Выбор учетной записи для службы агента SQL Server
Изменения: 5 декабря 2005 г.
Стартовая учетная запись службы определяет учетную запись Microsoft Windows, с которой запускается агент SQL Server, а также его сетевые разрешения. Агент SQL Server выполняется как заданная учетная запись пользователя. В целях совместимости с ранними версиями SQL Server агент SQL Server может также запускаться я с локальной системной учетной записью.
Диспетчер конфигурации SQL Server позволяет выбрать учетную запись службы агента SQL Server из следующих вариантов:
- Встроенная учетная запись. Может быть выбрана из списка следующих встроенных учетных записей Windows:
- Учетная запись Локальная система. Имя этой учетной записи — NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам. Она входит в группу Администраторы локального компьютера и поэтому является членом фиксированной серверной роли sysadmin SQL Server.
Примечание безопасности. Параметр Учетная запись локальной системы поддерживается для обратной совместимости. Локальная системная учетная запись обладает разрешениями, которые не нужны для работы агента SQL Server. Старайтесь не запускать агент SQL Server от имени учетной записи локальной системы. В целях безопасности рекомендуется пользоваться учетной записью домена Windows с разрешениями, перечисленными в подразделе «Разрешения учетной записи домена Windows» ниже в этом разделе. - Учетная запись Сетевая служба. Имя этой учетной записи — NT AUTHORITY\System. Эта встроенная учетная запись доступна в операционных системах Microsoft Windows XP и Microsoft Windows Server 2003. Все службы, которые запускаются от имени этой учетной записи, проходят проверку подлинности для доступа как к локальным, так и к сетевым ресурсам.
Примечание безопасности. Учетная запись сетевой службы может использоваться несколькими службами, поэтому сложно контролировать, какая служба имеет доступ к сетевым ресурсам, включая базы данных SQL Server. Для запуска служб агента SQL Server эту учетную запись использовать не рекомендуется.
Важно! Учетную запись Локальная служба выбирать не следует. Запуск службы агента SQL Server от этой учетной записи не поддерживается. Имя этой учетной записи — NT AUTHORITY\LocalService, и она получает доступ к сетевым ресурсам в виде пустого сеанса без учетных данных. Она доступна в Microsoft Windows XP и Microsoft Windows Server 2003. - Учетная запись Локальная система. Имя этой учетной записи — NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам. Она входит в группу Администраторы локального компьютера и поэтому является членом фиксированной серверной роли sysadmin SQL Server.
- Указанная учетная запись. Позволяет задать учетную запись домена Windows, с которой выполняется служба агента SQL Server. Рекомендуется выбирать учетную запись пользователя Windows, не входящего в группу Администраторы. Однако существуют ограничения при многосерверном администрировании, когда учетная запись службы агента SQL Server не входит в локальную группу Администраторы. Дополнительные сведения см. в разделе Типы учетных записей служб, поддерживаемые агентом SQL Server.
Сведения о том, какие возможности агента SQL Server поддерживаются для различных типов учетных записей службы, см. в разделе Типы учетных записей служб, поддерживаемые агентом SQL Server.
Разрешения учетной записи домена Windows
В целях повышения безопасности выбирайте Указанная учетная запись, соответствующую учетной записи домена Windows. Заданная учетная запись домена Windows должна обладать следующими разрешениями:
- Разрешение на вход в систему в качестве службы во всех версиях Windows (SeServiceLogonRight)
Примечание. |
---|
Служба агента SQL Server должна быть членом группы «Доступ, совместимый с версиями Windows до 2000» контроллера домена. В противном случае задания, принадлежащие пользователям домена, которые не являются администраторами Windows, выполняться не будут. |
- На серверах Windows учетной записи, с которой выполняется служба агента SQL Server, для поддержки посредников агента SQL Server необходимы следующие разрешения:
- Разрешение на работу в составе операционной системы (SeTcbPrivilege) (только для Windows 2000)
- Разрешение на обход проходной проверки (SeChangeNotifyPrivilege)
- Разрешение на замену маркера уровня процесса (SeAssignPrimaryTokenPrivilege)
- Разрешение на выделение процессам квот памяти (SeIncreaseQuotaPrivilege)
- Разрешение на вход в систему с помощью входа пакетного типа (SeBatchLogonRight)
Примечание. |
---|
Если учетная запись не обладает разрешениями на поддержку посредников, то создавать задания могут только члены фиксированной серверной роли sysadmin. |
Примечание. |
---|
Чтобы получать уведомления о предупреждениях инструментария WMI, учетная запись службы агента SQL Server должна обладать разрешением на пространство имен, содержащее события WMI и ALTER ANY EVENT NOTIFICATION. |
Членство в ролях SQL Server
Учетная запись, от которой запускается служба агента SQL Server, должна быть членом следующих ролей SQL Server:
- Учетная запись должна быть членом фиксированной серверной роли sysadmin.
- Чтобы использовать обработку заданий в многосерверном окружении, учетная запись должна быть членом роли базы данных msdbTargetServersRole на главном сервере.
Членство в группах Windows
Учетная запись, с которой выполняется служба агента SQL Server, должна быть членом следующих групп Windows:
- Учетная запись должна быть членом группы «Доступ, совместимый с версиями Windows до 2000» контроллера домена, чтобы выполнять задания для пользователей, которые не входят в группу «Администраторы».
Примечание безопасности. В целях повышения безопасности учетная запись службы агента SQL Server не должна быть членом локальной группы «Администраторы». Однако существуют ограничения при многосерверном администрировании, когда учетная запись службы агента SQL Server не является членом локальной группы «Администраторы». Дополнительные сведения см. в разделе Типы учетных записей служб, поддерживаемые агентом SQL Server.
Общие задачи
Указание стартовой учетной записи службы агента SQL Server
Указание профиля электронной почты агента SQL Server
Примечание. |
---|
Запуск агента SQL Server во время старта операционной системы задается с помощью диспетчера конфигурации SQL Server. |
См. также
Основные понятия
Безопасность при администрировании агента SQL Server
Обеспечение безопасности агента SQL Server
Другие ресурсы
Настройка учетных записей служб Windows
Управление службами с помощью диспетчера конфигурации SQL Server
Справка и поддержка
Получение помощи по SQL Server 2005
Журнал изменений
Версия | Журнал |
---|---|
5 декабря 2005 г. |
|