Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
SQL Server'daki her hizmet, Windows ile SQL Server işlemlerinin kimlik doğrulamasını yönetmek için bir işlemi veya bir dizi işlemi temsil eder. Bu makalede, SQL Server'ın bu sürümündeki hizmetlerin varsayılan yapılandırması ve SQL Server yüklemesi sırasında ve sonrasında ayarlayabileceğiniz SQL Server hizmetleri için yapılandırma seçenekleri açıklanmaktadır. Bu makale, ileri düzey kullanıcıların hizmet hesaplarının ayrıntılarını anlamasına yardımcı olur.
Uyarı
Linux üzerinde SQL Server izinleri hakkında daha fazla bilgi için bkz. Linux üzerinde SQL Server - Güvenlik ve izinler kılavuzu.
Çoğu hizmet ve özellikleri SQL Server Configuration Manager kullanılarak yapılandırılabilir. Windows C sürücüsüne yüklendiğinde son sürümlerin yolları aşağıdadır.
| SQL Server sürümü | Yol |
|---|---|
| SQL Server 2025 (17.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
Azure Arc tarafından etkinleştirilen SQL Server
SQL Server için Azure Uzantısı'nın gerektirdiği izinler için bkz. SQL Server için Azure uzantısı için Windows hizmet hesaplarını ve izinlerini yapılandırma.
SQL Server tarafından yüklenen hizmetler
Yüklemeye karar vereceğiniz bileşenlere bağlı olarak, SQL Server Kurulumu aşağıdaki hizmetleri yükler:
| Hizmet | Açıklama |
|---|---|
| SQL Server Veritabanı Hizmetleri | SQL Server ilişkisel Veritabanı Altyapısı hizmeti. Yürütülebilir dosya şeklindedir \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| SQL Server Aracısı | İşleri yürütür, SQL Server'ı izler, uyarıları tetikler ve bazı yönetim görevlerinin otomasyonuna olanak tanır. SQL Server Agent hizmeti var ancak SQL Server Express örneklerinde devre dışı bırakıldı. Yürütülebilir dosya şeklindedir \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Analysis Services | İş zekası uygulamaları için çevrimiçi analitik işleme (OLAP) ve veri madenciliği işlevselliği sağlar. Yürütülebilir dosya şeklindedir \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Raporlama Hizmetleri | Raporları yönetir, yürütür, oluşturur, zamanlar ve teslim eder. Yürütülebilir dosya şeklindedir \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Entegrasyon Hizmetleri | Integration Services paket depolama ve yürütme için yönetim desteği sağlar. Yürütülebilir yol şeklindedir \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
Tümleştirme Hizmetleri, ölçeği genişletme dağıtımları için ek hizmetler içerebilir. Daha fazla bilgi için bkz . İzlenecek Yol: Integration Services (SSIS) ÖlçeğiNi Genişletmeyi Ayarlama.
| Hizmet | Açıklama |
|---|---|
| SQL Server Tarayıcısı | İstemci bilgisayarlar için SQL Server bağlantı bilgilerini sağlayan ad çözümleme hizmeti. Yürütülebilir yol şudur: C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Tam metin arama | SQL Server için belge filtreleme ve sözcük ayırma sağlamak için yapılandırılmış ve yarı yapılandırılmış verilerin içeriği ve özellikleri üzerinde hızlı bir şekilde tam metin dizinleri oluşturur. |
| SQL Yazıcı | Yedekleme ve geri yükleme uygulamalarının Birim Gölge Kopyası Hizmeti (VSS) çerçevesinde çalışmasına izin verir. |
| SQL Server Dağıtılmış Yeniden Yürütme Denetleyicisi | Birden çok Dağıtılmış Yeniden Yürütme istemci bilgisayarda izleme yeniden yürütme düzenlemesi sağlar. |
| SQL Server Dağıtılmış Yeniden Yürütme İstemcisi | SQL Server Veritabanı Altyapısı örneğinde eşzamanlı iş yüklerinin benzetimini yapmak için Dağıtılmış Yeniden Yürütme denetleyicisiyle birlikte çalışan bir veya daha fazla Dağıtılmış Yeniden Yürütme istemci bilgisayarı. |
| SQL Server Başlatma Çubuğu | R Hizmetleri veya Machine Learning Services kapsamında yüklenen R veya Python çalışma zamanları gibi Microsoft tarafından sağlanan dış yürütülebilir dosyaları barındıran güvenilir bir hizmet. Uydu işlemleri Launchpad işlemi tarafından başlatılabilir, ancak kaynak tek tek örneğin yapılandırmasına göre yönetilir. Launchpad hizmeti kendi kullanıcı hesabı altında çalışır ve belirli, kayıtlı bir çalışma zamanı için her uydu işlemi Launchpad'in kullanıcı hesabını devralır. Uydu işlemleri, yürütme sırasında isteğe bağlı olarak oluşturulur ve yok edilir. SQL Server'ı etki alanı denetleyicisi olarak da kullanılan bir bilgisayara yüklerseniz Başlatma Çubuğu kullandığı hesapları oluşturamaz. Bu nedenle, etki alanı denetleyicisinde R Services (In-Database) veya Machine Learning Services (In-Database) kurulumu başarısız olur. |
| SQL Server PolyBase Altyapısı | Dış veri kaynaklarına dağıtılmış sorgu özellikleri sağlar. |
| SQL Server PolyBase Veri Taşıma Hizmeti | SQL Server ile Dış Veri Kaynakları arasında ve PolyBase Ölçek Genişletme Grupları'ndaki SQL düğümleri arasında veri taşımayı etkinleştirir. |
SQL Server tarafından yüklenen CEIP hizmetleri
SQL Server kullanımı ve tanılama verileri toplama (CEIP) için Yerel denetim, telemetri verilerini Microsoft'a geri gönderir.
Yüklemeye karar vereceğiniz bileşenlere bağlı olarak, SQL Server kurulumu aşağıdaki CEIP hizmetlerini yükler.
| Hizmet | Açıklama |
|---|---|
| SQLTELEMETRY | Veritabanı altyapısı telemetri verilerini Microsoft'a geri gönderen Müşteri Deneyimini Geliştirme Programı. |
| SSASTELEMETRY | SSAS telemetri verilerini Microsoft'a geri gönderen Müşteri Deneyimini Geliştirme Programı. |
| SSISTELEMETRY | SSIS telemetri verilerini Microsoft'a geri gönderen Müşteri Deneyimini Geliştirme Programı. |
Hizmet özellikleri ve yapılandırma
SQL Server'ı başlatmak ve çalıştırmak için kullanılan başlangıç hesapları etki alanı kullanıcı hesapları, yerel kullanıcı hesapları, yönetilen hizmet hesapları, sanal hesaplar veya yerleşik sistem hesapları olabilir. Başlatmak ve çalıştırmak için, SQL Server'daki her hizmetin yükleme sırasında yapılandırılmış bir başlangıç hesabı olmalıdır.
Uyarı
SQL Server 2016 (13.x) ve sonraki sürümleri için SQL Server yük devretme kümesi örneği için, etki alanı kullanıcı hesapları veya grup tarafından yönetilen hizmet hesapları SQL Server için başlangıç hesapları olarak kullanılabilir.
Bu bölümde, SQL Server hizmetlerini başlatmak için yapılandırılabilir hesaplar, SQL Server Kurulumu tarafından kullanılan varsayılan değerler, hizmet başına SID kavramı, başlangıç seçenekleri ve güvenlik duvarını yapılandırma açıklanmaktadır.
- Varsayılan hizmet hesapları
- Otomatik başlatma
- Hizmet StartupType'ı yapılandırma
- Güvenlik duvarı bağlantı noktası
Varsayılan hizmet hesapları
Aşağıdaki tabloda, tüm bileşenler yüklenirken kurulum tarafından kullanılan varsayılan hizmet hesapları listelenmiştir. Belirtilenler dışında, listelenen varsayılan hesaplar önerilen hesaplardır.
Tek başına sunucu veya etki alanı denetleyicisi
| Bileşen | Windows Sunucusu 2008 | Windows 7, Windows Server 2008 R2 ve üzeri |
|---|---|---|
| Veritabanı Altyapısı | AĞ HİzMETİ | Sanal hesap1 |
| SQL Server Aracısı | AĞ HİzMETİ | Sanal hesap1 |
| SSAS | AĞ HİzMETİ | Sanal hesap12 |
| Microsoft SQL Server Entegrasyon Hizmetleri (SSIS) | AĞ HİzMETİ | Sanal hesap1 |
| SSRS | AĞ HİzMETİ | Sanal hesap1 |
| SQL Server Dağıtılmış Yeniden Yürütme Denetleyicisi | AĞ HİzMETİ | Sanal hesap1 |
| SQL Server Dağıtılmış Yeniden Yürütme İstemcisi | AĞ HİzMETİ | Sanal hesap1 |
| FD Launcher (Tam Metin Arama) | YEREL HİzMET | Sanal hesap |
| SQL Server Tarayıcısı | YEREL HİzMET | YEREL HİzMET |
| SQL Server VSS Yazıcı | YEREL SISTEM | YEREL SISTEM |
| Gelişmiş Analiz Uzantıları | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| PolyBase Altyapısı | AĞ HİzMETİ | AĞ HİzMETİ |
| PolyBase Veri Taşıma Hizmeti | AĞ HİzMETİ | AĞ HİzMETİ |
1 SQL Server bilgisayarı dışındaki kaynaklar gerektiğinde, Microsoft gereken en düşük ayrıcalıklarla yapılandırılmış bir yönetilen hizmet hesabı (MSA) kullanılmasını önerir.
2 Etki alanı denetleyicisine yüklendiğinde, hizmet hesabı olarak bir sanal hesap desteklenmez.
SQL Server yük devretme kümesi örneği
| Bileşen | Windows Sunucusu 2008 | Windows Sunucusu 2008 R2 |
|---|---|---|
| Veritabanı Altyapısı | Yok. Bir etki alanı kullanıcı hesabı sağlayın. | Bir etki alanı kullanıcı hesabı sağlayın. |
| SQL Server Aracısı | Yok. Bir etki alanı kullanıcı hesabı sağlayın. | Bir etki alanı kullanıcı hesabı sağlayın. |
| SSAS | Yok. Bir etki alanı kullanıcı hesabı sağlayın. | Bir etki alanı kullanıcı hesabı sağlayın. |
| Microsoft SQL Server Entegrasyon Hizmetleri (SSIS) | AĞ HİzMETİ | Sanal hesap |
| SSRS | AĞ HİzMETİ | Sanal hesap |
| FD Launcher (Tam Metin Arama) | YEREL HİzMET | Sanal hesap |
| SQL Server Tarayıcısı | YEREL HİzMET | YEREL HİzMET |
| SQL Server VSS Yazıcı | YEREL SISTEM | YEREL SISTEM |
Hesap özelliklerini değiştirme
- SQL Server Veritabanı Altyapısı veya SQL Server Aracısı hizmetleri tarafından kullanılan hesabı değiştirmek veya hesabın parolasını değiştirmek için her zaman SQL Server Configuration Manager gibi SQL Server araçlarını kullanın. HESAP adını değiştirmenin yanı sıra SQL Server Configuration Manager, Veritabanı Altyapısı için hizmet ana anahtarını koruyan Windows yerel güvenlik deposunu güncelleştirme gibi ek yapılandırmalar gerçekleştirir. Windows Hizmetleri Denetim Yöneticisi gibi diğer araçlar hesap adını değiştirebilir ancak tüm gerekli ayarları değiştirmez.
Başka yöntemler kullanarak herhangi bir SQL hizmetinin hizmet hesaplarını değiştirirseniz, bu beklenmeyen davranışlara veya hatalara yol açabilir. Örneğin, Windows hizmetleri uygulamasını kullanarak SQL Aracısı hizmet hesabını bir etki alanı hesabıyla değiştirirseniz, İşletim Sistemi (Cmdexec), Çoğaltma veya SSIS iş adımlarını kullanan SQL aracısı işlerinin aşağıdaki gibi bir hatayla başarısız olabileceğini fark edebilirsiniz:
Executed as user : Domain\Account.
The process couldn't be created for step Step Number of job Unique Job ID (reason: A required privilege isn't held by the client). The step failed.
Bu hatayı çözmek için SQL Server Configuration Manager'ı kullanarak aşağıdakileri yapmanız gerekir:
- SQL Aracısı hizmet hesabını geçici olarak varsayılan sanal hesaba geri döndür (Varsayılan örnek: NT Service\SQLSERVERAGENT. Adlandırılmış örnek: NT Service\SQLAGENT$<instance_name>.)
- SQL Server Agent Service'i yeniden başlatma
- Hizmet hesabını yeniden istenen etki alanı hesabıyla değiştirme
- SQL Server Agent hizmetini yeniden başlatma
SharePoint grubuna dağıttığınız Analysis Services örnekleri için her zaman SharePoint Yönetim Merkezi'ni kullanarak Power Pivot hizmeti uygulamalarının ve Analysis Services hizmetinin sunucu hesaplarını değiştirin. Yönetim Merkezi'ni kullandığınızda, ilişkili ayarlar ve izinler yeni hesap bilgilerini kullanacak şekilde güncelleştirilir.
Reporting Services seçeneklerini değiştirmek için Reporting Services Yapılandırma Aracı'nı kullanın.
Yönetilen hizmet hesapları, grup tarafından yönetilen hizmet hesapları ve sanal hesaplar
Yönetilen hizmet hesapları, grup tarafından yönetilen hizmet hesapları ve sanal hesaplar, KENDI hesaplarının yalıtımıyla SQL Server gibi önemli uygulamalar sağlamak için tasarlanmıştır ve bir yöneticinin bu hesapların Hizmet Asıl Adını (SPN) ve kimlik bilgilerini el ile yönetme gereksinimini ortadan kaldırır. Bunlar hizmet hesabı kullanıcılarının, parolalarının ve SPN'lerin uzun vadeli yönetimini kolaylaştırır.
Yönetilen hizmet hesapları
Yönetilen hizmet hesabı (MSA), etki alanı denetleyicisi tarafından oluşturulan ve yönetilen bir etki alanı hesabı türüdür. Bir hizmeti çalıştırmak için tek bir üye bilgisayara atanır. Parola, etki alanı denetleyicisi tarafından otomatik olarak yönetilir. Bir bilgisayarda oturum açmak için MSA kullanamazsınız, ancak bir bilgisayar Windows hizmetini başlatmak için MSA kullanabilir. MSA, servicePrincipalName okuma ve yazma izinleri verildiğinde Active Directory'de bir Hizmet Asıl Adı (SPN) kaydetme özelliğine sahiptir. MSA, örneğin
$birDOMAIN\ACCOUNTNAME$sonek ile adlandırılır. MSA belirtirken parolayı boş bırakın. MSA tek bir bilgisayara atandığından, bir Windows kümesinin farklı düğümlerinde kullanılamaz.Uyarı
SQL Server kurulumunun SQL Server hizmetleri için kullanabilmesi için MSA'nın etki alanı yöneticisi tarafından Active Directory'de oluşturulması gerekir.
Grup tarafından yönetilen hizmet hesapları
Grup tarafından yönetilen hizmet hesabı (gMSA), birden çok sunucu için bir MSA'dır. Windows, bir sunucu grubunda çalışan hizmetler için bir hizmet hesabını yönetir. Active Directory, hizmetleri yeniden başlatmadan grup tarafından yönetilen hizmet hesabı parolasını otomatik olarak güncelleştirir. SQL Server hizmetlerini grup tarafından yönetilen bir hizmet hesabı sorumlusu kullanacak şekilde yapılandırabilirsiniz. SQL Server 2014'le başlayarak, SQL Server tek başına örnekler için grup tarafından yönetilen hizmet hesaplarını ve yük devretme kümesi örnekleri ve kullanılabilirlik grupları için SQL Server 2016 ve üzerini destekler.
SQL Server 2014 veya sonraki sürümlerde gMSA kullanmak için işletim sisteminin Windows Server 2012 R2 veya üzeri olması gerekir. Windows Server 2012 R2'ye sahip sunucular, bir parola değişikliğinden hemen sonra hizmetlerin kesintiye uğramadan oturum açabilmesi için KB 2998082 uygulanmasını gerektirir.
Daha fazla bilgi için bkz. Windows Server 2016 ve üzeri için Grup Yönetilen Hizmet Hesapları . Windows Server'ın önceki sürümleri için bkz. Grup Yönetilen Hizmet Hesapları.
Uyarı
SQL Server kurulumunun SQL Server hizmetleri için kullanabilmesi için önce etki alanı yöneticisi tarafından Active Directory'de gMSA oluşturulmalıdır.
Sanal hesaplar
Sanal hesaplar, hizmet yönetimini basitleştirmek için aşağıdaki özellikleri sağlayan yönetilen yerel hesaplardır . Sanal hesap otomatik olarak yönetilir ve sanal hesap bir etki alanı ortamında ağa erişebilir. SQL Server kurulumu sırasında hizmet hesapları için varsayılan değer kullanılıyorsa, hizmet adı olarak örnek adını kullanan bir sanal hesap biçiminde
NT SERVICE\<SERVICENAME>kullanılır. Sanal hesap olarak çalışan hizmetler, biçimindeki bilgisayar hesabının kimlik bilgilerini kullanarak ağ kaynaklarına<domain_name>\<computer_name>$erişmektedir. SQL Server'ı başlatmak için bir sanal hesap belirtirken parolayı boş bırakın. Sanal hesap Hizmet Asıl Adı'nı (SPN) kaydedemezse SPN'yi el ile kaydedin. SPN'yi el ile kaydetme hakkında daha fazla bilgi için bkz. Kerberos bağlantıları için Hizmet Asıl Adı Kaydetme.Uyarı
Sanal hesap, kümenin her düğümünde aynı SID'ye sahip olmayacağından SQL Server yük devretme kümesi örneği için sanal hesaplar kullanılamaz.
Aşağıdaki tabloda sanal hesap adları örnekleri listelanmıştır.
Hizmet Sanal hesap adı Veritabanı Altyapısı hizmetinin varsayılan örneği NT SERVICE\MSSQLSERVERAdlı veritabanı altyapısı hizmetinin adlandırılmış örneği PAYROLLNT SERVICE\MSSQL$PAYROLLSQL Server'ın varsayılan örneğinde SQL Server Aracısı hizmeti NT Service\SQLSERVERAGENTADLı bir SQL Server örneğinde SQL Server Aracısı hizmeti PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Yönetilen hizmet hesapları ve sanal hesaplar hakkında daha fazla bilgi için, Hizmet Hesapları Adım Adım Kılavuzu ve Yönetilen Hizmet Hesapları Sık Sorulan Sorular (SSS) bölümündeki Yönetilen hizmet hesabı ve sanal hesap kavramları bölümüne bakın.
Uyarı
Sql Server hizmetlerini her zaman mümkün olan en düşük kullanıcı haklarını kullanarak çalıştırın. Mümkün olduğunda MSA, gMSA veya sanal hesap kullanın. MSA, gMSA ve sanal hesaplar mümkün olmadığında, SQL Server hizmetleri için paylaşılan hesap yerine belirli bir düşük ayrıcalıklı kullanıcı hesabı veya etki alanı hesabı kullanın. Farklı SQL Server hizmetleri için ayrı hesaplar kullanın. SQL Server hizmet hesabına veya hizmet gruplarına ek izinler verme. İzinler grup üyeliği aracılığıyla verilir veya doğrudan bir hizmet SID'sine verilir ve burada hizmet SID'leri desteklenir.
Otomatik başlatma
Kullanıcı hesaplarına sahip olmanın yanı sıra, her hizmetin kullanıcıların denetleyebileceği üç olası başlangıç durumu vardır:
- Devre dışı. Hizmet yüklü ancak şu anda çalışmıyor.
- El ile. Hizmet yüklenir, ancak yalnızca başka bir hizmet veya uygulamanın işlevselliğine ihtiyacı olduğunda başlatılır.
- Otomatik olarak. Hizmet, işletim sistemi tarafından otomatik olarak başlatılır.
Kurulum sırasında başlangıç durumu seçilir. Adlandırılmış bir örneği yüklerken, SQL Server Browser hizmeti otomatik olarak başlatılacak şekilde ayarlanmalıdır.
Katılımsız yükleme sırasında hizmetleri yapılandırma
Aşağıdaki tabloda, yükleme sırasında yapılandırılabilir SQL Server hizmetleri gösterilmektedir. Katılımsız yüklemeler için anahtarları bir yapılandırma dosyasında veya komut isteminde kullanabilirsiniz.
| SQL Server hizmet adı | Katılımsız yüklemeler için anahtarlar 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| Rapor Sunucusu | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Entegrasyon Hizmetleri | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| SQL Server Dağıtılmış Yeniden Yürütme Denetleyicisi | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| SQL Server Dağıtılmış Yeniden Yürütme İstemcisi | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R Hizmetleri veya Machine Learning Hizmetleri | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| PolyBase Altyapısı | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Katılımsız yüklemeler hakkında daha fazla bilgi ve örnek söz dizimi için komut isteminden windows üzerinde SQL Server'ı yükleme, yapılandırma veya kaldırma bölümüne bakın.
2 SQL Server Agent hizmeti, GELIŞMIŞ Hizmetler ile SQL Server Express ve SQL Server Express örneklerinde devre dışıdır.
3 Launchpad hesabının yalnızca anahtarlar aracılığıyla ayarlanması şu anda desteklenmemektedir. Hesabı ve diğer hizmet ayarlarını değiştirmek için SQL Server Configuration Manager'ı kullanın.
Güvenlik duvarı bağlantı noktası
Çoğu durumda, başlangıçta yüklendiğinde Veritabanı Altyapısı, SQL Server ile aynı bilgisayarda yüklü SQL Server Management Studio gibi araçlarla bağlanabilir. SQL Server Kurulumu, Windows Güvenlik Duvarı'nda bağlantı noktalarını açmaz. Veritabanı Altyapısı bir TCP bağlantı noktasında dinleyecek şekilde yapılandırılana ve Windows Güvenlik Duvarı'ndaki bağlantılar için uygun bağlantı noktası açılana kadar diğer bilgisayarlardan bağlantılar mümkün olmayabilir. Daha fazla bilgi için bkz. Windows Güvenlik Duvarı'nı SQL Server erişimine izin verecek şekilde yapılandırma.
Hizmet izinleri
Bu bölümde, SQL Server Kurulumu'nun SQL Server hizmetlerinin hizmet başına SID'leri için yapılandırdığı izinler açıklanmaktadır.
- Hizmet yapılandırması ve erişim denetimi
- Windows ayrıcalıkları ve hakları
- Hizmet başına SQL Server SID'lerine veya SQL Server yerel Windows gruplarına verilen dosya sistemi izinleri
- Diğer Windows kullanıcı hesaplarına veya gruplarına verilen dosya sistemi izinleri
- Sıra dışı disk konumlarıyla ilgili dosya sistemi izinleri
- Ek konuları gözden geçirme
- Kayıt defteri izinleri
- WMI
- adlandırılmış kanalları
Hizmet yapılandırması ve erişim denetimi
SQL Server, hizmetlerinin her biri için hizmet başına SID'nin hizmet yalıtımı ve derinlemesine savunma sağlamasına olanak tanır. Hizmet başına SID, hizmet adından türetilir ve bu hizmet için benzersizdir. Örneğin, Veritabanı Altyapısı hizmetinin adlandırılmış örneğinin hizmet SID adı olabilir NT Service\MSSQL$<instance_name>. Hizmet yalıtımı, yüksek ayrıcalıklı bir hesap çalıştırmaya veya nesnenin güvenlik korumasını zayıflatmaya gerek kalmadan belirli nesnelere erişim sağlar. SQL Server hizmeti, hizmet SID'sini içeren bir erişim denetimi girdisi kullanarak kaynaklarına erişimi kısıtlayabilir.
Uyarı
Windows 7 ve Windows Server 2008 R2 'de (ve üzeri) hizmet başına SID, hizmet tarafından kullanılan sanal hesap olabilir.
Çoğu bileşen için SQL Server, hizmet başına hesap için ACL'yi doğrudan yapılandırdığından, hizmet hesabını değiştirmek kaynak ACL işlemini yinelemek zorunda kalmadan yapılabilir.
SSAS yüklenirken Analysis Services hizmeti için hizmet başına SID oluşturulur. biçiminde SQLServerMSASUser$<computer_name>$<instance_name>adlı bir yerel Windows grubu oluşturulur. Hizmet başına SID'ye NT SERVICE\MSSQLServerOLAPService yerel Windows grubunda üyelik verilir ve yerel Windows grubuna ACL'de uygun izinler verilir. Analysis Services hizmetini başlatmak için kullanılan hesap değiştirilirse SQL Server Configuration Manager'ın bazı Windows izinlerini (hizmet olarak oturum açma hakkı gibi) değiştirmesi gerekir, ancak hizmet başına SID değişmediğinden yerel Windows grubuna atanan izinler güncelleştirme yapılmadan kullanılabilir. Bu yöntem, yükseltmeler sırasında Analysis Services hizmetinin yeniden adlandırılmasını sağlar.
SQL Server yüklemesi sırasında SQL Server Kurulumu, SSAS ve SQL Server Browser hizmeti için yerel bir Windows grubu oluşturur. Bu hizmetler için SQL Server, yerel Windows grupları için ACL'yi yapılandırıyor.
Hizmet yapılandırmasına bağlı olarak, bir hizmet veya hizmet SID'sinin hizmet hesabı, yükleme veya yükseltme sırasında hizmet grubunun üyesi olarak eklenir.
Windows ayrıcalıkları ve hakları
Bir hizmeti başlatmak için atanan hesabın hizmet için Başlatma, durdurma ve duraklatma iznine sahip olması gerekir. SQL Server Kurulum programı bunu otomatik olarak atar. İlk olarak Uzak Sunucu Yönetim Araçları'nı (RSAT) yükleyin. Bkz. Windows 10 için Uzak Sunucu Yönetim Araçları.
Aşağıdaki tabloda, SQL Server Kurulum'un SQL Server bileşenleri tarafından kullanılan hizmet başına SID'ler veya yerel Windows grupları için istediği izinler gösterilmektedir.
| SQL Server Hizmeti | SQL Server Kurulumu tarafından verilen izinler |
|---|---|
|
SQL Server Veritabanı Altyapısı: (Tüm haklar hizmet başına SID'ye verilir. Varsayılan örnek: NT SERVICE\MSSQLSERVER. Adlandırılmış örnek: NT Service\MSSQL$<instance_name>.) |
Hizmet olarak oturum açma (SeServiceLogonRight)İşlem düzeyi belirtecini değiştirme (SeAssignPrimaryTokenPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) İşlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) SQL Yazıcıyı başlatma izni Olay Günlüğü hizmetini okuma izni Uzaktan Yordam Çağrısı hizmetini okuma izni |
|
SQL Server Aracısı:1 (Tüm haklar hizmet başına SID'ye verilir. Varsayılan örnek: NT Service\SQLSERVERAGENT. Adlandırılmış örnek: NT Service\SQLAGENT$<instance_name>.) |
Hizmet olarak oturum açma (SeServiceLogonRight)İşlem düzeyi belirtecini değiştirme (SeAssignPrimaryTokenPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) İşlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) |
|
SSAS: (Tüm haklar yerel bir Windows grubuna verilir. Varsayılan örnek: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Adlandırılmış örnek: SQLServerMSASUser$<computer_name>$<instance_name>. SharePoint için Power Pivot örneği: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Hizmet olarak oturum açma (SeServiceLogonRight)Yalnızca tablosal için: İşlem çalışma kümesini artırma (SeIncreaseWorkingSetPrivilege) İşlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) Bellekteki sayfaları kilitleme (SeLockMemoryPrivilege) - Bu yalnızca disk belleği tamamen kapatıldığında gereklidir. Yalnızca yük devretme kümesi yüklemeleri için: Zamanlama önceliğini artırma (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Tüm haklar hizmet başına SID'ye verilir. Varsayılan örnek: NT SERVICE\ReportServer. Adlandırılmış örnek: NT SERVICE\ReportServer$<instance_name>.) |
Hizmet olarak oturum açma (SeServiceLogonRight) |
|
SSIS: (Tüm haklar hizmet başına SID'ye verilir. Varsayılan örnek ve adlandırılmış örnek: NT SERVICE\MsDtsServer150. Integration Services'ın adlandırılmış örnek için ayrı bir işlemi yoktur.) |
Hizmet olarak oturum açma (SeServiceLogonRight)Uygulama olay günlüğüne yazma izni. Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) Kimlik doğrulaması sonrasında istemcinin kimliğine bürünme (SeImpersonatePrivilege) |
|
Tam metin araması: (Tüm haklar hizmet başına SID'ye verilir. Varsayılan örnek: NT Service\MSSQLFDLauncher. Adlandırılmış örnek: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Hizmet olarak oturum açma (SeServiceLogonRight)İşlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) |
|
SQL Server Tarayıcısı: (Tüm haklar yerel bir Windows grubuna verilir. Varsayılan veya adlandırılmış örnek: SQLServer2005SQLBrowserUser$<computer_name>. SQL Server Browser'ın adlandırılmış örnek için ayrı bir işlemi yoktur.) |
Hizmet olarak oturum açma (SeServiceLogonRight) |
|
SQL Server VSS Yazıcısı: (Tüm haklar hizmet başına SID'ye verilir. Varsayılan veya adlandırılmış örnek: NT Service\SQLWriter. SQL Server VSS Yazıcı'nın adlandırılmış örnek için ayrı bir işlemi yoktur.) |
SQLWriter hizmeti, gerekli tüm izinlere sahip olan hesabın altında LOCAL SYSTEM çalışır. SQL Server kurulumu bu hizmet için izinleri denetlemez veya vermez. |
| SQL Server Dağıtılmış Yeniden Yürütme Denetleyicisi: |
Hizmet olarak oturum açma (SeServiceLogonRight) |
| SQL Server Dağıtılmış Yeniden Yürütme İstemcisi: |
Hizmet olarak oturum açma (SeServiceLogonRight) |
| PolyBase Altyapısı ve DMS: |
Hizmet olarak oturum açma (SeServiceLogonRight) |
| Launchpad: |
Hizmet olarak oturum açma (SeServiceLogonRight)İşlem düzeyi belirtecini değiştirme (SeAssignPrimaryTokenPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) İşlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) ve SQL Server 2017 (14.x)) | varsayılan olarak Yerel Olarak Oturum Açmaya İzin Ver iznine sahip değildir |
| Machine Learning Services: 'Tüm Uygulama Paketleri' [AppContainer] (SQL Server 2019 (15.x)) | SQL Server 'Binn', R_Services ve PYTHON_Services dizinlerine yönelik izinleri okuma ve yürütme |
1 SQL Server Agent hizmeti, SQL Server Express örneklerinde devre dışıdır.
Hizmet başına SQL Server SID'lerine veya yerel Windows gruplarına verilen dosya sistemi izinleri
SQL Server hizmet hesaplarının kaynaklara erişimi olmalıdır. Erişim denetim listeleri, hizmet başına SID veya yerel Windows grubu için ayarlanır.
Önemli
Yük devretme kümesi yüklemeleri için, paylaşılan disklerdeki kaynakların yerel bir hesap için ACL olarak ayarlanması gerekir.
Aşağıdaki tabloda SQL Server Kurulumu tarafından ayarlanan ACL'ler gösterilmektedir:
| Için hizmet hesabı | Dosyalar ve klasörler | Erişim |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Tam denetim |
| Instid\MSSQL\binn | Okuma, Yürütme | |
| Instid\MSSQL\data | Tam denetim | |
| Instid\MSSQL\FTData | Tam denetim | |
| Instid\MSSQL\Install | Okuma, Yürütme | |
| Instid\MSSQL\Log | Tam denetim | |
| Instid\MSSQL\Repldata | Tam denetim | |
| 150\paylaşılan | Okuma, Yürütme | |
| Instid\MSSQL\Template Data (yalnızca SQL Server Express) | Okumak | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Tam denetim |
| Instid\MSSQL\Log | Okuma, Yazma, Silme, Yürütme | |
| 150\com | Okuma, Yürütme | |
| 150\paylaşılan | Okuma, Yürütme | |
| 150\shared\Errordumps | Okuma, Yazma | |
| ServerName\EventLog | Tam denetim | |
| FTS | Instid\MSSQL\FTData | Tam denetim |
| Instid\MSSQL\FTRef | Okuma, Yürütme | |
| 150\paylaşılan | Okuma, Yürütme | |
| 150\shared\Errordumps | Okuma, Yazma | |
| Instid\MSSQL\Install | Okuma, Yürütme | |
| Instid\MSSQL\jobs | Okuma, Yazma | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Tam denetim |
| Instid\OLAP | Okuma, Yürütme | |
| Instid\Olap\Data | Tam denetim | |
| Instid\Olap\Log | Okuma, Yazma | |
| Instid\OLAP\Backup | Okuma, Yazma | |
| Instid\OLAP\Temp | Okuma, Yazma | |
| 150\shared\Errordumps | Okuma, Yazma | |
| Rapor Sunucusu | Instid\Raporlama Hizmetleri\Log Dosyaları | Okuma, Yazma, Silme |
| Instid\Reporting Services\ReportServer | Okuma, Yürütme | |
| Instid\Reporting Services\ReportServer\global.asax | Tam denetim | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Okumak | |
| Instid\Reporting Services\RSTempfiles | Okuma, Yazma, Yürütme, Silme | |
| Instid\Reporting Services\RSWebApp | Okuma, Yürütme | |
| 150\paylaşılan | Okuma, Yürütme | |
| 150\shared\Errordumps | Okuma, Yazma | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Okumak |
| 150\dts\binn | Okuma, Yürütme | |
| 150\paylaşılan | Okuma, Yürütme | |
| 150\shared\Errordumps | Okuma, Yazma | |
| SQL Server Tarayıcısı | 150\shared\ASConfig | Okumak |
| 150\paylaşılan | Okuma, Yürütme | |
| 150\shared\Errordumps | Okuma, Yazma | |
| SQLWriter | Yok (Yerel sistem olarak çalışır) | |
| Kullanıcı | Instid\MSSQL\binn | Okuma, Yürütme |
| Instid\Reporting Services\ReportServer | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| Instid\Reporting Services\ReportServer\global.asax | Okumak | |
| Instid\Reporting Services\RSWebApp | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| 150\dts | Okuma, Yürütme | |
| 150\araçlar | Okuma, Yürütme | |
| 100\araçlar | Okuma, Yürütme | |
| 90\araçlar | Okuma, Yürütme | |
| 80\araçlar | Okuma, Yürütme | |
| 150\sdk | Okumak | |
| Microsoft SQL Server\150\Setup Bootstrap | Okuma, Yürütme | |
| SQL Server Dağıtılmış Yeniden Yürütme Denetleyicisi | <ToolsDir>\DReplayController\Log\ (boş dizin) | Klasör İçeriğini Okuma, Yürütme, Listeleme |
| <AraçlarDir>\DReplayController\DReplayController.exe | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayController\resources| Klasör İçeriğini Okuma, Yürütme, Listeleme | ||
| <ToolsDir>\DReplayController\{all dlls} | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayController\DReplayController.config | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayController\IRDefinition.xml | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| SQL Server Dağıtılmış Yeniden Yürütme İstemcisi | <ToolsDir>\DReplayClient\Log| Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayClient\DReplayClient.exe | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <ToolsDir>\DReplayClient\resources| Klasör İçeriğini Okuma, Yürütme, Listeleme | ||
| <ToolsDir>\DReplayClient\ (tüm dll'ler) | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayClient\DReplayClient.config | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayClient\IRTemplate.tdf | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| <AraçlarDir>\DReplayClient\IRDefinition.xml | Klasör İçeriğini Okuma, Yürütme, Listeleme | |
| Launchpad | %binn | Okuma, Yürütme |
| ExtensiblilityData | Tam denetim | |
| Log\Genişletilebilirlik Günlüğü | Tam denetim |
1 SQL Server Agent hizmeti, GELIŞMIŞ Hizmetler ile SQL Server Express ve SQL Server Express örneklerinde devre dışıdır.
Veritabanı dosyaları kullanıcı tanımlı bir konumda depolandığında, bu konuma hizmet başına SID erişimi vermelisiniz. Hizmet başına SID'ye dosya sistemi izinleri verme hakkında daha fazla bilgi için bkz. Veritabanı Altyapısı erişimi için dosya sistemi izinlerini yapılandırma.
Diğer Windows kullanıcı hesaplarına veya gruplarına verilen dosya sistemi izinleri
Bazı erişim denetimi izinlerinin yerleşik hesaplara veya diğer SQL Server hizmet hesaplarına verilmesi gerekebilir. Aşağıdaki tabloda SQL Server Kurulumu tarafından ayarlanan ek ACL'ler listelenmiştir.
| Bileşen isteniyor | Firma | Kaynak | İzinler |
|---|---|---|---|
| MSSQLServer | Performans Günlüğü Kullanıcıları | Instid\MSSQL\binn | Klasör içeriğini listeleme |
| Performans İzleyici Kullanıcıları | Instid\MSSQL\binn | Klasör içeriğini listeleme | |
| Performans Günlüğü Kullanıcıları, Performans İzleyicisi Kullanıcıları | \WINNT\system32\sqlctr150.dll | Okuma, Yürütme | |
| Yalnızca yönetici |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Tam denetim | |
| Yöneticiler, Sistem | \tools\binn\schemas\sqlserver\2004\07\showplan | Tam denetim | |
| Kullanıcılar | \tools\binn\schemas\sqlserver\2004\07\showplan | Okuma, Yürütme | |
| Raporlama Hizmetleri | Rapor Sunucusu Windows Hizmet Hesabı | <install>\Reporting Services\LogFiles | DELETEOKUMA_KONTROLÜ SENKRONİZE ETMEK FILE_GENERIC_READ FILE_GENERIC_WRITE DOSYA_OKUMA_VERİSİ DOSYA_VERİ_YAZ FILE_APPEND_DATA EA_OKUMA_DOSYASI FILE_WRITE_EA FILE_READ_ATTRIBUTES DOSYA_YAZMA_ÖZNİTELİKLERİ |
| Rapor Sunucusu Windows Hizmet Hesabı | <install>\Reporting Services\ReportServer | Okumak | |
| Rapor Sunucusu Windows Hizmet Hesabı | <install>\Reporting Services\ReportServer\global.asax | Tamamen dolu | |
| Rapor Sunucusu Windows Hizmet Hesabı | <install>\Reporting Services\RSWebApp | Okuma, Yürütme | |
| Herkes | <install>\Reporting Services\ReportServer\global.asax | OKUMA_KONTROLÜ DOSYA_OKUMA_VERİSİ EA_OKUMA_DOSYASI FILE_READ_ATTRIBUTES |
|
| ReportServer Windows Hizmetleri Hesabı | <yükleme>\Reporting Services\ReportServer\rsreportserver.config | DELETEOKUMA_KONTROLÜ SENKRONİZE ETMEK FILE_GENERIC_READ FILE_GENERIC_WRITE DOSYA_OKUMA_VERİSİ DOSYA_VERİ_YAZ FILE_APPEND_DATA EA_OKUMA_DOSYASI FILE_WRITE_EA FILE_READ_ATTRIBUTES DOSYA_YAZMA_ÖZNİTELİKLERİ |
|
| Herkes | Rapor Sunucusu anahtarları (Instid hive) | Sorgu Değeri Alt Anahtarları Numaralandır Bilgilendir Okuma Denetimi |
|
| Terminal Hizmetleri Kullanıcısı | Rapor Sunucusu anahtarları (Instid hive) | Sorgu Değeri Değer Ayarla Alt Anahtar Oluştur Alt Anahtarı Numaralandır Bilgilendir Sil Okuma Denetimi |
|
| Güç Kullanıcıları | Rapor Sunucusu anahtarları (Instid hive) | Sorgu Değeri Değer Ayarla Alt Anahtar Oluştur Alt Anahtarları Numaralandırma Bilgilendir Sil Okuma Denetimi |
1 Bu WMI sağlayıcısı ad alanıdır.
Sıra dışı disk konumlarıyla ilgili dosya sistemi izinleri
Yükleme konumları için varsayılan sürücü sistem sürücüsüdür ve normalde C sürücüsüdür. Bu bölümde, veya kullanıcı veritabanları olağan dışı konumlara tempdb yüklendiğinde dikkat edilmesi gereken ek noktalar açıklanmaktadır.
Varsayılan olmayan sürücü
Varsayılan sürücü olmayan bir yerel sürücüye yüklendiğinde, hizmet başına SID'nin dosya konumuna erişimi olmalıdır. SQL Server Kurulumu gerekli erişimi sağlar.
Ağ paylaşımı
Veritabanları bir ağ paylaşımına yüklendiğinde, hizmet hesabının kullanıcı ve tempdb veritabanlarının dosya konumuna erişimi olmalıdır. SQL Server Kurulumu bir ağ paylaşımına erişim sağlayamaz. Kullanıcının kurulumu çalıştırmadan önce hizmet hesabı için bir tempdb konuma erişim sağlaması gerekir. Kullanıcı, veritabanını oluşturmadan önce kullanıcı veritabanı konumuna erişim sağlamalıdır.
Uyarı
Sanal hesapların kimliği uzak bir konumda doğrulanamaz. Tüm sanal hesaplar makine hesabının iznini kullanır. Makine hesabını <domain_name>\<computer_name>$biçiminde ayarlayın.
Dikkat edilmesi gereken ek noktaları gözden geçirin
Aşağıdaki tabloda, SQL Server hizmetlerinin ek işlevsellik sağlaması için gereken izinler gösterilmektedir.
| Hizmet/Uygulama | İşlevsellik | Gerekli izin |
|---|---|---|
| SQL Server (MSSQLSERVER) | kullanarak xp_sendmailposta yuvasına yazın. |
Ağ yazma izinleri. |
| SQL Server (MSSQLSERVER) | SQL Server yöneticisi dışında bir kullanıcı için komutunu çalıştırın xp_cmdshell . |
İşletim sisteminin bir parçası olarak davranın ve işlem düzeyi belirtecini değiştirin. |
| SQL Server Aracısı (MSSQLSERVER) | Otomatik yeniden başlatma özelliğini kullanın. | Yöneticiler yerel grubunun üyesi olmalıdır. |
| Veritabanı Altyapısı Ayarlama Danışmanı | En iyi sorgu performansı için veritabanlarını Tunes'a ekleyin. | İlk kullanımda, sistem yönetim kimlik bilgilerine sahip bir kullanıcının uygulamayı başlatması gerekir. Başlatma işleminden sonra, dbo kullanıcıları yalnızca sahip oldukları tabloları ayarlamak için Veritabanı Altyapısı Ayarlama Danışmanı'nı kullanabilir. Daha fazla bilgi için bkz. Veritabanı Altyapısı Ayarlama Danışmanı'nı başlatma ve kullanma. |
Önemli
SQL Server'ı yükseltmeden önce, SQL Server Aracısı'nı etkinleştirin ve gerekli varsayılan yapılandırmayı doğrulayın: SQL Server Aracısı hizmet hesabı SQL Server sysadmin sabit sunucu rolünün bir üyesidir.
Kayıt defteri izinleri
Kayıt defteri kovanı, örnek kullanan bileşenler için altında HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> oluşturulur. Örneğin:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Kayıt defteri, ayrıca, örnek kimliğini örnek adıyla eşleştirmeyi sürdürür. Örnek kimliği ile örnek adı eşlemesi aşağıdaki gibi sağlanır:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI (Windows Yönetim Araçları)
Windows Yönetim Araçları (WMI) Veritabanı Altyapısı'na bağlanabilmelidir. Bunu desteklemek için, Veritabanı Altyapısı'nda Windows WMI sağlayıcısının (NT SERVICE\winmgmt) hizmet başına SID'i sağlanır.
SQL WMI sağlayıcısı aşağıdaki en düşük izinleri gerektirir:
veritabanındaki db_ddladmin veya sabit veritabanı rollerini
msdbdb_owner üyelik.CREATE DDL EVENT NOTIFICATIONiznini seçin.CREATE TRACE EVENT NOTIFICATIONiznini seçin.VIEW ANY DATABASEsunucu düzeyi izni.SQL Server kurulumu bir SQL WMI ad alanı oluşturur ve SQL Server Agent service-SID için okuma izni verir.
Adlandırılmış kanallar
Tüm yüklemelerde SQL Server Kurulumu, yerel adlandırılmış kanal olan paylaşılan bellek protokolü aracılığıyla SQL Server Veritabanı Altyapısı'na erişim sağlar.
Provision
Bu bölümde, hesapların çeşitli SQL Server bileşenleri içinde nasıl sağlandığı açıklanmaktadır.
Veritabanı Altyapısı sağlama
Aşağıdaki hesaplar SQL Server Veritabanı Altyapısı'nda oturum açma bilgileri olarak eklenir.
Windows sorumluları
Kurulum sırasında SQL Server Kurulumu, sysadmin sabit sunucu rolünün üyesi olarak en az bir kullanıcı hesabının adlandırılması gerekir.
SA hesabı
Hesap sa her zaman Veritabanı Altyapısı oturumu olarak bulunur ve sysadmin sabit sunucu rolünün bir üyesidir. Veritabanı Altyapısı yalnızca Windows Kimlik Doğrulaması kullanılarak yüklendiğinde (yani SQL Server Kimlik Doğrulaması etkinleştirilmediğinde), sa oturum açma hala mevcut ancak devre dışıdır ve parola karmaşık ve rastgeledir. Hesabı etkinleştirme sa hakkında bilgi için bkz. Sunucu kimlik doğrulama modunu değiştirme.
Hizmet başına SQL Server SID oturum açma bilgileri ve ayrıcalıkları
SQL Server hizmetinin hizmet başına SID (bazen hizmet güvenlik sorumlusu (SID) olarak da adlandırılır) veritabanı altyapısı oturum açma bilgisi olarak sağlanır. Hizmet başına SID oturum açma, sysadmin sabit sunucu rolünün bir üyesidir. Hizmet başına SID hakkında bilgi için bkz. SQL Server'daki hizmetlere izin vermek için Hizmet SID'lerini kullanma.
SQL Server Aracısı oturum açma bilgileri ve ayrıcalıkları
SQL Server Agent hizmetinin hizmet başına SID'i, Veritabanı Altyapısı oturum açma bilgisi olarak sağlanır. Hizmet başına SID oturum açma, sysadmin sabit sunucu rolünün bir üyesidir.
Always On kullanılabilirlik grupları ve SQL yük devretme kümesi örneği ve ayrıcalıkları
Veritabanı Altyapısı Always On kullanılabilirlik grupları veya SQL yük devretme kümesi örneği (SQL FCI) LOCAL SYSTEM olarak yüklenirken, Veritabanı Altyapısı'nda sağlanır. Oturum LOCAL SYSTEM açma izni ALTER ANY AVAILABILITY GROUP (Always On kullanılabilirlik grupları için) ve VIEW SERVER STATE izin (SQL FCI için) verilir.
SQL Yazıcısı ve ayrıcalıkları
SQL Server VSS Yazıcı hizmetinin hizmet başına SID'i, Veritabanı Altyapısı oturumu olarak sağlanır. Hizmet başına SID oturum açma, sysadmin sabit sunucu rolünün bir üyesidir.
SQL WMI ve ayrıcalıkları
SQL Server Kurulumu hesabı Veritabanı Altyapısı oturum açma bilgileri olarak sağlar NT SERVICE\Winmgmt ve sysadmin sabit sunucu rolüne ekler.
SSRS sağlama
Kurulum sırasında belirtilen hesap RSExecRole veritabanı rolünün bir üyesi olarak sağlanır. Daha fazla bilgi için bkz. Rapor Sunucusu Hizmet Hesabını Yapılandırma (Rapor Sunucusu Yapılandırma Yöneticisi).
SSAS sağlama
SSAS hizmet hesabı gereksinimleri, sunucuyu nasıl dağıttığınıza bağlı olarak değişir. SharePoint için Power Pivot'u yüklüyorsanız, SQL Server Kurulumu için Analysis Services hizmetini bir etki alanı hesabı altında çalışacak şekilde yapılandırmanız gerekir. Etki alanı hesapları, SharePoint'te yerleşik olarak bulunan yönetilen hesap tesisini desteklemek için gereklidir. Bu nedenle, SQL Server Kurulumu SharePoint için Power Pivot yüklemesi için sanal hesap gibi bir varsayılan hizmet hesabı sağlamaz. SharePoint için Power Pivot sağlama hakkında daha fazla bilgi için bkz. Power Pivot Hizmet Hesaplarını Yapılandırma.
Diğer tüm tek başına SSAS yüklemeleri için, hizmeti bir etki alanı hesabı, yerleşik sistem hesabı, yönetilen hesap veya sanal hesap altında çalışacak şekilde sağlayabilirsiniz. Hesap sağlama hakkında daha fazla bilgi için bkz. Hizmet Hesaplarını Yapılandırma (Analysis Services).
Kümelenmiş yüklemeler için bir etki alanı hesabı veya yerleşik sistem hesabı belirtmeniz gerekir. SSAS yük devretme kümeleri için ne yönetilen hesaplar ne de sanal hesaplar desteklenmez.
Tüm SSAS yüklemeleri, Analysis Services örneğinin sistem yöneticisini belirtmenizi gerektirir. Yönetici ayrıcalıkları Analysis Services Sunucusu rolünde sağlanır.
SSRS sağlama
Kurulum sırasında belirtilen hesap, Veritabanı Altyapısı'nda RSExecRole veritabanı rolünün bir üyesi olarak sağlanır. Daha fazla bilgi için bkz. Rapor Sunucusu Hizmet Hesabını Yapılandırma (Rapor Sunucusu Yapılandırma Yöneticisi).
Önceki sürümlerden yükseltme
Bu bölümde, SQL Server'ın önceki bir sürümünden yükseltme sırasında yapılan değişiklikler açıklanmaktadır.
SQL Server 2019 (15.x), desteklenen bir işletim sistemi gerektirir. Sql Server'ın daha düşük bir işletim sistemi sürümünde çalışan önceki sürümlerinde, SQL Server'ı yükseltmeden önce işletim sisteminin yükseltilmesi gerekir.
SQL Server 2005 'in (9.x) SQL Server 2019(15.x) kurulumuna yükseltme sırasında SQL Server örneğini aşağıdaki şekilde yapılandırılır:
- Veritabanı Altyapısı, hizmet başına SID'nin güvenlik bağlamıyla çalışır. Hizmet başına SID'ye SQL Server örneğinin (gibi
DATA) dosya klasörlerine ve SQL Server kayıt defteri anahtarlarına erişim verilir. - Veritabanı Altyapısı'nın hizmet başına SID'i, Veritabanı Altyapısı'nda sysadmin sabit sunucu rolünün bir üyesi olarak sağlanır.
- SQL Server bir yük devretme kümesi örneği olmadığı sürece hizmet başına SID'ler yerel SQL Server Windows gruplarına eklenir.
- SQL Server kaynakları yerel SQL Server Windows gruplarına sağlanmış olarak kalır.
- Hizmetler için yerel Windows grubu olarak
SQLServer2005MSSQLUser$<computer_name>$<instance_name>SQLServerMSSQLUser$<computer_name>$<instance_name>yeniden adlandırılır. Geçirilen veritabanlarının dosya konumlarında yerel Windows grupları için Erişim Denetimi Girdileri (ACL' ler) bulunur. Yeni veritabanlarının dosya konumlarında hizmet başına SID için ACL'ler bulunur.
- Veritabanı Altyapısı, hizmet başına SID'nin güvenlik bağlamıyla çalışır. Hizmet başına SID'ye SQL Server örneğinin (gibi
SQL Server 2008'den (10.0.x) yükseltme sırasında, SQL Server Kurulumu hizmet başına SID için SQL Server 2008 (10.0.x) ACL'lerini korur.
SQL Server yük devretme kümesi örneği için, hizmet için yapılandırılan etki alanı hesabının ACL'leri korunur.
Ek bölüm
Bu bölüm SQL Server hizmetleri hakkında ek bilgiler içerir.
- Hizmet Hesaplarının Açıklaması
- Örneğe duyarlı ve örnek bilgisi olmayan hizmetleri tanımlama
- Yerelleştirilmiş hizmet adları
Hizmet hesaplarının açıklaması
Hizmet hesabı, SQL Server Veritabanı Altyapısı gibi bir Windows hizmetini başlatmak için kullanılan hesaptır. SQL Server'ı çalıştırmak için, her zaman mevcut olan Hizmet SID'sine ve sysamin sabit sunucu rolünün bir üyesine ek olarak Hizmet Hesabını SQL Server'a Oturum Açma olarak eklemek gerekmez.
Herhangi bir işletim sistemiyle kullanılabilen hesaplar
Daha önce açıklanan yeni MSA, gMSA ve sanal hesaplara ek olarak aşağıdaki hesaplar kullanılabilir.
Etki alanı kullanıcı hesabı
Hizmetin ağ hizmetleriyle etkileşim kurması, dosya paylaşımları gibi etki alanı kaynaklarına erişmesi veya SQL Server çalıştıran diğer bilgisayarlara bağlı sunucu bağlantıları kullanması gerekiyorsa, en düşük düzeyde ayrıcalıklı bir etki alanı hesabı kullanabilirsiniz. Birçok sunucudan sunucuya etkinlik yalnızca bir etki alanı kullanıcı hesabıyla gerçekleştirilebilir. Etki alanı yöneticisi bu hesabı ortamınızda önceden oluşturmalıdır.
SQL Server'ı bir etki alanı hesabı kullanacak şekilde yapılandırıyorsanız, Hizmetin ayrıcalıklarını yalıtabilirsiniz, ancak parolaları el ile yönetmeniz veya bu parolaları yönetmek için özel bir çözüm oluşturmanız gerekir. Birçok sunucu uygulaması güvenliği geliştirmek için bu stratejiyi kullanır, ancak bu strateji ek yönetim ve karmaşıklık gerektirir. Bu dağıtımlarda hizmet yöneticileri, Kerberos kimlik doğrulaması için gerekli olan hizmet parolalarını ve hizmet asıl adlarını (SPN) yönetme gibi bakım görevleri için önemli miktarda zaman harcar. Buna ek olarak, bu bakım görevleri hizmeti kesintiye uğratabilir.
Yerel kullanıcı hesapları
Bilgisayar bir etki alanının parçası değilse, Windows yönetici izinleri olmayan bir yerel kullanıcı hesabı önerilir.
Yerel Hizmet hesabı
Yerel Hizmet hesabı, Kullanıcılar grubunun üyeleriyle aynı kaynaklara ve nesnelere erişim düzeyine sahip yerleşik bir hesaptır. Bu sınırlı erişim, tek tek hizmetlerin veya işlemlerin gizliliği ihlal edilirse sistemin korunmasına yardımcı olur. Yerel hizmet hesabı olarak çalışan hizmetler, kimlik bilgileri olmadan ağ kaynaklarına null oturum olarak erişmektedir.
Yerel hizmet hesabı SQL Server veya SQL Server Aracısı hizmetleri için desteklenmez. Yerel Hizmet, paylaşılan bir hizmet olduğundan ve yerel hizmet altında çalışan diğer hizmetlerin SQL Server'a sistem yöneticisi erişimi olacağından bu hizmetleri çalıştıran hesap olarak desteklenmez.
Hesabın gerçek adıdır NT AUTHORITY\LOCAL SERVICE.
Ağ Hizmeti hesabı
Ağ Hizmeti hesabı, Kullanıcılar grubunun üyelerinden daha fazla kaynaklara ve nesnelere erişimi olan yerleşik bir hesaptır. Ağ hizmeti hesabı olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini biçiminde <domain_name>\<computer_name>$kullanarak ağ kaynaklarına erişmektedir. Hesabın gerçek adıdır NT AUTHORITY\NETWORK SERVICE.
Yerel Sistem hesabı
Yerel Sistem çok yüksek ayrıcalıklı yerleşik bir hesaptır. Yerel sistemde kapsamlı ayrıcalıklara sahiptir ve ağdaki bilgisayar olarak görev yapar. Hesabın gerçek adıdır NT AUTHORITY\SYSTEM.
Örnek kullanan ve örnek bilgisi olmayan hizmetleri tanımlama
Örnek kullanan hizmetler belirli bir SQL Server örneğiyle ilişkilendirilir ve kendi kayıt defteri kovanlarına sahiptir. Her bileşen veya hizmet için SQL Server Kurulumu'nu çalıştırarak örnek kullanan hizmetlerin birden çok kopyasını yükleyebilirsiniz. Örnek bilgisi olmayan hizmetler tüm yüklü SQL Server örnekleri arasında paylaşılır. Bunlar belirli bir örnekle ilişkili değildir, yalnızca bir kez yüklenir ve yan yana yüklenemez.
SQL Server'daki örnek kullanan hizmetler şunlardır:
SQL Sunucusu
SQL Server Aracısı
SQL Server Agent hizmeti, GELIŞMIŞ Hizmetler ile SQL Server Express ve SQL Server Express örneklerinde devre dışıdır.
-
Analiz Servisleri
SharePoint tümleşik modundaki Analysis Services, tek bir adlandırılmış örnek olarak 'Power Pivot' olarak çalışır. Örnek adı sabittir. Farklı bir ad belirtemezsiniz. Her fiziksel sunucuya 'Power Pivot' olarak çalışan tek bir Analysis Services örneği yükleyebilirsiniz.
-
Raporlama Hizmetleri
Tam metin arama
SQL Server'da örnek bilgisi olmayan hizmetler şunları içerir:
- Entegrasyon Hizmetleri
- SQL Server Tarayıcısı
- SQL Yazıcı
Yerelleştirilmiş hizmet adları
Aşağıdaki tabloda, Windows'un yerelleştirilmiş sürümleri tarafından görüntülenen hizmet adları gösterilmektedir.
| Dil | Yerel Hizmet adı | Ağ Hizmeti adı | Yerel Sistem adı | Yönetici Grubu adı |
|---|---|---|---|---|
| İngilizce Basitleştirilmiş Çince Geleneksel Çince Korece Japonca |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Almanca | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Fransızca | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| İtalyanca | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| İspanyolca | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Rusça | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |