SQL Server エージェントサービスのアカウントの選択

[アーティクル]
03/06/2017

サービス開始アカウントにより、SQL Server エージェントを実行する Microsoft Windows アカウントとそのネットワークアクセス許可が定義されます。 SQL Server エージェントは、指定されたユーザーアカウントで実行されます。 SQL Server 構成マネージャーを使用して、SQL Server エージェントサービスのアカウントを選択します。構成マネージャーでは、次のオプションから選択できます。

[ビルトインアカウント] 。次のビルトイン Windows サービスアカウントの一覧から選択できます。
- [ローカルシステム] アカウント。このアカウントの名前は NT AUTHORITY\System です。これは、すべてのローカルシステムリソースに無制限にアクセスできる強力なアカウントです。これはローカルコンピューター上の Windows Administrators グループのメンバーであるため、固定サーバーロール sysadmin SQL Serverのメンバーです
  
  重要
  
  [ローカルシステムアカウント] オプションは、旧バージョンとの互換性のためだけに用意されています。ローカルシステムアカウントには、SQL Server エージェントが必要としない権限があります。ローカルシステムアカウントとして SQL Server エージェントを実行するのは避けてください。セキュリティを強化するには、次の「Windows ドメインアカウントの権限」に示す権限のある Windows ドメインアカウントを使用します。
[このアカウント] 。 SQL Server エージェントサービスを実行する Windows ドメインアカウントを指定できます。 Windows Administrators グループのメンバーではない Windows ユーザーアカウントを選択することをお勧めします。ただし、SQL Server エージェントサービスアカウントがローカルの Administrators グループのメンバーでない場合は、マルチサーバー管理を使用する場合に制限があります。詳細については、後の「サポートされるサービスアカウントの種類」を参照してください。

Windows ドメインアカウントの権限

セキュリティを強化するには、 [このアカウント]を選択して、Windows ドメインアカウントを指定します。指定する Windows ドメインアカウントは、次の権限を所持している必要があります。

すべてのバージョンの Windows で、サービスとしてログオンする権限 (SeServiceLogonRight)。

Note

SQL Server エージェントサービスアカウントは、ドメインコントローラーの Windows 2000 互換アクセス前グループの一部である必要があります。または、Windows Administrators グループのメンバーではないドメインユーザーが所有するジョブは失敗します。

Windows サーバーでは、SQL Server エージェントサービスが実行するアカウントには、SQL Server エージェントプロキシをサポートできるようにするために、次のアクセス許可が必要です。
- スキャンチェックをバイパスする権限 (SeChangeNotifyPrivilege)
- プロセスレベルトークンを置き換える権限 (SeAssignPrimaryTokenPrivilege)
- プロセスに対してメモリクォータを調整する権限 (SeIncreaseQuotaPrivilege)
- バッチログオンの種類を使用してログオンする権限 (SeBatchLogonRight)

Note

アカウントにプロキシのサポートに必要な権限がない場合は、 sysadmin 固定サーバーロールのメンバーのみがジョブを作成できます。

Note

WMI 警告の通知を受信するには、SQL Server エージェントのサービスアカウントに、WMI イベントを含む名前空間と ALTER ANY EVENT NOTIFICATION に対する権限が割り当てられている必要があります。

SQL Server ロールのメンバーシップ

SQL Server エージェントサービスを実行するアカウントは、次の SQL Server ロールのメンバーである必要があります。

アカウントは、 sysadmin 固定サーバーロールのメンバーでなければなりません。
マルチサーバージョブの処理を使用するには、アカウントはマスターサーバーの msdb データベースの TargetServersRole ロールのメンバーでなければなりません。

サポートされるサービスアカウントの種類

以下の表に、SQL Server エージェントサービスで使用できる Windows アカウントの種類を示します。

サービスアカウントの種類	非クラスター化サーバー	クラスター化サーバー	ドメインコントローラー (非クラスター化)
Microsoft Windows ドメインアカウント (Windows 管理者グループのメンバー)	サポートされています	サポートされています	サポートされています
Windows ドメインアカウント (管理者以外)	サポート¹	サポート¹	サポート¹
ネットワークサービスアカウント (NT AUTHORITY\NetworkService)	サポートされる^1、3、4	サポートされていません	サポートされていません
ローカルユーザーアカウント (管理者以外)	サポート¹	サポートされていません	適用なし
ローカルシステムアカウント (NT AUTHORITY\System)	サポート対象²	サポートされていません	サポート対象²
ローカルサービスアカウント (NT AUTHORITY\LocalService)	サポートされていません	サポートされていません	サポートされていません

^{1 下記の} 「制限事項 1」を参照してください。

² 以下の制限 2 を参照してください。

³ 以下の「制限事項 3」を参照してください。

⁴ 以下の制限 4 を参照してください。

制限事項 1 : マルチサーバー管理での非管理者アカウントの使用

ターゲットサーバーをマスターサーバーに参加させると、"参加操作に失敗しました" というエラーメッセージが表示されることがあります。

このエラーを解決するには、SQL Server と SQL Server エージェントサービスの両方を再起動します。詳細については、「データベースエンジン、SQL Server エージェント、SQL Server Browser サービスの開始、停止、一時停止、再開、および再起動」を参照してください。

制限事項 2 : マルチサーバー管理でのローカルシステムアカウントの使用

マルチサーバー管理は、SQL Server エージェントサービスがローカルシステムアカウントで実行されるとき、同じコンピューター上にマスターサーバーとターゲットサーバーの両方が存在する場合にのみサポートされます。この構成を使用している場合に、ターゲットサーバーをマスターサーバーに参加させると、次のメッセージが返されます。

"<target_server_computer_name> のエージェント開始アカウントに対象サーバーとしてのログオン権限があることを確認します"

情報提供を目的としたこのメッセージは無視できます。参加操作は、正常に完了します。詳細については、「マルチサーバー環境の作成」を参照してください。

制限事項 3 : SQL Server ユーザーであるネットワークサービスアカウントの使用

SQL Server エージェントサービスをネットワークサービスアカウントで実行する場合、SQL Server インスタンスに SQL Server ユーザーとしてログインするアクセス権がそのネットワークサービスアカウントに明示的に与えられていると、SQL Server エージェントが起動しないことがあります。

これを解決するには、SQL Server が実行されているコンピューターを再起動します。これは一度実行するだけで済みます。

制限事項 4 : SQL Server Reporting Services が同じコンピューターで実行されている場合のネットワークサービスアカウントの使用

SQL Server エージェントサービスをネットワークサービスアカウントで実行する場合、同じコンピューターで Reporting Services も動作していると、SQL Server エージェントが起動しないことがあります。

これを解決するには、SQL Server を実行しているコンピューターを再起動してから、SQL Server と SQL Server エージェントサービスの両方を再起動します。これは一度実行するだけで済みます。

一般的なタスク

SQL Server エージェントサービスの開始アカウントを指定するには

Set the Service Startup Account for SQL Server Agent (SQL Server Configuration Manager)

SQL Server エージェントのメールプロファイルを指定するには

データベースメールを使用するように SQL Server エージェントメールを構成する

Note

SQL Server 構成マネージャーを使用して、オペレーティングシステムを起動するときに、SQL Server エージェントを開始する必要があることを指定します。

参照

Windows サービスアカウントと権限の構成
 サービスの管理方法に関するトピック (SQL Server 構成マネージャー)
SQL Server エージェントのセキュリティの実装

次の方法で共有

SQL Server エージェントサービスのアカウントの選択

Windows ドメインアカウントの権限

SQL Server ロールのメンバーシップ

サポートされるサービスアカウントの種類

制限事項 1 : マルチサーバー管理での非管理者アカウントの使用

制限事項 2 : マルチサーバー管理でのローカルシステムアカウントの使用

制限事項 3 : SQL Server ユーザーであるネットワークサービスアカウントの使用

制限事項 4 : SQL Server Reporting Services が同じコンピューターで実行されている場合のネットワークサービスアカウントの使用

一般的なタスク

参照

その他のリソース

次の方法で共有

SQL Server エージェント サービスのアカウントの選択

Windows ドメイン アカウントの権限

SQL Server ロールのメンバーシップ

サポートされるサービス アカウントの種類

制限事項 1 : マルチサーバー管理での非管理者アカウントの使用

制限事項 2 : マルチサーバー管理でのローカル システム アカウントの使用

制限事項 3 : SQL Server ユーザーであるネットワーク サービス アカウントの使用

制限事項 4 : SQL Server Reporting Services が同じコンピューターで実行されている場合のネットワーク サービス アカウントの使用

一般的なタスク

参照

その他のリソース

SQL Server エージェントサービスのアカウントの選択

Windows ドメインアカウントの権限

サポートされるサービスアカウントの種類

制限事項 2 : マルチサーバー管理でのローカルシステムアカウントの使用

制限事項 3 : SQL Server ユーザーであるネットワークサービスアカウントの使用

制限事項 4 : SQL Server Reporting Services が同じコンピューターで実行されている場合のネットワークサービスアカウントの使用