Selezione di un account per il servizio SQL Server Agent
L'account di avvio del servizio definisce l'account di Microsoft Windows utilizzato per l'esecuzione di SQL Server Agent, nonché le relative autorizzazioni di rete. SQL Server Agent viene eseguito con un account utente specificato. Per garantire la compatibilità con le versioni precedenti di SQL Server, è inoltre possibile eseguire SQL Server Agent con l'account di sistema locale.
Selezionare un account per il servizio SQL Server Agent tramite Gestione configurazione SQL Server, in cui è possibile scegliere tra le opzioni seguenti:
Account predefinito: è possibile scegliere da un elenco di account di servizio Windows predefiniti riportati di seguito:
Account di sistema locale: il nome di questo account è NT AUTHORITY\System. Si tratta di un account potente con accesso illimitato a tutte le risorse del sistema locale. Tale account è membro del gruppo Administrators di Windows nel computer locale e, di conseguenza, anche del ruolo predefinito del server sysadmin di SQL Server.
Nota sulla sicurezza L'opzione Account di sistema locale deve essere utilizzata esclusivamente per garantire la compatibilità con le versioni precedenti. L'account di sistema locale dispone di autorizzazioni non necessarie per SQL Server Agent. Evitare di eseguire SQL Server Agent con l'account di sistema locale. Per migliorare la protezione, utilizzare un account di dominio di Windows con le autorizzazioni elencate nella sezione seguente, "Autorizzazioni dell'account di dominio di Windows".
Account Servizio di rete: il nome di questo account è NT AUTHORITY\NetworkService. È disponibile in Microsoft Windows XP e Microsoft Windows Server 2003. Tutti i servizi eseguiti con l'account Servizio di rete vengono autenticati presso le risorse di rete come il computer locale.
Nota sulla sicurezza Poiché l'account Servizio di rete può essere utilizzato da più servizi, risulta difficile controllare quali servizi hanno accesso alle risorse di rete, inclusi i database di SQL Server. Non è consigliabile utilizzare l'account Servizio di rete per il servizio SQL Server Agent.
Importante Non selezionare l'account Servizio locale. Non è possibile eseguire il servizio SQL Server Agent con questo account, poiché non è supportato. Il nome di questo account è NT AUTHORITY\LocalService e accede alle risorse di rete come sessione null senza credenziali. È disponibile in Microsoft Windows XP e Microsoft Windows Server 2003.
Account seguente: consente di specificare l'account di dominio di Windows utilizzato per l'esecuzione del servizio SQL Server Agent. È consigliabile scegliere un account utente di Windows che non sia un membro del gruppo Administrators di Windows. Esistono tuttavia alcune limitazioni all'utilizzo dell'amministrazione multiserver quando l'account del servizio SQL Server Agent non è membro del gruppo Administrators locale. Per ulteriori informazioni, vedere Tipi di account di servizio supportati da SQL Server Agent.
Per informazioni sui vari tipi di account del servizio supportati per la funzionalità SQL Server Agent, vedere Tipi di account di servizio supportati da SQL Server Agent.
Autorizzazioni dell'account di dominio di Windows
Per migliorare la protezione, selezionare l'opzione Account seguente, che consente di specificare un account di dominio di Windows. L'account di dominio di Windows specificato deve disporre delle autorizzazioni seguenti:
- In tutte le versioni di Windows è necessario disporre dell'autorizzazione per l'accesso come servizio (SeServiceLogonRight).
Nota
L'account del servizio SQL Server Agent deve essere membro del gruppo Accesso compatibile precedente a Windows 2000 nel controller di dominio. In caso contrario, i processi di proprietà di utenti di dominio che non sono membri del gruppo Administrators di Windows non verranno eseguiti.
Nei server Windows, l'account con cui viene eseguito il servizio SQL Server richiede le autorizzazioni seguenti per supportare i proxy di SQL Server Agent:
Autorizzazione ad agire come parte del sistema operativo (SeTcbPrivilege) (solo su Windows 2000)
Autorizzazione a ignorare i controlli di attraversamento (SeChangeNotifyPrivilege)
Autorizzazione a sostituire un token a livello di processo (SeAssignPrimaryTokenPrivilege)
Autorizzazione a modificare le quote di memoria per un processo (SeIncreaseQuotaPrivilege)
Autorizzazione ad accedere tramite il tipo di accesso batch (SeBatchLogonRight)
Nota
Se l'account non dispone delle autorizzazioni necessarie per supportare i proxy, solo i membri del ruolo predefinito del server sysadmin possono creare i processi.
Nota
Per ricevere una notifica di avviso WMI, è necessario che l'account del servizio SQL Server Agent abbia ricevuto l'autorizzazione per lo spazio dei nomi che contiene gli eventi WMI e disponga dell'autorizzazione ALTER ANY EVENT NOTIFICATION.
Appartenenze ai ruoli di SQL Server
L'account utilizzato per l'esecuzione del servizio SQL Server Agent deve essere un membro dei seguenti ruoli di SQL Server:
L'account deve essere membro del ruolo predefinito del server sysadmin.
Per utilizzare l'elaborazione dei processi multiserver, l'account deve essere membro del ruolo TargetServersRole del database msdb nel server master.
Appartenenza al gruppo di Windows
L'account utilizzato per l'esecuzione del servizio SQL Server Agent deve essere membro del seguente gruppo di Windows:
L'account deve essere un membro del gruppo Accesso compatibile precedente a Windows 2000 nel controller di dominio per consentire l'esecuzione di processi agli utenti che non sono membri del gruppo Administrators.
Nota sulla sicurezza Per migliorare la protezione, l'account del servizio SQL Server Agent non deve essere un membro del gruppo Administrators locale. Esistono tuttavia alcune limitazioni all'utilizzo dell'amministrazione multiserver quando l'account del servizio SQL Server Agent non è membro del gruppo Administrators locale. Per ulteriori informazioni, vedere Tipi di account di servizio supportati da SQL Server Agent.
Operazioni comuni
Per specificare l'account di avvio del servizio SQL Server Agent
Per specificare il profilo di posta di SQL Server Agent
Nota
Gestione configurazione SQL Server consente di specificare che SQL Server Agent deve essere avviato all'avvio del sistema operativo.