Настройка учетных записей службы Windows и разрешений
Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этом разделе описана конфигурация по умолчанию служб данного выпуска SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server и после нее.
Содержимое
Этот раздел состоит из следующих подразделов:
Службы, устанавливаемые с SQL Server
В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.
Службы SQL Server Database Services — служба для реляционного ядра СУБД SQL Server. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
Агент SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию. Служба агента SQL Server доступна, но отключена для экземпляров SQL Server Express. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Служба Analysis Services — обеспечивает аналитическую обработку в сети (OLAP) и интеллектуальный анализ данных для приложений бизнес-аналитики. Путь к исполняемому файлу: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Reporting Services — предназначены для выполнения, создания, планирования, доставки отчетов и управления ими. Путь к исполняемому файлу: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services — обеспечивает поддержку управления для хранения и выполнения пакета Integration Services. Путь к исполняемому файлу — <MSSQLPATH>\120\DTS\Binn\MsDtsSrvr.exe
Обозреватель SQL Server — служба разрешения имен, которая предоставляет клиентским компьютерам сведения о подключении к SQL Server. Путь к исполняемому файлу: c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
Полнотекстовый поиск — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.
Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS).
Контроллер распределенного воспроизведения SQL Server — обеспечивает согласование воспроизведения трассировки по нескольким клиентским компьютерам распределенного воспроизведения.
Клиент распределенного воспроизведения SQL Server — один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре ядра СУБД SQL Server.
Свойства и настройка служб
В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server, могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Для запуска и выполнения каждая служба SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.
В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server, значения, используемые при установке SQL Server по умолчанию, понятие удостоверений безопасности служб, параметры запуска и настройка брандмауэра.
Учетные записи служб по умолчанию
В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.
Изолированный сервер или контроллер домена
| Компонент | Windows Server 2008 | Windows 7 и Windows Server 2008 R2 и более поздних версий |
|---|---|---|
| Компонент Database Engine | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Агент SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Службы SSAS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Integration Services | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Службы SSRS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Контроллер распределенного воспроизведения SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Клиент распределенного воспроизведения SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись* |
| Средство запуска FD (полнотекстовый поиск) | ЛОКАЛЬНАЯ СЛУЖБА | Виртуальная учетная запись |
| Обозреватель SQL Server | ЛОКАЛЬНАЯ СЛУЖБА | ЛОКАЛЬНАЯ СЛУЖБА |
| Модуль записи VSS SQL Server | ЛОКАЛЬНАЯ СИСТЕМА | ЛОКАЛЬНАЯ СИСТЕМА |
*Если требуются ресурсы, внешние для SQL Server компьютера, корпорация Майкрософт рекомендует использовать управляемую учетную запись службы (MSA), настроенную с минимальными необходимыми привилегиями.
Экземпляр отказоустойчивого кластера SQL Server
| Компонент | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Компонент Database Engine | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
| Агент SQL Server | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
| Службы SSAS | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
| Integration Services | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись |
| Службы SSRS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись |
| Средство запуска FD (полнотекстовый поиск) | ЛОКАЛЬНАЯ СЛУЖБА | Виртуальная учетная запись |
| Обозреватель SQL Server | ЛОКАЛЬНАЯ СЛУЖБА | ЛОКАЛЬНАЯ СЛУЖБА |
| Модуль записи VSS SQL Server | ЛОКАЛЬНАЯ СИСТЕМА | ЛОКАЛЬНАЯ СИСТЕМА |
Изменение свойств учетной записи
Важно!
- Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой ядром СУБД SQL Server или службами агента SQL Server, или для изменения пароля учетной записи. В дополнение к изменению имени учетной записи, диспетчер конфигурации SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для ядра СУБД. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.
- Для экземпляров служб Analysis Services, развертываемых в ферме SharePoint, всегда используйте центр администрирования SharePoint, чтобы изменить учетные записи сервера для приложений службы PowerPivot и служб Analysis Services. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.
- Чтобы изменить параметры служб Reporting Services, используйте средство настройки служб Reporting Services.
Новые типы учетных записей, доступные в Windows 7 и Windows Server 2008 R2
Windows 7 и Windows Server 2008 R2 имеют два новых типа учетных записей службы: управляемые учетные записи служб (MSA) и виртуальные учетные записи. Управляемые учетные записи служб и виртуальные учетные записи предназначены для предоставления важных приложений, таких как SQL Server с изоляцией собственных учетных записей, устраняя при этом необходимость администратора вручную администрировать имя субъекта-службы (SPN) и учетные данные для этих учетных записей. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.
Учетные записи управляемых служб
Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. Она назначается отдельному компьютеру-участнику для использования при запуске службы. Управление паролем осуществляет автоматически контроллер домена. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. MSA имеет возможность регистрировать имя участника-службы (SPN) с помощью Active Directory. MSA присваивается имя с суффиксом $ , например DOMAIN\ACCOUNTNAME$ . При указании MSA следует оставить поле пароля пустым. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.
Примечание
Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.
Групповые управляемые учетные записи служб
Групповая управляемая учетная запись службы — это управляемая учетная запись службы для нескольких серверов. Windows управляет такой учетной записью для служб, работающих на группе серверов. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы. Вы можете настроить SQL Server службы для использования групповой управляемой учетной записи службы. Начиная с SQL Server 2014 SQL Server поддерживает групповые управляемые учетные записи служб для автономных экземпляров.
Для работы с групповыми управляемыми учетными записями служб в SQL Server 2014 и более поздних версий требуется операционная система Windows Server 2012 R2 или более поздней версии. Серверам с Windows Server 2012 R2 должно быть выделено 2998082 КБ , чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы.
Дополнительные сведения см. в статье Групповые управляемые учетные записи служб.
Примечание
Администратор домена должен создать учетную запись групповой управляемой службы в Active Directory, прежде чем SQL Server программа установки сможет использовать ее для SQL Server служб.
-
Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. Если установка SQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем службы, соответствующим имени экземпляра, в формате NT SERVICE\<ИМЯ_СЛУЖБЫ>. Службы, запускаемые с виртуальными учетными записями, осуществляют доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате имя_домена<>\<имя_компьютера>$. При указании виртуальной учетной записи для запуска SQL Server оставьте поле пароля пустым. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos.
Примечание
Виртуальные учетные записи нельзя использовать для SQL Server экземпляра отказоустойчивого кластера, так как виртуальная учетная запись не будет иметь одинаковый идентификатор безопасности на каждом узле кластера.
В следующей таблице перечислены примеры имен виртуальных учетных записей.
Служба Имя виртуальной учетной записи Экземпляр по умолчанию для службы ядра СУБД NT SERVICE\MSSQLSERVER Именованный экземпляр службы ядра СУБД с именем PAYROLL NT SERVICE\MSSQL$PAYROLL Служба агента SQL Server на экземпляре SQL Server по умолчанию NT SERVICE\SQLSERVERAGENT Служба агента SQL Server на экземпляре SQL Server с именем PAYROLL NT SERVICE\SQLAGENT$PAYROLL
Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записейПошагового руководства по учетным записям служб , а также в документе Вопросы и ответы по управляемым учетным записям служб.
Примечание по безопасности: Всегда запускайте SQL Server службы с минимальными правами пользователя. По возможности используйте управляемую учетную запись службы или виртуальную учетную запись. Если учетные записи MSA и виртуальные учетные записи недоступны, используйте определенную учетную запись пользователя с низким уровнем привилегий или учетную запись домена вместо общей учетной записи для SQL Server служб. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам служб. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.
Автоматический запуск
Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.
Отключено . Служба установлена, но в данный момент не запущена.
Вручную . Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.
Автоматически . Служба автоматически запускается операционной системой.
Тип запуска выбирается во время установки. При установке именованного экземпляра службу обозревателя SQL Server следует настроить на автоматический запуск.
Настройка служб во время автоматической установки
В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.
| Имя службы SQL Server | Переключатели для автоматических установок1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Службы Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| Контроллер распределенного воспроизведения SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Клиент распределенного воспроизведения SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
1Дополнительные сведения и примеры синтаксиса для автоматической установки см. в статье Установка SQL Server 2014 из командной строки.
2Служба агент SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.
Порт брандмауэра
Обычно при начальной установке ядра СУБД к нему можно подключаться с помощью таких средств, как SQL Server Management Studio, установленных на том же компьютере, что и SQL Server. SQL Server программа установки не открывает порты в брандмауэре Windows. Подключение от других компьютеров может оказаться невозможным, пока ядро СУБД не будет настроено для прослушивания TCP-порта, а соответствующий порт не будет открыт для подключений в брандмауэре Windows. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.
Разрешения службы
В этом разделе описаны разрешения, которые настраивает программа установки SQL Server для идентификаторов безопасности служб SQL Server.
Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows
Разрешения файловой системы, связанные с нестандартными дисковыми расположениями
Настройка служб и управление доступом
SQL Server 2014 позволяет использовать идентификатор безопасности для каждой службы, чтобы обеспечить изоляцию и глубинную защиту служб. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, имя идентификатора безопасности службы для службы ядра СУБД может быть NT Service\MSSQL$<InstanceName>. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую идентификатор безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.
Примечание
В Windows 7 и Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.
Для большинства компонентов SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.
При установке служб SSAS создается удостоверение безопасности службы для Analysis Services. Создается локальная группа Windows с именем в формате SQLServerMSASUser$имя_компьютера$имя_экземпляра. Удостоверению безопасности службы NT SERVICE\MSSQLServerOLAPService предоставляется членство в локальной группе Windows, а локальной группе Windows — соответствующие разрешения в списке управления доступом. Если учетная запись, используемая для запуска службы Analysis Services, изменяется, диспетчер конфигурации SQL Server должны изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, по-прежнему будут доступны без обновления, так как идентификатор безопасности для каждой службы не изменился. Этот метод позволяет переименовывать службу Analysis Services во время обновлений.
Во время установки SQL Server программа установки SQL Server создает локальные группы Windows для служб SSAS и службы браузера SQL Server. Для этих служб SQL Server настраивает список управления доступом к локальным группам Windows.
В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.
Права доступа и права Windows
Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. Они автоматически назначаются программой установки SQL Server. Сначала установите средства администрирования удаленного сервера (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 7.
В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server.
| Служба SQL Server | Разрешения, предоставляемые программой установки SQL Server |
|---|---|
| Ядро СУБД SQL Server: (Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию: NT SERVICE\MSSQLSERVER. Именованный экземпляр: **NT SERVICE\MSSQL$**Имя_экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Разрешение на запуск модуля записи SQL Writer Разрешение на чтение службы журнала событий Разрешение на чтение службы удаленного вызова процедур (RPC) |
| Агент SQL Server1 (Все права предоставляются идентификатору безопасности службы. Экземпляр по умолчанию: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$имя_экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) |
| SSAS: (Все права предоставляются локальной группе Windows. Экземпляр по умолчанию: SQLServerMSASUser$ComputerName$MSSQLSERVER. Именованный экземпляр: SQLServerMSASUser$Имя_компьютера Имя_$экземпляра. Экземпляр PowerPivot для SharePoint: SQLServerMSASUser$ComputerName$PowerPivot.) |
Вход в систему в качестве службы (SeServiceLogonRight) Только для табличного режима: Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege) Настройка квот памяти для процесса (SeIncreaseQuotaSizePrivilege) Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам. Только для установок отказоустойчивого кластера: Увеличение приоритета планирования (SeIncreaseBasePriorityPrivilege) |
| SSRS: (Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию: NT SERVICE\ReportServer. Именованный экземпляр: NT SERVICE\$InstanceName.) |
Вход в систему в качестве службы (SeServiceLogonRight) |
| SSIS (Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию и именованный экземпляр: NT SERVICE\MsDtsServer120. Службы Integration Services не имеют отдельного процесса для именованного экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) Разрешение на запись в журнал событий приложений Обход проходной проверки (SeChangeNotifyPrivilege) Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege) |
| Полнотекстовый поиск: (Все права предоставляются идентификатору безопасности службы. Экземпляр по умолчанию: NT Service\MSSQLFDLauncher. Именованный экземпляр: NT Service\ MSSQLFDLauncher$имя_экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) |
| Обозреватель SQL Server: (Все права предоставляются локальной группе Windows. Экземпляр по умолчанию или именованный: SQLServer2005SQLBrowserUser$ComputerName. Обозреватель SQL Server не имеет отдельного процесса для именованного экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) |
| Модуль записи VSS SQL Server: (Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию или именованный экземпляр: NT Service\SQLWriter. Модуль записи VSS SQL Server не имеет отдельного процесса для именованного экземпляра.) |
Служба SQLWriter запускается под учетной записью LOCAL SYSTEM, которая имеет все необходимые разрешения. Программа установки SQL Server не проверяет и не предоставляет разрешения для этой службы. |
| Контроллер распределенного воспроизведения SQL Server: | Вход в систему в качестве службы (SeServiceLogonRight) |
| Клиент распределенного воспроизведения SQL Server: | Вход в систему в качестве службы (SeServiceLogonRight) |
1Служба агента SQL Server отключена на экземплярах SQL Server Express.
Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows
Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.
Важно!
В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.
В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.
| Учетная запись службы для | Файлы и папки | Доступ |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Полный доступ |
| Instid\MSSQL\binn | Чтение и выполнение | |
| Instid\MSSQL\data | Полный доступ | |
| Instid\MSSQL\FTData | Полный доступ | |
| Instid\MSSQL\Install | Чтение и выполнение | |
| Instid\MSSQL\Log | Полный доступ | |
| Instid\MSSQL\Repldata | Полный доступ | |
| 120\shared | Чтение и выполнение | |
| Instid\MSSQL\Template Data (только с SQL Server Express) | Чтение | |
| SQLServerAgent1 | Instid\MSSQL\binn | Полный доступ |
| Instid\MSSQL\binn | Полный доступ | |
| Instid\MSSQL\Log | Чтение, запись, удаление и выполнение | |
| 120\com | Чтение и выполнение | |
| 120\shared | Чтение и выполнение | |
| 120\shared\Errordumps | Чтение и запись | |
| ServerName\EventLog | Полный доступ | |
| FTS | Instid\MSSQL\FTData | Полный доступ |
| Instid\MSSQL\FTRef | Чтение и выполнение | |
| 120\shared | Чтение и выполнение | |
| 120\shared\Errordumps | Чтение и запись | |
| Instid\MSSQL\Install | Чтение и выполнение | |
| Instid\MSSQL\jobs | Чтение и запись | |
| MSSQLServerOLAPService | 120\shared\ASConfig | Полный доступ |
| Instid\OLAP | Чтение и выполнение | |
| Instid\Olap\Data | Полный доступ | |
| Instid\Olap\Log | Чтение и запись | |
| Instid\OLAP\Backup | Чтение и запись | |
| Instid\OLAP\Temp | Чтение и запись | |
| 120\shared\Errordumps | Чтение и запись | |
| ReportServer | Instid\Reporting Services\Log Files | Чтение, запись и удаление |
| Instid\Reporting Services\ReportServer | Чтение и выполнение | |
| Instid\Reporting Services\ReportServer\global.asax | Полный доступ | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Чтение | |
| Instid\Reporting Services\reportManager | Чтение и выполнение | |
| Instid\Reporting Services\RSTempfiles | Чтение, запись, выполнение и удаление | |
| 120\shared | Чтение и выполнение | |
| 120\shared\Errordumps | Чтение и запись | |
| MSDTSServer100 | 120\dts\binn\MsDtsSrvr.ini.xml | Read |
| 120\dts\binn | Чтение и выполнение | |
| 120\shared | Чтение и выполнение | |
| 120\shared\Errordumps | Чтение и запись | |
| Обозреватель SQL Server | 120\shared\ASConfig | Read |
| 120\shared | Чтение и выполнение | |
| 120\shared\Errordumps | Чтение и запись | |
| SQLWriter | н/д (запускается с учетной записью локальной системы) | |
| Пользователь | Instid\MSSQL\binn | Чтение и выполнение |
| Instid\Reporting Services\ReportServer | Чтение и выполнение, список содержимого папки | |
| Instid\Reporting Services\ReportServer\global.asax | Чтение | |
| Instid\Reporting Services\reportManager | Чтение и выполнение | |
| Instid\Reporting Services\ReportManager\pages | Read | |
| Instid\Reporting Services\ReportManager\Styles | Read | |
| 120\dts | Чтение и выполнение | |
| 120\tools | Чтение и выполнение | |
| 100\tools | Чтение и выполнение | |
| 90\tools | Чтение и выполнение | |
| 80\tools | Чтение и выполнение | |
| 120\sdk | Read | |
| Microsoft SQL Server\120\Setup Bootstrap | Чтение и выполнение | |
| Контроллер распределенного воспроизведения SQL Server | <ToolsDir>\DReplayController\Log\ (пустой каталог) | Чтение и выполнение, список содержимого папки |
| <ToolsDir>\DReplayController\DReplayController.exe | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки | ||
| <ToolsDir>\DReplayController\{все DLL} | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayController\DReplayController.config | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayController\IRDefinition.xml | Чтение и выполнение, список содержимого папки | |
| Клиент распределенного воспроизведения SQL Server | <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки | |
| <ToolsDir>\DReplayClient\DReplayClient.exe | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки | ||
| <ToolsDir>\DReplayClient\ (все DLL) | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayClient\DReplayClient.config | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Чтение и выполнение, список содержимого папки | |
| <ToolsDir>\DReplayClient\IRDefinition.xml | Чтение и выполнение, список содержимого папки |
1Служба агент SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.
Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.
Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows
Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.
| Запрашивающий компонент | Учетная запись | Ресурс | Разрешения |
|---|---|---|---|
| MSSQLServer | Пользователи журнала производительности | Instid\MSSQL\binn | Просмотр содержимого папки |
| пользователи системного монитора. | Instid\MSSQL\binn | Просмотр содержимого папки | |
| Пользователи журнала производительности, пользователи системного монитора | \WINNT\system32\sqlctr120.dll | Чтение и выполнение | |
| Только администратор | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 | Полный доступ | |
| Администраторы, система | \tools\binn\schemas\sqlserver\2004\07\showplan | Полный доступ | |
| Пользователи | \tools\binn\schemas\sqlserver\2004\07\showplan | Чтение и выполнение | |
| Службы Reporting Services | Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\LogFiles | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
| Учетная запись службы Windows сервера отчетов, все | <install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\ Reporting Services\ReportManager\webctrl_client\1_0\*.* | Чтение и выполнение | |
| Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\ReportServer | Чтение | |
| Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\ReportServer\global.asax | Полное | |
| Все | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
| Учетная запись служб Windows сервера отчетов | <install>\Reporting Services\ReportServer\rsreportserver.config | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
| Все | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Перечисление подразделов Уведомление Управление чтением |
|
| Пользователь служб терминала | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление DELETE Управление чтением |
|
| Опытные пользователи | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление DELETE Управление чтением |
1Это пространство имен поставщика WMI.
Разрешения файловой системы, связанные с нестандартными дисковыми расположениями
Диском по умолчанию для установки является systemdrive, обычно это диск C. При установке базы данных tempdb или пользовательских баз данных
Диск, не используемый по умолчанию
При установке на локальный диск, который не является диском по умолчанию, удостоверение безопасности службы должно иметь доступ к расположению файлов. SQL Server программа установки подготовит необходимый доступ.
Сетевая папка
При установке баз данных в общую сетевую папку учетная запись службы должна иметь доступ к расположению файлов пользовательских баз данных и базы данных tempdb. SQL Server программа установки не может подготовить доступ к сетевой папке. Пользователь должен предоставлять учетной записи службы доступ к расположению базы данных tempdb до выполнения установки. Пользователь должен предоставить доступ к расположению пользовательской базы данных перед созданием базы данных.
Примечание
Виртуальные учетные записи не могут проходить проверку подлинности в удаленном расположении. Все виртуальные учетные записи используют разрешение локальной учетной записи. Укажите учетную запись компьютера в формате <имя_домена>\<имя_компьютера>$.
Обзор дополнительных вопросов
В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.
| Служба или приложение | Функциональность | Требуемое разрешение |
|---|---|---|
| SQL Server (MSSQLSERVER) | Запись в почтовый слот с помощью xp_sendmail. | Разрешения на запись по сети. |
| SQL Server (MSSQLSERVER) | Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server. | Работа в качестве части операционной системы, а также замена токена уровня процесса. |
| SQL Server Agent (MSSQLSERVER) | Использование функции автоматического перезапуска. | Должен быть членом локальной группы «Администраторы». |
| Помощник по настройкеКомпонент Database Engine | Позволяет настраивать базы данных для оптимальной производительности запросов. | При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После этого пользователи dbo могут при использовании помощника по настройке ядра СУБД настраивать только те таблицы, владельцами которых они являются. Дополнительные сведения см. в статье "Инициализация помощника по настройке ядра СУБД при первом использовании" в электронной документации по SQL Server. |
Важно!
Перед обновлением SQL Server включите проверку подлинности Windows для агент SQL Server и проверьте необходимую конфигурацию по умолчанию: учетная запись службы агент SQL Server входит в группу SQL Serverysadmin.
Разрешения для реестра
В разделе HKLM\Software\Microsoft\Microsoft SQL Server<ИД_экземпляра> создается куст реестра для компонентов, привязанных к экземпляру. Например.
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL12.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL12.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.120
В реестре также хранится сопоставление идентификаторов экземпляров с именами экземпляров. Сопоставление идентификатора экземпляра с именем экземпляра осуществляется следующим образом:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL12"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL12"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL12"
WMI
Инструментарий управления Windows (WMI) должен иметь возможность подключиться к ядру СУБД. Для этого ядро СУБД предоставляет ИД безопасности для каждой службы поставщика WMI (NT SERVICE\winmgmt).
Поставщику SQL WMI необходимы следующие разрешения:
Членство в предопределенных ролях db_ddladmin или db_owner базы данных msdb.
РазрешениеCREATE DDL EVENT NOTIFICATION на сервере.
Разрешение CREATE TRACE EVENT NOTIFICATION в ядре СУБД.
Разрешение уровня сервераVIEW ANY DATABASE .
Программа установки SQL Server создает пространство имен SQL WMI и предоставляет разрешение на чтение идентификатору безопасности службы агента SQL Server.
Именованные каналы
Во всех видах установки программа установки SQL Server предоставляет доступ к ядру СУБД SQL Server через протокол общей памяти, который является локальным именованным каналом.
Подготовка
В этом разделе описывается подготовка учетных записей в разных компонентах SQL Server.
Провизионирование работы компонента Database Engine
Следующие учетные записи добавляются в качестве имен входа в ядро СУБД SQL Server.
Участники Windows
Во время установки программе установки SQL Server требуется наличие как минимум одной учетной записи пользователя, являющейся членом предопределенной роли сервера sysadmin.
Учетная запись sa
Учетная запись sa всегда присутствует в качестве имени входа в ядро СУБД и является членом предопределенной роли сервера sysadmin. Если компонент Компонент Database Engine установлен только с использованием проверки подлинности Windows (то есть если проверка подлинности SQL Server не включена), имя входа sa по-прежнему присутствует, но отключено. Дополнительные сведения о включении учетной записи sa см. в статье Изменение режима проверки подлинности сервера.
Вход на SQL Server и права доступа для удостоверений безопасности служб
Идентификатор безопасности службы SQL Server службы подготавливается в качестве имени входа ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .
Вход и права доступа агента SQL Server
Идентификатор безопасности службы агента SQL Server подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .
Группы доступности Always On, экземпляр отказоустойчивого кластера и привилегии SQL
При установке ядра СУБД в качестве группы доступности Always On или экземпляра отказоустойчивого кластера SQL (SQL FCI) в ядре СУБД подготавливается локальная система. Имя входа LOCAL SYSTEM предоставляется разрешение ALTER ANY AVAILABILITY GROUP (для групп доступности Always On) и разрешение VIEW SERVER STATE (для экземпляра отказоустойчивого кластера SQL).
Модуль записи SQL и права доступа
Идентификатор безопасности службы "Модуль записи VSS для SQL Server" подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .
SQL WMI и права доступа
SQL Server программа установки подготавливает учетную запись NT SERVICE\Winmgmt в качестве имени входа ядра СУБД и добавляет ее в предопределенную роль сервера sysadmin.
Подготовка служб SSRS
Учетная запись, указанная во время установки, предоставляется в качестве члена роли базы данных RSExecRole . Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).
Провизионирование служб SSAS
Требования к учетной записи службы SSAS различаются в зависимости от способа развертывания сервера. Если вы устанавливаете PowerPivot для SharePoint, SQL Server программа установки требует настройки службы Analysis Services для запуска под учетной записью домена. Учетные записи домена необходимы для поддержки механизма управляемых учетных записей, встроенного в SharePoint. По этой причине программа установки SQL Server не предоставляет учетную запись службы по умолчанию, например виртуальную учетную запись, для установки PowerPivot для SharePoint. Дополнительные сведения о подготовке PowerPivot для SharePoint см. в статье Настройка учетных записей служб Power Pivot.
Для всех других случаев изолированной установки служб SSAS можно предоставить службу для запуска с учетной записью домена, встроенной системной учетной записью, управляемой или виртуальной учетной записью. Дополнительные сведения о подготовке учетных записей см. в статье Настройка учетных записей службы (службы Analysis Services).
Для кластерной установки необходимо указать учетную запись домена или встроенную системную учетную запись. Ни управляемые, ни виртуальные учетные записи не поддерживаются для отказоустойчивых кластеров служб SSAS.
Для установки служб SSAS необходимо указать системного администратора экземпляра Analysis Services. Права администратора предоставляются роли Сервер служб Analysis Services.
Подготовка служб SSRS
Учетная запись, указанная во время установки, подготавливается в ядре СУБД в качестве члена роли базы данных RSExecRole. Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).
Обновление с предыдущих версий
В этом разделе описываются изменения, внесенные во время обновления предыдущей версии SQL Server.
SQL Server 2014 требуется Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012, Windows 8.0, Windows Server 2012 R2 или Windows 8.1 , . Для предыдущих версий SQL Server, работающих в более низкой версии операционной системы, необходимо обновить операционную систему, прежде чем обновлять SQL Server.
Во время обновления SQL Server 2005 до SQL Server 2014 программа установки SQL Server настроит SQL Server следующим образом.
Ядро СУБД запускается в контексте безопасности, настроенного для идентификатора безопасности службы. Идентификатору безопасности службы предоставляется доступ к папкам с файлами экземпляра SQL Server (например, DATA), а также к разделам реестра SQL Server.
Идентификатор безопасности службы ядра СУБД подготавливается в ядре СУБД в качестве члена предопределенной роли сервера sysadmin.
Идентификатор безопасности службы добавляется в локальные группы Windows для SQL Server, если SQL Server не является экземпляром отказоустойчивого кластера.
Ресурсы SQL Server остаются предоставленными локальным группам Windows для SQL Server.
Локальная группа Windows для служб переименовывается с SQLServer2005MSSQLUser$<имя_компьютера>$<имя_экземпляра> на SQLServerMSSQLUser$<имя_компьютера>$имя_экземпляра<>. Расположения файлов перенесенных баз данных будут иметь записи управления доступом (ACE) для локальных групп Windows. Расположения файлов для новых баз данных будут иметь записи ACE для удостоверения безопасности службы.
Во время обновления с SQL Server 2008 SQL Server программа установки будет сохранять ACE для идентификатора безопасности SQL Server 2008 для каждой службы.
Для экземпляра отказоустойчивого кластера SQL Server ACE для учетной записи домена, настроенной для службы, будет сохранен.
Приложение
В данном разделе содержатся дополнительные сведения о службах SQL Server.
Описание учетных записей служб
Учетной записью службы является учетная запись, используемая для запуска службы Windows, например ядра СУБД SQL Server.
Учетные записи, доступные в любой операционной системе
В дополнение к новым управляемым учетным записям служб и виртуальным учетным записям , описанным выше, могут использоваться следующие учетные записи.
Учетная запись пользователя домена
Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.
Примечание
При настройке приложения на использование учетной записи домена можно изолировать права доступа для приложения, при этом придется управлять паролями вручную или создать пользовательское решение для управления паролями. Эта стратегия помогает повысить безопасность многих серверных приложений, но повышает сложность и требует дополнительного администрирования. В этих случаях развертывания администраторы служб тратят значительное количество времени на выполнение задач обслуживания, таких как управление паролями служб и именами участников-служб (SPN), необходимыми для проверки подлинности Kerberos. Кроме того, задачи обслуживания могут нарушить работу службы.
Учетные записи локальных пользователей
Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.
Учетная запись локальной службы
Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных. Имейте в виду, что учетная запись локальной службы не поддерживается для служб SQL Server или агент SQL Server. Локальная служба не поддерживается в качестве учетной записи, в которой выполняются эти службы, так как она является общей службой, а любые другие службы, работающие в локальной службе, будут иметь доступ системного администратора к SQL Server. Фактическое имя этой учетной записи — NT AUTHORITY\LOCAL SERVICE.
Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, запущенные в учетной записи сетевой службы, осуществляют доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <имя_домена>\<имя_компьютера>$. Фактическое имя этой учетной записи — NT AUTHORITY\NETWORK SERVICE.
Учетная запись локальной системы
Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — NT AUTHORITY\SYSTEM.
Идентификация зависимых и не зависимых от экземпляра служб
Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Запустив программу установки SQL Server для каждого компонента или службы, можно установить несколько копий служб, связанных с экземплярами. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.
В число служб SQL Server, связанных с экземпляром, входят следующие.
SQL Server
Агент SQL Server
Учитывайте, что служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.
Службы Analysis Services 1
Службы Reporting Services
Полнотекстовый поиск
В число служб SQL Server, не связанных с экземпляром, входят следующие.
Службы Integration Services
Обозреватель SQL Server
Модуль записи SQL
1Службы Analysis Services в режиме интеграции с SharePoint выполняются как "PowerPivot" как один именованный экземпляр. Имя экземпляра фиксировано. Другое имя указать нельзя. На каждом физическом сервере может быть установлен только один экземпляр служб Analysis Services, запускаемый под именем PowerPivot.
Локализованные имена служб
В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.
| Язык | Имя для Local Service | Имя сетевой службы | Имя Local System | Имя группы администраторов |
|---|---|---|---|---|
| Английский Китайский (упрощенный) Китайский (традиционный) Корейский Японский |
NT AUTHORITY\LOCAL SERVICE | NT AUTHORITY\NETWORK SERVICE | NT AUTHORITY\SYSTEM | BUILTIN\Administrators |
| Немецкий | NT-AUTORITДT\LOKALER DIENST | NT-AUTORITДT\NETZWERKDIENST | NT-AUTORITДT\SYSTEM | VORDEFINIERT\Administratoren |
| Французский | AUTORITE NT\SERVICE LOCAL | AUTORITE NT\SERVICE RЙSEAU | AUTORITE NT\SYSTEM | BUILTIN\Administrators |
| Итальянский | NT AUTHORITY\SERVIZIO LOCALE | NT AUTHORITY\SERVIZIO DI RETE | NT AUTHORITY\SYSTEM | BUILTIN\Administrators |
| Испанский | NT AUTHORITY\SERVICIO LOC | NT AUTHORITY\SERVICIO DE RED | NT AUTHORITY\SYSTEM | BUILTIN\Administradores |
| Русский | NT AUTHORITY\LOCAL SERVICE | NT AUTHORITY\NETWORK SERVICE | NT AUTHORITY\SYSTEM | BUILTIN\Администраторы |
См. также
Вопросы безопасности при установке SQL Server
Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server