Impostazione di account di servizio Windows
Data aggiornamento: 12 dicembre 2006
Ogni servizio in SQL Server rappresenta un processo o un insieme di processi destinati a gestire l'autenticazione delle operazioni di SQL Server con Microsoft Windows. In questo argomento viene presentata la configurazione predefinita dei servizi di questa versione di SQL Server, nonché le opzioni di configurazione per i servizi SQL Server impostabili durante l'installazione di SQL Server.
Nota sulla protezione Eseguire sempre i servizi SQL Server utilizzando i diritti utente di livello più basso possibile.
In base ai componenti di Microsoft SQL Server 2005 che si desidera installare, il programma di installazione di SQL Server 2005 installa i servizi seguenti:
Servizi di database SQL Server - Il servizio per Motore di database relazionale di SQL Server.
SQL Server Agent - Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione.
[!NOTA] Perché SQL Server e SQL Server Agent possano essere eseguiti come servizi su Windows, è necessario assegnare loro un account utente di Windows. Generalmente viene assegnato lo stesso account utente sia a SQL Server che a SQL Server Agent. Può trattarsi dell'account di sistema locale o di un account utente di dominio. È comunque possibile personalizzare tali impostazioni per ogni servizio durante il processo di installazione. Per ulteriori informazioni sulla personalizzazione delle informazioni degli account per ogni servizio, vedere Account servizio.
Analysis Services - Offre funzionalità di elaborazione analitica in linea (OLAP) e di data mining per applicazioni di Business Intelligence.
Reporting Services - Consente la gestione, l'esecuzione, il rendering, la pianificazione e il recapito di report.
Notification Services - Piattaforma per lo sviluppo e la distribuzione di applicazioni che generano e inviano notifiche.
Integration Services - Offre strumenti di supporto per la gestione dell'archiviazione e dell'esecuzione dei pacchetti Integration Services.
Ricerca full-text - Crea rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per consentire ricerche linguistiche rapide su tali dati.
SQL Server Browser - Servizio di risoluzione dei nomi che offre informazioni di connessione a SQL Server per i computer client.
SQL Server Active Directory Helper - Consente di pubblicare e gestire i servizi di SQL Server in Active Directory.
Writer SQL - Consente alle applicazioni di backup e di ripristino di operare nell'infrastruttura del Servizio Copia Shadow del volume (VSS).
Il resto di questo argomento è suddiviso nelle sezioni seguenti:
- Configurazione dei servizi esposti nel programma di installazione di SQL Server
- Utilizzo degli account di avvio per i servizi SQL Server
- Identificazione dei servizi che supportano le istanze e di quelli che non le supportano
- Diritti e privilegi di NT concessi agli account dei servizi SQL Server
- Elenchi di controllo di accesso creati per gli account del servizio SQL Server
- Autorizzazioni di Windows per i servizi SQL Server
- Considerazioni aggiuntive
- Nomi dei servizi localizzati
Configurazione dei servizi esposti nel programma di installazione di SQL Server
Durante l'installazione di SQL Server è possibile configurare alcuni servizi SQL Server con l'account di avvio e decidere se devono essere avviati automaticamente. Nella tabella seguente vengono indicati i servizi di SQL Server configurabili durante l'installazione. Nel caso delle installazioni automatiche è possibile utilizzare le opzioni in un file di installazione o al prompt dei comandi.
| Nome del servizio SQL Server | Configurabile nell'installazione guidata? | Opzioni per le installazioni automatiche1 |
|---|---|---|
MSSQLSERVER |
Sì |
SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART |
SQLServerAgent |
Sì |
AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART |
MSSQLServerOLAPService |
Sì |
ASACCOUNT, ASPASSWORD, ASAUTOSTART |
ReportServer |
Sì |
RSACCOUNT, RSPASSWORD, RSAUTOSTART |
SQLBrowser |
Sì |
SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2 |
1Per ulteriori informazioni e una sintassi di esempio relativa alle installazioni remote e automatiche, vedere Procedura: Installazione di SQL Server 2005 dal prompt dei comandi.
2SQLBROWSERAUTOSTART può essere specificato anche se SQL Server Browser è già installato.
Non è possibile configurare i seguenti servizi al momento dell'installazione. Vengono installati con le impostazioni predefinite:
- Notification Services
- Integration Services
- Ricerca full-text
- Active Directory Helper
- Writer SQL
Utilizzo degli account di avvio per i servizi SQL Server
Ogni servizio SQL Server 2005 deve disporre di un account utente per poter essere avviato ed eseguito. Gli account utente possono essere account di sistema predefiniti o account utente di dominio.
Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:
- Disattivato Il servizio è installato ma non è attualmente in esecuzione.
- Manuale Il servizio è installato ma verrà avviato solo quando un altro servizio o applicazione necessiterà delle sue funzionalità.
- Automatico Il servizio viene avviato dal sistema operativo dopo il caricamento dei driver di periferica in fase di avvio.
Nella tabella seguente vengono descritti gli account predefiniti e facoltativi per ogni servizio SQL Server, nonché gli stati di avvio per ogni servizio.
| Nome del servizio SQL Server | Account predefinito | Account facoltativi | Tipo di avvio | Stato predefinito successivo all'installazione |
|---|---|---|---|---|
SQL Server |
SQL Server Express Edition su Windows 2000: Sistema locale SQL Server Express Edition su tutti gli altri sistemi operativi supportati: Servizio di rete Tutte le altre edizioni su tutti i sistemi operativi supportati: Utente di dominio1 |
SQL Server Express Edition: Utente di dominio, Sistema locale, Servizio di rete1 Tutte le altre edizioni: Utente di dominio, Sistema locale, Servizio di rete1 |
Automatico2 |
Avviato Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico |
SQL Server Agent |
Utente di dominio3 |
Utente di dominio, Sistema locale, Servizio di rete1,6 |
Disattivato Automatico solo se l'utente sceglie di eseguire l'avvio automatico |
Interrotto Avviato solo se l'utente sceglie di eseguire l'avvio automatico |
Analysis Services |
Utente di dominio3 |
Utente di dominio, Sistema locale, Servizio di rete, Servizio locale |
Automatico |
Avviato Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico |
Reporting Services |
Utente di dominio3 |
Utente di dominio, Sistema locale, Servizio di rete, Servizio locale |
Automatico |
Avviato Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico |
Notification Services4 |
N/A |
N/A |
N/A |
N/A |
Integration Services |
Windows 2000: Sistema locale Tutti gli altri sistemi operativi supportati: Servizio di rete |
Utente di dominio, Sistema locale, Servizio di rete, Servizio locale |
Automatico |
Avviato Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico |
Ricerca full-text |
Stesso account di SQL Server |
Utente di dominio, Sistema locale, Servizio di rete, Servizio locale |
Manuale |
Interrotto Avviato solo se l'utente sceglie di eseguire l'avvio automatico |
SQL Server Browser |
SQL Server Express Edition su Windows 2000: Sistema locale SQL Server Express Edition su tutti gli altri sistemi operativi supportati: Servizio locale Tutte le altre edizioni su tutti i sistemi operativi supportati: Utente di dominio1,3 |
Utente di dominio, Sistema locale, Servizio di rete, Servizio locale |
Disattivato5 Automatico solo se l'utente sceglie di eseguire l'avvio automatico |
Interrotto5 Avviato solo se l'utente sceglie di eseguire l'avvio automatico |
SQL Server Active Directory Helper |
Servizio di rete |
Sistema locale, Servizio di rete |
Disattivato |
Interrotto |
Writer SQL |
Sistema locale |
Sistema locale |
Opzioni automatiche |
Avviato |
1Importante Microsoft sconsiglia di utilizzare l'account Servizio di rete per il servizio SQL Server o SQL Server Agent. Per questi servizi SQL Server sono più adatti gli account utente locale o di dominio.
2Impostare come manuale nelle configurazioni cluster di failover.
3Questa proprietà è obbligatoria per le installazioni automatiche. Se non viene specificata, l'installazione verrà interrotta. Per specificare il sistema locale utilizzare SQLAccount=LocalSystem o ASAccount=LocalSystem. Per ulteriori informazioni e una sintassi di esempio relativa alle installazioni remote e automatiche, vedere Procedura: Installazione di SQL Server 2005 dal prompt dei comandi.
4 Il programma di installazione di SQL Server può installare ma non configurare Notification Services. Per ulteriori informazioni sull'attivazione di Notification Services dopo l'installazione, vedere l'argomento relativo alla configurazione dei servizi Windows di Notification Services nella documentazione in linea di SQL Server 2005.
5Per le installazioni cluster di failover, SQL Server Browser viene impostato per l'avvio automatico e viene avviato dopo l'installazione per impostazione predefinita.
6Per ulteriori informazioni sugli account di Windows supportati per SQL Server Agent, vedere Tipi di account di Windows supportati che possono essere utilizzati per l'esecuzione del servizio SQL Server Agent in SQL Server 2005.
.gif "ms143504.note(it-it,SQL.90).gif") Importante: |
|---|
| Per le installazioni cluster di failover, gli account di sistema locale e di servizio locale non sono consentiti per i sistemi cluster, ad esempio SQL Server, SQL Server Agent e SSAS. Per ulteriori informazioni, vedere Operazione preliminari all'installazione del clustering di failover. Per le installazioni di SQL Server 2005 in configurazioni affiancate con versioni precedenti di SQL Server, i servizi di SQL Server 2005 devono utilizzare solo gli account disponibili nel gruppo di dominio globale. Gli account utilizzati dai servizi SQL Server 2005 non devono inoltre essere inclusi nel gruppo Administrators locale. Se queste linee guida non vengono rispettate, potrebbero verificarsi effetti imprevisti a livello di protezione. |
Utilizzo di un account utente di dominio
Può essere preferibile utilizzare un account utente di dominio quando il servizio deve interagire con servizi di rete. Molte attività da server a server possono essere eseguite solo con un account utente di dominio, ad esempio:
- Chiamate a procedure remote.
- Replica.
- Backup su unità di rete.
- Join eterogenei che coinvolgono origini dati remote.
- Funzionalità di posta elettronica di SQL Server Agent e di SQL Mail. Questa limitazione è valida se si utilizza Microsoft Exchange. Per la maggior parte degli altri sistemi di posta elettronica è inoltre necessario che i client, ad esempio i servizi SQL Server e SQL Server Agent, vengano eseguiti con account che dispongono di diritti di accesso alla rete.
Utilizzo dell'account di servizio locale
L'account di servizio locale è un account predefinito speciale simile a un account utente autenticato e dispone dello stesso livello di accesso alle risorse e agli oggetti dei membri del gruppo Utenti. Tale accesso limitato consente di salvaguardare il sistema nel caso in cui singoli servizi o processi siano compromessi. I servizi eseguiti come account di servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali
Utilizzo dell'account Servizio di rete
L'account Servizio di rete è un account predefinito speciale simile a un account utente autenticato e dispone dello stesso livello di accesso alle risorse e agli oggetti dei membri del gruppo Utenti. I servizi eseguiti come account Servizio di rete possono accedere alle risorse di rete utilizzando le credenziali dell'account computer.
| Importante: |
|---|
| È consigliabile non utilizzare l'account Servizio di rete per i servizi SQL Server o SQL Server Agent. Per questi servizi SQL sono più adatti gli account utente locale o di dominio. |
Utilizzo dell'account di sistema locale
L'account di sistema locale dispone di privilegi di alto livello. Prestare quindi attenzione durante l'assegnazione di autorizzazioni Sistema locale agli account del servizio SQL Server.
.gif "ms143504.security(it-it,SQL.90).gif") Nota sulla protezione: |
|---|
| Per aumentare la protezione di un'installazione di SQL Server eseguire servizi SQL Server sotto un account Windows locale con i privilegi più bassi esistenti. |
Modifica degli account utente
Per modificare la password o altre proprietà di qualsiasi servizio correlato a SQL Server, utilizzare Gestione configurazione SQL Server. Se la password di Windows viene modificata, accertarsi di aggiornare inoltre le impostazioni dei servizi SQL Server in Windows. Se Kerberos è attivato, aggiornare la proprietà della directory del nome SPN per Active Directory.
Per ulteriori informazioni, vedere Modifica delle password e degli account utente. Per informazioni sull'utilizzo in Microsoft Windows del componente aggiuntivo Servizi per modificare gli account del servizio SQL Server, vedere Come modificare l'account di servizio di SQL Server o Agente SQL Server senza utilizzare SQL Enterprise Manager in SQL Server 2000 o Gestione configurazione SQL Server in SQL Server 2005.
Identificazione dei servizi che supportano le istanze e dei servizi che non supportano le istanze
Alcuni servizi SQL Server supportano le istanze, mentre altri non le supportano. Ogni servizio che supporta le istanze è associato a un'istanza specifica di SQL Server e dispone del proprio hive del Registro di sistema. È possibile installare più copie di servizi che supportano le istanze eseguendo il programma di installazione di SQL Server per installare ogni componente o servizio. I servizi che non supportano le istanze vengono condivisi da tutte le istanze installate di SQL Server, non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere soggetti a installazione affiancata.
I servizi che supportano le istanze in Microsoft SQL Server 2005 sono:
- SQL Server
- SQL Server Agent
- Analysis Services
- Reporting Services
- Ricerca full-text
I servizi che non supportano le istanze in SQL Server 2005 sono:
- Notification Services
- Integration Services
- SQL Server Browser
- SQL Server Active Directory Helper
- Writer SQL
Diritti e privilegi di Windows NT concessi agli account dei servizi SQL Server
Il programma di installazione di SQL Server crea gruppi di utenti per diversi servizi SQL Server e aggiunge gli account dei servizi a tali gruppi di utenti. Questi gruppi semplificano la concessione di autorizzazioni necessarie per eseguire i servizi SQL Server e altri eseguibili e per proteggere i file di SQL Server. Si noti che i nomi dei gruppi devono essere univoci quando si installa SQL Server 2005 in un controller di dominio.
Ai gruppi di utenti creati dal programma di installazione di SQL Server vengono concessi i seguenti diritti e privilegi di Windows NT.
| Servizio SQL Server | Gruppo utenti | Autorizzazioni predefinite concesse dal programma di installazione di SQL Server |
|---|---|---|
SQL Server |
Istanza predefinita: SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER Istanza denominata: SQLServer2005MSSQLUser$ComputerName$InstanceName |
Accesso come servizio (SeServiceLogonRight) Funzionamento come parte del sistema operativo (SeTcbPrivilege) (solo su Windows 2000) Accesso come processo batch (SeBatchLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) Autorizzazione all'avvio di SQL Server Active Directory Helper Autorizzazione all'avvio del writer SQL |
SQL Server Agent |
Istanza predefinita: SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER Istanza denominata: SQLServer2005SQLAgentUser$ComputerName$InstanceName |
Accesso come servizio (SeServiceLogonRight) Funzionamento come parte del sistema operativo (SeTcbPrivilege) (solo su Windows 2000) Accesso come processo batch (SeBatchLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) |
Analysis Services |
Istanza predefinita: SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER Istanza denominata: SQLServer2005MSOLAPUser$ComputerName$InstanceName |
Accesso come servizio (SeServiceLogonRight) |
Reporting Services1 |
Istanza predefinita: SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER e SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER Istanza denominata: SQLServer2005ReportServerUser$ComputerName$InstanceName e SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName |
Accesso come servizio (SeServiceLogonRight) |
Notification Services2 |
Istanza predefinita o denominata: SQLServer2005NotificationServicesUser$ComputerName |
N/A |
Integration Services |
Istanza predefinita o denominata: SQLServer2005DTSUser$ComputerName |
Accesso come servizio (SeServiceLogonRight) Autorizzazione di scrittura sul registro eventi applicazioni Ignorare controllo incrociato (SeChangeNotifyPrivilege) Creazione oggetti globali (SeCreateGlobalPrivilege) Rappresentazione di un client dopo l'autenticazione (SeImpersonatePrivilege) |
Ricerca full-text |
Istanza predefinita: SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER Istanza denominata: SQLServer2005MSFTEUser$ComputerName$InstanceName |
Accesso come servizio (SeServiceLogonRight) |
SQL Server Browser |
Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$ComputerName |
Accesso come servizio (SeServiceLogonRight) |
SQL Server Active Directory Helper |
Istanza predefinita o denominata: SQLServer2005MSSQLServerADHelperUser$ComputerName |
Nessuna3 |
Writer SQL |
N/A |
Nessuna3 |
1Per Reporting Services, il programma di installazione di SQL Server deve inoltre creare gruppi di utenti SQLServer2005ReportingServicesWebServiceUser$InstanceName e SQLServer2005ASP.NETUser e concedere elenchi di controllo di accesso a tali gruppi. Per ulteriori informazioni, vedere la sezione sottostante relativa agli elenchi di controllo di accesso.
2 Il programma di installazione di SQL Server può installare ma non configurare Notification Services. Per ulteriori informazioni sull'attivazione di Notification Services dopo l'installazione, vedere l'argomento relativo alla configurazione dei servizi Windows di Notification Services nella documentazione in linea di SQL Server 2005.
3 Il programma di installazione di SQL Server non controlla né concede le autorizzazioni per questo servizio.
Elenchi di controllo di accesso creati per gli account del servizio SQL Server
Gli account del servizio SQL Server 2005 devono disporre dell'accesso alle risorse. Gli elenchi di controllo di accesso vengono impostati a livello di gruppo di utenti. Nella tabella seguente vengono descritti gli elenchi di controllo di accesso impostati dal programma di installazione di SQL Server.
| Importante: |
|---|
| Per le installazioni cluster di failover non è possibile impostare risorse su dischi condivisi per qualsiasi elenco di controllo di accesso in un gruppo di utenti locale. Tali risorse verranno invece impostate su un elenco di controllo di accesso per un account locale. |
| Account di servizio per | File e cartelle | Accesso |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Controllo completo |
|
Instid\MSSQL\binn |
Lettura, Esecuzione |
|
Instid\MSSQL\data |
Controllo completo |
|
Instid\MSSQL\FTData |
Controllo completo |
|
Instid\MSSQL\Install |
Lettura, Esecuzione |
|
Instid\MSSQL\Log |
Controllo completo |
|
Instid\MSSQL\Repldata |
Controllo completo |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
|
90\com |
Lettura, Esecuzione |
|
Instid\MSSQL\Template Data (solo SQL Server Express) |
Lettura |
SQLServerAgent |
Instid\MSSQL\binn |
Controllo completo |
|
Instid\MSSQL\Log |
Controllo completo |
|
Instid\MSSQL\jobs |
Controllo completo |
|
90\com |
Lettura, Esecuzione |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Read Write |
FTS |
Instid\MSSQL\FTData |
Controllo completo |
|
Instid\MSSQL\FTRef |
Lettura, Esecuzione |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
|
Instid\MSSQL\Install |
Lettura, Esecuzione |
MSSQLServerOLAPservice |
90\shared |
Lettura, Esecuzione |
|
90\shared\msmdlocal.ini |
Controllo completo |
|
Instid\OLAP |
Lettura, Esecuzione |
|
Instid\Olap\Data |
Controllo completo |
|
Instid\Olap\Log |
Lettura, Scrittura |
|
90\shared\Errordumps |
Lettura, Scrittura |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
Lettura, Scrittura, Eliminazione |
|
Instid\Reporting Services\ReportServer |
Lettura, Esecuzione |
|
Instid\Reportingservices\Reportserver\global.asax |
Controllo completo |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lettura, Scrittura |
|
Instid\Reporting Services\reportManager |
Lettura, Esecuzione |
|
Instid\Reporting Services\RSTempfiles |
Lettura, Scrittura |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
Lettura, Scrittura, Eliminazione |
|
Instid\Reporting Services\ReportServer |
Lettura, Esecuzione |
|
Instid\Reportingservices\Reportserver\global.asax |
Controllo completo |
|
InstID\Reporting Services\reportservice.asmx |
Controllo completo |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lettura, Scrittura, Eliminazione |
|
Instid\Reporting Services\reportManager |
Lettura, Esecuzione |
|
Instid\Reporting Services\RSTempfiles |
Lettura, Scrittura |
|
Instid\Reporting Services\reportManager\pages |
Lettura |
|
Instid\Reporting Services\reportManager\Styles |
Lettura |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
Lettura |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
Notification Services |
90\Notification services |
Lettura, Esecuzione, Visualizzazione contenuto cartella |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
Lettura |
|
90\dts\binn |
Lettura, Esecuzione |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
SQL Server Browser |
90\shared\msmdlocal.ini |
Lettura |
|
90\shared |
Lettura, Esecuzione |
|
90\shared\Errordumps |
Lettura, Scrittura |
MSADHekper |
N/A (eseguito come account predefiniti) |
|
SQLWriter |
N/A (eseguito come sistema locale) |
|
User |
Instid\MSSQL\binn |
Lettura, Esecuzione |
|
Instid\Reporting Services\ReportServer |
Lettura, Esecuzione |
|
Instid\Reportingservices\Reportserver\global.asax |
Lettura |
|
InstID\Reporting Services\reportservice.asmx |
Lettura, Esecuzione |
|
Instid\Reporting Services\reportManager |
Lettura, Esecuzione |
|
Instid\Reporting Services\reportManager\pages |
Lettura |
|
Instid\Reporting Services\reportManager\Styles |
Lettura |
|
90\dts |
Lettura, Esecuzione |
|
90\tools |
Lettura, Esecuzione |
|
80\tools |
Lettura, Esecuzione |
|
90\sdk |
Lettura |
|
Microsoft SQL Server\90\Setup Bootstrap |
Lettura, Esecuzione |
Oltre agli account di avvio del servizio SQL Server, può essere necessario concedere autorizzazioni di controllo di accesso agli account predefiniti o ad altri account del servizio SQL Server. Nella tabella seguente vengono descritti gli elenchi di controllo di accesso impostati dal programma di installazione di SQL Server.
| Componente richiedente | Account | Risorsa | Autorizzazioni |
|---|---|---|---|
MSSQLServer |
Perfomance Log Users |
Instid\MSSQL\binn |
Visualizzazione contenuto cartella |
|
Performance Monitor Users |
Instid\MSSQL\binn |
Visualizzazione contenuto cartella |
|
Perfomance Log Users |
Instid\MSSQL\binn\sqlctr90.dll |
Lettura, Esecuzione |
|
Performance Monitor Users |
Instid\MSSQL\binn\sqlctr90.dll |
Lettura, Esecuzione |
|
Solo amministratore |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
Controllo completo |
|
Administrators |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Controllo completo |
|
Sistema |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Controllo completo |
|
Utenti |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Lettura, Esecuzione |
Reporting Services |
<Account del servizio Web ReportServer> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Identità pool di applicazioni per Gestione report |
<install>\Reporting Services\ReportManager |
Lettura |
|
Account ASP.Net |
<install>\Reporting Services\ReportManager |
Lettura |
|
Tutti |
<install>\Reporting Services\ReportManager |
Lettura |
|
Identità pool di applicazioni per Gestione report |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lettura |
|
Account ASP.NET |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lettura |
|
Tutti |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lettura |
|
Identità pool di applicazioni per Gestione report |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lettura |
|
Account ASP.NET |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lettura |
|
Tutti |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lettura |
|
Identità pool di applicazioni per Gestione report |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lettura |
|
Account ASP.NET |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lettura |
|
Tutti |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lettura |
|
<Account del servizio Web ReportServer> |
<install>\Reporting Services\ReportServer |
Lettura |
|
<Account del servizio Web ReportServer> |
<install>\Reporting Services\ReportServer\global.asax |
Completo |
|
Tutti |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Servizio di rete |
<install>\Reporting Services\ReportServer\ReportService.asmx |
Completo |
|
Tutti |
<install>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Account servizi Windows ReportServer |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tutti |
Chiavi Server report (hive Instid) |
Richiedi valore Enumera sottochiavi Notifica Controllo in lettura |
|
Utente di Servizi terminali |
Chiavi Server report (hive Instid) |
Richiedi valore Imposta valore Creazione sottochiave Enumerazione sottochiavi Notifica Elimina Controllo in lettura |
|
Power Users |
Chiavi Server report (hive Instid) |
Richiedi valore Imposta valore Crea sottochiave Enumera sottochiavi Notifica Elimina Controllo in lettura |
1È lo spazio dei nomi del provider WMI.
Autorizzazioni di Windows per i servizi SQL Server
Nella tabella seguente vengono descritti i nomi dei servizi, il termine utilizzato per fare riferimento alle istanze predefinite e denominate dei servizi SQL Server, una descrizione della funzione del servizio e le autorizzazioni minime necessarie.
Nome visualizzato
Nome servizio
Descrizione
Autorizzazioni necessarie
SQL Server (InstanceName)
Istanza predefinita: MSSQLSERVER
Istanza denominata: MSSQL$InstanceName
Motore di database di SQL Server.
Il percorso al file eseguibile è \MSSQL\Binn\sqlservr.exe.
È consigliabile utilizzare l'utente locale.
Autorizzazioni minime
Funzionalità
Account di avvio del servizio MSSQLServer
L'account deve essere incluso nell'elenco di account che dispongono di autorizzazioni di tipo "Visualizzazione contenuto cartella" sull'unità principale in cui è installato SQL Server e sulla directory principale di altre unità in cui si trovano i file di SQL Server.
Nota:
Le autorizzazioni di tipo "Visualizzazione contenuto cartella" sull'unità principale non devono essere ereditate necessariamente dalle sottocartelle.
Account di avvio del servizio MSSQLServerL'account deve disporre di autorizzazioni di tipo "Controllo completo" su tutte le cartelle in cui si trovano file di dati o di log (.mdf, .ndf, .ldf).
SQL Server Agent (InstanceName)
Istanza predefinita: SQLServerAgent
Istanza denominata: SQLAgent$InstanceName
Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione.
Il percorso al file eseguibile è \MSSQL\Binn\sqlagent90.exe.
Autorizzazioni minime
Funzionalità
L'account deve essere membro del ruolo predefinito del server sysadmin.
L'account deve disporre delle autorizzazioni di Windows seguenti1Accesso come servizio. Accesso come processo batch. Sostituzione di token a livello di processo. Regolazione quote di memoria per un processo. Funzionamento come parte del sistema operativo. Ignorare controllo incrociato.
Servizi Analysis Services (InstanceName)
Istanza predefinita: MSSQLServerOLAPService
Istanza denominata: MSOLAP$InstanceName
Servizio che offre funzionalità di elaborazione analitica in linea (OLAP) e di data mining per le applicazioni di Business Intelligence.
Il percorso al file eseguibile è \OLAP\Bin\msmdsrv.exe.
Server report
Istanza predefinita: ReportServer
Istanza denominata: ReportServer$InstanceName
Consente la gestione, l'esecuzione, il rendering, la pianificazione e il recapito di report.
Il percorso al file eseguibile è \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Notification Services
Notification Services è una piattaforma per lo sviluppo e la distribuzione di applicazioni che generano e inviano notifiche. Il programma di installazione di SQL Server può installare ma non configurareNotification Services. Per ulteriori informazioni sull'attivazione di Notification Services dopo l'installazione, vedere l'argomento relativo alla configurazione dei servizi Windows di Notification Services nella documentazione in linea di SQL Server 2005.
Integration Services
Istanza predefinita o denominata: MSDTSServer
Offre strumenti di supporto per la gestione dell'archiviazione e dell'esecuzione dei pacchetti Integration Services.
Il percorso al file eseguibile è \DTS\Binn\msdtssrvr.exe.
SQL Server Browser
Istanza predefinita o denominata: SQLBrowser
Servizio di risoluzione dei nomi che offre informazioni di connessione a SQL Server per i computer client. Questo servizio viene condiviso da più istanze di SQL Server e di SSIS.
Il percorso al file eseguibile è \90\shared\sqlbrowser.exe.
Microsoft FullText Search (MSFTESQL)
Istanza predefinita: MSFTESQL
Istanza denominata: MSFTESQL$InstanceName
Crea rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per consentire ricerche linguistiche rapide su tali dati.
Il percorso al file eseguibile è \MSSQL\Binn\msftesql.exe.
SQL Server Active Directory Helper
Istanza predefinita o denominata: MSSQLServerADHelper.
Pubblica e gestisce servizi SQL Server in Active Directory di Windows.
Il percorso al file eseguibile è \90\Shared\sqladhelper.exe.
Writer SQL
SQLWriter
Consente alle applicazioni di backup e di ripristino di operare nell'infrastruttura del Servizio Copia Shadow del volume (VSS). È presente un'unica istanza del servizio writer SQL per tutte le istanze di SQL Server sul server.
Il percorso al file eseguibile è \90\Shared\sqlwriter.exe.
1Per ulteriori informazioni sulla procedura di verifica dell'impostazione di tutte le autorizzazioni necessarie di Windows, vedere Procedura: Verifica delle autorizzazioni per i servizi di SQL Server.
Considerazioni aggiuntive
Nella tabella seguente vengono descritte le autorizzazioni necessarie ai servizi SQL Server per offrire funzionalità aggiuntive.
| Servizio/Applicazione | Funzionalità | Autorizzazione necessaria |
|---|---|---|
SQL Server (MSSQLSERVER) |
Scrittura in uno slot di posta elettronica utilizzando xp_sendmail. |
Privilegi di scrittura in rete. |
SQL Server (MSSQLSERVER) |
Esecuzione di xp_cmdshell per un utente diverso da un amministratore di SQL Server. |
Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo. |
SQL Server Agent (MSSQLSERVER) |
Utilizzo della funzionalità di avvio automatico. |
È necessario essere membri del gruppo locale Administrators. |
Ottimizzazione guidata Motore di database |
Ottimizza i database per ottenere prestazioni ottimali delle query. |
Un utente con privilegi di amministratore del sistema deve inizializzare l'applicazione al primo utilizzo. Dopo l'inizializzazione gli utenti che possiedono tabelle, ovvero gli utenti dbo, possono utilizzare l'Ottimizzazione guidata Motore di databaseper ottimizzare solo le tabelle di loro proprietà. Per ulteriori informazioni, vedere l'argomento relativo all'inizializzazione dell'Ottimizzazione guidata motore di database al primo utilizzo nella documentazione in linea di SQL Server 2005. |
| Importante: |
|---|
| Prima di passare a SQL Server 2005, attivare l'autenticazione di Windows per SQL Server Agent e verificare che l'account del servizio SQL Server Agent sia membro del gruppo SQL Server sysadmin. |
Nomi dei servizi localizzati
Nella tabella seguente vengono illustrati i nomi dei servizi utilizzati dalle versioni localizzate di Microsoft Windows.
| Lingua | Nome del servizio locale | Nome del servizio di rete | Nome del sistema locale | Nome del gruppo amministrativo |
|---|---|---|---|---|
Inglese Cinese semplificato Cinese tradizionale Coreano Giapponese |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Tedesco |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francese |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Italiano |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Spagnolo |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russo |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
Vedere anche
Riferimento
Account servizio
Account di servizio (cluster)
Concetti
Considerazioni sulla protezione per un'installazione di SQL Server
Guida in linea e informazioni
Cronologia modifiche
| Versione | Cronologia |
|---|---|
12 dicembre 2006 |
|
17 luglio 2006 |
|
5 dicembre 2005 |
|