Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
SQL Server
Każda usługa w programie SQL Server reprezentuje proces lub zestaw procesów do zarządzania uwierzytelnianiem operacji programu SQL Server w systemie Windows. W tym artykule opisano domyślną konfigurację usług w tej wersji programu SQL Server oraz opcje konfiguracji usług programu SQL Server, które można ustawić podczas instalacji programu SQL Server i po jej zakończeniu. Ten artykuł pomaga zaawansowanym użytkownikom zrozumieć szczegóły kont usług.
Większość usług i ich właściwości można skonfigurować przy użyciu programu SQL Server Configuration Manager. Poniżej przedstawiono ścieżki do ostatnich wersji, gdy system Windows jest zainstalowany na dysku C.
| Wersja programu SQL Server | Ścieżka |
|---|---|
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
Program SQL Server włączony przez usługę Azure Arc
Aby uzyskać uprawnienia wymagane przez rozszerzenie platformy Azure dla programu SQL Server, zobacz Konfigurowanie kont usług systemu Windows i uprawnień dla rozszerzenia platformy Azure dla programu SQL Server.
Usługi zainstalowane przez program SQL Server
W zależności od składników, które zdecydujesz się zainstalować, instalator programu SQL Server instaluje następujące usługi:
| Usługa | Opis |
|---|---|
| SQL Server Database Services | Usługa aparatu relacyjnej bazy danych programu SQL Server. Plik wykonywalny to \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| SQL Server Agent | Wykonuje zadania, monitoruje program SQL Server, uruchamia alerty i umożliwia automatyzację niektórych zadań administracyjnych. Usługa SQL Server Agent jest obecna, ale wyłączona w wystąpieniach programu SQL Server Express. Plik wykonywalny to \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Analysis Services | Udostępnia funkcje przetwarzania analitycznego online (OLAP) i wyszukiwania danych dla aplikacji analizy biznesowej. Plik wykonywalny to \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Usługi Raportowania | Zarządza, wykonuje, tworzy, planuje i dostarcza raporty. Plik wykonywalny to \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Usługi integracyjne | Zapewnia obsługę zarządzania magazynem i wykonywaniem pakietów usług Integration Services. Ścieżka pliku wykonywalnego to \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
Usługi Integration Services mogą obejmować dodatkowe usługi dla wdrożeń skalowanych w poziomie. Aby uzyskać więcej informacji, zobacz Przewodnik: konfigurowanie usług Integration Services (SSIS) w poziomie.
| Usługa | Opis |
|---|---|
| Przeglądarka programu SQL Server | Usługa rozpoznawania nazw, która udostępnia informacje o połączeniu programu SQL Server dla komputerów klienckich. Ścieżka pliku wykonywalnego to C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Wyszukiwanie pełnotekstowe | Szybko tworzy indeksy pełnotekstowe dotyczące zawartości i właściwości danych ze strukturą i częściową strukturą w celu zapewnienia filtrowania dokumentów i podziału wyrazów dla programu SQL Server. |
| Składnik zapisywania SQL | Umożliwia wykonywanie kopii zapasowych i przywracanie aplikacji w ramach usługi kopiowania woluminów w tle (VSS). |
| Rozproszony kontroler odtwarzania programu SQL Server | Zapewnia orkiestrację odtwarzania śledzenia na wielu komputerach klienckich rozproszonego odtwarzania. |
| Klient rozproszonego odtwarzania programu SQL Server | Co najmniej jeden komputer kliencki rozproszonego odtwarzania, który współdziała z kontrolerem rozproszonego odtwarzania w celu symulowania współbieżnych obciążeń względem wystąpienia aparatu bazy danych programu SQL Server. |
| SQL Server Launchpad | Zaufana usługa, która hostuje zewnętrzne pliki wykonywalne udostępniane przez firmę Microsoft, takie jak środowiska uruchomieniowe języka R lub Python zainstalowane w ramach usług języka R lub usług Machine Learning Services. Procesy satelitarne mogą być uruchamiane przez proces Launchpad, ale jest zasobem zarządzanym w oparciu o konfigurację pojedynczego wystąpienia. Usługa Launchpad działa na własnym koncie użytkownika, a każdy proces satelitarny dla określonego, zarejestrowanego środowiska uruchomieniowego dziedziczy konto użytkownika platformy Launchpad. Procesy satelitarne są tworzone i niszczone na żądanie w czasie wykonywania. Program Launchpad nie może utworzyć kont używanych podczas instalowania programu SQL Server na komputerze, który jest również używany jako kontroler domeny. W związku z tym instalacja usług języka R (In-Database) lub usług Machine Learning Services (In-Database) kończy się niepowodzeniem na kontrolerze domeny. |
| Aparat programu SQL Server PolyBase | Udostępnia możliwości zapytań rozproszonych do zewnętrznych źródeł danych. |
| Usługa przenoszenia danych programu SQL Server PolyBase | Umożliwia przenoszenie danych między programem SQL Server i zewnętrznymi źródłami danych oraz między węzłami SQL w grupach skalowania technologii PolyBase. |
Usługi CEIP zainstalowane przez program SQL Server
Usługa Customer Experience Improvement Program (CEIP) wysyła dane telemetryczne z powrotem do firmy Microsoft.
W zależności od składników, które zdecydujesz się zainstalować, instalator programu SQL Server instaluje następujące usługi CEIP.
| Usługa | Opis |
|---|---|
| SQLTELEMETRY | Program poprawy jakości obsługi klienta, który wysyła dane telemetryczne aparatu bazy danych z powrotem do firmy Microsoft. |
| SSASTELEMETRY | Program poprawy jakości obsługi klienta, który wysyła dane telemetryczne usług SSAS z powrotem do firmy Microsoft. |
| SSISTELEMETRY | Program poprawy jakości obsługi klienta, który wysyła dane telemetryczne usług SSIS z powrotem do firmy Microsoft. |
Właściwości i konfiguracja usługi
Konta uruchamiania używane do uruchamiania i uruchamiania programu SQL Server mogą być kontami użytkowników domeny, kontami użytkowników lokalnych, zarządzanymi kontami usług, kontami wirtualnymi lub wbudowanymi kontami systemowymi. Aby można było uruchomić i uruchomić, każda usługa w programie SQL Server musi mieć konto uruchamiania skonfigurowane podczas instalacji.
Uwaga / Notatka
W przypadku wystąpienia klastra trybu failover programu SQL Server 2016 (13.x) i nowszych konta użytkowników domeny lub kont usług zarządzanych przez grupę można używać jako kont startowych dla programu SQL Server.
W tej sekcji opisano konta, które można skonfigurować do uruchamiania usług programu SQL Server, wartości domyślne używane przez instalatora programu SQL Server, pojęcia identyfikatorów SID dla poszczególnych usług, opcji uruchamiania i konfigurowania zapory.
Domyślne konta usług
W poniższej tabeli wymieniono domyślne konta usług używane przez instalatora podczas instalowania wszystkich składników. Wymienione konta domyślne są zalecanymi kontami, z wyjątkiem wymienionych.
Autonomiczny serwer lub kontroler domeny
| Składnik | Windows Server 2008 | Windows 7, Windows Server 2008 R2 i nowsze |
|---|---|---|
| Aparat bazy danych | USŁUGA SIECIOWA | Konto wirtualne1 |
| SQL Server Agent | USŁUGA SIECIOWA | Konto wirtualne1 |
| SSAS | USŁUGA SIECIOWA | Konto wirtualne12 |
| SSIS | USŁUGA SIECIOWA | Konto wirtualne1 |
| Usługi SSRS | USŁUGA SIECIOWA | Konto wirtualne1 |
| Rozproszony kontroler odtwarzania programu SQL Server | USŁUGA SIECIOWA | Konto wirtualne1 |
| Klient rozproszonego odtwarzania programu SQL Server | USŁUGA SIECIOWA | Konto wirtualne1 |
| Uruchamianie FD (wyszukiwanie pełnotekstowe) | USŁUGA LOKALNA | Konto wirtualne |
| Przeglądarka programu SQL Server | USŁUGA LOKALNA | USŁUGA LOKALNA |
| Składnik zapisywania usługi VSS programu SQL Server | SYSTEM LOKALNY | SYSTEM LOKALNY |
| Rozszerzenia usługi Advanced Analytics | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| Aparat PolyBase | USŁUGA SIECIOWA | USŁUGA SIECIOWA |
| Usługa przenoszenia danych PolyBase | USŁUGA SIECIOWA | USŁUGA SIECIOWA |
1 Jeśli zasoby zewnętrzne na komputerze z programem SQL Server są potrzebne, firma Microsoft zaleca korzystanie z zarządzanego konta usługi (MSA), skonfigurowanego z minimalnymi wymaganymi uprawnieniami.
2 Po zainstalowaniu na kontrolerze domeny konto wirtualne jako konto usługi nie jest obsługiwane.
Wystąpienie klastra trybu failover programu SQL Server
| Składnik | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Aparat bazy danych | Żaden. Podaj konto użytkownika domeny . | Podaj konto użytkownika domeny . |
| SQL Server Agent | Żaden. Podaj konto użytkownika domeny . | Podaj konto użytkownika domeny . |
| SSAS | Żaden. Podaj konto użytkownika domeny . | Podaj konto użytkownika domeny . |
| SSIS | USŁUGA SIECIOWA | Konto wirtualne |
| Usługi SSRS | USŁUGA SIECIOWA | Konto wirtualne |
| Uruchamianie FD (wyszukiwanie pełnotekstowe) | USŁUGA LOKALNA | Konto wirtualne |
| Przeglądarka programu SQL Server | USŁUGA LOKALNA | USŁUGA LOKALNA |
| Składnik zapisywania usługi VSS programu SQL Server | SYSTEM LOKALNY | SYSTEM LOKALNY |
Zmienianie właściwości konta
Ważne
Zawsze używaj narzędzi programu SQL Server, takich jak SQL Server Configuration Manager, aby zmienić konto używane przez aparat bazy danych programu SQL Server lub usługi SQL Server Agent lub zmienić hasło dla konta. Oprócz zmiany nazwy konta program SQL Server Configuration Manager wykonuje dodatkową konfigurację, taką jak aktualizowanie lokalnego magazynu zabezpieczeń systemu Windows, który chroni klucz główny usługi dla aparatu bazy danych. Inne narzędzia, takie jak Menedżer kontroli usług systemu Windows, mogą zmienić nazwę konta, ale nie zmieniają wszystkich wymaganych ustawień.
Jeśli zmienisz konta usług dla dowolnej usługi SQL przy użyciu innych środków, może to prowadzić do nieoczekiwanego zachowania lub błędów. Jeśli na przykład zmienisz konto usługi agenta SQL na konto domeny przy użyciu apletu usług systemu Windows, możesz zauważyć, że zadania agenta SQL korzystające z systemu operacyjnego (Cmdexec), kroki replikacji lub zadania usług SSIS mogą zakończyć się niepowodzeniem z powodu błędu podobnego do następującego:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.Aby rozwiązać ten błąd, należy wykonać następujące czynności przy użyciu programu SQL Server Configuration Manager:
- Tymczasowo zmień konto usługi agenta SQL z powrotem na domyślne konto wirtualne (domyślne wystąpienie: NT Service\SQLSERVERAGENT. Nazwane wystąpienie: NT Service\SQLAGENT$<instance_name>.)
- Uruchom ponownie usługę agenta programu SQL Server
- Zmień konto usługi z powrotem na żądane konto domeny
- Uruchom ponownie usługę SQL Server Agent
W przypadku wystąpień usług Analysis Services wdrażanych w farmie programu SharePoint zawsze należy użyć administracji centralnej programu SharePoint, aby zmienić konta serwerów dla aplikacji usługi Power Pivot i usługi Analysis Services. Skojarzone ustawienia i uprawnienia są aktualizowane w celu korzystania z nowych informacji o koncie podczas korzystania z administracji centralnej.
Aby zmienić opcje usług Reporting Services, użyj narzędzia konfiguracji usług Reporting Services.
Zarządzane konta usług, konta usługi zarządzane przez grupę i konta wirtualne
Zarządzane konta usług, konta usług zarządzane przez grupę i konta wirtualne są przeznaczone do udostępniania kluczowych aplikacji, takich jak program SQL Server z izolacją własnych kont, jednocześnie eliminując konieczność ręcznego administrowania główną nazwą usługi (SPN) i poświadczeniami dla tych kont. Dzięki nim długoterminowe zarządzanie użytkownikami kont usług, hasłami i nazwami SPN jest znacznie łatwiejsze.
-
Zarządzane konto usługi (MSA) to typ konta domeny utworzonego i zarządzanego przez kontroler domeny. Jest on przypisany do jednego komputera członkowskiego do korzystania z usługi. Hasło jest zarządzane automatycznie przez kontroler domeny. Nie można zalogować się do komputera przy użyciu msA, ale komputer może użyć msa do uruchomienia usługi systemu Windows. Usługa MSA ma możliwość rejestrowania głównej nazwy usługi (SPN) w usłudze Active Directory, gdy podane uprawnienia servicePrincipalName odczytu i zapisu. MsA ma nazwę z sufiksem
$, na przykładDOMAIN\ACCOUNTNAME$. Podczas określania konta MSA pozostaw hasło puste. Ponieważ program MSA jest przypisany do jednego komputera, nie może być używany w różnych węzłach klastra systemu Windows.Uwaga / Notatka
Usługa MSA musi zostać utworzona w usłudze Active Directory przez administratora domeny, zanim konfiguracja programu SQL Server będzie mogła jej używać dla usług programu SQL Server.
Konta usług zarządzane przez grupę
Konto usługi zarządzane przez grupę (gMSA) to usługa MSA dla wielu serwerów. System Windows zarządza kontem usługi dla usług uruchomionych w grupie serwerów. Usługa Active Directory automatycznie aktualizuje hasło konta usługi zarządzanego przez grupę bez ponownego uruchamiania usług. Usługi programu SQL Server można skonfigurować tak, aby korzystały z jednostki konta usługi zarządzanej przez grupę. Począwszy od programu SQL Server 2014, program SQL Server obsługuje konta usług zarządzane przez grupy dla wystąpień autonomicznych oraz program SQL Server 2016 i nowsze dla wystąpień klastra trybu failover i grup dostępności.
Aby można było użyć konta zarządzanego dla programu SQL Server 2014 lub nowszego, system operacyjny musi być systemem operacyjnym Windows Server 2012 R2 lub nowszym. Serwery z systemem Windows Server 2012 R2 wymagają 2998082 KB zastosowane, aby usługi mogły logować się bez zakłóceń natychmiast po zmianie hasła.
Aby uzyskać więcej informacji, zobacz Konta usług zarządzane przez grupę dla systemu Windows Server 2016 i nowszych. W przypadku poprzednich wersji systemu Windows Server zobacz Konta usług zarządzanych przez grupę.
Uwaga / Notatka
Administrator domeny musi utworzyć konto zarządzane przez administratora domeny, zanim instalator programu SQL Server będzie mógł używać go dla usług programu SQL Server.
-
Konta wirtualne (począwszy od systemu Windows Server 2008 R2 i Windows 7) są zarządzanymi kontami lokalnymi , które udostępniają następujące funkcje w celu uproszczenia administrowania usługą. Konto wirtualne jest zarządzane automatycznie, a konto wirtualne może uzyskiwać dostęp do sieci w środowisku domeny. Jeśli wartość domyślna jest używana dla kont usług podczas instalacji programu SQL Server, używane jest konto wirtualne używające nazwy wystąpienia jako nazwy usługi w formacie
NT SERVICE\<SERVICENAME>. Usługi uruchamiane jako konta wirtualne uzyskują dostęp do zasobów sieciowych przy użyciu poświadczeń konta komputera w formacie<domain_name>\<computer_name>$. Podczas określania konta wirtualnego do uruchomienia programu SQL Server pozostaw hasło puste. Jeśli konto wirtualne nie może zarejestrować głównej nazwy usługi (SPN), zarejestruj nazwę SPN ręcznie. Aby uzyskać więcej informacji na temat ręcznego rejestrowania głównej nazwy usługi, zobacz Ręczne rejestrowanie głównej nazwy usługi.Uwaga / Notatka
Nie można używać kont wirtualnych dla wystąpienia klastra trybu failover programu SQL Server, ponieważ konto wirtualne nie ma tego samego identyfikatora SID w każdym węźle klastra.
W poniższej tabeli wymieniono przykłady nazw kont wirtualnych.
Usługa Nazwa konta wirtualnego Domyślne wystąpienie usługi aparatu bazy danych NT SERVICE\MSSQLSERVERNazwane wystąpienie usługi aparatu bazy danych o nazwie PAYROLLNT SERVICE\MSSQL$PAYROLLUsługa SQL Server Agent w domyślnym wystąpieniu programu SQL Server NT Service\SQLSERVERAGENTUsługa SQL Server Agent w wystąpieniu programu SQL Server o nazwie PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Aby uzyskać więcej informacji na temat zarządzanych kont usług i kont wirtualnych, zobacz sekcję Pojęcia dotyczące konta usługi zarządzanej i konta wirtualnego w przewodniku krok po kroku i często zadawanych pytaniach dotyczących kont usług zarządzanych.
Uwaga / Notatka
Zawsze uruchamiaj usługi programu SQL Server przy użyciu najniższych możliwych praw użytkownika. Jeśli to możliwe, użyj konta MSA, gMSA lub wirtualnego . Jeśli konta zarządzane przez grupę i konta wirtualne nie są możliwe, użyj określonego konta użytkownika lub konta domeny o niskim poziomie uprawnień zamiast konta udostępnionego dla usług programu SQL Server. Użyj oddzielnych kont dla różnych usług programu SQL Server. Nie udzielaj dodatkowych uprawnień do konta usługi programu SQL Server ani grup usług. Uprawnienia są przyznawane za pośrednictwem członkostwa w grupie lub przyznawane bezpośrednio do identyfikatora SID usługi, gdzie jest obsługiwany identyfikator SID usługi.
Automatyczne uruchamianie
Oprócz kont użytkowników każda usługa ma trzy możliwe stany uruchamiania, które użytkownicy mogą kontrolować:
- Niepełnosprawny. Usługa jest zainstalowana, ale obecnie nie jest uruchomiona.
- Podręcznik Usługa jest zainstalowana, ale uruchamia się tylko wtedy, gdy inna usługa lub aplikacja potrzebuje jej funkcji.
- Automatyczny. Usługa jest uruchamiana automatycznie przez system operacyjny.
Stan uruchamiania jest wybierany podczas instalacji. Podczas instalowania nazwanego wystąpienia usługa SQL Server Browser powinna być uruchamiana automatycznie.
Konfigurowanie usług podczas instalacji nienadzorowanej
W poniższej tabeli przedstawiono usługi programu SQL Server, które można skonfigurować podczas instalacji. W przypadku instalacji nienadzorowanych można użyć przełączników w pliku konfiguracji lub w wierszu polecenia.
| Nazwa usługi programu SQL Server | Przełączniki dla instalacji nienadzorowanych 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| Serwer raportów | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Usługi integracyjne | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| Rozproszony kontroler odtwarzania programu SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Klient rozproszonego odtwarzania programu SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| Usługi języka R lub usługi Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| Aparat PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Aby uzyskać więcej informacji i przykładową składnię instalacji nienadzorowanych, zobacz Instalowanie programu SQL Server w wierszu polecenia.
2 Usługa SQL Server Agent jest wyłączona w wystąpieniach programów SQL Server Express i SQL Server Express z usługami Advanced Services.
3 Ustawienie konta programu Launchpad za pośrednictwem samych przełączników nie jest obecnie obsługiwane. Użyj menedżera konfiguracji programu SQL Server, aby zmienić konto i inne ustawienia usługi.
Port zapory
W większości przypadków, gdy aparat bazy danych jest początkowo zainstalowany, można nawiązać połączenie z aparatem bazy danych za pomocą narzędzi, takich jak PROGRAM SQL Server Management Studio zainstalowany na tym samym komputerze co program SQL Server. Instalator programu SQL Server nie otwiera portów w zaporze systemu Windows. Połączenia z innych komputerów mogą nie być możliwe, dopóki aparat bazy danych nie zostanie skonfigurowany do nasłuchiwania na porcie TCP, a odpowiedni port jest otwarty dla połączeń w zaporze systemu Windows. Aby uzyskać więcej informacji, zobacz Konfigurowanie Zapory systemu Windows, aby umożliwić dostęp do programu SQL Server.
Uprawnienia usługi
W tej sekcji opisano uprawnienia skonfigurowane przez instalatora programu SQL Server dla identyfikatorów SID poszczególnych usług programu SQL Server.
- Konfiguracja usługi i kontrola dostępu
- Uprawnienia i prawa systemu Windows
- Uprawnienia systemu plików przyznane identyfikatorom SID programu SQL Server na usługę lub lokalnym grupom systemu Windows programu SQL Server
- Uprawnienia systemu plików przyznane innym kontom lub grupom użytkowników systemu Windows
- Uprawnienia systemu plików związane z nietypowymi lokalizacjami dysków
- Przegląd dodatkowych zagadnień
- Uprawnienia rejestru
- WMI
- nazwanych potoków
Konfiguracja usługi i kontrola dostępu
Program SQL Server umożliwia poszczególnym usługom obsługę poszczególnych usług w celu zapewnienia izolacji usług i ochrony w głębi systemu. Identyfikator SID dla usługi pochodzi z nazwy usługi i jest unikatowy dla tej usługi. Na przykład nazwa identyfikatora SID usługi dla nazwanego wystąpienia usługi Aparatu bazy danych może mieć wartość NT Service\MSSQL$<instance_name>. Izolacja usługi umożliwia dostęp do określonych obiektów bez konieczności uruchamiania konta o wysokim poziomie uprawnień lub osłabienia ochrony zabezpieczeń obiektu. Korzystając z wpisu kontroli dostępu zawierającego identyfikator SID usługi, usługa PROGRAMU SQL Server może ograniczyć dostęp do swoich zasobów.
Uwaga / Notatka
W systemach Windows 7 i Windows Server 2008 R2 (i nowszych) identyfikator SID dla usługi może być kontem wirtualnym używanym przez usługę.
W przypadku większości składników program SQL Server konfiguruje listę ACL dla konta usługi bezpośrednio, więc zmianę konta usługi można wykonać bez konieczności powtarzania procesu listy ACL zasobów.
Podczas instalowania usług SSAS tworzony jest identyfikator SID dla usługi Analysis Services. Zostanie utworzona lokalna grupa systemu Windows o nazwie w formacie SQLServerMSASUser$<computer_name>$<instance_name>. Identyfikator SID NT SERVICE\MSSQLServerOLAPService dla usługi jest przyznawany członkostwu w lokalnej grupie systemu Windows, a lokalna grupa systemu Windows ma odpowiednie uprawnienia w liście ACL. Jeśli konto używane do uruchamiania usługi Analysis Services zostanie zmienione, menedżer konfiguracji programu SQL Server musi zmienić niektóre uprawnienia systemu Windows (takie jak prawo do logowania się jako usługa), ale uprawnienia przypisane do lokalnej grupy systemu Windows są nadal dostępne bez aktualizacji, ponieważ identyfikator SID poszczególnych usług nie uległ zmianie. Ta metoda umożliwia zmianę nazwy usługi Analysis Services podczas uaktualniania.
Podczas instalacji programu SQL Server instalator programu SQL Server tworzy lokalną grupę systemu Windows dla usług SSAS i SQL Server Browser. W przypadku tych usług program SQL Server konfiguruje listę ACL dla lokalnych grup systemu Windows.
W zależności od konfiguracji usługi konto usługi dla identyfikatora SID usługi lub usługi jest dodawane jako członek grupy usług podczas instalacji lub uaktualniania.
Uprawnienia i prawa systemu Windows
Konto przypisane do uruchamiania usługi wymaga uprawnienia Do uruchamiania, zatrzymywania i wstrzymywania dla usługi. Program instalacyjny programu SQL Server automatycznie przypisuje to. Najpierw zainstaluj narzędzia administracji zdalnej serwera (RSAT). Zobacz Narzędzia administracji zdalnej serwera dla systemu Windows 10.
W poniższej tabeli przedstawiono uprawnienia do żądań konfiguracji programu SQL Server dla identyfikatorów SID dla poszczególnych usług lub lokalnych grup systemu Windows używanych przez składniki programu SQL Server.
| Usługa programu SQL Server | Uprawnienia przyznane przez instalatora programu SQL Server |
|---|---|
|
Aparat bazy danych programu SQL Server: (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne: NT SERVICE\MSSQLSERVER. Nazwane wystąpienie: NT Service\MSSQL$<instance_name>.) |
Logowanie jako usługa (SeServiceLogonRight) Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejście sprawdzania przechodzenia (SeChangeNotifyPrivilege) Dostosowywanie przydziałów pamięci dla procesu (SeIncreaseQuotaPrivilege) Uprawnienie do uruchamiania składnika zapisywania SQL Uprawnienie do odczytywania usługi dziennika zdarzeń Uprawnienie do odczytywania usługi zdalnego wywoływania procedur |
|
SQL Server Agent:1 (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne: NT Service\SQLSERVERAGENT. Nazwane wystąpienie: NT Service\SQLAGENT$<instance_name>.) |
Logowanie jako usługa (SeServiceLogonRight) Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejście sprawdzania przechodzenia (SeChangeNotifyPrivilege) Dostosowywanie przydziałów pamięci dla procesu (SeIncreaseQuotaPrivilege) |
|
SSAS: (Wszystkie prawa są przyznawane lokalnej grupie systemu Windows. Wystąpienie domyślne: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Nazwane wystąpienie: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot dla wystąpienia programu SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Logowanie jako usługa (SeServiceLogonRight) Tylko tabelaryczny: Zwiększanie zestawu roboczego procesu (SeIncreaseWorkingSetPrivilege) Dostosowywanie przydziałów pamięci dla procesu (SeIncreaseQuotaPrivilege) Zablokuj strony w pamięci (SeLockMemoryPrivilege) — jest to konieczne tylko wtedy, gdy stronicowanie jest całkowicie wyłączone. Tylko w przypadku instalacji klastra trybu failover: Zwiększ priorytet planowania (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne: NT SERVICE\ReportServer. Nazwane wystąpienie: NT SERVICE\ReportServer$<instance_name>.) |
Logowanie jako usługa (SeServiceLogonRight) |
|
SSIS: (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne i nazwane wystąpienie: NT SERVICE\MsDtsServer150. Usługi Integration Services nie mają oddzielnego procesu dla nazwanego wystąpienia). |
Logowanie jako usługa (SeServiceLogonRight) Uprawnienie do zapisywania w dzienniku zdarzeń aplikacji. Obejście sprawdzania przechodzenia (SeChangeNotifyPrivilege) Personifikuj klienta po uwierzytelnieniu (SeImpersonatePrivilege) |
|
Wyszukiwanie pełnotekstowe: (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne: NT Service\MSSQLFDLauncher. Nazwane wystąpienie: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Logowanie jako usługa (SeServiceLogonRight) Dostosowywanie przydziałów pamięci dla procesu (SeIncreaseQuotaPrivilege) Obejście sprawdzania przechodzenia (SeChangeNotifyPrivilege) |
|
Przeglądarka programu SQL Server: (Wszystkie prawa są przyznawane lokalnej grupie systemu Windows. Wystąpienie domyślne lub nazwane: SQLServer2005SQLBrowserUser$<computer_name>. Przeglądarka SQL Server nie ma oddzielnego procesu dla nazwanego wystąpienia). |
Logowanie jako usługa (SeServiceLogonRight) |
|
Składnik zapisywania usługi VSS programu SQL Server: (Wszystkie prawa są przyznawane identyfikatorowi SID dla poszczególnych usług. Wystąpienie domyślne lub nazwane: NT Service\SQLWriter. Składnik zapisywania usługi VSS programu SQL Server nie ma oddzielnego procesu dla nazwanego wystąpienia). |
Usługa SQLWriter jest uruchamiana na koncie SYSTEM LOKALNY, które ma wszystkie wymagane uprawnienia. Instalator programu SQL Server nie sprawdza ani nie udziela uprawnień dla tej usługi. |
| Rozproszony kontroler odtwarzania programu SQL Server: | Logowanie jako usługa (SeServiceLogonRight) |
| Klient rozproszonego odtwarzania programu SQL Server: | Logowanie jako usługa (SeServiceLogonRight) |
| Aparat PolyBase i usługa DMS: | Logowanie jako usługa (SeServiceLogonRight) |
| Launchpad: |
Logowanie jako usługa (SeServiceLogonRight) Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejście sprawdzania przechodzenia (SeChangeNotifyPrivilege) Dostosowywanie przydziałów pamięci dla procesu (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) i SQL Server 2017 (14.x)) | domyślnie nie ma uprawnienia Zezwalaj na logowanie lokalne |
| Usługi Machine Learning Services: "Wszystkie pakiety aplikacji" [AppContainer] (SQL Server 2019 (15.x)) | Uprawnienia do odczytu i wykonywania w katalogach programu SQL Server "Binn", R_Services i PYTHON_Services |
1 Usługa SQL Server Agent jest wyłączona w wystąpieniach programu SQL Server Express.
Uprawnienia systemu plików przyznane identyfikatorom SID programu SQL Server na usługę lub lokalnym grupom systemu Windows
Konta usług programu SQL Server muszą mieć dostęp do zasobów. Listy kontroli dostępu są ustawiane dla identyfikatora SID dla poszczególnych usług lub lokalnej grupy systemu Windows.
Ważne
W przypadku instalacji klastra trybu failover zasoby na dyskach udostępnionych muszą być ustawione na listę ACL dla konta lokalnego.
W poniższej tabeli przedstawiono listy ACL ustawione przez instalatora programu SQL Server:
| Konto usługi dla | Pliki i foldery | Dostęp |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Pełna kontrola |
| Instid\MSSQL\binn | Odczyt, wykonywanie | |
| Instid\MSSQL\data | Pełna kontrola | |
| Instid\MSSQL\FTData | Pełna kontrola | |
| Instid\MSSQL\Install | Odczyt, wykonywanie | |
| Instid\MSSQL\Log | Pełna kontrola | |
| Instid\MSSQL\Repldata | Pełna kontrola | |
| 150\shared | Odczyt, wykonywanie | |
| Instid\MSSQL\Template Data (tylko sql Server Express) | Przeczytaj | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Pełna kontrola |
| Instid\MSSQL\Log | Odczyt, zapis, usuwanie, wykonywanie | |
| 150\com | Odczyt, wykonywanie | |
| 150\shared | Odczyt, wykonywanie | |
| 150\shared\Errordumps | Odczyt, zapis | |
| ServerName\EventLog | Pełna kontrola | |
| FTS | Instid\MSSQL\FTData | Pełna kontrola |
| Instid\MSSQL\FTRef | Odczyt, wykonywanie | |
| 150\shared | Odczyt, wykonywanie | |
| 150\shared\Errordumps | Odczyt, zapis | |
| Instid\MSSQL\Install | Odczyt, wykonywanie | |
| Instid\MSSQL\jobs | Odczyt, zapis | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Pełna kontrola |
| Instid\OLAP | Odczyt, wykonywanie | |
| Instid\Olap\Data | Pełna kontrola | |
| Instid\Olap\Log | Odczyt, zapis | |
| Instid\OLAP\Backup | Odczyt, zapis | |
| Instid\OLAP\Temp | Odczyt, zapis | |
| 150\shared\Errordumps | Odczyt, zapis | |
| Serwer raportów | Instid\Reporting Services\Log Files | Odczyt, zapis, usuwanie |
| Instid\Reporting Services\ReportServer | Odczyt, wykonywanie | |
| Instid\Reporting Services\ReportServer\global.asax | Pełna kontrola | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Przeczytaj | |
| Instid\Reporting Services\RSTempfiles | Odczyt, zapis, wykonywanie, usuwanie | |
| Instid\Reporting Services\RSWebApp | Odczyt, wykonywanie | |
| 150\shared | Odczyt, wykonywanie | |
| 150\shared\Errordumps | Odczyt, zapis | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Przeczytaj |
| 150\dts\binn | Odczyt, wykonywanie | |
| 150\shared | Odczyt, wykonywanie | |
| 150\shared\Errordumps | Odczyt, zapis | |
| Przeglądarka programu SQL Server | 150\shared\ASConfig | Przeczytaj |
| 150\shared | Odczyt, wykonywanie | |
| 150\shared\Errordumps | Odczyt, zapis | |
| SQLWriter | N/A (Działa jako system lokalny) | |
| Użytkownik | Instid\MSSQL\binn | Odczyt, wykonywanie |
| Instid\Reporting Services\ReportServer | Odczytywanie, wykonywanie, zawartość folderu listy | |
| Instid\Reporting Services\ReportServer\global.asax | Przeczytaj | |
| Instid\Reporting Services\RSWebApp | Odczytywanie, wykonywanie, zawartość folderu listy | |
| 150\dts | Odczyt, wykonywanie | |
| 150\tools | Odczyt, wykonywanie | |
| 100\tools | Odczyt, wykonywanie | |
| 90\tools | Odczyt, wykonywanie | |
| 80\tools | Odczyt, wykonywanie | |
| 150\sdk | Przeczytaj | |
| Microsoft SQL Server\150\Setup Bootstrap | Odczyt, wykonywanie | |
| Rozproszony kontroler odtwarzania programu SQL Server | <ToolsDir>\DReplayController\Log\ (pusty katalog) | Odczytywanie, wykonywanie, zawartość folderu listy |
| <ToolsDir>\DReplayController\DReplayController.exe | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayController\rźródła|Odczytywanie, wykonywanie, zawartość folderu listy | ||
| <ToolsDir>\DReplayController\{all dlls} | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayController\DReplayController.config | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayController\IRDefinition.xml | Odczytywanie, wykonywanie, zawartość folderu listy | |
| Klient rozproszonego odtwarzania programu SQL Server | <ToolsDir>\DReplayClient\Log|Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayClient\DReplayClient.exe | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayClient\rźródła|Odczytywanie, wykonywanie, zawartość folderu listy | ||
| <ToolsDir>\DReplayClient\ (wszystkie biblioteki dll) | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayClient\DReplayClient.config | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Odczytywanie, wykonywanie, zawartość folderu listy | |
| <ToolsDir>\DReplayClient\IRDefinition.xml | Odczytywanie, wykonywanie, zawartość folderu listy | |
| Launchpad | %binn | Odczyt, wykonywanie |
| ExtensiblilityData | Pełna kontrola | |
| Log\ExtensibilityLog | Pełna kontrola |
1 Usługa SQL Server Agent jest wyłączona w wystąpieniach programów SQL Server Express i SQL Server Express z usługami Advanced Services.
Gdy pliki bazy danych są przechowywane w lokalizacji zdefiniowanej przez użytkownika, należy udzielić dostępu identyfikatora SID dla usługi do tej lokalizacji. Aby uzyskać więcej informacji na temat udzielania uprawnień systemu plików do identyfikatora SID dla poszczególnych usług, zobacz Konfigurowanie uprawnień systemu plików na potrzeby dostępu aparatu bazy danych.
Uprawnienia systemu plików przyznane innym kontom lub grupom użytkowników systemu Windows
Niektóre uprawnienia kontroli dostępu mogą być konieczne dla kont wbudowanych lub innych kont usług programu SQL Server. W poniższej tabeli wymieniono dodatkowe listy ACL ustawione przez instalatora programu SQL Server.
| Żądanie składnika | Konto | Zasób | Uprawnienia |
|---|---|---|---|
| MSSQLServer | Użytkownicy dziennika wydajności | Instid\MSSQL\binn | Lista z zawartością folderów |
| Użytkownicy monitora wydajności | Instid\MSSQL\binn | Lista z zawartością folderów | |
| Użytkownicy dziennika wydajności, użytkownicy monitora wydajności | \WINNT\system32\sqlctr150.dll | Odczyt, wykonywanie | |
| Tylko administrator |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Pełna kontrola | |
| Administratorzy, system | \tools\binn\schemas\sqlserver\2004\07\showplan | Pełna kontrola | |
| Użytkownicy | \tools\binn\schemas\sqlserver\2004\07\showplan | Odczyt, wykonywanie | |
| Usługi raportowania | Konto usługi systemu Windows serwera raportów | <install>\Reporting Services\LogFiles | USUŃ KontrolaOdczytu SYNCHRONIZOWAĆ FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA DOŁĄCZ_DANE FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
| Konto usługi systemu Windows serwera raportów | <install>\Reporting Services\ReportServer | Przeczytaj | |
| Konto usługi systemu Windows serwera raportów | <install>\Reporting Services\ReportServer\global.asax | Pełny | |
| Konto usługi systemu Windows serwera raportów | <install>\Reporting Services\RSWebApp | Odczyt, wykonywanie | |
| Wszyscy | <install>\Reporting Services\ReportServer\global.asax | KontrolaOdczytu FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
| Konto usług Systemu Windows ReportServer | <instalowanie>\Reporting Services\ReportServer\rsreportserver.config | USUŃ KontrolaOdczytu SYNCHRONIZOWAĆ FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA DOŁĄCZ_DANE FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
| Wszyscy | Klucze serwera raportów (gałąź instid) | Wartość zapytania Wyliczanie podklucza Powiadom Kontrolka odczytu |
|
| Użytkownik usług terminalowych | Klucze serwera raportów (gałąź instid) | Wartość zapytania Ustaw wartość Utwórz podklucz Wyliczanie podklucza Powiadom Usuń Kontrolka odczytu |
|
| Zaawansowani użytkownicy | Klucze serwera raportów (gałąź instid) | Wartość zapytania Ustaw wartość Utwórz podklucz Wyliczanie podkluczy Powiadom Usuń Kontrolka odczytu |
1 Jest to przestrzeń nazw dostawcy WMI.
Uprawnienia systemu plików związane z nietypowymi lokalizacjami dysków
Domyślnym dyskiem lokalizacji instalacji jest dysk systemowy, zwykle dysk C. W tej sekcji opisano dodatkowe zagadnienia dotyczące instalacji bazy danych tempdb lub baz danych użytkowników w nietypowych lokalizacjach.
Dysk inny niż domyślny
Po zainstalowaniu na dysku lokalnym, który nie jest dyskiem domyślnym, identyfikator SID dla usługi musi mieć dostęp do lokalizacji pliku. Instalator programu SQL Server aprowizuje wymagany dostęp.
Udział sieciowy
Gdy bazy danych są instalowane w udziale sieciowym, konto usługi musi mieć dostęp do lokalizacji plików użytkownika i tempdb baz danych. Instalator programu SQL Server nie może aprowizować dostępu do udziału sieciowego. Użytkownik musi aprowizować dostęp do lokalizacji bazy danych tempdb dla konta usługi przed uruchomieniem instalacji. Użytkownik musi aprowizować dostęp do lokalizacji bazy danych użytkownika przed utworzeniem bazy danych.
Uwaga / Notatka
Nie można uwierzytelnić kont wirtualnych w lokalizacji zdalnej. Wszystkie konta wirtualne używają uprawnień konta maszyny. Skonfiguruj konto maszyny w formacie <domain_name>\<computer_name>$.
Zapoznaj się z dodatkowymi zagadnieniami
W poniższej tabeli przedstawiono uprawnienia wymagane do obsługi usług programu SQL Server w celu zapewnienia dodatkowych funkcji.
| Usługa/aplikacja | Funkcjonalność | Wymagane uprawnienie |
|---|---|---|
| SQL Server (MSSQLSERVER) | Zapisz w miejscu poczty przy użyciu xp_sendmail. | Uprawnienia do zapisu w sieci. |
| SQL Server (MSSQLSERVER) | Uruchom xp_cmdshell dla użytkownika innego niż administrator programu SQL Server. | Działanie w ramach systemu operacyjnego i zastępowanie tokenu na poziomie procesu. |
| SQL Server Agent (MSSQLSERVER) | Użyj funkcji automatycznego ponownego uruchamiania. | Musi być członkiem lokalnej grupy Administratorzy. |
| Doradca dostrajania aparatu bazy danych | Bazy danych programu Tunes w celu uzyskania optymalnej wydajności zapytań. | W pierwszym użyciu użytkownik, który ma poświadczenia administracyjne systemu, musi zainicjować aplikację. Po zainicjowaniu użytkownicy dbo mogą używać doradcy dostrajania aparatu bazy danych, aby dostroić tylko te tabele, które są ich właścicielami. Aby uzyskać więcej informacji, zobacz Uruchamianie i używanie doradcy dostrajania aparatu bazy danych. |
Ważne
Przed uaktualnieniem programu SQL Server włącz program SQL Server Agent i sprawdź wymaganą konfigurację domyślną: czy konto usługi SQL Server Agent jest członkiem stałej roli serwera sysadmin programu SQL Server.
Uprawnienia rejestru
Gałąź rejestru jest tworzona w obszarze HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> dla składników obsługujących wystąpienia. Przykład:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Rejestr obsługuje również mapowanie identyfikatora wystąpienia na nazwę wystąpienia. Mapowanie identyfikatora wystąpienia na nazwę wystąpienia jest zachowywane w następujący sposób:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
Instrumentacja zarządzania Windows (WMI) musi być w stanie nawiązać połączenie z aparatem bazy danych. Aby to obsługiwać, identyfikator SID dla usługi dostawcy WMI systemu Windows (NT SERVICE\winmgmt) jest aprowizowany w a aparatze bazy danych.
Dostawca usługi SQL WMI wymaga następujących minimalnych uprawnień:
Członkostwo w db_ddladmin lub db_owner stałych ról bazy danych w
msdbbazie danych.UTWÓRZ uprawnienie POWIADOMIENIA ZDARZENIA DDL na serwerze.
UPRAWNIENIE CREATE TRACE EVENT NOTIFICATION w aucie bazy danych.
WYŚWIETL DOWOLNE UPRAWNIENIE NA poziomie serwera BAZY DANYCH.
Instalator programu SQL Server tworzy przestrzeń nazw usługi SQL WMI i przyznaje uprawnienie do odczytu do identyfikatora SID usługi SQL Server Agent.
Nazwane kanały
We wszystkich instalacjach instalator programu SQL Server zapewnia dostęp do aparatu bazy danych programu SQL Server za pośrednictwem protokołu pamięci udostępnionej, który jest lokalnym nazwanym potokiem.
Dostarczanie
W tej sekcji opisano sposób aprowizowania kont wewnątrz różnych składników programu SQL Server.
Aprowizowanie aparatu bazy danych
- Podmioty zabezpieczeń systemu Windows
- Konto sa
- Logowanie i uprawnienia identyfikatora SID dla usługi programu SQL Server
- Logowanie i uprawnienia agenta programu SQL Server
- Wystąpienie i uprawnienia klastra trybu failover USŁUGI HADRON i SQL
- Składnik zapisywania SQL i uprawnienia
- Sql WMI i uprawnienia
Aprowizowanie aparatu bazy danych
Następujące konta są dodawane jako identyfikatory logowania w administracyjnych bazach danych programu SQL Server.
Podmioty zabezpieczeń systemu Windows
Podczas instalacji instalator programu SQL Server wymaga, aby co najmniej jedno konto użytkownika było nazwane jako członek stałej roli serwera sysadmin .
Konto sa
Konto sa jest zawsze obecne jako identyfikator logowania aparatu bazy danych i jest członkiem stałej roli serwera sysadmin . Po zainstalowaniu aparatu bazy danych przy użyciu tylko uwierzytelniania systemu Windows (gdy nie jest włączone uwierzytelnianie programu SQL Server), identyfikator logowania sa jest nadal obecny, ale jest wyłączony, a hasło jest złożone i losowe. Aby uzyskać informacje na temat włączania konta sa , zobacz Zmienianie trybu uwierzytelniania serwera.
Logowanie i uprawnienia identyfikatora SID dla usługi programu SQL Server
Identyfikator SID dla usługi (czasami nazywany również jednostką zabezpieczeń usługi (SID) usługi SQL Server jest aprowizowany jako identyfikator logowania aparatu bazy danych. Identyfikator LOGOWANIA identyfikatora SID dla usługi jest członkiem stałej roli serwera sysadmin . Aby uzyskać informacje na temat identyfikatora SID dla usługi, zobacz Używanie identyfikatorów SID usługi do udzielania uprawnień do usług w programie SQL Server.
Logowanie i uprawnienia agenta programu SQL Server
Identyfikator SID dla usługi sql Server Agent jest aprowizowany jako identyfikator logowania aparatu bazy danych. Identyfikator LOGOWANIA identyfikatora SID dla usługi jest członkiem stałej roli serwera sysadmin .
Zawsze włączone grupy dostępności i wystąpienie klastra trybu failover SQL oraz uprawnienia
Podczas instalowania aparatu bazy danych jako zawsze włączonych grup dostępności lub wystąpienia klastra trybu failover SQL (SQL FCI) system lokalny jest aprowizowany w a aparatu bazy danych. Identyfikator logowania SYSTEMU LOKALNEgo ma uprawnienie ALTER ANY AVAILABILITY GROUP (dla zawsze włączonych grup dostępności) i uprawnienie WYŚWIETL STAN SERWERA (dla wystąpienia klastra trybu failover SQL).
Składnik zapisywania SQL i uprawnienia
Identyfikator SID dla usługi składnika zapisywania usługi VSS programu SQL Server jest aprowizowany jako identyfikator logowania aparatu bazy danych. Identyfikator LOGOWANIA identyfikatora SID dla usługi jest członkiem stałej roli serwera sysadmin .
Sql WMI i uprawnienia
Konfigurowanie programu SQL Server aprowizuje NT SERVICE\Winmgmt konto jako identyfikator logowania aparatu bazy danych i dodaje je do stałej roli serwera sysadmin .
Aprowizowanie usług SSRS
Konto określone podczas instalacji jest aprowizowane jako element członkowski roli bazy danych RSExecRole . Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi serwera raportów (SSRS Configuration Manager).
Aprowizowanie usług SSAS
Wymagania dotyczące konta usługi SSAS różnią się w zależności od sposobu wdrażania serwera. Jeśli instalujesz dodatek Power Pivot dla programu SharePoint, instalator programu SQL Server wymaga skonfigurowania usługi Analysis Services do uruchamiania na koncie domeny. Konta domeny są wymagane do obsługi zarządzanego obiektu konta wbudowanego w program SharePoint. Z tego powodu instalator programu SQL Server nie udostępnia domyślnego konta usługi, takiego jak konto wirtualne, dla instalacji dodatku Power Pivot dla programu SharePoint. Aby uzyskać więcej informacji na temat aprowizacji dodatku Power Pivot dla programu SharePoint, zobacz Konfigurowanie kont usług dodatku Power Pivot.
W przypadku wszystkich innych autonomicznych instalacji usług SSAS można aprowizować usługę do uruchamiania w ramach konta domeny, wbudowanego konta systemowego, konta zarządzanego lub konta wirtualnego. Aby uzyskać więcej informacji na temat aprowizacji kont, zobacz Konfigurowanie kont usług (Analysis Services).
W przypadku instalacji klastrowanych należy określić konto domeny lub wbudowane konto systemowe. Ani konta zarządzane, ani konta wirtualne nie są obsługiwane w przypadku klastrów trybu failover usług SSAS.
Wszystkie instalacje usług SSAS wymagają określenia administratora systemu wystąpienia usług Analysis Services. Uprawnienia administratora są aprowizowane w roli serwera usług Analysis Services.
Aprowizowanie usług SSRS
Konto określone podczas instalacji jest aprowizowane w a aparatze bazy danych jako członek roli bazy danych RSExecRole . Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi serwera raportów (SSRS Configuration Manager).
Uaktualnianie z poprzednich wersji
W tej sekcji opisano zmiany wprowadzone podczas uaktualniania z poprzedniej wersji programu SQL Server.
Program SQL Server 2019 (15.x) wymaga obsługiwanego systemu operacyjnego. Każda poprzednia wersja programu SQL Server uruchomiona w niższej wersji systemu operacyjnego musi mieć uaktualniony system operacyjny przed uaktualnieniem programu SQL Server.
Podczas uaktualniania programu SQL Server 2005 (9.x) do programu SQL Server 2019 (15.x) instalator konfiguruje wystąpienie programu SQL Server w następujący sposób:
- Aparat bazy danych działa z kontekstem zabezpieczeń identyfikatora SID dla usługi. Identyfikator SID dla usługi ma dostęp do folderów plików wystąpienia programu SQL Server (na przykład DANYCH) i kluczy rejestru programu SQL Server.
- Identyfikator SID dla usługi aparatu bazy danych jest aprowizowany w aplice bazy danych jako członek stałej roli serwera sysadmin .
- Identyfikatory SID dla usługi są dodawane do lokalnych grup systemu Windows programu SQL Server, chyba że program SQL Server jest wystąpieniem klastra trybu failover.
- Zasoby programu SQL Server pozostają aprowidowane w lokalnych grupach systemu Windows programu SQL Server.
- Nazwa lokalnej grupy systemu Windows dla usług została zmieniona z
SQLServer2005MSSQLUser$<computer_name>$<instance_name>naSQLServerMSSQLUser$<computer_name>$<instance_name>. Lokalizacje plików dla migrowanych baz danych mają wpisy kontroli dostępu (ACE) dla lokalnych grup systemu Windows. Lokalizacje plików dla nowych baz danych mają identyfikatory ACL dla identyfikatora SID dla usługi.
Podczas uaktualniania z programu SQL Server 2008 (10.0.x) instalator programu SQL Server zachowuje identyfikatory ACL programu SQL Server 2008 (10.0.x) dla identyfikatora SID usługi.
W przypadku wystąpienia klastra trybu failover programu SQL Server aCE dla konta domeny skonfigurowanego dla usługi są zachowywane.
Dodatek
Ta sekcja zawiera dodatkowe informacje o usługach programu SQL Server.
- Opis kont usług
- Identyfikowanie usług obsługujących wystąpienia i nieświadomych wystąpień
- Zlokalizowane nazwy usług
Opis kont usług
Konto usługi jest kontem używanym do uruchamiania usługi systemu Windows, takiej jak aparat bazy danych programu SQL Server. W przypadku uruchamiania programu SQL Server nie jest wymagane dodanie konta usługi jako identyfikatora logowania do programu SQL Server oprócz identyfikatora SID usługi, który jest zawsze obecny i członek stałej roli serwera sysamin .
Konta dostępne w dowolnym systemie operacyjnym
Oprócz nowych kont MSA, gMSA i kont wirtualnych opisanych wcześniej można użyć następujących kont.
Jeśli usługa musi wchodzić w interakcje z usługami sieciowymi, uzyskiwać dostęp do zasobów domeny, takich jak udziały plików lub używa połączonych połączeń serwera z innymi komputerami z uruchomionym programem SQL Server, możesz użyć konta domeny z minimalnymi uprawnieniami. Wiele działań serwer-serwer można wykonywać tylko przy użyciu konta użytkownika domeny. To konto powinno zostać wstępnie utworzone przez administrację domeny w środowisku.
Jeśli skonfigurujesz program SQL Server do korzystania z konta domeny, możesz odizolować uprawnienia usługi, ale musi ręcznie zarządzać hasłami lub utworzyć niestandardowe rozwiązanie do zarządzania tymi hasłami. Wiele aplikacji serwerowych używa tej strategii w celu zwiększenia bezpieczeństwa, ale ta strategia wymaga dodatkowej administracji i złożoności. W tych wdrożeniach administratorzy usług poświęcają dużo czasu na zadania konserwacji, takie jak zarządzanie hasłami usługi i nazwami główną usługi (SPN), które są wymagane do uwierzytelniania Kerberos. Ponadto te zadania konserwacji mogą zakłócać działanie usługi.
Jeśli komputer nie jest częścią domeny, zalecane jest konto użytkownika lokalnego bez uprawnień administratora systemu Windows.
Konto usługi lokalnej to wbudowane konto, które ma taki sam poziom dostępu do zasobów i obiektów, jak członkowie grupy Użytkownicy. Ten ograniczony dostęp pomaga chronić system w przypadku naruszenia zabezpieczeń poszczególnych usług lub procesów. Usługi, które działają jako konto usługi lokalnej, uzyskują dostęp do zasobów sieciowych jako sesji o wartości null bez poświadczeń.
Konto usługi lokalnej nie jest obsługiwane w przypadku usług SQL Server ani SQL Server Agent. Usługa lokalna nie jest obsługiwana jako konto, na którym są uruchomione te usługi, ponieważ jest usługą udostępnioną, a wszystkie inne usługi działające w ramach usługi lokalnej będą miały dostęp administratora systemu do programu SQL Server.
Rzeczywista nazwa konta to NT AUTHORITY\LOCAL SERVICE.
Konto usługi sieciowej to wbudowane konto, które ma większy dostęp do zasobów i obiektów niż członkowie grupy Użytkownicy. Usługi uruchamiane jako konto usługi sieciowej uzyskują dostęp do zasobów sieciowych przy użyciu poświadczeń konta komputera w formacie <domain_name>\<computer_name>$. Rzeczywista nazwa konta to NT AUTHORITY\NETWORK SERVICE.
System lokalny to bardzo uprzywilejowane wbudowane konto. Ma on szerokie uprawnienia w systemie lokalnym i działa jako komputer w sieci. Rzeczywista nazwa konta to NT AUTHORITY\SYSTEM.
Identyfikowanie usług obsługujących wystąpienia i nieznajdanych wystąpień
Usługi obsługujące wystąpienia są skojarzone z konkretnym wystąpieniem programu SQL Server i mają własne hive rejestru. Można zainstalować wiele kopii usług obsługujących wystąpienia, uruchamiając instalatora programu SQL Server dla każdego składnika lub usługi. Usługi nieświadome wystąpienia są współużytkowane przez wszystkie zainstalowane wystąpienia programu SQL Server. Nie są one skojarzone z konkretnym wystąpieniem, są instalowane tylko raz i nie można ich zainstalować obok siebie.
Usługi obsługujące wystąpienia w programie SQL Server obejmują następujące elementy:
SQL Server
SQL Server Agent
Należy pamiętać, że usługa SQL Server Agent jest wyłączona w wystąpieniach programów SQL Server Express i SQL Server Express z usługami Advanced Services.
-
Usługi analizy
Usługi Analysis Services w trybie zintegrowanym programu SharePoint są uruchamiane jako "Power Pivot" jako pojedyncze wystąpienie nazwane. Nazwa wystąpienia jest stała. Nie można określić innej nazwy. Na każdym serwerze fizycznym można zainstalować tylko jedno wystąpienie usług Analysis Services uruchomione jako "Power Pivot".
-
Usługi raportowania
Wyszukiwanie pełnotekstowe
Usługi nieznajdące wystąpienia w programie SQL Server obejmują następujące elementy:
- Usługi integracyjne
- Przeglądarka programu SQL Server
- Składnik zapisywania SQL
Zlokalizowane nazwy usług
W poniższej tabeli przedstawiono nazwy usług wyświetlane przez zlokalizowane wersje systemu Windows.
| Język | Nazwa usługi lokalnej | Nazwa usługi sieciowej | Nazwa systemu lokalnego | Nazwa grupy administracyjnej |
|---|---|---|---|---|
| angielski Chiński (uproszczony) Chiński tradycyjny Koreański Japoński |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Niemiecki | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Francuski | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Włoski | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Hiszpański | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Rosyjski | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |