Настройка учетных записей службы Windows и разрешений
Область применения: SQL Server
Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этой статье описана стандартная конфигурация служб в текущем выпуске SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server и после нее. Эта статья дает возможность опытным пользователям детальнее ознакомиться с учетными записями служб.
Большинство служб и их свойств можно настроить с помощью диспетчера конфигурации SQL Server. Ниже приведены расположения последних версий этого диспетчера при установке Windows на диск C.
Версия SQL Server | Путь |
---|---|
SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server 2012 | C:\Windows\SysWOW64\SQLServerManager11.msc |
Сведения о разрешениях, необходимых расширению Azure для SQL Server, см. в статье "Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server".
В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.
Служба | Description |
---|---|
Службы SQL Server Database Services | Служба для реляционного ядра СУБД SQL Server. Путь к исполняемому файлу: \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe . |
Агент SQL Server | Выполняет задания, наблюдает за SQL Server, выдает предупреждения и обеспечивает автоматизацию некоторых административных задач. Служба агента SQL Server доступна, но отключена для экземпляров SQL Server Express. Путь к исполняемому файлу: \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe . |
Службы Analysis Services | Предоставляет средства оперативной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики. Путь к исполняемому файлу: \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe . |
службы Reporting Services | Управляет, выполняет, создает, планирует и предоставляет отчеты. Путь к исполняемому файлу: \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe . |
Службы интеграции | Обеспечивает поддержку управления для хранения и выполнения пакета Integration Services. Путь к исполняемому файлу: \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe . |
Integration Services может включать дополнительные службы для развертываний с горизонтальным увеличением масштаба. Дополнительные сведения см. в пошаговом руководстве. Настройка горизонтального масштабирования служб Integration Services (SSIS).
Служба | Description |
---|---|
Браузер SQL Server | Служба разрешения имен, которая предоставляет сведения о соединении с SQL Server клиентским компьютерам. Путь к исполняемому файлу: C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
полнотекстовый поиск. | Быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server. |
Средство записи SQL | Служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS). |
Контроллер распределенного воспроизведения SQL Server | Обеспечивает согласованное воспроизведение трассировки на нескольких клиентских компьютерах распределенного воспроизведения. |
Клиент распределенное воспроизведение SQL Server | Один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре ядра СУБД SQL Server. |
Панель запуска SQL Server | Доверенная служба, в которой находятся внешние исполняемые файлы, предоставляемые корпорацией Майкрософт, такие как среда выполнения R или Python, установленная как часть служб R Services или служб машинного обучения. Вспомогательные процессы могут запускаться при работе панели запуска, однако они регулируются ресурсами в зависимости от конфигурации отдельного экземпляра. Служба панели запуска выполняется с использованием собственной учетной записи, и каждому вспомогательному процессу для конкретной зарегистрированной среды выполнения присваивается учетная запись пользователя панели запуска. Вспомогательные процессы создаются и удаляются по запросу во время выполнения. Панель запуска не может создавать используемые ею учетные записи, если вы установили SQL Server на компьютере, который используется в качестве контроллера домена. Таким образом, программа установки служб R Services (в базе данных) или служб машинного обучения (в базе данных) завершается сбоем на контроллере домена. |
Ядро SQL Server PolyBase | Позволяет применять распределенные запросы к внешним источникам данных. |
Служба перемещения данных PolyBase SQL Server | Позволяет перемешать данные между SQL Server и внешними источниками данных, а также между узлами SQL в группах горизонтального масштабирования PolyBase. |
Служба программы улучшения качества программного обеспечения (CEIP) отправляет данные телеметрии обратно в корпорацию Майкрософт.
В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы CEIP.
Служба | Description |
---|---|
SQLTELEMETRY | Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии ядра СУБД обратно в корпорацию Майкрософт. |
SSASTELEMETRY | Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSAS обратно в корпорацию Майкрософт. |
SSISTELEMETRY | Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSIS обратно в корпорацию Майкрософт. |
В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server, могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Для запуска и выполнения каждая служба SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.
Примечание
Для экземпляров отказоустойчивого кластера для SQL Server 2016 (13.x) и более поздних версий в качестве стартовых учетных записей SQL Server можно использовать учетные записи пользователя домена или групповые управляемые учетные записи служб.
В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server, значения, используемые по умолчанию при установке SQL Server, понятие идентификаторов безопасности служб, параметры запуска и настройка брандмауэра.
- Учетные записи служб по умолчанию
- Автоматический запуск
- Настройка типа запуска службы
- Порт брандмауэра
В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.
Компонент | Windows Server 2008 | Windows 7, Windows Server 2008 R2 и более поздних версий |
---|---|---|
Компонент Database Engine | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Агент SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Службы SSAS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 2 |
Integration Services | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Службы SSRS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Контроллер распределенного воспроизведения SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Клиент распределенного воспроизведения SQL Server | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись 1 |
Средство запуска FD (полнотекстовый поиск) | ЛОКАЛЬНАЯ СЛУЖБА | Виртуальная учетная запись |
Обозреватель SQL Server | ЛОКАЛЬНАЯ СЛУЖБА | ЛОКАЛЬНАЯ СЛУЖБА |
Модуль записи VSS SQL Server | ЛОКАЛЬНАЯ СИСТЕМА | ЛОКАЛЬНАЯ СИСТЕМА |
Расширения углубленной аналитики | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
Ядро PolyBase | СЕТЕВАЯ СЛУЖБА | СЕТЕВАЯ СЛУЖБА |
Служба перемещения данных PolyBase | СЕТЕВАЯ СЛУЖБА | СЕТЕВАЯ СЛУЖБА |
1 Если требуются ресурсы за пределами компьютера SQL Server, корпорация Майкрософт рекомендует использовать управляемую учетную запись службы (MSA), которой предоставлены следующие минимальные разрешения.
2 При установке на контроллере домена виртуальная учетная запись не поддерживается как учетная запись службы.
Компонент | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Компонент Database Engine | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
Агент SQL Server | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
Службы SSAS | Нет. Укажите учетную запись пользователя домена . | Укажите учетную запись пользователя домена . |
Integration Services | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись |
Службы SSRS | СЕТЕВАЯ СЛУЖБА | Виртуальная учетная запись |
Средство запуска FD (полнотекстовый поиск) | ЛОКАЛЬНАЯ СЛУЖБА | Виртуальная учетная запись |
Обозреватель SQL Server | ЛОКАЛЬНАЯ СЛУЖБА | ЛОКАЛЬНАЯ СЛУЖБА |
Модуль записи VSS SQL Server | ЛОКАЛЬНАЯ СИСТЕМА | ЛОКАЛЬНАЯ СИСТЕМА |
Важно!
Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой ядром СУБД SQL Server или службами агента SQL Server, или для изменения пароля учетной записи. В дополнение к изменению имени учетной записи, диспетчер конфигурации SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для ядра СУБД. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.
Если вы изменяете учетные записи служб для любой службы SQL с помощью других средств, это может привести к непредвиденному поведению или ошибкам. Например, если вы изменяете учетную запись службы агента SQL на учетную запись домена с помощью applet служб Windows, вы можете заметить, что задания агента SQL, использующие операционную систему (Cmdexec), шаги по репликации или заданию служб SSIS могут завершиться ошибкой, как показано ниже:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
Чтобы устранить эту ошибку, выполните следующие действия с помощью диспетчер конфигурации SQL Server:
- Временно измените учетную запись службы агента SQL на виртуальную учетную запись по умолчанию (экземпляр по умолчанию: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$<instance_name>.)
- Перезапуск службы агент SQL Server
- Измените учетную запись службы обратно на нужную учетную запись домена.
- Перезапуск службы агент SQL Server
Для экземпляров служб Analysis Services, развертываемых на ферме SharePoint, изменяйте учетные записи сервера для служебных приложений Power Pivot и служб Analysis Services только с помощью центра администрирования SharePoint. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.
Чтобы изменить параметры служб Reporting Services, используйте средство настройки служб Reporting Services.
Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи
Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL Server, с изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.
Управляемые учетные записи служб
Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. Она назначается отдельному компьютеру-участнику для использования при запуске службы. Управление паролем осуществляет автоматически контроллер домена. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. MSA имеет возможность зарегистрировать имя участника-службы (SPN) в Active Directory при наличии разрешений на чтение и запись servicePrincipalName. MSA называется суффиксом
$
, напримерDOMAIN\ACCOUNTNAME$
. При указании MSA следует оставить поле пароля пустым. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.Примечание
Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.
Учетные записи служб, управляемые группой
Групповая управляемая учетная запись службы (gMSA) — это управляемая учетная запись службы для нескольких серверов. Windows управляет такой учетной записью для служб, работающих на группе серверов. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы. Службы SQL Server можно настроить для использования основного экземпляра групповой управляемой учетной записи службы. Начиная с версии SQL Server 2014, SQL Server поддерживает групповые управляемые учетные записи службы для изолированных экземпляров, а с версии SQL Server 2016 — для экземпляров отказоустойчивого кластера и для групп доступности.
Для работы с gMSA в SQL Server 2014 или более поздней версии требуется ОС Windows Server 2012 R2 или более поздней версии. На серверах под управлением Windows Server 2012 R2 нужно применить исправление KB 2998082, чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы.
Дополнительные сведения см. в статье Групповые управляемые учетные записи служб для Windows Server 2016 и более поздних версий. Для предыдущих версий Windows Server см. статью Групповые управляемые учетные записи служб.
Примечание
Учетная запись gMSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.
-
Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. Если установка SQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате
NT SERVICE\<SERVICENAME>
. Службы, которые работают в виде виртуальных учетных записей, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате<domain_name>\<computer_name>$
. При указании виртуальной учетной записи для запуска SQL Server оставьте поле пароля пустым. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos.Примечание
Виртуальные учетные записи не могут использоваться для экземпляра отказоустойчивого кластера SQL Server, так как у виртуальной учетной записи будет отличаться идентификатор безопасности на каждом узле кластера.
В следующей таблице перечислены примеры имен виртуальных учетных записей.
Service Имя виртуальной учетной записи Экземпляр по умолчанию для службы ядра СУБД NT SERVICE\MSSQLSERVER
Именованный экземпляр службы ядро СУБД с именем PAYROLL
NT SERVICE\MSSQL$PAYROLL
Служба агента SQL Server на экземпляре SQL Server по умолчанию NT Service\SQLSERVERAGENT
Служба агента SQL Server на экземпляре SQL Server с именем PAYROLL
NT SERVICE\SQLAGENT$PAYROLL
Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записейПошагового руководства по учетным записям служб, а также в документе Вопросы и ответы по управляемым учетным записям служб.
Примечание
Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. По возможности используйте учетную запись MSA, gMSA или виртуальную учетную запись. Если использование управляемых учетных записей служб, групповых управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.
Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.
- Disabled. Служба установлена, но в данный момент не запущена.
- Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.
- Автоматически. Служба автоматически запускается операционной системой.
Тип запуска выбирается во время установки. При установке именованного экземпляра службу обозревателя SQL Server следует настроить на автоматический запуск.
В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.
Имя службы SQL Server | Параметры для автоматической установки 1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Службы Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
Контроллер распределенного воспроизведения SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
Клиент распределенного воспроизведения SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
R Services или службы машинного обучения (Майкрософт) | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
Ядро PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Дополнительные сведения и примеры синтаксиса для автоматической установки см. в руководстве по установке SQL Server 1 из командной строки.
2 Служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.
3 Настройка учетной записи для Панели запуска с помощью одних только параметров сейчас не поддерживается. Используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись и другие параметры службы.
Обычно при начальной установке ядра СУБД к нему можно подключаться с помощью таких средств, как SQL Server Management Studio, установленных на том же компьютере, что и SQL Server. Программа установки SQL Server не открывает порты в брандмауэре Windows. Подключение от других компьютеров может оказаться невозможным, пока ядро СУБД не будет настроено для прослушивания TCP-порта, а соответствующий порт не будет открыт для подключений в брандмауэре Windows. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.
В этом разделе описаны разрешения, которые настраиваются в программе установки SQL Server для идентификаторов безопасности служб SQL Server.
- Настройка служб и управление доступом
- Права доступа и права Windows
- Разрешения файловой системы, предоставляемые удостоверениям безопасности служб SQL Server или локальным группам Windows для SQL Server
- Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows
- Разрешения файловой системы, связанные с нестандартными дисковыми расположениями
- Обзор дополнительных вопросов
- Разрешения для реестра
- WMI
- Именованные каналы
SQL Server позволяет обеспечить изоляцию и всестороннюю защиту, предоставляя идентификатор безопасности для каждой службы. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, именем идентификатора безопасности службы для именованного экземпляра службы может быть NT Service\MSSQL$<instance_name>
. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую идентификатор безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.
Примечание
В Windows 7 и Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.
Для большинства компонентов SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.
При установке служб SSAS создается удостоверение безопасности службы для Analysis Services. Создается локальная группа Windows с именем в форматеSQLServerMSASUser$<computer_name>$<instance_name>
. Идентификатор безопасности NT SERVICE\MSSQLServerOLAPService
для каждой службы предоставляется в локальной группе Windows, а локальная группа Windows предоставляет соответствующие разрешения в ACL. В случае изменения учетной записи, используемой для запуска службы Analysis Services, диспетчер конфигурации SQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как идентификатор безопасности службы не был изменен. Этот метод позволяет переименовывать службу Analysis Services во время обновлений.
Во время установки SQL Server программа установки создает локальную группу Windows для SSAS и службу обозревателя SQL Server. Для этих служб SQL Server настраивает список управления доступом к локальным группам Windows.
В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.
Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. Они автоматически назначаются программой установки SQL Server. Сначала установите средства администрирования удаленного сервера (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 10.
В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server.
Служба SQL Server | Разрешения, предоставляемые программой установки SQL Server |
---|---|
Компонент SQL Server Database Engine. (Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT SERVICE\MSSQLSERVER . Именованный экземпляр: NT Service\MSSQL$<instance_name> .) |
Вход в систему в качестве службы (SeServiceLogonRight) Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Разрешение на запуск модуля записи SQL Writer Разрешение на чтение службы журнала событий Разрешение на чтение службы удаленного вызова процедур (RPC) |
агент SQL Server: 1 (Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT Service\SQLSERVERAGENT . Именованный экземпляр: NT Service\SQLAGENT$<instance_name> .) |
Вход в систему в качестве службы (SeServiceLogonRight) Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) |
SSAS: (Все права предоставляются локальной группе Windows. Экземпляр по умолчанию: SQLServerMSASUser$<computer_name>$MSSQLSERVER . Именованный экземпляр: SQLServerMSASUser$<computer_name>$<instance_name> . Power Pivot для экземпляра SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot .) |
Вход в систему в качестве службы (SeServiceLogonRight) Только для табличного режима: Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам. Только для установок отказоустойчивого кластера: Увеличение приоритета планирования (SeIncreaseBasePriorityPrivilege) |
SSRS: (Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT SERVICE\ReportServer . Именованный экземпляр: NT SERVICE\ReportServer$<instance_name> .) |
Вход в систему в качестве службы (SeServiceLogonRight) |
SSIS. (Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию и именованный экземпляр: NT SERVICE\MsDtsServer150 . Службы Integration Services не имеют отдельного процесса для именованного экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) Разрешение на запись в журнал событий приложений Обход проходной проверки (SeChangeNotifyPrivilege) Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege) |
Полнотекстовый поиск: (Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT Service\MSSQLFDLauncher . Именованный экземпляр: NT Service\ MSSQLFDLauncher$<instance_name> .) |
Вход в систему в качестве службы (SeServiceLogonRight) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) |
Обозреватель SQL Server: (Все права предоставляются локальной группе Windows. Экземпляр по умолчанию или именованный экземпляр: SQLServer2005SQLBrowserUser$<computer_name> . Обозреватель SQL Server не имеет отдельного процесса для именованного экземпляра.) |
Вход в систему в качестве службы (SeServiceLogonRight) |
Модуль записи VSS SQL Server: (Все права предоставляются идентификатору безопасности для каждой службы. По умолчанию или именованный экземпляр: NT Service\SQLWriter . Средство записи VSS SQL Server не содержит отдельный процесс для именованного экземпляра.) |
Служба SQLWriter запускается под учетной записью LOCAL SYSTEM, которая имеет все необходимые разрешения. Программа установки SQL Server не проверяет и не предоставляет разрешения для данной службы. |
Контроллер распределенного воспроизведения SQL Server: | Вход в систему в качестве службы (SeServiceLogonRight) |
Клиент распределенного воспроизведения SQL Server: | Вход в систему в качестве службы (SeServiceLogonRight) |
Ядро PolyBase и DMS: | Вход в систему в качестве службы (SeServiceLogonRight) |
Панель запуска: | Вход в систему как услуга (SeServiceLogonRight) Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) |
Службы R/Машинное обучение: SQLRUserGroup (SQL Server 2016 (13.x) и SQL Server 2017 (14.x)) | Не имеют разрешения Локальный вход в систему по умолчанию. |
Службы машинного обучения: все пакеты приложений [AppContainer] (SQL Server 2019 (15.x)) | Разрешения READ и EXECUTE для каталогов Binn, R_Services и PYTHON_Services SQL Server |
1 Служба агента SQL Server отключена для экземпляров SQL Server Express.
Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows
Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.
Важно!
В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.
В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.
Учетная запись службы для | Файлы и папки | Открыть |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Полный контроль |
Instid\MSSQL\binn | Чтение и выполнение | |
Instid\MSSQL\data | Полный контроль | |
Instid\MSSQL\FTData | Полный контроль | |
Instid\MSSQL\Install | Чтение и выполнение | |
Instid\MSSQL\Log | Полный контроль | |
Instid\MSSQL\Repldata | Полный контроль | |
150\shared | Чтение и выполнение | |
Instid\MSSQL\Template Data (только с SQL Server Express) | Читать | |
SQLServerAgent 1 | Instid\MSSQL\binn | Полный контроль |
Instid\MSSQL\Log | Чтение, запись, удаление и выполнение | |
150\com | Чтение и выполнение | |
150\shared | Чтение и выполнение | |
150\shared\Errordumps | Чтение и запись | |
ServerName\EventLog | Полный контроль | |
FTS | Instid\MSSQL\FTData | Полный контроль |
Instid\MSSQL\FTRef | Чтение и выполнение | |
150\shared | Чтение и выполнение | |
150\shared\Errordumps | Чтение и запись | |
Instid\MSSQL\Install | Чтение и выполнение | |
Instid\MSSQL\jobs | Чтение и запись | |
MSSQLServerOLAPService | 150\shared\ASConfig | Полный контроль |
Instid\OLAP | Чтение и выполнение | |
Instid\Olap\Data | Полный контроль | |
Instid\Olap\Log | Чтение и запись | |
Instid\OLAP\Backup | Чтение и запись | |
Instid\OLAP\Temp | Чтение и запись | |
150\shared\Errordumps | Чтение и запись | |
ReportServer | Instid\Reporting Services\Log Files | Чтение, запись и удаление |
Instid\Reporting Services\ReportServer | Чтение и выполнение | |
Instid\Reporting Services\ReportServer\global.asax | Полный контроль | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Читать | |
Instid\Reporting Services\RSTempfiles | Чтение, запись, выполнение и удаление | |
Instid\Reporting Services\RSWebApp | Чтение и выполнение | |
150\shared | Чтение и выполнение | |
150\shared\Errordumps | Чтение и запись | |
MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Читать |
150\dts\binn | Чтение и выполнение | |
150\shared | Чтение и выполнение | |
150\shared\Errordumps | Чтение и запись | |
Обозреватель SQL Server | 150\shared\ASConfig | Читать |
150\shared | Чтение и выполнение | |
150\shared\Errordumps | Чтение и запись | |
SQLWriter | н/д (запускается с учетной записью локальной системы) | |
User | Instid\MSSQL\binn | Чтение и выполнение |
Instid\Reporting Services\ReportServer | Чтение и выполнение, список содержимого папки | |
Instid\Reporting Services\ReportServer\global.asax | Читать | |
Instid\Reporting Services\RSWebApp | Чтение и выполнение, список содержимого папки | |
150\dts | Чтение и выполнение | |
150\tools | Чтение и выполнение | |
100\tools | Чтение и выполнение | |
90\tools | Чтение и выполнение | |
80\tools | Чтение и выполнение | |
150\sdk | Читать | |
Microsoft SQL Server\150\Setup Bootstrap | Чтение и выполнение | |
Контроллер распределенного воспроизведения SQL Server | <ToolsDir>\DReplayController\Log\ (пустой каталог) | Чтение и выполнение, список содержимого папки |
<ToolsDir>\DReplayController\DReplayController.exe | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки | ||
<ToolsDir>\DReplayController\{все DLL} | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayController\DReplayController.config | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayController\IRDefinition.xml | Чтение и выполнение, список содержимого папки | |
Клиент распределенного воспроизведения SQL Server | <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки | ||
<ToolsDir>\DReplayClient\ (все DLL) | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayClient\DReplayClient.config | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Чтение и выполнение, список содержимого папки | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Чтение и выполнение, список содержимого папки | |
Панель запуска | %binn | Чтение и выполнение |
ExtensiblilityData | Полный контроль | |
Log\ExtensibilityLog | Полный контроль |
1 Служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.
Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.
Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.
Запрашивающий компонент | Учетная запись | Ресурс | Разрешения |
---|---|---|---|
MSSQLServer | Пользователи журналов производительности | Instid\MSSQL\binn | Просмотр содержимого папки |
Пользователи монитора производительности | Instid\MSSQL\binn | Просмотр содержимого папки | |
Пользователи журнала производительности, пользователи системного монитора | \WINNT\system32\sqlctr150.dll | Чтение и выполнение | |
Только администратор | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 |
Полный контроль | |
Администраторы, система | \tools\binn\schemas\sqlserver\2004\07\showplan | Полный контроль | |
Пользователи | \tools\binn\schemas\sqlserver\2004\07\showplan | Чтение и выполнение | |
Службы отчетов | Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\LogFiles | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\ReportServer | Читать | |
Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\ReportServer\global.asax | Полностью | |
Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\RSWebApp | Чтение и выполнение | |
Все | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Учетная запись службы Windows для сервера отчетов | <install>\Reporting Services\ReportServer\rsreportserver.config | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Все | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Перечисление подразделов Notify Управление чтением |
|
Пользователь служб терминала | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Установка значения Создание подраздела Перечисление подразделов Notify Удаление Управление чтением |
|
Опытные пользователи | Разделы реестра сервера отчетов (куст Instid) | Запрос значения Установка значения Создание подраздела Перечисление подразделов Notify Удаление Управление чтением |
1 Это пространство имен поставщика WMI.
Диском по умолчанию для установки является systemdrive, обычно это диск C. В этом разделе содержатся дополнительные рекомендации, относящиеся к установке базы данных tempdb или пользовательских баз данных в необычных расположениях.
Диск не по умолчанию
При установке на локальный диск, который не является диском по умолчанию, удостоверение безопасности службы должно иметь доступ к расположению файлов. Программа установки SQL Server предоставляет необходимые права доступа.
Общая сетевая папка
При установке баз данных в общую сетевую папку учетная запись службы должна иметь доступ к расположению файлов пользовательских баз данных и базы данных tempdb
. Программа установки SQL Server не может предоставить доступ к сетевой папке. Пользователь должен предоставлять учетной записи службы доступ к расположению базы данных tempdb до выполнения установки. Пользователь должен предоставить доступ к расположению пользовательской базы данных перед созданием базы данных.
Примечание
Виртуальные учетные записи не могут проходить проверку подлинности в удаленном расположении. Все виртуальные учетные записи используют разрешение локальной учетной записи. Укажите учетную запись компьютера в формате <domain_name>\<computer_name>$
.
В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.
Служба или приложение | Функция | Требуемое разрешение |
---|---|---|
SQL Server (MSSQLSERVER) | Запись в почтовый слот с помощью xp_sendmail. | Разрешения на запись по сети. |
SQL Server (MSSQLSERVER) | Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server. | Работа в качестве части операционной системы, а также замена токена уровня процесса. |
SQL Server Agent (MSSQLSERVER) | Использование функции автоматического перезапуска. | Должен быть членом локальной группы «Администраторы». |
Помощник по настройке ядра СУБД | Позволяет настраивать базы данных для оптимальной производительности запросов. | При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После этого пользователи dbo могут при использовании помощника по настройке ядра СУБД настраивать только те таблицы, владельцами которых они являются. Дополнительные сведения см. в разделе Запуск и использование помощника по настройке ядра СУБД. |
Важно!
Перед обновлением SQL Server, включите агент SQL Server и проверьте необходимые настройки конфигурации по умолчанию: является ли учетная запись службы агента SQL Server членом предопределенной роли сервера SQL Server sysadmin.
Для компонентов, зависящих от экземпляра, куст реестра создается в разделе HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>
. Например:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
В реестре также хранится сопоставление идентификаторов экземпляров с именами экземпляров. Сопоставление идентификатора экземпляра с именем экземпляра осуществляется следующим образом:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
Инструментарий управления Windows (WMI) должен иметь возможность подключиться к ядру СУБД. Для поддержки этого идентификатор безопасности для каждой службы поставщика WMI (NT SERVICE\winmgmt
) windows подготавливается в ядро СУБД.
Поставщику SQL WMI необходимы следующие минимальные разрешения:
Членство в предопределенных ролях db_ddladmin или db_owner базы данных
msdb
.РазрешениеCREATE DDL EVENT NOTIFICATION на сервере.
Разрешение CREATE TRACE EVENT NOTIFICATION в ядре СУБД.
Разрешение уровня сервераVIEW ANY DATABASE .
Программа установки SQL Server создает пространство имен SQL WMI и предоставляет разрешение на чтение идентификатору безопасности службы агента SQL Server.
Во всех видах установки программа установки SQL Server предоставляет доступ к ядру СУБД SQL Server через протокол общей памяти, который является локальным именованным каналом.
В этом разделе описывается подготовка учетных записей в разных компонентах SQL Server.
Следующие учетные записи добавляются в качестве имен входа в ядро СУБД SQL Server.
Во время установки программе установки SQL Server требуется наличие как минимум одной учетной записи пользователя, являющейся членом предопределенной роли сервера sysadmin.
Учетная запись sa всегда присутствует в качестве имени входа в ядро СУБД и является членом предопределенной роли сервера sysadmin. Если ядро СУБД установлено с использованием только проверки подлинности Windows (то есть проверка подлинности SQL Server не включена), имя входа sa все равно будет присутствовать, но будет отключено, а пароль будет сложным и случайным. Дополнительные сведения о включении учетной записи sa см. в статье Изменение режима проверки подлинности сервера.
Идентификатор безопасности службы (иногда также называемый субъектом безопасности службы (SID)) для службы SQL Server подготавливается как имя входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin . Сведения об удостоверениях безопасности служб см. в Использование идентификаторов безопасности для предоставления разрешений службам в SQL Server.
Идентификатор безопасности службы агента SQL Server подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .
При установке ядра СУБД в качестве групп доступности Always On или экземпляра отказоустойчивого кластера SQL (SQL FCI) осуществляется подготовка LOCAL SYSTEM в ядре СУБД. Имени входа LOCAL SYSTEM предоставляется разрешение ALTER ANY AVAILABILITY GROUP (для групп доступности Always On) и разрешение VIEW SERVER STATE (для SQL FCI).
Идентификатор безопасности службы "Модуль записи VSS для SQL Server" подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .
SQL Server Настраивает NT SERVICE\Winmgmt
учетную запись в качестве ядро СУБД имени входа и добавляет ее в предопределяемую роль сервера sysadmin.
Учетная запись, указанная во время установки, предоставляется в качестве члена роли базы данных RSExecRole . Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).
Требования к учетной записи службы SSAS различаются в зависимости от способа развертывания сервера. При установке Power Pivot для SharePoint программе установки SQL Server требуется, чтобы служба Analysis Services запускалась с использованием учетной записи домена. Учетные записи домена необходимы для поддержки механизма управляемых учетных записей, встроенного в SharePoint. По этой причине программа установки SQL Server не предоставляет учетную запись службы по умолчанию, например виртуальную учетную запись, для установки Power Pivot для SharePoint. Дополнительные сведения о подготовке Power Pivot для SharePoint см. в статье Настройка учетных записей службы Power Pivot.
Для всех других случаев изолированной установки служб SSAS можно предоставить службу для запуска с учетной записью домена, встроенной системной учетной записью, управляемой или виртуальной учетной записью. Дополнительные сведения о подготовке учетных записей см. в статье Настройка учетных записей службы (службы Analysis Services).
Для кластерной установки необходимо указать учетную запись домена или встроенную системную учетную запись. Ни управляемые, ни виртуальные учетные записи не поддерживаются для отказоустойчивых кластеров служб SSAS.
Для установки служб SSAS необходимо указать системного администратора экземпляра Analysis Services. Права администратора предоставляются роли Сервер служб Analysis Services.
Учетная запись, указанная во время установки, подготавливается в ядре СУБД в качестве члена роли базы данных RSExecRole. Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).
В этом разделе описываются изменения, внесенные во время обновления предыдущей версии SQL Server.
Для SQL Server 2019 (15.x) требуется поддерживаемая операционная система. Для предыдущих версий SQL Server, работающих в более низкой версии операционной системы, необходимо обновить операционную систему, прежде чем обновлять SQL Server.
Во время обновления SQL Server 2005 (9.x) до SQL Server 2019 (15.x) программа установки настраивает экземпляр SQL Server следующим образом:
- Ядро СУБД запускается в контексте безопасности, настроенного для идентификатора безопасности службы. Идентификатору безопасности службы предоставляется доступ к папкам с файлами экземпляра SQL Server (например, DATA), а также к разделам реестра SQL Server.
- Идентификатор безопасности службы ядра СУБД подготавливается в ядре СУБД в качестве члена предопределенной роли сервера sysadmin.
- Идентификатор безопасности служб добавляются в локальные группы Windows для SQL Server, если SQL Server не является экземпляром отказоустойчивого кластера.
- Ресурсы SQL Server остаются предоставленными локальным группам Windows для SQL Server.
- Имя локальной группы Windows для служб меняется с
SQLServer2005MSSQLUser$<computer_name>$<instance_name>
наSQLServerMSSQLUser$<computer_name>$<instance_name>
. Расположения файлов перенесенных баз данных имеют записи управления доступом (ACE) для локальных групп Windows. Расположения файлов для новых баз данных имеют записи ACE для идентификатора безопасности службы.
Во время обновления с SQL Server 2008 (10.0.x) программа установки SQL Server сохраняет acES для безопасности sql Server 2008 (10.0.x).
Для экземпляра отказоустойчивого кластера SQL Server записи ACE учетной записи домена, настроенные для службы, сохраняются.
В данном разделе содержатся дополнительные сведения о службах SQL Server.
- Описание учетных записей служб
- Идентификация зависимых и не зависимых от экземпляра служб
- Локализованные имена служб
Учетной записью службы является учетная запись, используемая для запуска службы Windows, например ядра СУБД SQL Server. При запуске SQL Server не требуется добавлять учетную запись службы в качестве имени входа для SQL Server в дополнение к идентификатору безопасности службы, который имеется всегда и является членом предопределенной роли сервера sysadmin.
В дополнение к новым управляемым учетным записям служб, групповым управляемым учетным записям служб и виртуальным учетным записям, описанным выше, могут использоваться следующие учетные записи.
Учетная запись пользователя домена
Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.
При настройке SQL Server на использование учетной записи домена можно изолировать права доступа для службы, при этом придется управлять паролями вручную или создать пользовательское решение для управления паролями. Эта стратегия помогает повысить безопасность многих серверных приложений, но повышает сложность и требует дополнительного администрирования. В этих случаях развертывания администраторы служб тратят значительное количество времени на выполнение задач обслуживания, таких как управление паролями служб и именами участников-служб (SPN), необходимыми для проверки подлинности Kerberos. Кроме того, задачи обслуживания могут нарушить работу службы.
Учетные записи локальных пользователей
Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.
Учетная запись локальной службы
Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных.
Учетная запись локальной службы не поддерживается для служб SQL Server и агента SQL Server. Локальная служба не поддерживается в качестве учетной записи для запуска этих служб, так как это общая служба, а любые другие службы, работающие под учетной записью локальной службы, получили бы доступ с правами администратора к SQL Server.
Фактическое имя этой учетной записи — NT AUTHORITY\LOCAL SERVICE
.
Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, которые работают в виде учетной записи сетевой службы, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$
. Фактическое имя этой учетной записи — NT AUTHORITY\NETWORK SERVICE
.
Учетная запись локальной системы
Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — NT AUTHORITY\SYSTEM.
Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Запустив программу установки SQL Server для каждого компонента или службы, можно установить несколько копий служб, связанных с экземплярами. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.
В число служб SQL Server, связанных с экземпляром, входят следующие.
SQL Server
Агент SQL Server
Учитывайте, что служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.
-
Службы Analysis Services
Службы Analysis Services в режиме интеграции с SharePoint запускаются как единичный именованный экземпляр Power Pivot. Имя экземпляра фиксировано. Другое имя указать нельзя. На каждом физическом сервере можно установить только один экземпляр служб Analysis Services, запускаемый под именем Power Pivot.
-
Службы отчетов
Полнотекстовый поиск
В число служб SQL Server, не связанных с экземпляром, входят следующие.
- Службы Integration Services
- Обозреватель SQL Server
- Модуль записи SQL
В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.
Язык | Имя для Local Service | Имя сетевой службы | Имя Local System | Имя группы администраторов |
---|---|---|---|---|
Английский Упрощенный китайский Традиционный китайский Корейский Японский |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Немецкий | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Французский | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Итальянский | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Испанский | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
русский | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |