Konfigurowanie kont usług systemu Windows
Każda usługa w programie SQL Server reprezentuje proces lub zestaw procesów do zarządzania uwierzytelnianiem operacji programu SQL Server w systemie Windows.W tym temacie opisano domyślną konfigurację usług w tej wersji programu SQL Server i opcje konfiguracji usług SQL Server, które można określić podczas instalacji programu SQL Server.
W zależności od składników, które użytkownik chce zainstalować instalator programu SQL Server instaluje następujące usługi:
Usługi bazy danych SQL Server — usługi relacyjnej Aparat baz danych programu SQL Server.
SQL Server Agent — wykonuje zadania, monitoruje program SQL Server, wyzwala alerty i umożliwia automatyzację niektórych zadań administracyjnych.
Ostrzeżenie
Aby program SQL Server i SQL Server Agent działały jako usługi w systemie Windows, program SQL Server i SQL Server Agent muszą być przypisane do konta użytkownika systemu Windows.Aby uzyskać więcej informacji dotyczących dostosowywania informacji o koncie dla poszczególnych usług, zobacz Jak: Instalowanie programu SQL Server 2008 R2 (Instalator).
Środowisko Usługi Analysis Services — zapewnia funkcje przetwarzanie analityczne online (OLAP) oraz wyszukiwania danych dla aplikacji analizy biznesowej.
Reporting Services — Zarządza raportami oraz wykonuje, tworzy, planuje i dostarcza je.
Integration Services — zapewnia obsługę zarządzania przechowywania i wykonywania pakietów Integration Services.
Przeglądarka SQL Server — usługa rozpoznawania nazw, która zapewnia informacji o połączeniu programu SQL Server dla komputerów klienckich.
Wyszukiwanie pełnotekstowe — szybko tworzy indeksy pełnotekstowe na podstawie zawartości i właściwości danych strukturalnych i semistrukturalne w celu umożliwienia filtrowania dokumentów i dzielenia wyrazów dla programu SQL Server.
Pomocnik SQL Server Active Directory — publikuje usługi programu SQL Server w usłudze Active Directory i zarządza nimi.
Pisarz SQL — umożliwia działanie aplikacji kopii zapasowej i przywracania w infrastrukturze usługi kopiowania woluminów w tle (VSS).
Ważne: Należy zawsze używać narzędzi SQL Server, takich jak Menedżera konfiguracji programu SQL Server do zmiany konta używanego przez usługi programu SQL Server lub SQL Server Agent lub do zmiany hasła konta.Oprócz zmiany nazwy konta, menedżer konfiguracji programu SQL Server wykonuje dodatkową konfigurację, jak ustawienie uprawnień w rejestrze systemu Windows, aby nowe konto mogło odczytać ustawienia programu SQL Server.Inne narzędzia takie jak Menedżera sterowania usługami systemu Windows mogą zmieniać nazwę konta, ale nie zmieniają skojarzonych ustawień.Jeśli usługa nie może uzyskać dostępu części SQL Server rejestru, usługa może nie zostać uruchomiona poprawnie.
Ważne: |
---|
W odniesieniu do wystąpień usług Analysis Services wdrażanych w farmie programu SharePoint należy zawsze używać administracji centralnej programu SharePoint do zmiany konta serwera dla aplikacji Usługa PowerPivot i Usługa Analysis Services.Skojarzone ustawienia i uprawnienia są aktualizowane, aby używane były nowe informacje o koncie podczas używania administracji centralnej. |
Pozostała część tego tematu jest podzielona na następujące sekcje:
Konfigurowanie typu uruchomienia usługi
Używanie konta uruchamiania dla usług programu SQL Server
Identyfikowanie usług opartych i nieopartych na wystąpieniach
Przeglądanie praw i uprawnień NT praw przyznanych dla kont usług SQL Server
Przeglądanie list kontroli dostępu tworzonych dla kont usług programu SQL Server
Przeglądanie uprawnień systemu Windows dla usług programu SQL Server
Przegląd dodatkowych kwestii
Lokalizowanie nazw usług
Konfigurowanie typu uruchomienia usługi
Podczas instalowania programu SQL Server dla niektórych usług programu SQL Server można skonfigurować typ uruchomienia — wyłączony, ręczny lub automatyczny.W poniższej tabeli przedstawiono usługi programu SQL Server, które można skonfigurować podczas instalacji.W przypadku instalacji nienadzorowanych można używać przełączników w pliku konfiguracji lub w wierszu polecenia.
Nazwa usługi programu SQL Server |
Można konfigurować w kreatorze instalacji? |
Przełączniki dla instalacji nienadzorowanej1 |
---|---|---|
MSSQLSERVER |
Tak |
SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent2 |
Tak |
AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService |
Tak |
ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer |
Tak |
RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services |
Tak |
ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
1Aby uzyskać więcej informacji na temat instalacji nienadzorowanych oraz przykład składni, zobacz Jak: Instalowanie programu SQL Server 2008 R2 z wiersza polecenia.
2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Używanie konta uruchamiania dla usług programu SQL Server
W celu uruchomienia i działania każda usługa w programie SQL Server musi mieć konto skonfigurowane podczas instalacji.Konta uruchamiania używane do uruchamiania i wykonywania usługi programu SQL Server mogą być wbudowanymi kontami systemowymi, kontami użytkowników lokalnych lub kontami użytkowników domeny.
Konto użytkownika domeny
Jeśli usługa musi współdziałać z usługami sieciowymi, uzyskiwać dostęp do zasobów domeny, takich jak udziały plików, lub jeśli używa połączonego serwera połączeń z innymi komputerami, na których działa program SQL Server, można użyć konta domeny o minimalnych uprawnieniach.Wiele działań serwer-serwer może być wykonywanych tylko przy użyciu konta użytkownika domeny.To konto powinno być utworzonego zawczasu przez administratora domeny w Twoim środowisku.
Lokalne konto użytkownika
Jeśli komputer nie jest częścią domeny, zalecane jest konto użytkownika lokalnego bez uprawnień administratora systemu Windows.
Konto usługi lokalnej
Konto Usługa lokalna jest wbudowanym kontem, który ma ten sam poziom dostępu do zasobów i obiektów jako członkowie grupy Użytkownicy.Taki ograniczony dostęp pomaga chronić system, jeśli poszczególne usługi lub procesy są zagrożone.Usługi, które są uruchamiane jako konto usługi lokalnej uzyskują dostęp do zasobów sieciowych jako sesja pusta bez poświadczeń.Należy pamiętać, że konto Usługa lokalna nie jest obsługiwany dla usług programu SQL Server lub SQL Server Agent.Rzeczywista nazwa konta to „NT AUTHORITY\LOCAL SERVICE”.
Konto Usługa sieciowa
Konto Usługa sieciowa jest wbudowanym kontem, które ma większy dostęp do zasobów i obiektów niż członkowie grupy Użytkownicy.Usługi, które są uruchamiane jako konto Usługa sieciowa uzyskują dostęp do zasobów sieciowych, używając poświadczeń konta komputera.Rzeczywista nazwa konta to „NT AUTHORITY\NETWORK SERVICE”.
Konto System lokalny
System lokalny jest kontem wbudowanym o wysokich uprawnieniach.Ma szerokie uprawnienia w systemie lokalnym i działa jako komputer w sieci.Rzeczywista nazwa konta to „NT AUTHORITY\SYSTEM”.
Oprócz posiadania konta użytkownika, każda usługa ma trzy Państwa możliwe stany uruchomienia, które użytkownicy mogą kontrolować:
Wyłączony Usługa jest zainstalowana, ale nie jest obecnie uruchomiona.
Ręczny Usługa jest zainstalowany, ale zostanie uruchomiona tylko wtedy, gdy inna usługa lub aplikacja wymaga jej funkcjonalności.
Automatyczny Usługa jest automatycznie uruchamiana przez system operacyjny.
W poniższej tabeli przedstawiono opcjonalne konta dla każdej usługi programu SQL Server oraz stany uruchomienia każdej usługi.
Nazwa usługi programu SQL Server |
Konta opcjonalne |
Typ uruchomienia |
Domyślny stan po instalacji |
---|---|---|---|
SQL Server |
SQL Server Express: Użytkownik domeny, System lokalny, Usługa sieciowa Wszystkie inne wersje: Użytkownik domeny, System lokalny, Usługa sieciowa1 |
Automatyczny1 |
Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania. |
SQL Server Agent |
Użytkownik domeny, System lokalny, Usługa sieciowa1 |
Ręczny1,2 Automatyczny tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie. |
Zatrzymano Uruchomiona tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie. |
Usługi Analysis Services |
Użytkownik domeny, Usługa sieciowa, Usługa lokalna, System lokalny1 4 |
Automatyczny1 |
Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania. |
Reporting Services |
Użytkownik domeny, System lokalny, Usługa sieciowa, Usługa lokalna |
Automatyczne |
Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania. |
Integration Services |
Użytkownik domeny, System lokalny, Usługa sieciowa, Usługa lokalna |
Automatyczne |
Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania. |
Wyszukiwanie pełnotekstowe |
Używa konta innego niż konto dla usługi SQL Server. Domyślnie kontem będzie Usługa lokalna w systemach Windows Server 2008 i Windows Vista. |
Automatyczne |
Uruchomiono Zatrzymano tylko wtedy, gdy konto nie zostanie określone w systemach Windows Server 2003 lub systemu Windows XP. |
Przeglądarka SQL Server |
Usługa lokalna |
Wyłączony3 Automatyczny tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie. |
Zatrzymano Uruchomiona tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie. |
Pomocnik SQL Server Active Directory |
System lokalny, Usługa sieciowa |
Wyłączony |
Zatrzymano |
Pisarz SQL |
System lokalny |
Automatyczne |
Uruchomiono |
Ważne:
1Dla konfiguracji klastra pracy awaryjnej należy użyć konta użytkownika domeny, a typ uruchamiania będzie ustawiony jako ręczny.
2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
3Domyślnie dla instalacji klastra pracy awaryjnej i nazwanych wystąpień po zakończeniu instalacji Przeglądarka SQL Server jest ustawiana jako uruchamiana automatycznie.
4Wystąpienia usługi Analysis Services wdrażane w trybie zintegrowanym programu SharePoint muszą być uruchamiane jako konta użytkowników domeny.Instalator będzie blokował instalację, jeśli zostanie określone konto takie jak Usługa sieciowa.Wbudowane konta nie są dozwolone dla usług udostępnionych w farmie.
Uwaga dotycząca zabezpieczeń Usługi programu SQL Server należy zawsze uruchamiać przy użyciu najniższych możliwych praw użytkownika. Użyj konkretnego konta użytkownika o niskich uprawnieniach lub konta domeny zamiast udostępnionego konta dla usług programu SQL Server.Użyj osobnych kont dla różnych usług programu SQL Server.Nie należy udzielać dodatkowych uprawnień kontu usług programu SQL Server lub grupom usług.Uprawnienia będą przyznane za pośrednictwem członkostwa grupy lub bezpośrednio identyfikatorowi SID usługi, gdy identyfikator SID usługi jest obsługiwany.
Obsługiwane konfiguracje usługi
Program SQL Server używa grupy zabezpieczeń do ustawiania list kontroli dostępu zasobu zamiast bezpośredniego używania konta usługi, więc zmiany konta usługi można dokonać bez konieczności powtarzania procesu listy kontroli dostępu zasobu.Grupa zabezpieczeń może być lokalną grupą zabezpieczeń, grupą zabezpieczeń domeny lub identyfikatorem SID usługi.
Podczas instalacji programu SQL Server instalator programu SQL Server tworzy grupę usług dla każdego składnika programu SQL Server.Grupy te uproszczają udzielanie uprawnień, które są wymagane do uruchomienia usług programu SQL Server i innych plików wykonywalnych i pomagają w zabezpieczaniu plików programu SQL Server.
Zależnie od konfiguracji usługi konto usługi dla usługi lub identyfikatora SID usługi jest dodawane jako członek grupy usług podczas instalacji lub uaktualniania.
Program SQL Server umożliwia korzystanie z identyfikatorów SID na usługę dla każdej z jego usług w systemach operacyjnych Windows Server 2008 lub Windows Vista w programie SQL Server 2008 R2 do świadczenia usług izolacji i dogłębnej obrony.Identyfikator SID na usługę pochodzi od nazwy usługi i jest unikatowy dla tej usługi.Na przykład nazwą identyfikatora SID usługi dla programu SQL Server może być NT Service\MSSQL$<NazwaWystąpienia>.Usługa izolacji umożliwia dostęp do określonych obiektów bez konieczności używania konta o wysokich uprawnieniach lub osłabienia ochrony zabezpieczeń obiektu.Za pomocą wpisu kontroli dostępu zawierającego identyfikator SID usługi usługa programu SQL Server może ograniczyć dostęp do swoich zasobów.
W poniższej tabeli przedstawiono obsługiwane konfiguracje usługi dla instalacji nowych i uaktualnionych w systemach Windows Server 2008 lub Windows Vista.
Nowa instalacja |
Uaktualnienie |
---|---|
|
|
W poniższej tabeli przedstawiono obsługiwane konfiguracje usługi dla instalacji nowych i uaktualnionych w systemach Windows Server 2003 lub Windows XP.
Nowa instalacja |
Uaktualnienie |
---|---|
|
|
Dla autonomicznego wystąpień programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008 identyfikatory SID usługi są dodawane do grupy usług, a identyfikator SID usługi dla programu SQL Server Engine i SQL Server Agent jest dodawany jako identyfikatora logowania do roli Sysadmin na serwerze.
Dla wystąpień klastra pracy awaryjnej programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008 domyślnie instalator programu SQL Server używa identyfikatora SID usługi i ustawia listy ACL zasobów systemu operacyjnego programu SQL Server jako identyfikator SID usługi.
Ostrzeżenie
Aby użyć grup domeny w klastrze pracy awaryjnej programu SQL Server, muszą zostać utworzone przed uruchomieniem Instalatora.Zaleca się używać unikatowych grup domeny podczas instalowania usług programu SQL Server w klastrze pracy awaryjnej programu SQL Server.
Zmiana właściwości konta
Aby zmienić konta usług, hasło, typ uruchamiania usługi lub inne właściwości dowolnej usługi związanej z programem SQL Server, należy użyć menedżera konfiguracji programu SQL Server.Dla usług Reporting Services należy użyć narzędzia konfiguracji usług raportowania.W przypadku usług Analysis Services w farmie programu SharePoint należy użyć administracji centralnej programu SharePoint.Należy pamiętać, że zmiana nazwy wystąpienia programu SQL Server nie zmienia nazwy grup zabezpieczeń programu SQL Server.Grupy zabezpieczeń będą nadal działać ze starymi nazwami po operacji zmiany nazwy.
Identyfikowanie usług opartych i nieopartych na wystąpieniach
Usługi oparte na wystąpieniach są skojarzone z konkretnym wystąpieniem programu SQL Server i mają własne gałęzie rejestru.Można zainstalować wiele kopii usług opartych na wystąpieniach, uruchamiając instalator programu SQL Server dla każdego składnika lub usługi.Usługi nieoparte na wystąpieniach są współużytkowane przez wszystkie zainstalowane wystąpienia programu SQL Server.Nie są one skojarzone z konkretnym wystąpieniem, są instalowane tylko jeden raz i nie mogą być instalowane obok siebie.
Usługi oparte na wystąpieniach w programie SQL Server to między innymi:
SQL Server
SQL Server Agent
Należy pamiętać, że usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Usługi Analysis Services 1
Reporting Services
Wyszukiwanie pełnotekstowe
Usługi nieoparte na wystąpieniach w programie SQL Server to między innymi:
Integration Services
Przeglądarka SQL Server
Pomocnik SQL Server Active Directory
Pisarz SQL
1Usługi Analysis Services w trybie zintegrowanym programu SharePoint działają jako program „PowerPivot” jako pojedyncze nazwane wystąpienie.Nazwa wystąpienia jest ustalona.Nie można określić innej nazwy.Można zainstalować tylko jedno wystąpienie usługi Analysis Services działającej jako program „PowerPivot” na każdym serwerze fizycznym.
Przeglądanie praw i uprawnień systemu Windows NT przyznanych kontom usług programu SQL Server
W poniższej tabeli podano grupy użytkowników tworzone przez instalator programu SQL Server, którym są przyznawane konkretne prawa użytkownika systemu Windows NT.
Usługa programu SQL Server |
Grupa użytkowników |
Domyślne uprawnienia przyznane przez instalator programu SQL Server |
---|---|---|
SQL Server |
Domyślne wystąpienie: SQLServerMSSQLUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerMSSQLUser$ComputerName$InstanceName |
Logowanie w trybie usługi (SeServiceLogonRight)1 Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege) Uprawnienie do uruchamiania Pomocnika SQL Server Active Directory Uprawnienie do uruchamiania programu Pisarz SQL Uprawnienie do odczytu usługi Dziennik zdarzeń Uprawnienie do odczytu usługi Zdalne wywołanie procedury
Ważne:
Dla wystąpień programu SQL Server w systemie Windows Vista i nowszym, uprawnienia użytkownika Logowanie w trybie usługi, Zastępowanie tokenu na poziomie procesu, Obejdź sprawdzanie przy przechodzeniu i Dostosuj przydziały pamięci dla procesów są przydzielane identyfikatorowi SID usługi programu SQL Server.
|
SQL Server Agent3 |
Domyślne wystąpienie: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerSQLAgentUser$ComputerName$InstanceName |
Logowanie w trybie usługi (SeServiceLogonRight) Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege) |
Usługi Analysis Services |
Domyślne wystąpienie: SQLServerMSASUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerMSASUser$ComputerName$InstanceName Wystąpienie programu PowerPivot for SharePoint: SQLServerMSASUser$ComputerName$PowerPivot |
Logowanie w trybie usługi (SeServiceLogonRight) |
SSRS |
Domyślne wystąpienie: SQLServerReportServerUser$ComputerName$MSRS10_50.MSSQLSERVER Nazwane wystąpienie: SQLServerReportServerUser$ComputerName$MSRS10_50.InstanceName |
Logowanie w trybie usługi (SeServiceLogonRight) |
Integration Services |
Domyślne lub nazwane wystąpienie: SQLServerDTSUser$ComputerName |
Logowanie w trybie usługi (SeServiceLogonRight) Uprawnienie do zapisu do dziennika zdarzeń aplikacji. Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Personifikuj klienta po uwierzytelnieniu (uprawnienie SeImpersonatePrivilege) |
Wyszukiwanie pełnotekstowe |
Domyślne wystąpienie: SQLServerFDHostUser$ ComputerName$MSSQL10_50.MSSQLSERVER Nazwane wystąpienie: SQLServerFDHostUser$ComputerName$MSSQL10_50.InstanceName |
Logowanie w trybie usługi (SeServiceLogonRight)
Ważne:
Dla wystąpień programu SQL Server w systemie Windows Vista i nowszym, uprawnienie Logowanie w trybie usługi jest przydzielane do identyfikatora SID usługi uruchamiania FD.
|
Przeglądarka SQL Server |
Domyślne lub nazwane wystąpienie: SQLServerSQLBrowserUser$ComputerName |
Logowanie w trybie usługi (SeServiceLogonRight) |
Pomocnik SQL Server Active Directory |
Domyślne lub nazwane wystąpienie: SQLServerMSSQLServerADHelperUser$ComputerName |
Brak2 |
Pisarz SQL |
Brak |
Brak2 |
1To uprawnienie jest przydzielane domyślnie do wszystkich usług programu SQL Server.
2SQL Server Instalator nie sprawdza ani nie udziela uprawnień dla tej usługi.
3Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Przeglądanie list kontroli dostępu tworzonych dla kont usług programu SQL Server
Konta usługi programu SQL Server muszą mieć dostęp do zasobów.Listy kontroli dostępu są ustawione na poziomie grupy użytkowników.
Ważne: |
---|
Dla instalacji klastra pracy awaryjnej zasoby na udostępnionych dyskach muszą być ustawione na listę ACL dla lokalnego konta. |
W poniższej tabeli podano listy ACL ustawiane przez instalator programu SQL Server:
Konto usługi1 dla |
Pliki i foldery |
Dostęp |
---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Pełna kontrola |
|
Instid\MSSQL\binn |
Odczyt, Wykonanie |
|
Instid\MSSQL\data |
Pełna kontrola |
|
Instid\MSSQL\FTData |
Pełna kontrola |
|
Instid\MSSQL\Install |
Odczyt, Wykonanie |
|
Instid\MSSQL\Log |
Pełna kontrola |
|
Instid\MSSQL\Repldata |
Pełna kontrola |
|
100\shared |
Odczyt, Wykonanie |
|
Instid\MSSQL\Template Data (tylko SQL Server Express) |
Odczyt |
SQLServerAgent2 |
Instid\MSSQL\binn |
Pełna kontrola |
|
Instid\MSSQL\binn |
Pełna kontrola |
|
Instid\MSSQL\Log |
Odczyt, Zapis, Usuwanie, Wykonanie |
|
100\com |
Odczyt, Wykonanie |
|
100\shared |
Odczyt, Wykonanie |
|
100\shared\Errordumps |
Odczyt, Zapis |
ServerName\EventLog |
Pełna kontrola |
|
FTS |
Instid\MSSQL\FTData |
Pełna kontrola |
|
Instid\MSSQL\FTRef |
Odczyt, Wykonanie |
|
100\shared |
Odczyt, Wykonanie |
|
100\shared\Errordumps |
Odczyt, Zapis |
|
Instid\MSSQL\Install |
Odczyt, Wykonanie |
Instid\MSSQL\jobs |
Odczyt, Zapis |
|
MSSQLServerOLAPservice |
100\shared\ASConfig |
Pełna kontrola |
|
Instid\OLAP |
Odczyt, Wykonanie |
|
Instid\Olap\Data |
Pełna kontrola |
|
Instid\Olap\Log |
Odczyt, Zapis |
|
Instid\OLAP\Backup |
Odczyt, Zapis |
|
Instid\OLAP\Temp |
Odczyt, Zapis |
|
100\shared\Errordumps |
Odczyt, Zapis |
SQLServerReportServerUser |
Instid\Reporting Services\Log Files |
Odczyt, Zapis, Usuwanie |
|
Instid\Reporting Services\ReportServer |
Odczyt, Wykonanie |
|
Instid\Reportingservices\Reportserver\global.asax |
Pełna kontrola |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Odczyt |
|
Instid\Reporting Services\reportManager |
Odczyt, Wykonanie |
|
Instid\Reporting Services\RSTempfiles |
Odczyt, Zapis, Wykonanie, Usuwanie |
|
100\shared |
Odczyt, Wykonanie |
|
100\shared\Errordumps |
Odczyt, Zapis |
MSDTSServer100 |
100\dts\binn\MsDtsSrvr.ini.xml |
Odczyt |
|
100\dts\binn |
Odczyt, Wykonanie |
|
100\shared |
Odczyt, Wykonanie |
|
100\shared\Errordumps |
Odczyt, Zapis |
Przeglądarka SQL Server |
100\shared\ASConfig |
Odczyt |
|
100\shared |
Odczyt, Wykonanie |
|
100\shared\Errordumps |
Odczyt, Zapis |
MSADHelper |
N/D (działa na koncie Usługa sieciowa) |
|
SQLWriter |
N/D (działa jako system lokalny) |
|
Użytkownik |
Instid\MSSQL\binn |
Odczyt, Wykonanie |
|
Instid\Reporting Services\ReportServer |
Odczyt, Wykonanie, Wyświetlanie zawartości folderu |
|
Instid\Reportingservices\Reportserver\global.asax |
Odczyt |
|
Instid\Reporting Services\ReportManager |
Odczyt, Wykonanie |
|
Instid\Reporting Services\ReportManager\pages |
Odczyt |
|
Instid\Reporting Services\ReportManager\Styles |
Odczyt |
|
100\dts |
Odczyt, Wykonanie |
|
100\tools |
Odczyt, Wykonanie |
|
90\tools |
Odczyt, Wykonanie |
|
80\tools |
Odczyt, Wykonanie |
|
100\sdk |
Odczyt |
|
Microsoft SQL Server\100\Setup Bootstrap |
Odczyt, Wykonanie |
1 W wypadku instalacji klastrów pracy awaryjnej programu SQL Server lub instalacji programu SQL Server na kontrolerze domeny listy ACL zostaną ustawione dla identyfikatora SID usługi programu SQL Server a nie dla grupy usługi programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008.
2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Niektóre uprawnienia kontroli dostępu mogą być przydzielane do wbudowanych kont lub innych kont usługi programu SQL Server.W poniższej tabeli podano dodatkowe listy ACL ustawiane przez instalator programu SQL Server:
Składnik wnioskujący |
Konto |
Zasób |
Uprawnienia |
---|---|---|---|
MSSQLServer |
Użytkownicy dziennika wydajności |
Instid\MSSQL\binn |
Wyświetlanie zawartości folderu |
|
Użytkownicy monitora wydajności |
Instid\MSSQL\binn |
Wyświetlanie zawartości folderu |
|
Użytkownicy dziennika wydajności, Użytkownicy monitora wydajności |
\WINNT\system32\sqlctr100.dll |
Odczyt, Wykonanie |
|
Tylko administrator |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_nazwa_wystąpienia>1 |
Pełna kontrola |
|
Administratorzy, System |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Pełna kontrola |
|
Użytkownicy |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Odczyt, Wykonanie |
Reporting Services |
<Konto usługi sieci Web serwera raportów> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tożsamość puli aplikacji Menedżera raportów, konto ASP.NET, Wszyscy |
<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Odczyt |
|
Tożsamość puli aplikacji Menedżera raportów |
<install>\Reporting Services\ReportManager\Pages\*.* |
Odczyt |
|
<Konto usługi sieci Web serwera raportów> |
<install>\Reporting Services\ReportServer |
Odczyt |
|
<Konto usługi sieci Web serwera raportów> |
<install>\Reporting Services\ReportServer\global.asax |
Pełny |
|
Wszyscy |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Usługa sieciowa |
<install>\Reporting Services\ReportServer\ReportService.asmx |
Pełny |
|
Wszyscy |
<install>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Konto usługi ReportServer systemu Windows |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Wszyscy |
Klucze serwera raportów (gałąź Instid) |
Wartości zapytania Wyliczanie podkluczy Powiadom Kontrola odczytu |
|
Użytkownik usług terminalowych |
Klucze serwera raportów (gałąź Instid) |
Wartości zapytania Ustaw wartość Tworzenie podklucza Wylicz klucze podrzędne Powiadom Usuń Kontrola odczytu |
|
Użytkownicy zaawansowani |
Klucze serwera raportów (gałąź Instid) |
Wartości zapytania Ustaw wartość Tworzenie podklucza Wyliczanie podkluczy Powiadom Usuń Kontrola odczytu |
1Jest to obszar nazw dostawcy WMI.
Przeglądanie uprawnień systemu Windows dla usług programu SQL Server
W poniższej tabeli podano nazwy usług, termin, który jest używany do określenia domyślnego i nazwanego wystąpienia usług programu SQL Server, opis funkcji usługi, i wymagane minimalne uprawnienia.
Nazwa wyświetlana |
Nazwa usługi |
Opis |
Wymagane uprawnienia |
---|---|---|---|
SQL Server (InstanceName) |
Domyślne wystąpienie: MSSQLSERVER Nazwane wystąpienie: MSSQL$InstanceName |
Aparat baz danych programu SQL Server. Ścieżka pliku wykonywalnego to \MSSQL\Binn\sqlservr.exe. |
Zaleca się konto użytkownika lokalnego lub domeny. Logowanie w trybie usługi (SeServiceLogonRight).1 Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege). Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege). Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege). Uprawnienie do uruchamiania Pomocnika SQL Server Active Directory. Uprawnienie do uruchamiania programu Pisarz SQL. Uprawnienie do odczytu usługi Dziennik zdarzeń. Uprawnienie do odczytu usługi Zdalne wywołanie procedury.
Minimalne uprawnieniaFunkcja
Konto uruchamiania usługi MSSQLServer
Konto musi być na liście kont, które mają uprawnienia Wyświetlanie folderu na dysku głównym, na którym jest zainstalowany program SQL Server.Musi on być także w katalogu głównym dowolnego innego dysku, na którym są przechowywane pliki programu SQL Server.
Uwaga:
Uprawnienia „Wyświetlanie folderu” do dysku głównego nie muszą być dziedziczone przez podfoldery.
Konto uruchamiania usługi MSSQLServerKonto musi mieć uprawnienia Pełna kontrola do wszystkich folderów, w których będą się znajdować pliki dziennika (mdf, ndf, ldf).
|
SQL Server Agent (InstanceName)1 |
Domyślne wystąpienie: SQLServerAgent Nazwane wystąpienie: SQLAgent$InstanceName |
Wykonuje zadania, monitoruje program SQL Server, wyzwala alerty i umożliwia automatyzację niektórych zadań administracyjnych. Ścieżka pliku wykonywalnego to \MSSQL\Binn\sqlagent.exe. |
Minimalne uprawnieniaFunkcja
Konto musi być członkiem stałej roli serwera sysadmin.
Konto musi mieć następujące uprawnienia systemu Windows:Logowanie w trybie usługi.Zamień token na poziomie procesu.Dostosuj przydziały pamięci dla procesów.Obejdź sprawdzanie przy przechodzeniu.
|
Usług Usługi Analysis Services (InstanceName) |
Domyślne wystąpienie: MSSQLServerOLAPService Nazwane wystąpienie: MSOLAP$InstanceName |
Usługa zapewniająca funkcje przetwarzania analitycznego online (OLAP) oraz wyszukiwania danych dla aplikacji analizy biznesowej. Ścieżka pliku wykonywalnego to \OLAP\Bin\msmdsrv.exe. |
|
Reporting Services |
Domyślne wystąpienie: ReportServer Nazwane wystąpienie: ReportServer$InstanceName |
Zarządza raportami oraz wykonuje, tworzy, planuje i dostarcza je. Ścieżka pliku wykonywalnego to \Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
|
Integration Services |
Domyślne lub nazwane wystąpienie: MSDTSServer |
Zapewnia obsługę zarządzania dla przechowywania pakietów programu Integration Services i wykonywania ich. Ścieżka pliku wykonywalnego to \DTS\Binn\msdtssrvr.exe. |
|
Wyszukiwanie pełnotekstowe |
Domyślne lub nazwane wystąpienie: SQL Full-text Filter Daemon Launcher |
Usługa do uruchamiania proces demona filtru pełnotekstowego do wykonywania filtrowania dokumentów i dzielenia wyrazów dla wyszukiwania pełnotekstowego programu SQL Server. |
|
Przeglądarka SQL Server |
Domyślne lub nazwane wystąpienie: SQLBrowser |
Usługa rozpoznawania nazw, która zapewnia informacje o połączeniu programu SQL Server dla komputerów klienckich.Ta usługa jest współużytkowana przez wiele wystąpień programu SQL Server i SSIS. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe. |
|
Pomocnik SQL Server Active Directory |
Domyślne lub nazwane wystąpienie: MSSQLServerADHelper. |
Publikuje usługi programu SQL Server w usłudze Windows Active Directory i zarządza nimi. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe. |
|
Pisarz SQL |
SQLWriter |
Umożliwia działanie aplikacji kopii zapasowej i przywracania w infrastrukturze usługi kopiowania woluminów w tle (VSS).Istnieje jedno wystąpienie usługi SQL pisarz dla wszystkich wystąpień programu SQL Server na serwerze. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe. |
|
1Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Przegląd dodatkowych kwestii
W poniższej tabeli przedstawiono uprawnienia, które są wymagane, aby usługi programu SQL Server zapewniały dodatkowe funkcje.
Usługa/aplikacja |
Funkcja |
Wymagane uprawnienie |
---|---|---|
SQL Server (MSSQLSERVER) |
Zapis do gniazda poczty przy użyciu xp_sendmail. |
Uprawnienia Zapisywanie w sieci. |
SQL Server (MSSQLSERVER) |
Uruchamianie programu xp_cmdshell dla użytkownika innego niż administrator programu SQL Server. |
Działanie jako część systemu operacyjnego i zamień token na poziomie procesu. |
SQL Server Agent (MSSQLSERVER) |
Użyj funkcji uruchamiania ponownego. |
Musi być członkiem grupy lokalnej Administrators. |
Doradca dostrajania Aparat baz danych |
Dostraja bazy danych dla optymalnego działania zapytań. |
Przy pierwszym użyciu użytkownik, który ma poświadczenia administracyjne systemu, musi zainicjować aplikację.Po zainicjowaniu programu dbo użytkownicy mogą używać doradcy dostrajania Aparat baz danych do dostrajania tylko tych tabel, których są właścicielami.Aby uzyskać więcej informacji, zobacz temat „Inicjowanie Doradcy dostrajania Aparat baz danych przy pierwszym użyciu” w witrynie SQL Server — książki online. |
Ważne: |
---|
Przed uaktualnieniem programu SQL Server, należy włączyć uwierzytelnianie systemu Windows dla usługi SQL Server Agent i sprawdzić wymaganą domyślną konfigurację: czy konto usługi SQL Server Agent jest członkiem grupy SQL Server sysadmin. |
Lokalizowanie nazw usług
W poniższej tabeli przedstawiono nazwy usług, które są wyświetlane przez zlokalizowane wersje systemu Windows.
Język |
Nazwa dla usługi lokalnej |
Nazwa dla usługi sieciowej |
Nazwa dla Systemu lokalnego |
Nazwa dla grupy Admin |
---|---|---|---|---|
Angielski Chiński uproszczony Chiński tradycyjny Koreański Japoński |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Niemiecki |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francuski |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Włoski |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Hiszpański |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Rosyjski |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |