sumber daya jaringan sebagai sesi null tanpa kredensial.
Akun layanan lokal tidak didukung untuk layanan SQL Server atau SQL Server Agent. Layanan Lokal tidak didukung karena akun yang menjalankan layanan tersebut karena ini adalah layanan bersama dan layanan lain yang berjalan di bawah layanan lokal akan memiliki akses administrator sistem ke SQL Server.
Nama akun yang sebenarnya adalah NT AUTHORITY\LOCAL SERVICE
.
Akun Layanan Jaringan adalah akun bawaan yang memiliki lebih banyak akses ke sumber daya dan objek daripada anggota grup Pengguna. Layanan yang berjalan sebagai akun layanan jaringan mengakses sumber daya jaringan dengan menggunakan kredensial akun komputer dalam format <domain_name>\<computer_name>$
. Nama akun yang sebenarnya adalah NT AUTHORITY\NETWORK SERVICE
.
Sistem Lokal adalah akun bawaan dengan hak istimewa yang sangat tinggi. Ini memiliki hak istimewa yang luas pada sistem lokal dan bertindak sebagai komputer pada jaringan. Nama aktual akun adalah NT AUTHORITY\SYSTEM.
Mengidentifikasi layanan yang sadar instans dan tidak menyadari instans
Layanan sadar instans dikaitkan dengan instans SQL Server tertentu, dan memiliki sarang registri mereka sendiri. Anda dapat menginstal beberapa salinan layanan sadar instans dengan menjalankan Penyiapan SQL Server untuk setiap komponen atau layanan. Layanan instance-unaware dibagikan di antara semua instans SQL Server yang diinstal. Instans tersebut tidak terkait dengan instans tertentu, hanya diinstal sekali, dan tidak dapat diinstal secara berdampingan.
Layanan sadar instans di SQL Server mencakup hal berikut:
SQL Server
SQL Server Agent
Ketahuilah bahwa layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Lanjutan.
-
Analysis Services
Analysis Services dalam mode terintegrasi SharePoint berjalan sebagai 'Power Pivot' sebagai instans tunggal bernama. Nama instans diperbaiki. Anda tidak dapat menentukan nama yang berbeda. Anda hanya dapat menginstal satu instans Analysis Services yang berjalan sebagai 'Power Pivot' di setiap server fisik.
-
Layanan Pelaporan
Pencarian teks penuh
Layanan yang tidak menyadari instans di SQL Server meliputi yang berikut ini:
- Layanan Integrasi
- SQL Server Browser
- Penulis SQL
Nama layanan yang dilokalkan
Tabel berikut ini memperlihatkan nama layanan yang ditampilkan oleh versi Windows yang dilokalkan.
Bahasa | Nama untuk Layanan Lokal | Nama untuk Layanan Jaringan | Nama untuk Sistem Lokal | Nama untuk Grup Admin |
---|---|---|---|---|
Inggris Bahasa Tionghoa Sederhana Mandarin Tradisional Korea Jepang |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Jerman | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Prancis | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Italia | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Spanyol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Rusia | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |