Выбор учетной записи для службы агента SQL Server
Область применения:
SQL Server Управляемый экземпляр SQL Azure
Внимание
В Управляемом экземпляре Azure SQL в настоящее время поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия в T-SQL между Управляемым экземпляром SQL Azure и SQL Server.
Учетная запись запуска службы определяет учетную запись Microsoft Windows, с которой запускается агент SQL Server, а также его сетевые разрешения. Агент SQL Server выполняется как заданная учетная запись пользователя. Диспетчер конфигурации SQL Server позволяет выбрать учетную запись службы агента SQL Server из следующих вариантов:
Встроенная учетная запись. Может быть выбрана из списка следующих встроенных учетных записей Windows:
- Учетная записьЛокальная система . Имя этой учетной записи — NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам. У нее есть членство в группе администраторов Windows на локальном компьютере.
Внимание
Параметр С системной учетной записью поддерживается для обратной совместимости. Учетная запись локальной системы имеет разрешения, которые агент SQL Server не требуются. Не допускайте запуска агента SQL Server от имени учетной записи локальной системы. В целях безопасности рекомендуется пользоваться учетной записью домена Windows с разрешениями, перечисленными в подразделе «Разрешения учетной записи домена Windows» ниже в этом разделе.
Указанная учетная запись. Позволяет задать учетную запись домена Windows, с которой выполняется служба агента SQL Server. Рекомендуем выбирать учетную запись пользователя Windows, не входящего в группу Администраторы. Но при администрировании нескольких серверов, если учетная запись службы агента SQL Server не входит в локальную группу Администраторы, есть определенные ограничения. Дополнительные сведения см. в разделе "Поддерживаемые типы учетных записей служб", приведенные в этой статье.
Разрешения учетной записи домена Windows
В целях повышения безопасности выбирайте пункт Указанная учетная запись, соответствующий учетной записи домена Windows. Заданная учетная запись домена Windows должна обладать следующими разрешениями:
В всех версиях Windows разрешение на вход в качестве службы (
SeServiceLogonRight)Примечание.
Учетная запись службы агент SQL Server должна быть частью группы доступа с поддержкой Windows 2000 на контроллере домена или заданиями, принадлежащими пользователям домена, которые не являются членами группы администраторов Windows.
На серверах Windows учетной записи, с которой выполняется служба агента SQL Server, для поддержки посредников агента SQL Server необходимы следующие разрешения:
- Разрешение на обход проверки (
SeChangeNotifyPrivilege) - Разрешение на замена маркера уровня процесса (
SeAssignPrimaryTokenPrivilege) - Разрешение на настройку квот памяти для процесса (
SeIncreaseQuotaPrivilege) - Разрешение на доступ к этому компьютеру из сети (
SeNetworkLogonRight)
- Разрешение на обход проверки (
Если у учетной записи нет разрешений, необходимых для поддержки прокси-серверов, могут создавать задания только члены предопределенных ролей сервера sysadmin .
Для получения уведомления об оповещении инструментария управления Windows (WMI) учетная запись службы для агент SQL Server должна быть предоставлена разрешение на пространство имен, содержащее события WMI и ALTER ANY EVENT NOTIFICATION.
Членство в ролях SQL Server
По умолчанию учетная запись службы агент SQL Server сопоставляется с идентификатором безопасности службы агент SQL Server по умолчанию (NT SERVICE\SQLSERVERAGENT), который является членом предопределенной роли сервера sysadmin. Учетная запись также должна быть членом msdb роли базы данных TargetServersRole на главном сервере, если используется обработка многосерверного задания. Мастер master Server автоматически добавляет учетную запись службы в эту роль в рамках процесса зачисления.
Поддерживаемые типы учетных записей
В следующей таблице перечислены типы учетных записей Windows, которые можно использовать для службы агента SQL Server.
| Тип учетной записи | Некластеризованный сервер | Кластеризованный сервер | Контроллер домена (некластеризованный) |
|---|---|---|---|
| Учетная запись домена Microsoft Windows (член группы "Администраторы" Windows) | Поддерживается | Поддерживаемые | Поддерживается |
| Неадминистративная учетная запись домена Windows | Поддерживается См. ограничение 1 далее в этом разделе. |
Поддерживается См. ограничение 1 далее в этом разделе. |
Поддерживается См. ограничение 1 далее в этом разделе. |
Учетная запись сетевой службы (NT AUTHORITY\NetworkService) |
Поддерживается См. ограничения 1, 3 и 4 далее в этом разделе. |
Не поддерживается | Не поддерживается |
| Неадминистративная учетная запись локального пользователя | Поддерживается См. ограничение 1 далее в этом разделе. |
Не поддерживается | Нет данных |
Учетная запись локальной системы (NT AUTHORITY\System) |
Поддерживается См. ограничения 2 далее в этом разделе. |
Не поддерживается | Поддерживается См. ограничения 2 далее в этом разделе. |
Учетная запись локальной службы (NT AUTHORITY\LocalService) |
Не поддерживается | Не поддерживается | Не поддерживается |
Ограничение 1. Использование неадминистративных учетных записей для администрирования нескольких серверов
При подключении целевых серверов к главному серверу может произойть сбой со следующим сообщением об ошибке: The enlist operation failed.
Чтобы устранить эту ошибку, перезапустите службы SQL Server и агента SQL Server. Дополнительные сведения см. в разделе "Пуск", "Остановка", "Приостановка", "Возобновление" и перезапуск служб SQL Server.
Ограничение 2. Администрирование нескольких серверов с использованием учетной записи локальной системы
Администрирование нескольких серверов поддерживается при выполнении службы агента SQL Server с использованием учетной записи Local System только в том случае, если целевой и главный серверы расположены на одном и том же компьютере. При использовании этой конфигурации, при прикреплении целевого сервера к главному серверу, возвращается следующее сообщение:
Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.
Данное сообщение можно пропустить. Операция прикрепления должна быть завершена успешно. Дополнительные сведения см. в разделе "Создание многосерверной среды".
Ограничение 3. Использование учетной записи сетевой службы, которая является учетной записью SQL Server
Агент SQL Server может не запуститься, если вы запускаете службу агент SQL Server под учетной записью сетевой службы, а учетная запись сетевой службы явно предоставляет доступ для входа в экземпляр SQL Server в качестве пользователя SQL Server.
Чтобы устранить эту проблему, перезапустите компьютер, на котором запущен SQL Server. Это действие необходимо выполнить однократно.
Ограничение 4. Использование учетной записи сетевой службы при выполнении служб SQL Server Reporting Services на том же самом компьютере
Агент SQL Server может не запуститься, если вы запускаете службу агент SQL Server в учетной записи сетевой службы, а службы Reporting Services также выполняются на том же компьютере.
Чтобы устранить эту проблему, перезапустите компьютер, на котором запущен SQL Server, а затем перезапустите sql Server и службы агент SQL Server. Это действие необходимо выполнить однократно.
Стандартные задачи
Диспетчер конфигурации SQL Server позволяет указать, что агент SQL Server должен запуститься при запуске операционной системы.