Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server
Elke service in SQL Server vertegenwoordigt een proces of een set processen voor het beheren van verificatie van SQL Server-bewerkingen met Windows. In dit artikel worden de standaardconfiguratie van services in deze versie van SQL Server en configuratieopties voor SQL Server-services beschreven die u tijdens en na de installatie van SQL Server kunt instellen. Dit artikel helpt geavanceerde gebruikers inzicht te hebben in de details van de serviceaccounts.
De meeste services en hun eigenschappen kunnen worden geconfigureerd met behulp van SQL Server Configuration Manager. Dit zijn de paden naar recente versies wanneer Windows op het C-station is geïnstalleerd.
| SQL Server-versie | Pad |
|---|---|
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014- | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server ingeschakeld door Azure Arc
Zie Windows-serviceaccounts en machtigingen configureren voor Azure-extensie voor SQL Server voor machtigingen die zijn vereist voor de Azure-extensie voor SQL Server.
Services geïnstalleerd door SQL Server
Afhankelijk van de onderdelen die u wilt installeren, installeert SQL Server Setup de volgende services:
| Dienst | Beschrijving |
|---|---|
| SQL Server Database Services | De service voor de relationele SQL Server-database-engine. Het uitvoerbare bestand is \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| SQL Server Agent | Voert taken uit, bewaakt SQL Server, activeert waarschuwingen en maakt automatisering van sommige beheertaken mogelijk. De SQL Server Agent-service is aanwezig, maar is uitgeschakeld op exemplaren van SQL Server Express. Het uitvoerbare bestand is \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Analysis Services | Biedt functionaliteit voor online analytische verwerking (OLAP) en data mining voor business intelligence-toepassingen. Het uitvoerbare bestand is \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Reporting Services | Beheert, uitvoert, maakt, plant en levert rapporten. Het uitvoerbare bestand is \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Integration Services | Biedt beheerondersteuning voor Integration Services-pakketopslag en -uitvoering. Het uitvoerbare pad is \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
Integration Services kan aanvullende services bevatten voor uitschaalimplementaties. Zie Walkthrough: Scale Out van Integration Services (SSIS) instellen voor meer informatie.
| Dienst | Beschrijving |
|---|---|
| SQL Server-browser | De naamomzettingsservice die SQL Server-verbindingsgegevens biedt voor clientcomputers. Het uitvoerbare pad is C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Zoeken in volledige tekst | Snel volledige-tekstindexen maken voor inhoud en eigenschappen van gestructureerde en semi-gestructureerde gegevens om documentfiltering en woordbreking voor SQL Server te bieden. |
| SQL Writer | Hiermee kunnen back-up- en hersteltoepassingen worden uitgevoerd in het VSS-framework (Volume Shadow Copy Service). |
| SQL Server Distributed Replay Controller | Biedt traceringsherhaling op meerdere gedistribueerde replay-clientcomputers. |
| Gedistribueerde herhalingsclient van SQL Server | Een of meer gedistribueerde replay-clientcomputers die samenwerken met een gedistribueerde herhalingscontroller om gelijktijdige workloads te simuleren op een exemplaar van de SQL Server Database Engine. |
| SQL Server Launchpad | Een vertrouwde service die als host fungeert voor externe uitvoerbare bestanden die worden geleverd door Microsoft, zoals de R- of Python-runtimes die zijn geïnstalleerd als onderdeel van R Services of Machine Learning Services. Satellietprocessen kunnen worden gestart door het Launchpad-proces, maar is resource die wordt beheerd op basis van de configuratie van het afzonderlijke exemplaar. De Launchpad-service wordt uitgevoerd onder een eigen gebruikersaccount en elk satellietproces voor een specifieke, geregistreerde runtime neemt het gebruikersaccount van Launchpad over. Satellietprocessen worden gemaakt en vernietigd op aanvraag tijdens de uitvoering. Launchpad kan de accounts die worden gebruikt niet maken als u SQL Server installeert op een computer die ook wordt gebruikt als een domeincontroller. Daarom mislukt de installatie van R Services (In-Database) of Machine Learning Services (In-Database) op een domeincontroller. |
| SQL Server PolyBase Engine | Biedt gedistribueerde querymogelijkheden voor externe gegevensbronnen. |
| SQL Server PolyBase Data Movement Service | Hiermee kunt u gegevensverplaatsing tussen SQL Server en externe gegevensbronnen en tussen SQL-knooppunten in PolyBase Scaleout-groepen inschakelen. |
CEIP-services geïnstalleerd door SQL Server
De service Programma voor kwaliteitsverbetering (CEIP) stuurt telemetriegegevens terug naar Microsoft.
Afhankelijk van de onderdelen die u wilt installeren, installeert SQL Server de volgende CEIP-services.
| Dienst | Beschrijving |
|---|---|
| SQLTELEMETRY | Het programma voor kwaliteitsverbetering waarmee telemetriegegevens van de database-engine worden teruggestuurd naar Microsoft. |
| SSASTELEMETRY | Het programma voor kwaliteitsverbetering waarmee SSAS-telemetriegegevens worden teruggestuurd naar Microsoft. |
| SSISTELEMETRY | Het programma voor kwaliteitsverbetering waarmee SSIS-telemetriegegevens worden teruggestuurd naar Microsoft. |
Service-eigenschappen en -configuratie
Opstartaccounts die worden gebruikt om SQL Server te starten en uit te voeren, kunnen domeingebruikersaccounts, lokale gebruikersaccounts, beheerde serviceaccounts, virtuele accounts of ingebouwde systeemaccounts zijn. Als u wilt starten en uitvoeren, moet voor elke service in SQL Server een opstartaccount zijn geconfigureerd tijdens de installatie.
Opmerking
Voor sql Server-failoverclusterexemplaren voor SQL Server 2016 (13.x) en hoger kunnen domeingebruikersaccounts of door groepen beheerde serviceaccounts worden gebruikt als opstartaccounts voor SQL Server.
In deze sectie worden de accounts beschreven die kunnen worden geconfigureerd voor het starten van SQL Server-services, de standaardwaarden die worden gebruikt door SQL Server Setup, het concept van SID's per service, de opstartopties en het configureren van de firewall.
Standaardserviceaccounts
De volgende tabel bevat de standaardserviceaccounts die door setup worden gebruikt bij het installeren van alle onderdelen. De vermelde standaardaccounts zijn de aanbevolen accounts, behalve zoals vermeld.
Zelfstandige server of domeincontroller
| Onderdeel | Windows Server 2008 | Windows 7, Windows Server 2008 R2 en hoger |
|---|---|---|
| Databaseengine | NETWERKSERVICE | Virtueel account1 |
| Agent van de SQL Server | NETWERKSERVICE | Virtueel account1 |
| SSAS | NETWERKSERVICE | Virtueel account12 |
| SSIS (SQL Server Integration Services) | NETWERKSERVICE | Virtueel account1 |
| SSRS | NETWERKSERVICE | Virtueel account1 |
| SQL Server Distributed Replay Controller | NETWERKSERVICE | Virtueel account1 |
| Gedistribueerde herhalingsclient van SQL Server | NETWERKSERVICE | Virtueel account1 |
| Startprogramma voor FD (zoeken in volledige tekst) | LOKALE SERVICE | Virtueel account |
| SQL Server-browser | LOKALE SERVICE | LOKALE SERVICE |
| SQL Server VSS Writer | LOKAAL SYSTEEM | LOKAAL SYSTEEM |
| Advanced Analytics-extensies | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| PolyBase-engine | NETWERKSERVICE | NETWERKSERVICE |
| PolyBase Data Movement Service | NETWERKSERVICE | NETWERKSERVICE |
1 Wanneer resources buiten de SQL Server-computer nodig zijn, raadt Microsoft aan een beheerd serviceaccount (MSA) te gebruiken, geconfigureerd met de minimale bevoegdheden die nodig zijn.
2 Wanneer het op een domeincontroller is geïnstalleerd, wordt een virtueel account niet ondersteund omdat het serviceaccount niet wordt ondersteund.
Exemplaar van SQL Server-failovercluster
| Onderdeel | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Databaseengine | Geen. Geef een domeingebruikersaccount op. | Geef een domeingebruikersaccount op. |
| Agent van de SQL Server | Geen. Geef een domeingebruikersaccount op. | Geef een domeingebruikersaccount op. |
| SSAS | Geen. Geef een domeingebruikersaccount op. | Geef een domeingebruikersaccount op. |
| SSIS (SQL Server Integration Services) | NETWERKSERVICE | Virtueel account |
| SSRS | NETWERKSERVICE | Virtueel account |
| Startprogramma voor FD (zoeken in volledige tekst) | LOKALE SERVICE | Virtueel account |
| SQL Server-browser | LOKALE SERVICE | LOKALE SERVICE |
| SQL Server VSS Writer | LOKAAL SYSTEEM | LOKAAL SYSTEEM |
Accounteigenschappen wijzigen
Belangrijk
Gebruik altijd SQL Server-hulpprogramma's zoals SQL Server Configuration Manager om het account te wijzigen dat wordt gebruikt door de SQL Server Database Engine- of SQL Server Agent-services, of om het wachtwoord voor het account te wijzigen. Naast het wijzigen van de accountnaam voert SQL Server Configuration Manager aanvullende configuraties uit, zoals het bijwerken van het lokale Windows-beveiligingsarchief, waardoor de hoofdsleutel van de service voor de database-engine wordt beschermd. Andere hulpprogramma's zoals Windows Services Control Manager kunnen de accountnaam wijzigen, maar niet alle vereiste instellingen wijzigen.
Als u serviceaccounts voor een SQL-service wijzigt met andere middelen, kan dit leiden tot onverwacht gedrag of fouten. Als u bijvoorbeeld een SQL Agent-serviceaccount wijzigt in een domeinaccount met windows-services-applet, ziet u mogelijk dat SQL-agenttaken die gebruikmaken van het besturingssysteem (Cmdexec), de stappen voor replicatie of SSIS-taken mislukken met een fout zoals hieronder:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.U kunt deze fout als volgt oplossen met BEHULP van SQL Server Configuration Manager:
- Wijzig het SQL Agent-serviceaccount tijdelijk terug in het standaard virtuele account (standaardexemplaren: NT Service\SQLSERVERAGENT. Benoemd exemplaar: NT Service\SQLAGENT$<instance_name>.)
- SQL Server Agent-service opnieuw starten
- Het serviceaccount weer wijzigen in het gewenste domeinaccount
- SQL Server Agent-service opnieuw starten
Voor Analysis Services-exemplaren die u in een SharePoint-farm implementeert, gebruikt u altijd Centraal beheer van SharePoint om de serveraccounts voor Power Pivot-servicetoepassingen en de Analysis Services-service te wijzigen. Gekoppelde instellingen en machtigingen worden bijgewerkt om de nieuwe accountgegevens te gebruiken wanneer u Centraal beheer gebruikt.
Als u de Reporting Services-opties wilt wijzigen, gebruikt u het Reporting Services-configuratieprogramma.
Beheerde serviceaccounts, door groepen beheerde serviceaccounts en virtuele accounts
Beheerde serviceaccounts, door groepen beheerde serviceaccounts en virtuele accounts zijn ontworpen om cruciale toepassingen zoals SQL Server te bieden met de isolatie van hun eigen accounts, terwijl een beheerder niet meer nodig is om de SPN (Service Principal Name) en referenties voor deze accounts handmatig te beheren. Dit maakt het beheer van serviceaccountgebruikers, wachtwoorden en SPN's op lange termijn veel eenvoudiger.
-
Een beheerd serviceaccount (MSA) is een type domeinaccount dat is gemaakt en beheerd door de domeincontroller. Deze wordt toegewezen aan één lidcomputer voor gebruik met een service. Het wachtwoord wordt automatisch beheerd door de domeincontroller. U kunt geen MSA gebruiken om u aan te melden bij een computer, maar een computer kan een MSA gebruiken om een Windows-service te starten. Een MSA heeft de mogelijkheid om een Service Principal Name (SPN) in Active Directory te registreren wanneer er lees- en schrijfmachtigingen voor servicePrincipalName worden gegeven. Een MSA heet bijvoorbeeld
$met eenDOMAIN\ACCOUNTNAME$achtervoegsel. Wanneer u een MSA opgeeft, laat u het wachtwoord leeg. Omdat een MSA is toegewezen aan één computer, kan deze niet worden gebruikt op verschillende knooppunten van een Windows-cluster.Opmerking
De MSA moet worden gemaakt in Active Directory door de domeinbeheerder voordat de SQL Server-installatie deze kan gebruiken voor SQL Server-services.
Door groepen beheerde serviceaccounts
Een door groepen beheerd serviceaccount (gMSA) is een MSA voor meerdere servers. Windows beheert een serviceaccount voor services die worden uitgevoerd op een groep servers. Active Directory werkt het wachtwoord van het door de groep beheerde serviceaccount automatisch bij zonder services opnieuw op te starten. U kunt SQL Server-services configureren voor het gebruik van een door groepen beheerde serviceaccount-principal. Vanaf SQL Server 2014 ondersteunt SQL Server door groepen beheerde serviceaccounts voor zelfstandige exemplaren en SQL Server 2016 en hoger voor failoverclusterexemplaren en beschikbaarheidsgroepen.
Als u een gMSA voor SQL Server 2014 of hoger wilt gebruiken, moet het besturingssysteem Windows Server 2012 R2 of hoger zijn. Voor servers met Windows Server 2012 R2 is KB-2998082 vereist, zodat de services zich kunnen aanmelden zonder onderbreking direct na een wachtwoordwijziging.
Zie Beheerde serviceaccounts voor Groepen voor Windows Server 2016 en hoger voor meer informatie. Zie Beheerde serviceaccounts voor groepen voor eerdere versies van Windows Server.
Opmerking
De gMSA moet worden gemaakt in de Active Directory door de domeinbeheerder voordat sql Server-installatie deze kan gebruiken voor SQL Server-services.
-
Virtuele accounts (vanaf Windows Server 2008 R2 en Windows 7) worden lokale accounts beheerd die de volgende functies bieden om servicebeheer te vereenvoudigen. Het virtuele account wordt automatisch beheerd en het virtuele account heeft toegang tot het netwerk in een domeinomgeving. Als de standaardwaarde wordt gebruikt voor de serviceaccounts tijdens het instellen van SQL Server, wordt een virtueel account met de naam van het exemplaar gebruikt als de servicenaam, in de indeling
NT SERVICE\<SERVICENAME>. Services die als virtuele accounts worden aangedreven, hebben toegang tot netwerkbronnen door middel van de referenties van het computeraccount in de vorming<domain_name>\<computer_name>$. Wanneer u een virtueel account opgeeft om SQL Server te starten, laat u het wachtwoord leeg. Als het virtuele account de SPN (Service Principal Name) niet kan registreren, moet u de SPN handmatig registreren. Zie Handmatige SPN-registratie voor meer informatie over het handmatig registreren van een SPN.Opmerking
Virtuele accounts kunnen niet worden gebruikt voor sql Server-failoverclusterexemplaren, omdat het virtuele account niet dezelfde SID zou hebben op elk knooppunt van het cluster.
De volgende tabel bevat voorbeelden van namen van virtuele accounts.
Dienst Naam van virtueel account Standaardexemplaren van de Database Engine-service NT SERVICE\MSSQLSERVERBenoemd exemplaar van een Database Engine-service met de naam PAYROLLNT SERVICE\MSSQL$PAYROLLSQL Server Agent-service op het standaardexemplaren van SQL Server NT Service\SQLSERVERAGENTSQL Server Agent-service op een exemplaar van SQL Server met de naam PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Zie voor meer informatie over beheerde serviceaccounts en virtuele accounts de sectie Beheerde serviceaccounts en concepten van virtuele accounts van stapsgewijze handleiding en beheerde serviceaccounts veelgestelde vragen (FAQ).
Opmerking
Voer ALTIJD SQL Server-services uit met behulp van de laagst mogelijke gebruikersrechten. Gebruik indien mogelijk een MSA-, gMSA - of virtueel account . Wanneer MSA, gMSA en virtuele accounts niet mogelijk zijn, gebruikt u een specifiek gebruikersaccount met lage bevoegdheden of domeinaccounts in plaats van een gedeeld account voor SQL Server-services. Gebruik afzonderlijke accounts voor verschillende SQL Server-services. Wijs geen extra machtigingen toe aan het SQL Server-serviceaccount of de servicegroepen. Machtigingen worden verleend via groepslidmaatschap of rechtstreeks verleend aan een service-SID, waarbij een service-SID wordt ondersteund.
Automatisch opstarten
Naast het hebben van gebruikersaccounts heeft elke service drie mogelijke opstartstatussen die gebruikers kunnen beheren:
- Uitgeschakeld. De service is geïnstalleerd, maar wordt momenteel niet uitgevoerd.
- Handmatig. De service is geïnstalleerd, maar wordt alleen gestart wanneer een andere service of toepassing de functionaliteit nodig heeft.
- Automatisch. De service wordt automatisch gestart door het besturingssysteem.
De opstartstatus wordt geselecteerd tijdens de installatie. Wanneer u een benoemd exemplaar installeert, moet de SQL Server Browser-service worden ingesteld om automatisch te starten.
Services configureren tijdens installatie zonder toezicht
In de volgende tabel ziet u de SQL Server-services die tijdens de installatie kunnen worden geconfigureerd. Voor installaties zonder toezicht kunt u de switches in een configuratiebestand of bij een opdrachtprompt gebruiken.
| Sql Server-servicenaam | Schakelaars voor installaties zonder toezicht 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Integratieservices | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| SQL Server Distributed Replay Controller | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Gedistribueerde herhalingsclient van SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R Services of Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| PolyBase-engine | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Zie SQL Server installeren vanaf de opdrachtprompt voor meer informatie en voorbeeldsyntaxis voor installatie zonder toezicht.
2 De SQL Server Agent-service is uitgeschakeld op exemplaren van SQL Server Express en SQL Server Express met Advanced Services.
3 Het account voor Launchpad instellen via de switches alleen wordt momenteel niet ondersteund. Gebruik SQL Server Configuration Manager om het account en andere service-instellingen te wijzigen.
Firewallpoort
In de meeste gevallen kan de Database Engine, wanneer deze in eerste instantie is geïnstalleerd, worden verbonden met hulpprogramma's zoals SQL Server Management Studio die op dezelfde computer als SQL Server zijn geïnstalleerd. Sql Server Setup opent geen poorten in de Windows-firewall. Verbindingen van andere computers zijn mogelijk pas mogelijk als de database-engine is geconfigureerd om te luisteren op een TCP-poort en de juiste poort wordt geopend voor verbindingen in de Windows-firewall. Zie Windows Firewall configureren om SQL Server-toegangtoe te staan voor meer informatie.
Servicemachtigingen
In deze sectie worden de machtigingen beschreven die sql Server Setup configureert voor de SID's per service van de SQL Server-services.
- Serviceconfiguratie en toegangsbeheer
- Windows-bevoegdheden en -rechten
- Bestandssysteemmachtigingen verleend aan SQL Server per service-SID's of lokale Windows-groepen van SQL Server
- Machtigingen voor bestandssysteem verleend aan andere Windows-gebruikersaccounts of -groepen
- Bestandssysteemmachtigingen met betrekking tot ongebruikelijke schijflocaties
- Aanvullende overwegingen bekijken
- Registermachtigingen
- WMI
- benoemde pijpen
Serviceconfiguratie en toegangsbeheer
SQL Server maakt SID per service mogelijk voor elk van de services om diepgaande service-isolatie en verdediging te bieden. De SID per service wordt afgeleid van de servicenaam en is uniek voor die service. Een service-SID-naam voor een benoemd exemplaar van de Database Engine-service kan bijvoorbeeld zijn NT Service\MSSQL$<instance_name>. Serviceisolatie maakt toegang tot specifieke objecten mogelijk zonder dat u een account met hoge bevoegdheden hoeft uit te voeren of de beveiliging van het object te verzwakken. Door een vermelding voor toegangsbeheer te gebruiken die een service-SID bevat, kan een SQL Server-service de toegang tot de resources beperken.
Opmerking
In Windows 7 en Windows Server 2008 R2 (en hoger) kan de SID per service het virtuele account zijn dat door de service wordt gebruikt.
Voor de meeste onderdelen configureert SQL Server de ACL voor het account per service, zodat het wijzigen van het serviceaccount kan worden uitgevoerd zonder dat u het ACL-proces van de resource hoeft te herhalen.
Wanneer u SSAS installeert, wordt er een SID per service voor de Analysis Services-service gemaakt. Er wordt een lokale Windows-groep gemaakt, met de naam in de indeling SQLServerMSASUser$<computer_name>$<instance_name>. De SID NT SERVICE\MSSQLServerOLAPService per service krijgt lidmaatschap van de lokale Windows-groep en de lokale Windows-groep krijgt de juiste machtigingen in de ACL. Als het account dat wordt gebruikt om de Analysis Services-service te starten, wordt gewijzigd, moet SQL Server Configuration Manager bepaalde Windows-machtigingen wijzigen (zoals het recht om zich aan te melden als een service), maar de machtigingen die zijn toegewezen aan de lokale Windows-groep, zijn nog steeds beschikbaar zonder bij te werken, omdat de SID per service niet is gewijzigd. Met deze methode kan de Naam van de Analysis Services-service worden gewijzigd tijdens upgrades.
Tijdens de installatie van SQL Server maakt SQL Server Setup een lokale Windows-groep voor SSAS en de SQL Server Browser-service. Voor deze services configureert SQL Server de ACL voor de lokale Windows-groepen.
Afhankelijk van de serviceconfiguratie wordt het serviceaccount voor een service of service-SID toegevoegd als lid van de servicegroep tijdens de installatie of upgrade.
Windows-bevoegdheden en -rechten
Het account dat is toegewezen om een service te starten, heeft de machtiging Starten, stoppen en onderbreken nodig voor de service. Het installatieprogramma van SQL Server wijst dit automatisch toe. Installeer eerst Remote Server Administration Tools (RSAT). Zie Remote Server Administration Tools voor Windows 10.
In de volgende tabel ziet u machtigingen die sql Server Setup-aanvragen voor de SID's per service of lokale Windows-groepen die worden gebruikt door SQL Server-onderdelen.
| SQL Server-service | Machtigingen verleend door SQL Server Setup |
|---|---|
|
SQL Server Database Engine: (Alle rechten worden verleend aan de SID per service. Standaardexemplaren: NT SERVICE\MSSQLSERVER. Benoemd exemplaar: NT Service\MSSQL$<instance_name>.) |
Aanmelden als een service (SeServiceLogonRight) Een token op procesniveau vervangen (SeAssignPrimaryTokenPrivilege) Passverse-controle omzeilen (SeChangeNotifyPrivilege) Geheugenquota aanpassen voor een proces (SeIncreaseQuotaPrivilege) Machtiging voor het starten van SQL Writer Machtiging voor het lezen van de Gebeurtenislogboekservice Machtiging voor het lezen van de service Voor het aanroepen van externe procedures |
|
SQL Server Agent:1 (Alle rechten worden verleend aan de SID per service. Standaardexemplaren: NT Service\SQLSERVERAGENT. Benoemd exemplaar: NT Service\SQLAGENT$<instance_name>.) |
Aanmelden als een service (SeServiceLogonRight) Een token op procesniveau vervangen (SeAssignPrimaryTokenPrivilege) Passverse-controle omzeilen (SeChangeNotifyPrivilege) Geheugenquota aanpassen voor een proces (SeIncreaseQuotaPrivilege) |
|
SSAS: (Alle rechten worden verleend aan een lokale Windows-groep. Standaardexemplaren: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Benoemd exemplaar: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot voor SharePoint-exemplaar: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Aanmelden als een service (SeServiceLogonRight) Alleen voor tabelvorm: Een proceswerkset verhogen (SeIncreaseWorkingSetPrivilege) Geheugenquota aanpassen voor een proces (SeIncreaseQuotaPrivilege) Pagina's in het geheugen vergrendelen (SeLockMemoryPrivilege): dit is alleen nodig wanneer paginering volledig is uitgeschakeld. Alleen voor failoverclusterinstallaties: Planningsprioriteit verhogen (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Alle rechten worden verleend aan de SID per service. Standaardexemplaren: NT SERVICE\ReportServer. Benoemd exemplaar: NT SERVICE\ReportServer$<instance_name>.) |
Aanmelden als een service (SeServiceLogonRight) |
|
SSIS: (Alle rechten worden verleend aan de SID per service. Standaardexemplaren en benoemd exemplaar: NT SERVICE\MsDtsServer150. Integration Services heeft geen afzonderlijk proces voor een benoemd exemplaar.) |
Aanmelden als een service (SeServiceLogonRight) Machtiging voor schrijven naar het gebeurtenislogboek van de toepassing. Passverse-controle omzeilen (SeChangeNotifyPrivilege) Een client imiteren na verificatie (SeImpersonatePrivilege) |
|
Zoeken in volledige tekst: (Alle rechten worden verleend aan de SID per service. Standaardexemplaren: NT Service\MSSQLFDLauncher. Benoemd exemplaar: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Aanmelden als een service (SeServiceLogonRight) Geheugenquota aanpassen voor een proces (SeIncreaseQuotaPrivilege) Passverse-controle omzeilen (SeChangeNotifyPrivilege) |
|
SQL Server-browser: (Alle rechten worden verleend aan een lokale Windows-groep. Standaard- of benoemd exemplaar: SQLServer2005SQLBrowserUser$<computer_name>. SQL Server Browser heeft geen afzonderlijk proces voor een benoemd exemplaar.) |
Aanmelden als een service (SeServiceLogonRight) |
|
SQL Server VSS Writer: (Alle rechten worden verleend aan de SID per service. Standaard- of benoemd exemplaar: NT Service\SQLWriter. SQL Server VSS Writer heeft geen afzonderlijk proces voor een benoemd exemplaar.) |
De SQLWriter-service wordt uitgevoerd onder het LOKALE SYSTEEM-account met alle vereiste machtigingen. Het instellen van SQL Server controleert of verleent geen machtigingen voor deze service. |
| SQL Server Distributed Replay Controller: | Aanmelden als een service (SeServiceLogonRight) |
| Gedistribueerde herhalingsclient van SQL Server: | Aanmelden als een service (SeServiceLogonRight) |
| PolyBase Engine en DMS: | Aanmelden als een service (SeServiceLogonRight) |
| Launchpad: |
Aanmelden als een service (SeServiceLogonRight) Een token op procesniveau vervangen (SeAssignPrimaryTokenPrivilege) Passverse-controle omzeilen (SeChangeNotifyPrivilege) Geheugenquota aanpassen voor een proces (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) en SQL Server 2017 (14.x)) | beschikt niet standaard over de machtiging Lokaal aanmelden toestaan |
| Machine Learning Services: Alle toepassingspakketten [AppContainer] (SQL Server 2019 (15.x)) | Machtigingen voor de SQL Server Binn, R_Services en PYTHON_Services mappen lezen en uitvoeren |
1 De SQL Server Agent-service is uitgeschakeld op exemplaren van SQL Server Express.
Bestandssysteemmachtigingen verleend aan SQL Server-SID's per service of lokale Windows-groepen
SQL Server-serviceaccounts moeten toegang hebben tot resources. Toegangsbeheerlijsten worden ingesteld voor de SID per service of de lokale Windows-groep.
Belangrijk
Voor failoverclusterinstallaties moeten resources op gedeelde schijven worden ingesteld op een ACL voor een lokaal account.
In de volgende tabel ziet u de ACL's die zijn ingesteld door SQL Server Setup:
| Serviceaccount voor | Bestanden en mappen | Toegang |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Volledig beheer |
| Instid\MSSQL\binn | Lezen, uitvoeren | |
| Instid\MSSQL\data | Volledig beheer | |
| Instid\MSSQL\FTData | Volledig beheer | |
| Instid\MSSQL\Install | Lezen, uitvoeren | |
| Instid\MSSQL\Log | Volledig beheer | |
| Instid\MSSQL\Repldata | Volledig beheer | |
| 150\gedeeld | Lezen, uitvoeren | |
| Instid\MSSQL\Template Data (alleen SQL Server Express) | Lezen | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Volledig beheer |
| Instid\MSSQL\Log | Lezen, schrijven, verwijderen, uitvoeren | |
| 150\com | Lezen, uitvoeren | |
| 150\gedeeld | Lezen, uitvoeren | |
| 150\shared\Errordumps | Lezen, schrijven | |
| ServerNaam\EventLog | Volledig beheer | |
| FTS | Instid\MSSQL\FTData | Volledig beheer |
| Instid\MSSQL\FTRef | Lezen, uitvoeren | |
| 150\gedeeld | Lezen, uitvoeren | |
| 150\shared\Errordumps | Lezen, schrijven | |
| Instid\MSSQL\Install | Lezen, uitvoeren | |
| Instid\MSSQL\jobs | Lezen, schrijven | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Volledig beheer |
| Instid\OLAP | Lezen, uitvoeren | |
| Instid\OLAP\Data | Volledig beheer | |
| Instid\Olap\Log | Lezen, schrijven | |
| Instid\OLAP\Backup | Lezen, schrijven | |
| Instid\OLAP\Temp | Lezen, schrijven | |
| 150\shared\Errordumps | Lezen, schrijven | |
| ReportServer | Instid\Reporting Services\Log Files | Lezen, schrijven, verwijderen |
| Instid\Reporting Services\ReportServer | Lezen, uitvoeren | |
| Instid\Reporting Services\ReportServer\global.asax | Volledig beheer | |
| \Reporting Services\ReportServer\rsreportserver.config | Lezen | |
| Instid\Reporting Services\RSTempfiles | Lezen, schrijven, uitvoeren, verwijderen | |
| Instid\Reporting Services\RSWebApp | Lezen, uitvoeren | |
| 150\gedeeld | Lezen, uitvoeren | |
| 150\shared\Errordumps | Lezen, schrijven | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Lezen |
| 150\dts\binn | Lezen, uitvoeren | |
| 150\gedeeld | Lezen, uitvoeren | |
| 150\shared\Errordumps | Lezen, schrijven | |
| SQL Server-browser | 150\shared\ASConfig | Lezen |
| 150\gedeeld | Lezen, uitvoeren | |
| 150\shared\Errordumps | Lezen, schrijven | |
| SQLWriter | N/B (wordt uitgevoerd als lokaal systeem) | |
| Gebruiker | Instid\MSSQL\binn | Lezen, uitvoeren |
| Instid\Reporting Services\ReportServer | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| Instid\Reporting Services\ReportServer\global.asax | Lezen | |
| Instid\Reporting Services\RSWebApp | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| 150\dts | Lezen, uitvoeren | |
| 150\tools | Lezen, uitvoeren | |
| 100\tools | Lezen, uitvoeren | |
| 90\tools | Lezen, uitvoeren | |
| 80\tools | Lezen, uitvoeren | |
| 150\sdk | Lezen | |
| Microsoft SQL Server\150\Bootstrap instellen | Lezen, uitvoeren | |
| SQL Server Distributed Replay Controller | <ToolsDir>\DReplayController\Log\ (lege map) | Inhoud van de map Lezen, Uitvoeren, Lijstmap |
| <ToolsDir> -\DReplayController\DReplayController.exe | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir>\DReplayController\resources |Inhoud van de map Lezen, Uitvoeren, Lijstmap | ||
| <ToolsDir>\DReplayController\{all dlls} | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir> -\DReplayController\DReplayController.config | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir> -\DReplayController\IRDefinition.xml | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| Gedistribueerde herhalingsclient van SQL Server | <ToolsDir>\DReplayClient\Log|Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir> -\DReplayClient\DReplayClient.exe | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir>\DReplayClient\resources |Inhoud van de map Lezen, Uitvoeren, Lijstmap | ||
| <ToolsDir>\DReplayClient\ (alle dll's) | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir> -\DReplayClient\DReplayClient.config | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| <ToolsDir> -\DReplayClient\IRDefinition.xml | Inhoud van de map Lezen, Uitvoeren, Lijstmap | |
| Launchpad | %binn | Lezen, uitvoeren |
| ExtensiblilityData | Volledig beheer | |
| Log\ExtensibilityLog | Volledig beheer |
1 De SQL Server Agent-service is uitgeschakeld op exemplaren van SQL Server Express en SQL Server Express met Advanced Services.
Wanneer databasebestanden worden opgeslagen op een door de gebruiker gedefinieerde locatie, moet u de SID per service toegang verlenen tot die locatie. Zie Bestandssysteemmachtigingen configureren voor Database Engine Access voor meer informatie over het verlenen van bestandssysteemmachtigingen aan een SID per service.
Machtigingen voor bestandssysteem verleend aan andere Windows-gebruikersaccounts of -groepen
Sommige machtigingen voor toegangsbeheer moeten mogelijk worden verleend aan ingebouwde accounts of andere SQL Server-serviceaccounts. De volgende tabel bevat aanvullende ACL's die zijn ingesteld door SQL Server Setup.
| Onderdeel aanvragen | Rekening | Hulpbron | Machtigingen |
|---|---|---|---|
| MSSQLServer | Gebruikers van prestatielogboeken | Instid\MSSQL\binn | Inhoud van lijstmap |
| Prestatiemetergebruikers | Instid\MSSQL\binn | Inhoud van lijstmap | |
| Gebruikers van prestatielogboeken, prestatiemetergebruikers | \WINNT\system32\sqlctr150.dll | Lezen, uitvoeren | |
| Alleen beheerder |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Volledig beheer | |
| Beheerders, systeem | \tools\binn\schemas\sqlserver\2004\07\showplan | Volledig beheer | |
| Gebruikers | \tools\binn\schemas\sqlserver\2004\07\showplan | Lezen, uitvoeren | |
| Rapportagediensten | Windows-serviceaccount rapportserver | <install>\Reporting Services\LogFiles | Verwijderen READ_CONTROL SYNCHRONISEREN FILE_GENERIC_READ FILE_GENERIC_WRITE GegevensLadenVanBestand GEGEVENS_SCHRIJVEN_BESTAND FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA BESTAND_LEESATTRIBUTEN BESTANDSSCHRIJFATTRIBUTEN |
| Windows-serviceaccount rapportserver | <install>\Reporting Services\ReportServer | Lezen | |
| Windows-serviceaccount rapportserver | <install>\Reporting Services\ReportServer\global.asax | Volledig | |
| Windows-serviceaccount rapportserver | <install>\Reporting Services\RSWebApp | Lezen, uitvoeren | |
| Iedereen | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL GegevensLadenVanBestand FILE_READ_EA BESTAND_LEESATTRIBUTEN |
|
| ReportServer Windows Services-account | <\Reporting Services\ReportServer\rsreportserver.config installeren> | Verwijderen READ_CONTROL SYNCHRONISEREN FILE_GENERIC_READ FILE_GENERIC_WRITE GegevensLadenVanBestand GEGEVENS_SCHRIJVEN_BESTAND FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA BESTAND_LEESATTRIBUTEN BESTANDSSCHRIJFATTRIBUTEN |
|
| Iedereen | Rapportserversleutels (instid hive) | Querywaarde Subsleutels opsommen Aankondigen Besturingselement lezen |
|
| Terminal Services-gebruiker | Rapportserversleutels (instid hive) | Querywaarde Waarde instellen SubSleutel maken Subsleutel opsommen Aankondigen Verwijderen Besturingselement lezen |
|
| Geavanceerde Gebruikers | Rapportserversleutels (instid hive) | Querywaarde Waarde instellen Subsleutel maken Subsleutels opsommen Aankondigen Verwijderen Besturingselement lezen |
1 Dit is de naamruimte van de WMI-provider.
Bestandssysteemmachtigingen met betrekking tot ongebruikelijke schijflocaties
Het standaardstation voor locaties voor installatie is systeemstation, normaal gesproken station C. In deze sectie worden aanvullende overwegingen beschreven wanneer tempdb- of gebruikersdatabases worden geïnstalleerd op ongebruikelijke locaties.
Niet-standaardstation
Wanneer deze is geïnstalleerd op een lokaal station dat niet het standaardstation is, moet de SID per service toegang hebben tot de bestandslocatie. Sql Server Setup richt de vereiste toegang in.
Netwerkshare
Wanneer databases zijn geïnstalleerd op een netwerkshare, moet het serviceaccount toegang hebben tot de bestandslocatie van de gebruiker en tempdb databases. SQL Server Setup kan geen toegang tot een netwerkshare inrichten. De gebruiker moet toegang tot een tempdb-locatie inrichten voor het serviceaccount voordat de installatie wordt uitgevoerd. De gebruiker moet toegang tot de locatie van de gebruikersdatabase inrichten voordat de database wordt gemaakt.
Opmerking
Virtuele accounts kunnen niet worden geverifieerd op een externe locatie. Alle virtuele accounts gebruiken de machtiging van het computeraccount. Stel het machineaccount in het formaat <domain_name>\<computer_name>$ in.
Aanvullende overwegingen bekijken
In de volgende tabel ziet u de machtigingen die vereist zijn voor SQL Server-services om extra functionaliteit te bieden.
| Service/applicatie | Functionaliteit | Vereiste machtiging |
|---|---|---|
| SQL Server (MSSQLSERVER) | Schrijf naar een e-mailsite met behulp van xp_sendmail. | Schrijfmachtigingen voor netwerk. |
| SQL Server (MSSQLSERVER) | Voer xp_cmdshell uit voor een andere gebruiker dan een SQL Server-beheerder. | Fungeren als onderdeel van het besturingssysteem en vervang een token op procesniveau. |
| SQL Server Agent (MSSQLSERVER) | Gebruik de functie voor automatisch opnieuw opstarten. | Moet lid zijn van de lokale groep Administrators. |
| Adviseur voor het Afstemmen van Database-Engines | Tunes-databases voor optimale queryprestaties. | Bij het eerste gebruik moet een gebruiker met systeembeheerdersreferenties de toepassing initialiseren. Na de initialisatie kunnen dbo-gebruikers de Database Engine Tuning Advisor gebruiken om alleen de tabellen af te stemmen die ze bezitten. Zie De Database Engine Tuning Advisor starten en gebruiken voor meer informatie. |
Belangrijk
Voordat u SQL Server bijwerkt, schakelt u SQL Server Agent in en controleert u de vereiste standaardconfiguratie: dat het SQL Server Agent-serviceaccount lid is van de vaste serverrol SQL Server sysadmin .
Registermachtigingen
De register hive wordt gemaakt onder HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> voor exemplaarbewuste onderdelen. Voorbeeld:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Het register onderhoudt ook een koppeling tussen instantie-id en instantie-naam. De toewijzing van instantie-id naar instantienaam wordt als volgt bijgehouden:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
WMI (Windows Management Instrumentation) moet verbinding kunnen maken met de database-engine. Ter ondersteuning hiervan wordt de SID per service van de Windows WMI-provider (NT SERVICE\winmgmt) ingericht in de database-engine.
Voor de SQL WMI-provider zijn de volgende minimale machtigingen vereist:
Lidmaatschap van de db_ddladmin of db_owner vaste databaserollen in de
msdbdatabase.DDL EVENT NOTIFICATION-machtiging maken op de server.
CREATE TRACE EVENT NOTIFICATION permission in the Database Engine.
ELKE machtiging op DATABASE-serverniveau WEERGEVEN .
Sql Server Setup maakt een SQL WMI-naamruimte en verleent leesmachtigingen voor de SQL Server Agent-service-SID.
Benoemde pijpen
Bij alle installatie biedt SQL Server Setup toegang tot de SQL Server Database Engine via het protocol voor gedeeld geheugen. Dit is een lokale pijp met de naam.
Voorziening
In deze sectie wordt beschreven hoe accounts worden ingericht in de verschillende SQL Server-onderdelen.
Database Engine inrichten
De volgende accounts worden toegevoegd als aanmeldingen in de SQL Server Database Engine.
Windows-principals
Tijdens de installatie moet voor SQL Server Setup ten minste één gebruikersaccount worden benoemd als lid van de vaste serverfunctie sysadmin .
SA-account
Het sa-account is altijd aanwezig als een database-engineaanmelding en is lid van de vaste serverfunctie sysadmin . Wanneer de database-engine is geïnstalleerd met alleen Windows-verificatie (dat wil gezegd wanneer SQL Server-verificatie niet is ingeschakeld), is de sa-aanmelding nog steeds aanwezig, maar is uitgeschakeld en is het wachtwoord complex en willekeurig. Zie De modus Serververificatie wijzigen voor informatie over het inschakelen van het sa-account.
SQL Server-SID-aanmelding en -bevoegdheden per service
De SID per service (ook wel servicebeveiligingsprincipaal (SID) genoemd) van de SQL Server-service wordt ingericht als een database-engineaanmelding. De sid-aanmelding per service is lid van de vaste serverfunctie sysadmin . Zie Service-SID's gebruiken om machtigingen te verlenen aan services in SQL Server voor meer informatie over SID's per service.
Aanmelding en bevoegdheden van SQL Server Agent
De SID per service van de SQL Server Agent-service wordt ingericht als een database-engineaanmelding. De sid-aanmelding per service is lid van de vaste serverfunctie sysadmin .
AlwaysOn-beschikbaarheidsgroepen en sql-failoverclusterexemplaren en -bevoegdheden
Wanneer u de database-engine installeert als een AlwaysOn-beschikbaarheidsgroep of SQL-failoverclusterexemplaar (SQL FCI), wordt LOCAL SYSTEM ingericht in de Database Engine. Aanmeldgegevens van HET LOKALE SYSTEEM worden de machtiging ALTER ANY AVAILABILITY GROUP (voor AlwaysOn-beschikbaarheidsgroepen) en de MACHTIGING VIEW SERVER STATE (voor SQL FCI) verleend.
SQL Writer en bevoegdheden
De SID per service van de SQL Server VSS Writer-service wordt ingericht als een database-engineaanmelding. De sid-aanmelding per service is lid van de vaste serverfunctie sysadmin .
SQL WMI en bevoegdheden
SQL Server instellen richt het NT SERVICE\Winmgmt account in als een database-engineaanmelding en voegt dit toe aan de vaste serverfunctie sysadmin .
SSRS-inrichting
Het account dat tijdens de installatie is opgegeven, wordt ingericht als lid van de databaserol RSExecRole . Zie SSRS Configuration Manager (Report Server Service Account) configureren voor meer informatie.
SSAS-inrichting
De vereisten voor SSAS-serviceaccounts variëren, afhankelijk van hoe u de server implementeert. Als u Power Pivot voor SharePoint installeert, moet u voor SQL Server Setup de Analysis Services-service configureren voor uitvoering onder een domeinaccount. Domeinaccounts zijn vereist ter ondersteuning van de beheerde accountfaciliteit die is ingebouwd in SharePoint. Daarom biedt SQL Server Setup geen standaardserviceaccount, zoals een virtueel account, voor een Installatie van Power Pivot voor SharePoint. Zie Power Pivot-serviceaccounts configureren voor meer informatie over het inrichten van Power Pivot voor SharePoint.
Voor alle andere zelfstandige SSAS-installaties kunt u de service inrichten voor uitvoering onder een domeinaccount, ingebouwd systeemaccount, beheerd account of virtueel account. Zie Serviceaccounts configureren (Analysis Services) voor meer informatie over het inrichten van accounts.
Voor geclusterde installaties moet u een domeinaccount of een ingebouwd systeemaccount opgeven. Beheerde accounts of virtuele accounts worden niet ondersteund voor SSAS-failoverclusters.
Voor alle SSAS-installaties moet u een systeembeheerder van het Analysis Services-exemplaar opgeven. Beheerdersbevoegdheden worden ingericht in de rol Analysis Services-server .
SSRS-inrichting
Het account dat tijdens de installatie is opgegeven, wordt ingericht in de database-engine als lid van de databaserol RSExecRole . Zie SSRS Configuration Manager (Report Server Service Account) configureren voor meer informatie.
Upgrade uitvoeren van eerdere versies
In deze sectie worden de wijzigingen beschreven die zijn aangebracht tijdens de upgrade van een eerdere versie van SQL Server.
SQL Server 2019 (15.x) vereist een ondersteund besturingssysteem. Voor elke eerdere versie van SQL Server die wordt uitgevoerd op een lagere versie van het besturingssysteem, moet het besturingssysteem zijn bijgewerkt voordat SQL Server wordt bijgewerkt.
Tijdens de upgrade van SQL Server 2005 (9.x) naar SQL Server 2019 (15.x) wordt het SQL Server-exemplaar op de volgende manier geconfigureerd:
- De database-engine wordt uitgevoerd met de beveiligingscontext van de SID per service. De SID per service krijgt toegang tot de bestandsmappen van het SQL Server-exemplaar (zoals DATA) en de SQL Server-registersleutels.
- De SID per service van de database-engine wordt ingericht in de database-engine als lid van de vaste serverfunctie sysadmin .
- De SID's per service worden toegevoegd aan de lokale SQL Server Windows-groepen, tenzij SQL Server een failoverclusterexemplaren is.
- De SQL Server-resources blijven ingericht voor de lokale SQL Server Windows-groepen.
- De naam van de lokale Windows-groep voor services wordt gewijzigd in
SQLServer2005MSSQLUser$<computer_name>$<instance_name>SQLServerMSSQLUser$<computer_name>$<instance_name>. Bestandslocaties voor gemigreerde databases hebben ACE (Access Control Entries) voor de lokale Windows-groepen. De bestandslocaties voor nieuwe databases hebben ACL's voor de SID per service.
Tijdens de upgrade van SQL Server 2008 (10.0.x) behoudt SQL Server Setup de ACL's voor de SQL Server 2008 (10.0.x) per service-SID.
Voor een exemplaar van een SQL Server-failovercluster wordt de ACE voor het domeinaccount dat voor de service is geconfigureerd, bewaard.
Bijlage
Deze sectie bevat aanvullende informatie over SQL Server-services.
- Beschrijving van serviceaccounts
- Het identificeren van services die op de hoogte zijn van het exemplaar en het niet weten van exemplaren
- Gelokaliseerde servicenamen
Beschrijving van serviceaccounts
Het serviceaccount is het account dat wordt gebruikt om een Windows-service te starten, zoals de SQL Server Database Engine. Voor het uitvoeren van SQL Server is het niet vereist om het serviceaccount toe te voegen als aanmelding bij SQL Server, naast de service-SID, die altijd aanwezig is en lid is van de vaste serverrol sysamin .
Accounts die beschikbaar zijn voor elk besturingssysteem
Naast de nieuwe MSA-, gMSA - en virtuele accounts die eerder zijn beschreven, kunnen de volgende accounts worden gebruikt.
Als de service moet communiceren met netwerkservices, toegang moet krijgen tot domeinbronnen zoals bestandsshares of als deze gebruikmaakt van gekoppelde serververbindingen met andere computers met SQL Server, kunt u een minimaal bevoegd domeinaccount gebruiken. Veel server-naar-server-activiteiten kunnen alleen worden uitgevoerd met een domeingebruikersaccount. Dit account moet vooraf worden gemaakt door domeinbeheer in uw omgeving.
Als u de SQL Server configureert voor het gebruik van een domeinaccount, kunt u de bevoegdheden voor de service isoleren, maar moet u wachtwoorden handmatig beheren of een aangepaste oplossing maken voor het beheren van deze wachtwoorden. Veel servertoepassingen gebruiken deze strategie om de beveiliging te verbeteren, maar voor deze strategie is extra beheer en complexiteit vereist. In deze implementaties besteden servicebeheerders veel tijd aan onderhoudstaken, zoals het beheren van servicewachtwoorden en SPN's (Service Principal Names), die vereist zijn voor Kerberos-verificatie. Bovendien kunnen deze onderhoudstaken de service verstoren.
Als de computer geen deel uitmaakt van een domein, wordt een lokaal gebruikersaccount zonder Windows-beheerdersmachtigingen aanbevolen.
Het lokale serviceaccount is een ingebouwd account met hetzelfde toegangsniveau tot resources en objecten als leden van de groep Gebruikers. Deze beperkte toegang helpt het systeem te beschermen als afzonderlijke services of processen worden aangetast. Services die worden uitgevoerd als het lokale serviceaccount, hebben toegang tot netwerkbronnen als een null-sessie zonder referenties.
Het lokale serviceaccount wordt niet ondersteund voor de SQL Server- of SQL Server Agent-services. Lokale service wordt niet ondersteund als het account waarop deze services worden uitgevoerd, omdat het een gedeelde service is en andere services die worden uitgevoerd onder lokale service, systeembeheerderstoegang tot SQL Server hebben.
De werkelijke naam van het account is NT AUTHORITY\LOCAL SERVICE.
Het netwerkserviceaccount is een ingebouwd account dat meer toegang heeft tot resources en objecten dan leden van de groep Gebruikers. Services die als netwerkserviceaccount worden uitgevoerd, hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount in de indeling <domain_name>\<computer_name>$. De werkelijke naam van het account is NT AUTHORITY\NETWORK SERVICE.
Lokaal systeem is een zeer hoogwaardig ingebouwd account. Het heeft uitgebreide bevoegdheden op het lokale systeem en fungeert als de computer op het netwerk. De werkelijke naam van het account is NT AUTHORITY\SYSTEM.
Services identificeren die op de hoogte zijn van het exemplaar en het niet weten van exemplaren
Exemplaarbewuste services zijn gekoppeld aan een specifiek exemplaar van SQL Server en hebben hun eigen register hives. U kunt meerdere exemplaren van exemplaarbewuste services installeren door SQL Server Setup uit te voeren voor elk onderdeel of elke service. Services die niet op de hoogte zijn van exemplaren, worden gedeeld tussen alle geïnstalleerde SQL Server-exemplaren. Ze zijn niet gekoppeld aan een specifiek exemplaar, worden slechts eenmaal geïnstalleerd en kunnen niet naast elkaar worden geïnstalleerd.
Exemplaarbewuste services in SQL Server zijn onder andere:
SQL Server
Agent van de SQL Server
Houd er rekening mee dat de SQL Server Agent-service is uitgeschakeld op exemplaren van SQL Server Express en SQL Server Express met Advanced Services.
-
Analyse diensten
Analysis Services in de geïntegreerde SharePoint-modus wordt uitgevoerd als 'Power Pivot' als één benoemd exemplaar. De exemplaarnaam is opgelost. U kunt geen andere naam opgeven. U kunt slechts één exemplaar van Analysis Services installeren dat wordt uitgevoerd als Power Pivot op elke fysieke server.
-
Rapportagediensten
Zoeken in volledige tekst
Exemplaaronononende services in SQL Server omvatten het volgende:
- Integratieservices
- SQL Server-browser
- SQL Writer
Gelokaliseerde servicenamen
De volgende tabel bevat servicenamen die worden weergegeven door gelokaliseerde versies van Windows.
| Taal | Naam voor lokale service | Naam voor netwerkservice | Naam voor lokaal systeem | Naam voor beheergroep |
|---|---|---|---|---|
| Engels Vereenvoudigd Chinees Traditioneel Chinees Koreaans De Japanse taal |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Duits | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Frans | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Italiaans | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Spaans | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Russisch | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |