Bagikan melalui


Mengonfigurasikan Akun dan Izin Layanan Windows

Berlaku untuk: SQL Server

Setiap layanan di SQL Server mewakili proses atau serangkaian proses untuk mengelola autentikasi operasi SQL Server dengan Windows. Artikel ini menjelaskan konfigurasi default layanan dalam rilis SQL Server ini, dan opsi konfigurasi untuk layanan SQL Server yang dapat Anda atur selama dan setelah penginstalan SQL Server. Artikel ini membantu pengguna tingkat lanjut memahami detail akun layanan.

Sebagian besar layanan dan propertinya dapat dikonfigurasi dengan menggunakan Pengelola Konfigurasi SQL Server. Berikut adalah jalur ke versi terbaru ketika Windows diinstal pada drive C.

Versi SQL Server Jalur
SQL Server 2022 (16.x) C:\Windows\SysWOW64\SQLServerManager16.msc
SQL Server 2019 (15.x) C:\Windows\SysWOW64\SQLServerManager15.msc
SQL Server 2017 (14.x) C:\Windows\SysWOW64\SQLServerManager14.msc
SQL Server 2016 (13.x) C:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc

SQL Server diaktifkan oleh Azure Arc

Untuk izin yang diperlukan oleh Ekstensi Azure untuk SQL Server, lihat Mengonfigurasi akun layanan Windows dan izin untuk Ekstensi Azure untuk SQL Server.

Layanan yang diinstal oleh SQL Server

Bergantung pada komponen yang Anda putuskan untuk diinstal, Penyiapan SQL Server menginstal layanan berikut:

Layanan Deskripsi
SQL Server Database Services Layanan untuk Mesin Database relasional SQL Server. File yang dapat dieksekusi adalah \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
SQL Server Agent Menjalankan pekerjaan, memantau SQL Server, mengaktifkan pemberitahuan, dan mengaktifkan otomatisasi beberapa tugas administratif. Layanan SQL Server Agent ada tetapi dinonaktifkan pada instans SQL Server Express. File yang dapat dieksekusi adalah \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Analysis Services Menyediakan fungsionalitas pemrosesan analitik online (OLAP) dan penggalian data untuk aplikasi kecerdasan bisnis. File yang dapat dieksekusi adalah \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Layanan Pelaporan Mengelola, menjalankan, membuat, menjadwalkan, dan memberikan laporan. File yang dapat dieksekusi adalah \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Layanan Integrasi Menyediakan dukungan manajemen untuk penyimpanan dan eksekusi paket Layanan Integrasi. Jalur yang dapat dieksekusi adalah \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe.

Layanan Integrasi dapat mencakup layanan tambahan untuk penyebaran peluasan skala. Untuk informasi selengkapnya, lihat Panduan: Menyiapkan Peluasan Skala Integration Services (SSIS).

Layanan Deskripsi
SQL Server Browser Layanan resolusi nama yang menyediakan informasi koneksi SQL Server untuk komputer klien. Jalur yang dapat dieksekusi adalah C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
Pencarian teks lengkap Membuat indeks teks lengkap dengan cepat pada konten dan properti data terstruktur dan semistruktur untuk menyediakan pemfilteran dokumen dan pemecahan kata untuk SQL Server.
Penulis SQL Memungkinkan aplikasi pencadangan dan pemulihan beroperasi dalam kerangka kerja Layanan Salinan Bayangan Volume (VSS).
Pengontrol Pemutaran Ulang Terdistribusi SQL Server Menyediakan orkestrasi pemutaran ulang jejak di beberapa komputer klien Pemutaran Ulang Terdistribusi.
Klien Pemutaran Ulang Terdistribusi SQL Server Satu atau beberapa komputer klien Pemutaran Ulang Terdistribusi yang bekerja sama dengan pengontrol Pemutaran Ulang Terdistribusi untuk menyimulasikan beban kerja bersamaan terhadap instans Mesin Database SQL Server.
SQL Server Launchpad Layanan tepercaya yang menghosting executable eksternal yang disediakan oleh Microsoft, seperti runtime R atau Python yang diinstal sebagai bagian dari Layanan R atau Layanan Pembelajaran Mesin. Proses satelit dapat diluncurkan oleh proses Launchpad tetapi sumber daya diatur berdasarkan konfigurasi instans individual. Layanan Launchpad berjalan di bawah akun penggunanya sendiri, dan setiap proses satelit untuk runtime tertentu yang terdaftar mewarisi akun pengguna Launchpad. Proses satelit dibuat dan dihancurkan sesuai permintaan selama waktu eksekusi.

Launchpad tidak dapat membuat akun yang digunakannya jika Anda menginstal SQL Server di komputer yang juga digunakan sebagai pengontrol domain. Oleh karena itu, penyiapan R Services (In-Database) atau Pembelajaran Mesin Services (In-Database) gagal pada pengendali domain.
Mesin PolyBase SQL Server Menyediakan kemampuan kueri terdistribusi ke sumber data eksternal.
SQL Server PolyBase Data Movement Service Memungkinkan pergerakan data antara SQL Server dan Sumber Data Eksternal dan antara simpul SQL di Grup Skala PolyBase.

Layanan CEIP yang diinstal oleh SQL Server

Layanan Customer Experience Improvement Program (CEIP) mengirimkan data telemetri kembali ke Microsoft.

Bergantung pada komponen yang Anda putuskan untuk diinstal, penyiapan SQL Server menginstal layanan CEIP berikut.

Layanan Deskripsi
SQLTELEMETRY Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri mesin database kembali ke Microsoft.
SSASTELEMETRY Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri SSAS kembali ke Microsoft.
SSISTELEMETRY Program Peningkatan Pengalaman Pelanggan yang mengirim data telemetri SSIS kembali ke Microsoft.

Properti dan konfigurasi layanan

Akun startup yang digunakan untuk memulai dan menjalankan SQL Server dapat berupa akun pengguna domain, akun pengguna lokal, akun layanan terkelola, akun virtual, atau akun sistem bawaan. Untuk memulai dan menjalankan, setiap layanan di SQL Server harus memiliki akun startup yang dikonfigurasi selama penginstalan.

Catatan

Untuk instans kluster failover SQL Server untuk SQL Server 2016 (13.x) dan yang lebih baru, akun pengguna domain atau akun layanan yang dikelola grup dapat digunakan sebagai akun startup untuk SQL Server.

Bagian ini menjelaskan akun yang dapat dikonfigurasi untuk memulai layanan SQL Server, nilai default yang digunakan oleh Penyiapan SQL Server, konsep SID per layanan, opsi startup, dan mengonfigurasi firewall.

Akun layanan default

Tabel berikut mencantumkan akun layanan default yang digunakan oleh penyiapan saat menginstal semua komponen. Akun default yang tercantum adalah akun yang direkomendasikan, kecuali seperti yang disebutkan.

Server atau pengendali domain yang berdiri sendiri

Komponen Windows Server 2008 Windows 7, Windows Server 2008 R2 dan yang lebih tinggi
Mesin Database LAYANAN JARINGAN Akun virtual 1
SQL Server Agent LAYANAN JARINGAN Akun virtual 1
SSAS LAYANAN JARINGAN Akun virtual 1 2
SSIS LAYANAN JARINGAN Akun virtual 1
SSRS LAYANAN JARINGAN Akun virtual 1
Pengontrol Pemutaran Ulang Terdistribusi SQL Server LAYANAN JARINGAN Akun virtual 1
Klien Pemutaran Ulang Terdistribusi SQL Server LAYANAN JARINGAN Akun virtual 1
Peluncur FD (Pencarian teks lengkap) LAYANAN LOKAL Akun virtual
SQL Server Browser LAYANAN LOKAL LAYANAN LOKAL
SQL Server VSS Writer SISTEM LOKAL SISTEM LOKAL
Ekstensi Analitik Tingkat Lanjut NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad
Mesin PolyBase LAYANAN JARINGAN LAYANAN JARINGAN
Layanan Pergerakan Data PolyBase LAYANAN JARINGAN LAYANAN JARINGAN

1 Ketika sumber daya di luar komputer SQL Server diperlukan, Microsoft merekomendasikan penggunaan akun layanan terkelola (MSA), dikonfigurasi dengan hak istimewa minimum yang diperlukan.

2 Saat diinstal pada pengendali domain, akun virtual karena akun layanan tidak didukung.

Instans kluster failover SQL Server

Komponen Windows Server 2008 Windows Server 2008 R2
Mesin Database Tidak ada. Sediakan akun pengguna domain. Sediakan akun pengguna domain.
SQL Server Agent Tidak ada. Sediakan akun pengguna domain. Sediakan akun pengguna domain.
SSAS Tidak ada. Sediakan akun pengguna domain. Sediakan akun pengguna domain.
SSIS LAYANAN JARINGAN Akun virtual
SSRS LAYANAN JARINGAN Akun virtual
Peluncur FD (Pencarian teks lengkap) LAYANAN LOKAL Akun virtual
SQL Server Browser LAYANAN LOKAL LAYANAN LOKAL
SQL Server VSS Writer SISTEM LOKAL SISTEM LOKAL

Mengubah properti akun

Penting

  • Selalu gunakan alat SQL Server seperti Pengelola Konfigurasi SQL Server untuk mengubah akun yang digunakan oleh layanan SQL Server Database Engine atau SQL Server Agent, atau untuk mengubah kata sandi untuk akun tersebut. Selain mengubah nama akun, Pengelola Konfigurasi SQL Server melakukan konfigurasi tambahan seperti memperbarui penyimpanan keamanan lokal Windows yang melindungi kunci master layanan untuk Mesin Database. Alat lain seperti Pengelola Kontrol Layanan Windows dapat mengubah nama akun tetapi tidak mengubah semua pengaturan yang diperlukan.

    Jika Anda mengubah akun layanan untuk layanan SQL apa pun dengan menggunakan cara lain, itu dapat menyebabkan perilaku atau kesalahan yang tidak terduga. Misalnya, jika Anda mengubah akun layanan Agen SQL ke akun domain menggunakan applet layanan Windows, Anda mungkin melihat bahwa pekerjaan agen SQL yang menggunakan sistem operasi (Cmdexec), Replikasi atau langkah pekerjaan SSIS mungkin gagal dengan kesalahan seperti berikut:

    Executed as user : Domain\Account.
    The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
    

    Untuk mengatasi kesalahan ini, Anda harus melakukan hal berikut menggunakan Pengelola Konfigurasi SQL Server:

    1. Ubah akun layanan Agen SQL untuk sementara kembali ke akun virtual default (Instans default: NT Service\SQLSERVERAGENT. Instans bernama: NT Service\SQLAGENT$<instance_name>.)
    2. Mulai ulang Layanan Agen SQL Server
    3. Mengubah akun layanan kembali ke akun domain yang diinginkan
    4. Mulai ulang layanan SQL Server Agent
  • Untuk instans Analysis Services yang Anda sebarkan di farm SharePoint, selalu gunakan Administrasi Pusat SharePoint untuk mengubah akun server untuk aplikasi layanan Power Pivot dan layanan Analysis Services. Pengaturan dan izin terkait diperbarui untuk menggunakan informasi akun baru saat Anda menggunakan Administrasi Pusat.

  • Untuk mengubah opsi Reporting Services, gunakan Alat Konfigurasi Reporting Services.

Akun layanan terkelola, akun layanan terkelola grup, dan akun virtual

Akun layanan terkelola, akun layanan terkelola grup, dan akun virtual dirancang untuk menyediakan aplikasi penting seperti SQL Server dengan isolasi akun mereka sendiri, sambil menghilangkan kebutuhan administrator untuk mengelola Nama Prinsipal Layanan (SPN) dan kredensial secara manual untuk akun ini. Ini membuat manajemen jangka panjang pengguna akun layanan, kata sandi, dan SPN jauh lebih mudah.

  • Akun layanan terkelola

    Akun layanan terkelola (MSA) adalah jenis akun domain yang dibuat dan dikelola oleh pengendali domain. Ini ditetapkan ke satu komputer anggota untuk digunakan menjalankan layanan. Kata sandi dikelola secara otomatis oleh pengendali domain. Anda tidak dapat menggunakan MSA untuk masuk ke komputer, tetapi komputer dapat menggunakan MSA untuk memulai layanan Windows. MSA memiliki kemampuan untuk mendaftarkan Nama Prinsipal Layanan (SPN) dalam Direktori Aktif saat diberikan izin servicePrincipalName baca dan tulis. MSA dinamai dengan $ akhiran, misalnya DOMAIN\ACCOUNTNAME$. Saat menentukan MSA, biarkan kata sandi kosong. Karena MSA ditetapkan ke satu komputer, MSA tidak dapat digunakan pada simpul kluster Windows yang berbeda.

    Catatan

    MSA harus dibuat di Direktori Aktif oleh administrator domain sebelum penyiapan SQL Server dapat menggunakannya untuk layanan SQL Server.

  • Akun layanan yang dikelola grup

    Akun layanan yang dikelola grup (gMSA) adalah MSA untuk beberapa server. Windows mengelola akun layanan untuk layanan yang berjalan pada sekelompok server. Direktori Aktif secara otomatis memperbarui kata sandi akun layanan yang dikelola grup tanpa memulai ulang layanan. Anda dapat mengonfigurasi layanan SQL Server untuk menggunakan perwakilan akun layanan yang dikelola grup. Dimulai dengan SQL Server 2014, SQL Server mendukung akun layanan yang dikelola grup untuk instans mandiri, dan SQL Server 2016 dan yang lebih baru untuk instans kluster failover, dan grup ketersediaan.

    Untuk menggunakan gMSA untuk SQL Server 2014 atau yang lebih baru, sistem operasi harus Windows Server 2012 R2 atau yang lebih baru. Server dengan Windows Server 2012 R2 memerlukan KB 2998082 diterapkan sehingga layanan dapat masuk tanpa gangguan segera setelah perubahan kata sandi.

    Untuk informasi selengkapnya, lihat Akun Layanan Terkelola Grup untuk Windows Server 2016 dan yang lebih baru. Untuk versi Windows Server sebelumnya, lihat Akun Layanan Terkelola Grup.

    Catatan

    GMSA harus dibuat di Direktori Aktif oleh administrator domain sebelum penyiapan SQL Server dapat menggunakannya untuk layanan SQL Server.

  • Akun virtual

    Akun virtual (dimulai dengan Windows Server 2008 R2 dan Windows 7) adalah akun lokal terkelola yang menyediakan fitur berikut untuk menyederhanakan administrasi layanan. Akun virtual dikelola secara otomatis, dan akun virtual dapat mengakses jaringan di lingkungan domain. Jika nilai default digunakan untuk akun layanan selama penyiapan SQL Server, akun virtual menggunakan nama instans saat nama layanan digunakan, dalam format NT SERVICE\<SERVICENAME>. Layanan yang berjalan sebagai akun virtual mengakses sumber daya jaringan dengan menggunakan kredensial akun komputer dalam format <domain_name>\<computer_name>$. Saat menentukan akun virtual untuk memulai SQL Server, biarkan kata sandi kosong. Jika akun virtual gagal mendaftarkan Nama Perwakilan Layanan (SPN), daftarkan SPN secara manual. Untuk informasi selengkapnya tentang mendaftarkan SPN secara manual, lihat Pendaftaran SPN Manual.

    Catatan

    Akun virtual tidak dapat digunakan untuk instans kluster failover SQL Server, karena akun virtual tidak akan memiliki SID yang sama pada setiap simpul kluster.

    Tabel berikut mencantumkan contoh nama akun virtual.

    Layanan Nama akun virtual
    Instans default layanan Mesin Database NT SERVICE\MSSQLSERVER
    Instans bernama layanan Mesin Database bernama PAYROLL NT SERVICE\MSSQL$PAYROLL
    Layanan SQL Server Agent pada instans default SQL Server NT Service\SQLSERVERAGENT
    Layanan SQL Server Agent pada instans SQL Server bernama PAYROLL NT SERVICE\SQLAGENT$PAYROLL

Untuk informasi selengkapnya tentang akun layanan terkelola dan akun virtual, lihat bagian Akun layanan terkelola dan konsep akun virtual dari Panduan Langkah demi Langkah Akun Layanan dan Tanya Jawab Umum (FAQ) Akun Layanan Terkelola.

Catatan

Selalu jalankan layanan SQL Server dengan menggunakan hak pengguna serendah mungkin. Gunakan MSA, gMSA, atau akun virtual jika memungkinkan. Ketika MSA, gMSA, dan akun virtual tidak dimungkinkan, gunakan akun pengguna atau akun domain dengan hak istimewa rendah tertentu alih-alih akun bersama untuk layanan SQL Server. Gunakan akun terpisah untuk layanan SQL Server yang berbeda. Jangan berikan izin tambahan ke akun layanan SQL Server atau grup layanan. Izin diberikan melalui keanggotaan grup atau diberikan langsung ke SID layanan, di mana SID layanan didukung.

Startup otomatis

Selain memiliki akun pengguna, setiap layanan memiliki tiga kemungkinan status startup yang dapat dikontrol pengguna:

  • Dinonaktifkan. Layanan diinstal tetapi saat ini tidak berjalan.
  • Manual. Layanan ini diinstal, tetapi hanya dimulai ketika layanan atau aplikasi lain membutuhkan fungsionalitasnya.
  • Otomatis. Layanan ini secara otomatis dimulai oleh sistem operasi.

Status startup dipilih selama penyiapan. Saat menginstal instans bernama, layanan Browser SQL Server harus diatur untuk memulai secara otomatis.

Mengonfigurasi layanan selama penginstalan tanpa pengawas

Tabel berikut ini memperlihatkan layanan SQL Server yang dapat dikonfigurasi selama penginstalan. Untuk penginstalan tanpa pengawas, Anda dapat menggunakan sakelar dalam file konfigurasi atau pada prompt perintah.

Nama layanan SQL Server Sakelar untuk penginstalan tanpa pengawas 1
MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent 2 AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Layanan Integrasi ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
Pengontrol Pemutaran Ulang Terdistribusi SQL Server DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
Klien Pemutaran Ulang Terdistribusi SQL Server DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
Layanan R atau Layanan Pembelajaran Mesin EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3
Mesin PolyBase PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

1 Untuk informasi selengkapnya dan sintaks sampel untuk penginstalan tanpa pengawas, lihat Menginstal SQL Server dari Prompt Perintah.

2 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Tingkat Lanjut.

3 Mengatur akun untuk Launchpad melalui sakelar saja saat ini tidak didukung. Gunakan Pengelola Konfigurasi SQL Server untuk mengubah akun dan pengaturan layanan lainnya.

Port firewall

Dalam kebanyakan kasus, ketika awalnya diinstal, Mesin Database dapat disambungkan oleh alat seperti SQL Server Management Studio yang diinstal pada komputer yang sama dengan SQL Server. Penyetelan SQL Server tidak membuka port di firewall Windows. Koneksi dari komputer lain mungkin tidak dimungkinkan sampai Mesin Database dikonfigurasi untuk mendengarkan port TCP, dan port yang sesuai dibuka untuk koneksi di firewall Windows. Untuk informasi selengkapnya, lihat Mengonfigurasi Windows Firewall untuk Mengizinkan Akses SQL Server.

Izin layanan

Bagian ini menjelaskan izin yang dikonfigurasi Penyiapan SQL Server untuk SID per layanan layanan SQL Server.

Konfigurasi layanan dan kontrol akses

SQL Server memungkinkan SID per layanan untuk setiap layanannya untuk memberikan isolasi layanan dan pertahanan secara mendalam. SID per layanan berasal dari nama layanan dan unik untuk layanan tersebut. Misalnya, nama SID layanan untuk instans bernama dari layanan Mesin Database mungkin .NT Service\MSSQL$<instance_name> Isolasi layanan memungkinkan akses ke objek tertentu tanpa perlu menjalankan akun hak istimewa tinggi atau melemahkan perlindungan keamanan objek. Dengan menggunakan entri kontrol akses yang berisi SID layanan, layanan SQL Server dapat membatasi akses ke sumber dayanya.

Catatan

Pada Windows 7 dan Windows Server 2008 R2 (dan yang lebih baru), SID per layanan dapat menjadi akun virtual yang digunakan oleh layanan.

Untuk sebagian besar komponen SQL Server mengonfigurasi ACL untuk akun per layanan secara langsung, sehingga mengubah akun layanan dapat dilakukan tanpa harus mengulangi proses ACL sumber daya.

Saat menginstal SSAS, SID per layanan untuk layanan Analysis Services dibuat. Grup Windows lokal dibuat, dinamai dalam format SQLServerMSASUser$<computer_name>$<instance_name>. SID NT SERVICE\MSSQLServerOLAPService per layanan diberikan keanggotaan di grup Windows lokal, dan grup Windows lokal diberikan izin yang sesuai dalam ACL. Jika akun yang digunakan untuk memulai layanan Analysis Services diubah, Pengelola Konfigurasi SQL Server harus mengubah beberapa izin Windows (seperti hak untuk masuk sebagai layanan), tetapi izin yang ditetapkan ke grup Windows lokal masih tersedia tanpa pembaruan apa pun, karena SID per layanan belum berubah. Metode ini memungkinkan layanan Analysis Services diganti namanya selama peningkatan.

Selama penginstalan SQL Server, Penyiapan SQL Server membuat grup Windows lokal untuk SSAS dan layanan Browser SQL Server. Untuk layanan ini, SQL Server mengonfigurasi ACL untuk grup Windows lokal.

Bergantung pada konfigurasi layanan, akun layanan untuk layanan atau SID layanan ditambahkan sebagai anggota grup layanan selama penginstalan atau peningkatan.

Hak istimewa dan hak Windows

Akun yang ditetapkan untuk memulai layanan memerlukan izin Mulai, hentikan, dan jeda untuk layanan. Program Penyetelan SQL Server secara otomatis menetapkan ini. Pertama-tama instal Alat Administrasi Server Jarak Jauh (RSAT). Lihat Alat Administrasi Server Jarak Jauh untuk Windows 10.

Tabel berikut ini memperlihatkan izin yang diminta Penyiapan SQL Server untuk SID per layanan atau grup Windows lokal yang digunakan oleh komponen SQL Server.

Layanan SQL Server Izin yang diberikan oleh Penyiapan SQL Server
Mesin Database SQL Server:

(Semua hak diberikan kepada SID per layanan. Instans default: NT SERVICE\MSSQLSERVER. Instans bernama: NT Service\MSSQL$<instance_name>.)
Masuk sebagai layanan (SeServiceLogonRight)

Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege)

Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege)

Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege)

Izin untuk memulai SQL Writer

Izin untuk membaca layanan Log Peristiwa

Izin untuk membaca layanan Panggilan Prosedur Jarak Jauh
SQL Server Agent: 1

(Semua hak diberikan kepada SID per layanan. Instans default: NT Service\SQLSERVERAGENT. Instans bernama: NT Service\SQLAGENT$<instance_name>.)
Masuk sebagai layanan (SeServiceLogonRight)

Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege)

Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege)

Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege)
SSAS:

(Semua hak diberikan kepada grup Windows lokal. Instans default: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Instans bernama: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot untuk instans SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot.)
Masuk sebagai layanan (SeServiceLogonRight)

Hanya untuk tabular:

Meningkatkan set kerja proses (SeIncreaseWorkingSetPrivilege)

Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege)

Kunci halaman dalam memori (SeLockMemoryPrivilege) - ini hanya diperlukan ketika penomoran dimatikan sepenuhnya.

Hanya untuk penginstalan kluster failover:

Meningkatkan prioritas penjadwalan (SeIncreaseBasePriorityPrivilege)
SSRS:

(Semua hak diberikan kepada SID per layanan. Instans default: NT SERVICE\ReportServer. Instans bernama: NT SERVICE\ReportServer$<instance_name>.)
Masuk sebagai layanan (SeServiceLogonRight)
SSIS:

(Semua hak diberikan kepada SID per layanan. Instans default dan instans bernama: NT SERVICE\MsDtsServer150. Integration Services tidak memiliki proses terpisah untuk instans bernama.)
Masuk sebagai layanan (SeServiceLogonRight)

Izin untuk menulis ke log peristiwa aplikasi.

Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege)

Meniru klien setelah autentikasi (SeImpersonatePrivilege)
Pencarian teks lengkap:

(Semua hak diberikan kepada SID per layanan. Instans default: NT Service\MSSQLFDLauncher. Instans bernama: NT Service\ MSSQLFDLauncher$<instance_name>.)
Masuk sebagai layanan (SeServiceLogonRight)

Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege)

Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege)
Browser SQL Server:

(Semua hak diberikan kepada grup Windows lokal. Instans default atau bernama: SQLServer2005SQLBrowserUser$<computer_name>. Browser SQL Server tidak memiliki proses terpisah untuk instans bernama.)
Masuk sebagai layanan (SeServiceLogonRight)
Penulis VSS SQL Server:

(Semua hak diberikan kepada SID per layanan. Instans default atau bernama: NT Service\SQLWriter. SQL Server VSS Writer tidak memiliki proses terpisah untuk instans bernama.)
Layanan SQLWriter berjalan di bawah akun SISTEM LOKAL yang memiliki semua izin yang diperlukan. Penyiapan SQL Server tidak memeriksa atau memberikan izin untuk layanan ini.
Pengontrol Pemutaran Ulang Terdistribusi SQL Server: Masuk sebagai layanan (SeServiceLogonRight)
Klien Pemutaran Ulang Terdistribusi SQL Server: Masuk sebagai layanan (SeServiceLogonRight)
Mesin polyBase dan DMS: Masuk sebagai layanan (SeServiceLogonRight)
Launchpad: Masuk sebagai layanan (SeServiceLogonRight)

Mengganti token tingkat proses (SeAssignPrimaryTokenPrivilege)

Melewati pemeriksaan melintasi (SeChangeNotifyPrivilege)

Menyesuaikan kuota memori untuk proses (SeIncreaseQuotaPrivilege)
Layanan R/layanan Pembelajaran Mesin: SQLRUserGroup (SQL Server 2016 (13.x) dan SQL Server 2017 (14.x)) tidak memiliki izin Izinkan Masuk secara lokal secara default
Layanan Pembelajaran Mesin: 'Semua Paket Aplikasi' [AppContainer] (SQL Server 2019 (15.x)) Membaca dan menjalankan izin ke direktori SQL Server 'Binn', R_Services, dan PYTHON_Services

1 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express.

Izin sistem file yang diberikan ke SQL Server per SID layanan atau grup Windows lokal

Akun layanan SQL Server harus memiliki akses ke sumber daya. Daftar kontrol akses diatur untuk SID per layanan atau grup Windows lokal.

Penting

Untuk penginstalan kluster failover, sumber daya pada disk bersama harus diatur ke ACL untuk akun lokal.

Tabel berikut ini memperlihatkan ACL yang diatur oleh Penyiapan SQL Server:

Akun Layanan untuk File dan folder Access
MSSQLServer Instid\MSSQL\backup Kontrol penuh
Instid\MSSQL\binn Baca, Jalankan
Instid\MSSQL\data Kontrol penuh
Instid\MSSQL\FTData Kontrol penuh
Instid\MSSQL\Install Baca, Jalankan
Instid\MSSQL\Log Kontrol penuh
Instid\MSSQL\Repldata Kontrol penuh
150\bersama Baca, Jalankan
Instid\MSSQL\Template Data (hanya SQL Server Express) Read
SQLServerAgent 1 Instid\MSSQL\binn Kontrol penuh
Instid\MSSQL\Log Baca, Tulis, Hapus, Jalankan
150\com Baca, Jalankan
150\bersama Baca, Jalankan
150\shared\Errordumps Baca, Tulis
ServerName\EventLog Kontrol penuh
FTS Instid\MSSQL\FTData Kontrol penuh
Instid\MSSQL\FTRef Baca, Jalankan
150\bersama Baca, Jalankan
150\shared\Errordumps Baca, Tulis
Instid\MSSQL\Install Baca, Jalankan
Instid\MSSQL\jobs Baca, Tulis
MSSQLServerOLAPservice 150\shared\ASConfig Kontrol penuh
Instid\OLAP Baca, Jalankan
Instid\Olap\Data Kontrol penuh
Instid\Olap\Log Baca, Tulis
Instid\OLAP\Backup Baca, Tulis
Instid\OLAP\Temp Baca, Tulis
150\shared\Errordumps Baca, Tulis
ReportServer Instid\Reporting Services\Log Files Baca, Tulis, Hapus
Instid\Reporting Services\ReportServer Baca, Jalankan
Instid\Reporting Services\ReportServer\global.asax Kontrol penuh
Instid\Reporting Services\ReportServer\rsreportserver.config Read
Instid\Reporting Services\RSTempfiles Baca, Tulis, Jalankan, Hapus
Instid\Reporting Services\RSWebApp Baca, Jalankan
150\bersama Baca, Jalankan
150\shared\Errordumps Baca, Tulis
MSDTSServer100 150\dts\binn\MsDtsSrvr.ini.xml Read
150\dts\binn Baca, Jalankan
150\bersama Baca, Jalankan
150\shared\Errordumps Baca, Tulis
SQL Server Browser 150\shared\ASConfig Read
150\bersama Baca, Jalankan
150\shared\Errordumps Baca, Tulis
SQLWriter N/A (Berjalan sebagai sistem lokal)
Pengguna Instid\MSSQL\binn Baca, Jalankan
Instid\Reporting Services\ReportServer Baca, Jalankan, Daftar Isi Folder
Instid\Reporting Services\ReportServer\global.asax Read
Instid\Reporting Services\RSWebApp Baca, Jalankan, Daftar Isi Folder
150\dts Baca, Jalankan
150\alat Baca, Jalankan
100\tools Baca, Jalankan
90\alat Baca, Jalankan
80\tools Baca, Jalankan
150\sdk Read
Microsoft SQL Server\150\Setup Bootstrap Baca, Jalankan
Pengontrol Pemutaran Ulang Terdistribusi SQL Server <ToolsDir>\DReplayController\Log\ (direktori kosong) Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\DReplayController.exe Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\resources|Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\{all dlls} Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\DReplayController.config Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\IRTemplate.tdf Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayController\IRDefinition.xml Baca, Jalankan, Daftar Isi Folder
Klien Pemutaran Ulang Terdistribusi SQL Server <ToolsDir>\DReplayClient\Log|Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\DReplayClient.exe Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\resources|Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\ (semua dll) Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\DReplayClient.config Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\IRTemplate.tdf Baca, Jalankan, Daftar Isi Folder
<ToolsDir>\DReplayClient\IRDefinition.xml Baca, Jalankan, Daftar Isi Folder
Launchpad %binn Baca, Jalankan
ExtensiblilityData Kontrol penuh
Log\ExtensibilityLog Kontrol penuh

1 Layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Lanjutan.

Saat file database disimpan di lokasi yang ditentukan pengguna, Anda harus memberikan akses SID per layanan ke lokasi tersebut. Untuk informasi selengkapnya tentang memberikan izin sistem file ke SID per layanan, lihat Mengonfigurasi Izin Sistem File untuk Akses Mesin Database.

Izin sistem file yang diberikan ke akun atau grup pengguna Windows lainnya

Beberapa izin kontrol akses mungkin harus diberikan ke akun bawaan atau akun layanan SQL Server lainnya. Tabel berikut ini mencantumkan ACL tambahan yang diatur oleh Penyiapan SQL Server.

Komponen permintaan Akun Sumber daya Izin
MSSQLServer Pengguna Log Performa Instid\MSSQL\binn Mencantumkan isi folder
Pengguna Pemantau Performa Instid\MSSQL\binn Mencantumkan isi folder
Pengguna Log Performa, Pengguna Monitor Performa \WINNT\system32\sqlctr150.dll Baca, Jalankan
Hanya administrator \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 Kontrol penuh
Administrator, Sistem \tools\binn\schemas\sqlserver\2004\07\showplan Kontrol penuh
Pengguna \tools\binn\schemas\sqlserver\2004\07\showplan Baca, Jalankan
Layanan Pelaporan Melaporkan Akun Layanan Windows Server <install>\Reporting Services\LogFiles DELETE

READ_CONTROL

MENSINKRONISASI

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Melaporkan Akun Layanan Windows Server <install>\Reporting Services\ReportServer Read
Melaporkan Akun Layanan Windows Server <install>\Reporting Services\ReportServer\global.asax Penuh
Melaporkan Akun Layanan Windows Server <install>\Reporting Services\RSWebApp Baca, Jalankan
Semua orang <install>\Reporting Services\ReportServer\global.asax READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES
Akun ReportServer Windows Services <install>\Reporting Services\ReportServer\rsreportserver.config DELETE

READ_CONTROL

MENSINKRONISASI

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Semua orang Kunci Server Laporan (Sarang instid) Nilai Kueri

Menghitung SubKunci

Notify

Kontrol Baca
Pengguna Layanan Terminal Kunci Server Laporan (Sarang instid) Nilai Kueri

Atur Nilai

Membuat SubKunci

Menghitung SubKunci

Notify

Hapus

Kontrol Baca
Pengguna Power Kunci Server Laporan (Sarang instid) Nilai Kueri

Atur Nilai

Buat Subkunci

Menghitung Subkunci

Notify

Hapus

Kontrol Baca

1 Ini adalah namespace penyedia WMI.

Izin sistem file yang terkait dengan lokasi disk yang tidak biasa

Drive default untuk lokasi untuk penginstalan adalah drive sistem, biasanya drive C. Bagian ini menjelaskan pertimbangan tambahan ketika database tempdb atau pengguna diinstal ke lokasi yang tidak biasa.

Drive non-default

Saat diinstal ke drive lokal yang bukan drive default, SID per layanan harus memiliki akses ke lokasi file. Penyiapan SQL Server menyediakan akses yang diperlukan.

Berbagi jaringan

Saat database diinstal ke berbagi jaringan, akun layanan harus memiliki akses ke lokasi file pengguna dan tempdb database. Penyiapan SQL Server tidak dapat menyediakan akses ke berbagi jaringan. Pengguna harus menyediakan akses ke lokasi tempdb untuk akun layanan sebelum menjalankan penyiapan. Pengguna harus menyediakan akses ke lokasi database pengguna sebelum membuat database.

Catatan

Akun virtual tidak dapat diautentikasi ke lokasi jarak jauh. Semua akun virtual menggunakan izin akun komputer. Provisikan akun komputer dalam format <domain_name>\<computer_name>$.

Meninjau pertimbangan tambahan

Tabel berikut ini memperlihatkan izin yang diperlukan untuk layanan SQL Server untuk menyediakan fungsionalitas tambahan.

Layanan/Aplikasi Fungsi Izin yang diperlukan
SQL Server (MSSQLSERVER) Tulis ke slot email menggunakan xp_sendmail. Izin tulis jaringan.
SQL Server (MSSQLSERVER) Jalankan xp_cmdshell untuk pengguna selain administrator SQL Server. Bertindak sebagai bagian dari sistem operasi dan mengganti token tingkat proses.
SQL Server Agent (MSSQLSERVER) Gunakan fitur hidupkan ulang otomatis. Harus merupakan anggota grup lokal Administrator.
Konsultan Penyetelan Mesin Database Menyetel database untuk performa kueri yang optimal. Pada penggunaan pertama, pengguna yang memiliki kredensial administratif sistem harus menginisialisasi aplikasi. Setelah inisialisasi, pengguna dbo dapat menggunakan Konsultan Penyetelan Mesin Database untuk menyetel hanya tabel yang mereka miliki. Untuk informasi selengkapnya, lihat Memulai dan menggunakan Konsultan Penyetelan Mesin Database.

Penting

Sebelum Anda meningkatkan SQL Server, aktifkan SQL Server Agent dan verifikasi konfigurasi default yang diperlukan: bahwa akun layanan SQL Server Agent adalah anggota peran server tetap SQL Server sysadmin .

Izin registri

Sarang registri dibuat di bawah HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> untuk komponen yang sadar instans. Contohnya:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150

Registri juga mempertahankan pemetaan ID instans ke nama instans. ID instans ke pemetaan nama instans dipertahankan sebagai berikut:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"

WMI

Instrumentasi Manajemen Windows (WMI) harus dapat tersambung ke Mesin Database. Untuk mendukung hal ini, SID per layanan penyedia Windows WMI (NT SERVICE\winmgmt) disediakan di Mesin Database.

Penyedia SQL WMI memerlukan izin minimal berikut:

  • Keanggotaan dalam peran database tetap db_ddladmin atau db_owner dalam msdb database.

  • BUAT izin PEMBERITAHUAN PERISTIWA DDL di server.

  • IZIN CREATE TRACE EVENT NOTIFICATION di Mesin Database.

  • LIHAT izin tingkat server DATABASE APA PUN.

    Penyiapan SQL Server membuat namespace layanan SQL WMI dan memberikan izin baca ke SQL Server Agent service-SID.

Saluran bernama

Di semua penginstalan, Penyiapan SQL Server menyediakan akses ke Mesin Database SQL Server melalui protokol memori bersama, yang merupakan pipa bernama lokal.

Penyediaan

Bagian ini menjelaskan bagaimana akun disediakan di dalam berbagai komponen SQL Server.

Provisi Mesin Database

Akun berikut ditambahkan sebagai login di Mesin Database SQL Server.

Prinsipal Windows

Selama penyiapan, Penyiapan SQL Server mengharuskan setidaknya satu akun pengguna dinamai sebagai anggota peran server tetap sysadmin .

Akun SA

Akun sa selalu hadir sebagai login Mesin Database dan merupakan anggota peran server tetap sysadmin . Ketika Mesin Database diinstal hanya menggunakan Autentikasi Windows (yaitu ketika Autentikasi SQL Server tidak diaktifkan), login sa masih ada tetapi dinonaktifkan dan kata sandinya kompleks dan acak. Untuk informasi tentang mengaktifkan akun sa , lihat Mengubah Mode Autentikasi Server.

Login dan hak istimewa SID per layanan SQL Server

SID per layanan (terkadang juga disebut perwakilan keamanan layanan (SID)) dari layanan SQL Server disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin . Untuk informasi tentang SID per layanan, lihat Menggunakan SID Layanan untuk memberikan izin ke layanan di SQL Server.

Info masuk dan hak istimewa SQL Server Agent

SID per layanan layanan SQL Server Agent disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin .

Grup ketersediaan AlwaysOn dan instans dan hak istimewa kluster failover SQL

Saat menginstal Mesin Database sebagai grup ketersediaan AlwaysOn atau instans kluster failover SQL (SQL FCI), SISTEM LOKAL disediakan di Mesin Database. Login SISTEM LOKAL diberikan izin UBAH GRUP KETERSEDIAAN APA PUN (untuk grup ketersediaan AlwaysOn) dan izin TAMPILKAN STATUS SERVER (untuk SQL FCI).

SQL Writer dan hak istimewa

SID per layanan layanan SQL Server VSS Writer disediakan sebagai login Mesin Database. Login SID per layanan adalah anggota peran server tetap sysadmin .

SQL WMI dan hak istimewa

Penyiapan SQL Server menyediakan NT SERVICE\Winmgmt akun sebagai login Mesin Database dan menambahkannya ke peran server tetap sysadmin .

Provisi SSRS

Akun yang ditentukan selama penyiapan disediakan sebagai anggota peran database RSExecRole . Untuk informasi selengkapnya, lihat Mengonfigurasi Akun Layanan Server Laporan (Manajer Konfigurasi SSRS).

Provisi SSAS

Persyaratan akun layanan SSAS bervariasi tergantung pada cara Anda menyebarkan server. Jika Anda menginstal Power Pivot untuk SharePoint, Penyiapan SQL Server mengharuskan Anda mengonfigurasi layanan Analysis Services untuk dijalankan di bawah akun domain. Akun domain diperlukan untuk mendukung fasilitas akun terkelola yang dibangun ke dalam SharePoint. Untuk alasan ini, Penyetelan SQL Server tidak menyediakan akun layanan default, seperti akun virtual, untuk penginstalan Power Pivot untuk SharePoint. Untuk informasi selengkapnya tentang penyediaan Power Pivot untuk SharePoint, lihat Mengonfigurasi Akun Layanan Power Pivot.

Untuk semua penginstalan SSAS mandiri lainnya, Anda dapat menyediakan layanan untuk dijalankan di bawah akun domain, akun sistem bawaan, akun terkelola, atau akun virtual. Untuk informasi selengkapnya tentang provisi akun, lihat Mengonfigurasi Akun Layanan (Analysis Services).

Untuk penginstalan berkluster, Anda harus menentukan akun domain atau akun sistem bawaan. Baik akun terkelola maupun akun virtual tidak didukung untuk kluster failover SSAS.

Semua penginstalan SSAS mengharuskan Anda menentukan administrator sistem instans Analysis Services. Hak istimewa administrator disediakan dalam peran Server Analysis Services.

Provisi SSRS

Akun yang ditentukan selama penyiapan disediakan di Mesin Database sebagai anggota peran database RSExecRole . Untuk informasi selengkapnya, lihat Mengonfigurasi Akun Layanan Server Laporan (Manajer Konfigurasi SSRS).

Meningkatkan dari versi sebelumnya

Bagian ini menjelaskan perubahan yang dilakukan selama peningkatan dari versi SQL Server sebelumnya.

  • SQL Server 2019 (15.x) memerlukan sistem operasi yang didukung. Versi SQL Server sebelumnya yang berjalan pada versi sistem operasi yang lebih rendah harus memiliki sistem operasi yang ditingkatkan sebelum meningkatkan SQL Server.

  • Selama peningkatan penyiapan SQL Server 2005 (9.x) ke SQL Server 2019 (15.x) mengonfigurasi instans SQL Server dengan cara berikut:

    • Mesin Database berjalan dengan konteks keamanan SID per layanan. SID per layanan diberikan akses ke folder file instans SQL Server (seperti DATA), dan kunci registri SQL Server.
    • SID per layanan Mesin Database disediakan di Mesin Database sebagai anggota peran server tetap sysadmin .
    • SID per layanan ditambahkan ke grup Windows SQL Server lokal, kecuali SQL Server adalah instans kluster failover.
    • Sumber daya SQL Server tetap disediakan untuk grup Windows SQL Server lokal.
    • Grup Windows lokal untuk layanan diganti namanya dari SQLServer2005MSSQLUser$<computer_name>$<instance_name> menjadi SQLServerMSSQLUser$<computer_name>$<instance_name>. Lokasi file untuk database yang dimigrasikan memiliki Entri Kontrol Akses (ACE) untuk grup Windows lokal. Lokasi file untuk database baru memiliki ASE untuk SID per layanan.
  • Selama peningkatan dari SQL Server 2008 (10.0.x), Penyiapan SQL Server mempertahankan ACE untuk SQL Server 2008 (10.0.x) per SID layanan.

  • Untuk instans kluster failover SQL Server, ACE untuk akun domain yang dikonfigurasi untuk layanan dipertahankan.

Lampiran

Bagian ini berisi informasi tambahan tentang layanan SQL Server.

Deskripsi akun layanan

Akun layanan adalah akun yang digunakan untuk memulai layanan Windows, seperti SQL Server Database Engine. Untuk menjalankan SQL Server, tidak diharuskan untuk menambahkan Akun Layanan sebagai Masuk ke SQL Server selain SID Layanan, yang selalu ada dan anggota peran server tetap sysamin .

Akun yang tersedia dengan sistem operasi apa pun

Selain akun MSA, gMSA, dan virtual baru yang dijelaskan sebelumnya, akun berikut dapat digunakan.

Akun pengguna domain

Jika layanan harus berinteraksi dengan layanan jaringan, mengakses sumber daya domain seperti berbagi file atau jika menggunakan koneksi server tertaut ke komputer lain yang menjalankan SQL Server, Anda mungkin menggunakan akun domain dengan hak istimewa minimal. Banyak aktivitas server-ke-server hanya dapat dilakukan dengan akun pengguna domain. Akun ini harus dibuat sebelumnya oleh administrasi domain di lingkungan Anda.

Jika Anda mengonfigurasi SQL Server untuk menggunakan akun domain, Anda dapat mengisolasi hak istimewa untuk Layanan, tetapi harus mengelola kata sandi secara manual atau membuat solusi kustom untuk mengelola kata sandi ini. Banyak aplikasi server menggunakan strategi ini untuk meningkatkan keamanan, tetapi strategi ini memerlukan administrasi dan kompleksitas tambahan. Dalam penyebaran ini, administrator layanan menghabiskan banyak waktu untuk tugas pemeliharaan seperti mengelola kata sandi layanan dan nama perwakilan layanan (SPN), yang diperlukan untuk autentikasi Kerberos. Selain itu, tugas pemeliharaan ini dapat mengganggu layanan.

Akun pengguna lokal

Jika komputer bukan bagian dari domain, akun pengguna lokal tanpa izin administrator Windows disarankan.

Akun Layanan Lokal

Akun Layanan Lokal adalah akun bawaan yang memiliki tingkat akses yang sama ke sumber daya dan objek sebagai anggota grup Pengguna. Akses terbatas ini membantu melindungi sistem jika layanan atau proses individu disusupi. Layanan yang berjalan sebagai akun layanan lokal mengakses sumber daya jaringan sebagai sesi null tanpa kredensial.

Akun layanan lokal tidak didukung untuk layanan SQL Server atau SQL Server Agent. Layanan Lokal tidak didukung karena akun yang menjalankan layanan tersebut karena ini adalah layanan bersama dan layanan lain yang berjalan di bawah layanan lokal akan memiliki akses administrator sistem ke SQL Server.

Nama akun yang sebenarnya adalah NT AUTHORITY\LOCAL SERVICE.

Akun Layanan Jaringan

Akun Layanan Jaringan adalah akun bawaan yang memiliki lebih banyak akses ke sumber daya dan objek daripada anggota grup Pengguna. Layanan yang berjalan sebagai akun layanan jaringan mengakses sumber daya jaringan dengan menggunakan kredensial akun komputer dalam format <domain_name>\<computer_name>$. Nama akun yang sebenarnya adalah NT AUTHORITY\NETWORK SERVICE.

Akun Sistem Lokal

Sistem Lokal adalah akun bawaan dengan hak istimewa yang sangat tinggi. Ini memiliki hak istimewa yang luas pada sistem lokal dan bertindak sebagai komputer pada jaringan. Nama aktual akun adalah NT AUTHORITY\SYSTEM.

Mengidentifikasi layanan yang sadar instans dan tidak menyadari instans

Layanan sadar instans dikaitkan dengan instans SQL Server tertentu, dan memiliki sarang registri mereka sendiri. Anda dapat menginstal beberapa salinan layanan sadar instans dengan menjalankan Penyiapan SQL Server untuk setiap komponen atau layanan. Layanan instance-unaware dibagikan di antara semua instans SQL Server yang diinstal. Instans tersebut tidak terkait dengan instans tertentu, hanya diinstal sekali, dan tidak dapat diinstal secara berdampingan.

Layanan sadar instans di SQL Server mencakup hal berikut:

  • SQL Server

  • SQL Server Agent

    Ketahuilah bahwa layanan SQL Server Agent dinonaktifkan pada instans SQL Server Express dan SQL Server Express dengan Layanan Lanjutan.

  • Analysis Services

    Analysis Services dalam mode terintegrasi SharePoint berjalan sebagai 'Power Pivot' sebagai instans tunggal bernama. Nama instans diperbaiki. Anda tidak dapat menentukan nama yang berbeda. Anda hanya dapat menginstal satu instans Analysis Services yang berjalan sebagai 'Power Pivot' di setiap server fisik.

  • Layanan Pelaporan

  • Pencarian teks penuh

Layanan yang tidak menyadari instans di SQL Server meliputi yang berikut ini:

  • Layanan Integrasi
  • SQL Server Browser
  • Penulis SQL

Nama layanan yang dilokalkan

Tabel berikut ini memperlihatkan nama layanan yang ditampilkan oleh versi Windows yang dilokalkan.

Bahasa Nama untuk Layanan Lokal Nama untuk Layanan Jaringan Nama untuk Sistem Lokal Nama untuk Grup Admin
Inggris

Bahasa Tionghoa Sederhana

Mandarin Tradisional

Korea

Jepang
NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Jerman NT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEM VORDEFINIERT\Administratoren
Prancis AUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEM BUILTIN\Administrators
Italia NT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Spanyol NT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEM BUILTIN\Administradores
Rusia NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМА BUILTIN\Администраторы

Langkah berikutnya