設定 Windows 服務帳戶
更新: 2006 年 12 月 12 日
SQL Server 中的每項服務代表一個或一組處理序,用以管理 SQL Server 作業在 Microsoft Windows 的驗證。本主題提供此 SQL Server 版本的預設服務組態,以及可以在 SQL Server 安裝期間設定的 SQL Server 服務組態選項。
安全性注意事項 一律以可能的最低使用者權限執行 SQL Server 服務。
依據您選擇安裝的 Microsoft SQL Server 2005 元件而定,SQL Server 2005 安裝程式會安裝下列服務:
- SQL Server Database Services - SQL Server 關聯式 Database Engine 的服務。
- SQL Server Agent - 執行作業、監視 SQL Server、引發警示,並允許將某些管理工作自動化。
.gif "ms143504.note(zh-tw,SQL.90).gif")
附註:若要使 SQL Server 和 SQL Server Agent 以 Windows 服務的身分執行,必須指派 Windows 使用者帳戶給 SQL Server 和 SQL Server Agent。通常,SQL Server 和 SQL Server Agent 會被指派相同的使用者帳戶,可能是本機系統帳戶或網域使用者帳戶。不過,您可以在安裝過程中自訂每項服務的設定。如需有關如何自訂每項服務之帳戶資訊的詳細資訊,請參閱<服務帳戶>。 - Analysis Services - 有提供商務智慧應用程式的線上分析處理 (OLAP) 和資料採礦功能。
- Reporting Services - 管理、執行、轉譯、排程和傳遞報表。
- Notification Services - 是用來開發及部署應用程式以產生和傳送通知的平台。
- Integration Services - 提供 Integration Services 封裝儲存體和執行的管理支援。
- 全文檢索搜尋 - 可以快速地在結構化和半結構化資料的內容與屬性上建立全文檢索索引,以允許在此資料上進行快速語言搜尋。
- SQL Server Browser - 提供 SQL Server 連接資訊給用戶端電腦的名稱解析服務。
- SQL Server Active Directory Helper - 發行及管理 Active Directory 中的 SQL Server 服務。
- SQL 寫入器 - 允許備份與還原應用程式在磁碟區陰影複製服務 (VSS) 架構中操作。
本主題其餘內容分成以下各節:
- 設定在 SQL Server 安裝程式中公開的服務
- 使用 SQL Server 服務的啟動帳戶
- 識別執行個體感知和執行個體非感知服務
- 檢閱授與 SQL Server 服務帳戶的 NT 權利和權限
- 檢閱為 SQL Server 服務帳戶建立的存取控制清單
- 檢閱 SQL Server 服務的 Windows 權限
- 檢閱其他考量
- 當地語系化服務名稱
設定在 SQL Server 安裝程式中公開的服務
在 SQL Server 安裝期間中,您可以利用啟動帳戶設定某些 SQL Server 服務,並設定該服務是否會自動啟動。下表顯示可以在安裝期間設定的 SQL Server 服務。若為自動安裝,您可以在安裝檔案中或從命令提示字元使用這些參數。
| SQL Server 服務名稱 | 是否可在安裝精靈中設定? | 自動安裝的參數1 |
|---|---|---|
MSSQLSERVER |
是 |
SQLACCOUNT、SQLPASSWORD、SQLAUTOSTART |
SQLServerAgent |
是 |
AGTACCOUNT、AGTPASSWORD、AGTAUTOSTART |
MSSQLServerOLAPService |
是 |
ASACCOUNT、ASPASSWORD、ASAUTOSTART |
ReportServer |
是 |
RSACCOUNT、RSPASSWORD、RSAUTOSTART |
SQLBrowser |
是 |
SQLBROWSERACCOUNT、SQLBROWSERPASSWORD、SQLBROWSERAUTOSTART2 |
1如需詳細資訊及有關遠端和自動安裝的範例語法,請參閱<如何:從命令提示字元安裝 SQL Server 2005>。
2即使已安裝 SQL Server Browser,也可以指定 SQLBROWSERAUTOSTART。
您不能在安裝時設定下列服務;這些服務會以預設值安裝:
- Notification Services
- Integration Services
- 全文檢索搜尋
- Active Directory Helper
- SQL 寫入器
使用 SQL Server 服務的啟動帳戶
SQL Server 2005 中的每項服務必須有使用者帳戶,才能啟動及執行。使用者帳戶可以是內建系統帳戶或網域使用者帳戶。
除了具有使用者帳戶之外,每項服務有三個可能的啟動狀態供使用者控制:
- 已停用 已安裝服務但目前未執行。
- 手動 已安裝服務,但只有另一項服務或應用程式需要它的功能時才會啟動。
- 自動 在開機時載入裝置驅動程式之後,服務會由作業系統啟動。
下表顯示每項 SQL Server 服務的預設帳戶和選擇性帳戶,以及每項服務的啟動狀態。
| SQL Server 服務名稱 | 預設帳戶 | 選用帳戶 | 啟動類型 | 安裝之後的預設狀態 |
|---|---|---|---|---|
SQL Server |
Windows 2000 上的 SQL Server Express Edition:本機系統 所有其他支援的作業系統上的 SQL Server Express Edition:網路服務 所有支援的作業系統上的所有其他版本:網域使用者1 |
SQL Server Express Edition:網域使用者、本機系統、網路服務1 所有其他版本:網域使用者、本機系統、網路服務1 |
自動2 |
已啟動 唯有當使用者選擇不自動啟動時才停止 |
SQL Server Agent |
網域使用者3 |
網域使用者、本機系統、網路服務1,6 |
已停用 唯有當使用者選擇自動啟動時才自動執行 |
已停止 唯有當使用者選擇自動啟動時才啟動 |
Analysis Services |
網域使用者3 |
網域使用者、本機系統、網路服務、本機服務 |
自動 |
已啟動 唯有當使用者選擇不自動啟動時才停止 |
Reporting Services |
網域使用者3 |
網域使用者、本機系統、網路服務、本機服務 |
自動 |
已啟動 唯有當使用者選擇不自動啟動時才停止 |
Notification Services4 |
無 |
無 |
無 |
無 |
Integration Services |
Windows 2000:本機系統 所有其他支援的作業系統:網路服務 |
網域使用者、本機系統、網路服務、本機服務 |
自動 |
已啟動 唯有當使用者選擇不自動啟動時才停止。 |
全文檢索搜尋 |
與 SQL Server 相同帳戶 |
網域使用者、本機系統、網路服務、本機服務 |
手動 |
已停止 唯有當使用者選擇自動啟動時才啟動。 |
SQL Server Browser |
Windows 2000 上的 SQL Server Express Edition:本機系統 所有其他支援的作業系統上的 SQL Server Express Edition:本機服務 所有支援的作業系統上的所有其他版本:網域使用者1,3 |
網域使用者、本機系統、網路服務、本機服務 |
已停用5 唯有當使用者選擇自動啟動時才自動執行。 |
已停止5 唯有當使用者選擇自動啟動時才啟動。 |
SQL Server Active Directory Helper |
網路服務 |
本機系統、網路服務 |
已停用 |
已停止 |
SQL 寫入器 |
本機系統 |
本機系統 |
自動 |
已啟動 |
1重要事項 Microsoft 建議您不要對 SQL Server 或 SQL Server Agent 服務使用網路服務帳戶。這些 SQL Server 服務較適用於本機使用者或網域使用者帳戶。
2在容錯移轉叢集組態中設為手動。
3若為自動安裝,則需要這個屬性。如果未指定它,安裝程式會失敗。若要指定本機系統,請使用 SQLAccount=LocalSystem 或 ASAccount=LocalSystem。如需詳細資訊及遠端和自動安裝的範例語法,請參閱<如何:從命令提示字元安裝 SQL Server 2005>。
4 SQL Server 安裝程式可安裝但不設定 Notification Services。如需安裝之後啟用 Notification Services 的詳細資訊,請參閱《SQL Server 2005 線上叢書》中的<設定 Notification Services Windows 服務>主題。
5若為容錯移轉叢集安裝,SQL Server Browser 會設為自動啟動,依預設,會在安裝之後啟動。
6如需有關 SQL Server Agent 之所支援 Windows 帳戶的詳細資訊,請參閱<可用來在 SQL Server 2005 中執行 SQL Server Agent 服務之所支援的 Windows 帳戶類型>。
| 重要事項: |
|---|
| 若為容錯移轉叢集安裝,本機系統和本機服務帳戶不得使用於 SQL Server、SQL Server Agent 和 SSAS 之類的叢集服務。如需詳細資訊,請參閱<安裝容錯移轉叢集之前>。 對於與舊版 SQL Server 並存設定的 SQL Server 2005 安裝而言,SQL Server 2005 服務必須使用只存在於全域網域群組中的帳戶。此外,SQL Server 2005 服務所使用的帳戶不能出現在本機的 Administrators 群組中。如果沒有遵照這項指導方針進行,將會導致非預期的安全性狀況。 |
使用網域使用者帳戶
當服務必須與網路服務互動時,最好使用網域使用者帳戶。許多伺服器對伺服器活動只能以網域使用者帳戶執行,例如:
- 遠端程序呼叫。
- 複寫。
- 備份至網路磁碟機。
- 關於遠端資料來源的異質性聯結。
- SQL Server Agent 郵件功能和 SQL Mail。如果使用 Microsoft Exchange,則適用這項限制。大部分其他郵件系統也需要用戶端 (如 SQL Server 和 SQL Server Agent 服務) 在具有網路存取權的帳戶上執行。
使用本機服務帳戶
本機服務帳戶是一個特殊的內建帳戶,類似已驗證的使用者帳戶。本機服務帳戶對於資源和物件的存取層級與使用者群組的成員相同。如果個別服務或處理序受到危害時,這種有限的存取權有助於保護您的系統。以本機服務帳戶身分執行的服務會以不含認證的 Null 工作階段來存取網路資源。
使用網路服務帳戶
網路服務帳戶是一個特殊的內建帳戶,類似已驗證的使用者帳戶。網路服務帳戶對於資源和物件的存取層級與使用者群組的成員相同。以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路資源。
| 重要事項: |
|---|
| Microsoft 建議您不要對 SQL Server 或 SQL Server Agent 服務使用網路服務帳戶。本機使用者或網域使用者帳戶更適合這些 SQL 服務。 |
使用本機系統帳戶
本機系統帳戶是一個高度授權的帳戶;指派本機系統權限給 SQL Server 服務帳戶時要謹慎。
.gif "ms143504.security(zh-tw,SQL.90).gif") 安全性注意事項: |
|---|
| 若要增加 SQL Server 安裝的安全性,請以具有最低可能權限的本機 Windows 帳戶執行 SQL Server 服務。 |
變更使用者帳戶
若要變更任何 SQL Server 相關服務的密碼或其他屬性,請使用 SQL Server 組態管理員。如果 Windows 密碼變更,也要更新 Windows 中的 SQL Server 服務設定。如果已啟用 Kerberos,請務必更新 Active Directory 的服務主要名稱 (SPN) 目錄屬性。
如需詳細資訊,請參閱<變更密碼和使用者帳戶>。如需有關使用 Microsoft Windows 中的「服務」增益集變更 SQL Server 服務帳戶的詳細資訊,請參閱<如何在不使用 SQL Server 2000 中的 SQL Enterprise Manager 或 SQL Server 2005 中的 SQL Server 組態管理員的情況下,變更 SQL Server 或 SQL Server Agent 服務帳戶>。
識別執行個體感知和執行個體非感知服務
有些 SQL Server 服務為執行個體感知,而有些則為執行個體非感知。每一個執行個體感知服務與特定的 SQL Server 執行個體相關聯,而且有它自己的登錄區。您可以針對每一個元件或服務的安裝執行 SQL Server 安裝程式,來安裝執行個體感知服務的多個副本。執行個體非感知服務會在所有安裝的 SQL Server 執行個體之間共用;它們與特定執行個體之間沒有關聯,只能安裝一次,且不能並存安裝。
Microsoft SQL Server 2005 中的執行個體感知服務包括:
- SQL Server
- SQL Server Agent
- Analysis Services
- Reporting Services
- 全文檢索搜尋
SQL Server 2005 中的執行個體非感知服務包括:
- Notification Services
- Integration Services
- SQL Server Browser
- SQL Server Active Directory Helper
- SQL 寫入器
檢閱授與 SQL Server 服務帳戶的 Windows NT 權利和權限
SQL Server 安裝程式會為不同的 SQL Server 服務建立使用者群組,並依適當情況將服務帳戶加入這些使用者群組中。這些群組不僅可簡化授與執行 SQL Server 服務與其他可執行檔所需權限的過程,也有助於保護 SQL Server 檔案。請注意,在網域控制站上安裝 SQL Server 2005 時,必須使用唯一的群組名稱。
SQL Server 安裝程式建立的使用者群組具有下列 Windows NT 權利和權限。
| SQL Server 服務 | 使用者群組 | SQL Server 安裝程式授與的預設權限 |
|---|---|---|
SQL Server |
預設執行個體:SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER 具名執行個體:SQLServer2005MSSQLUser$ComputerName$InstanceName |
以服務登入 (SeServiceLogonRight) 作為作業系統的一部分 (SeTcbPrivilege) (僅在 Windows 2000 上) 以批次作業登入 (SeBatchLogonRight) 取代處理序層級 Token (SeAssignPrimaryTokenPrivilege) 略過跨越檢查 (SeChangeNotifyPrivilege) 調整處理序的記憶體配額 (SeIncreaseQuotaPrivilege) 啟動 SQL Server Active Directory Helper 的權限 啟動 SQL 寫入器的權限 |
SQL Server Agent |
預設執行個體:SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER 具名執行個體:SQLServer2005SQLAgentUser$ComputerName$InstanceName |
以服務登入 (SeServiceLogonRight) 作為作業系統的一部分 (SeTcbPrivilege) (僅在 Windows 2000 上) 以批次作業登入 (SeBatchLogonRight) 取代處理序層級 Token (SeAssignPrimaryTokenPrivilege) 略過跨越檢查 (SeChangeNotifyPrivilege) 調整處理序的記憶體配額 (SeIncreaseQuotaPrivilege) |
Analysis Services |
預設執行個體:SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER 具名執行個體:SQLServer2005MSOLAPUser$ComputerName$InstanceName |
以服務登入 (SeServiceLogonRight) |
Reporting Services1 |
預設執行個體:SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER and SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER 預設執行個體:SQLServer2005ReportServerUser$ComputerName$InstanceName and SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName |
以服務登入 (SeServiceLogonRight) |
Notification Services2 |
預設或具名執行個體:SQLServer2005NotificationServicesUser$ComputerName |
無 |
Integration Services |
預設或具名執行個體:SQLServer2005DTSUser$ComputerName |
以服務登入 (SeServiceLogonRight) 寫入應用程式事件記錄檔的權限。 略過跨越檢查 (SeChangeNotifyPrivilege) 建立全域物件 (SeCreateGlobalPrivilege) 在驗證之後模擬用戶端 (SeImpersonatePrivilege) |
全文檢索搜尋 |
預設執行個體:SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER 具名執行個體:SQLServer2005MSFTEUser$ComputerName$InstanceName |
以服務登入 (SeServiceLogonRight) |
SQL Server Browser |
預設或具名執行個體:SQLServer2005SQLBrowserUser$ComputerName |
以服務登入 (SeServiceLogonRight) |
SQL Server Active Directory Helper |
預設或具名執行個體:SQLServer2005MSSQLServerADHelperUser$ComputerName |
無3 |
SQL 寫入器 |
無 |
無3 |
1若為 Reporting Services,SQL Server 安裝程式也必須建立 SQLServer2005ReportingServicesWebServiceUser$InstanceName 和 SQLServer2005ASP.NETUser 使用者群組,並將存取控制清單 (ACL) 授與給這些群組。如需詳細資訊,請參閱下一節的存取控制清單。
2 SQL Server 安裝程式可安裝但不設定 Notification Services。如需有關安裝之後啟用 Notification Services 的詳細資訊,請參閱《SQL Server 2005 線上叢書》中的<設定 Notification Services Windows 服務>主題。
3 SQL Server 安裝程式不檢查或授與這項服務的權限。
檢閱為 SQL Server 服務帳戶建立的存取控制清單
SQL Server 2005 服務帳戶必須有資源的存取權。存取控制清單 (ACL) 設定在使用者群組層級。下表列出 SQL Server 安裝程式所設定的 ACL。
| 重要事項: |
|---|
| 若為容錯移轉叢集安裝,則不得對本機使用者群組中的任何 ACL 設定共用磁碟上的資源。相反地,那些資源可設定給本機帳戶的 ACL。 |
| 服務帳戶 | 檔案和資料夾 | 存取 |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
完整控制 |
|
Instid\MSSQL\binn |
讀取、執行 |
|
Instid\MSSQL\data |
完整控制 |
|
Instid\MSSQL\FTData |
完整控制 |
|
Instid\MSSQL\Install |
讀取、執行 |
|
Instid\MSSQL\Log |
完整控制 |
|
Instid\MSSQL\Repldata |
完整控制 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
|
90\com |
讀取、執行 |
|
Instid\MSSQL\Template Data (僅限 SQL Server Express) |
讀取 |
SQLServerAgent |
Instid\MSSQL\binn |
完整控制 |
|
Instid\MSSQL\Log |
完整控制 |
|
Instid\MSSQL\jobs |
完整控制 |
|
90\com |
讀取、執行 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
FTS |
Instid\MSSQL\FTData |
完整控制 |
|
Instid\MSSQL\FTRef |
讀取、執行 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
|
Instid\MSSQL\Install |
讀取、執行 |
MSSQLServerOLAPservice |
90\shared |
讀取、執行 |
|
90\shared\msmdlocal.ini |
完整控制 |
|
Instid\OLAP |
讀取、執行 |
|
Instid\Olap\Data |
完整控制 |
|
Instid\Olap\Log |
讀取、寫入 |
|
90\shared\Errordumps |
讀取、寫入 |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
讀取、寫入、刪除 |
|
Instid\Reporting Services\ReportServer |
讀取、執行 |
|
Instid\Reportingservices\Reportserver\global.asax |
完整控制 |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
讀取、寫入 |
|
Instid\Reporting Services\reportManager |
讀取、執行 |
|
Instid\Reporting Services\RSTempfiles |
讀取、寫入 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
讀取、寫入、刪除 |
|
Instid\Reporting Services\ReportServer |
讀取、執行 |
|
Instid\Reportingservices\Reportserver\global.asax |
完整控制 |
|
InstID\Reporting Services\reportservice.asmx |
完整控制 |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
讀取、寫入、刪除 |
|
Instid\Reporting Services\reportManager |
讀取、執行 |
|
Instid\Reporting Services\RSTempfiles |
讀取、寫入 |
|
Instid\Reporting Services\reportManager\pages |
讀取 |
|
Instid\Reporting Services\reportManager\Styles |
讀取 |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
讀取 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
Notification services |
90\Notification services |
讀取、執行、列出資料夾內容 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
讀取 |
|
90\dts\binn |
讀取、執行 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
SQL Server Browser |
90\shared\msmdlocal.ini |
讀取 |
|
90\shared |
讀取、執行 |
|
90\shared\Errordumps |
讀取、寫入 |
MSADHekper |
N/A (以內建帳戶執行) |
|
SQLWriter |
N/A (以本機系統執行) |
|
User |
Instid\MSSQL\binn |
讀取、執行 |
|
Instid\Reporting Services\ReportServer |
讀取、執行 |
|
Instid\Reportingservices\Reportserver\global.asax |
讀取 |
|
InstID\Reporting Services\reportservice.asmx |
讀取、執行 |
|
Instid\Reporting Services\reportManager |
讀取、執行 |
|
Instid\Reporting Services\reportManager\pages |
讀取 |
|
Instid\Reporting Services\reportManager\Styles |
讀取 |
|
90\dts |
讀取、執行 |
|
90\tools |
讀取、執行 |
|
80\tools |
讀取、執行 |
|
90\sdk |
讀取 |
|
Microsoft SQL Server\90\Setup Bootstrap |
讀取、執行 |
除了 SQL Server 服務啟動帳戶之外,存取控制權限還必須授與內建帳戶或其他 SQL Server 服務帳戶。下表列出 SQL Server 安裝程式所設定的其他 ACL。
| 要求元件 | 帳戶 | 資源 | 權限 |
|---|---|---|---|
MSSQLServer |
效能記錄使用者 |
Instid\MSSQL\binn |
列出資料夾內容 |
|
效能監視器使用者 |
Instid\MSSQL\binn |
列出資料夾內容 |
|
效能記錄使用者 |
Instid\MSSQL\binn\sqlctr90.dll |
讀取、執行 |
|
效能監視器使用者 |
Instid\MSSQL\binn\sqlctr90.dll |
讀取、執行 |
|
僅限管理員 |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
完整控制 |
|
管理員 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
完整控制 |
|
系統 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
完整控制 |
|
使用者 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
讀取、執行 |
Reporting Services |
<報表伺服器 Web 服務帳戶> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
報表管理員應用程式集區識別 |
<install>\Reporting Services\ReportManager |
讀取 |
|
ASP.NET 帳戶 |
<install>\Reporting Services\ReportManager |
讀取 |
|
Everyone |
<install>\Reporting Services\ReportManager |
讀取 |
|
報表管理員應用程式集區識別 |
<install>\Reporting Services\ReportManager\Pages\*.* |
讀取 |
|
ASP.NET 帳戶 |
<install>\Reporting Services\ReportManager\Pages\*.* |
讀取 |
|
Everyone |
<install>\Reporting Services\ReportManager\Pages\*.* |
讀取 |
|
報表管理員應用程式集區識別 |
<install>\Reporting Services\ReportManager\Styles\*.* |
讀取 |
|
ASP.NET 帳戶 |
<install>\Reporting Services\ReportManager\Styles\*.* |
讀取 |
|
Everyone |
<install>\Reporting Services\ReportManager\Styles\*.* |
讀取 |
|
報表管理員應用程式集區識別 |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
讀取 |
|
ASP.NET 帳戶 |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
讀取 |
|
Everyone |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
讀取 |
|
<報表伺服器 Web 服務帳戶> |
<install>\Reporting Services\ReportServer |
讀取 |
|
<報表伺服器 Web 服務帳戶> |
<install>\Reporting Services\ReportServer\global.asax |
完整 |
|
Everyone |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
網路服務 |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
完整 |
|
Everyone |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
報表伺服器 Windows 服務帳戶 |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Everyone |
報表伺服器索引鍵 (Instid 登錄區) |
查詢值 列舉子機碼 通知 讀取控制 |
|
終端服務使用者 |
報表伺服器索引鍵 (Instid 登錄區) |
查詢值 設定值 建立子機碼 列舉子機碼 通知 刪除 讀取控制 |
|
進階使用者 |
報表伺服器索引鍵 (Instid 登錄區) |
查詢值 設定值 建立子機碼 列舉子機碼 通知 刪除 讀取控制 |
1這是 WMI 提供者命名空間。
檢閱 SQL Server 服務的 Windows 權限
下表顯示服務名稱、用來參照 SQL Server 服務的預設和具名執行個體的詞彙、服務功能的描述以及必要的最小權限。
顯示名稱
服務名稱
描述
必要權限
SQL Server (InstanceName)
預設執行個體:MSSQLSERVER
具名執行個體:MSSQL$InstanceName
SQL Server Database Engine.
可執行檔的路徑為 \MSSQL\Binn\sqlservr.exe。
建議本機使用者。
最小權限
功能
MSSQLServer 服務啟動帳戶
對於有安裝 SQL Server 的根磁碟機以及有儲存 SQL Server 檔案的任何其他磁碟機的根目錄具有「列出資料夾」權限的帳戶清單,這個帳戶必須位於其中。
附註:
對根磁碟機具有的「列出資料夾」權限不一定要由子資料夾繼承。
MSSQLServer 服務啟動帳戶這個帳戶必須對資料檔或記錄檔 (.mdf、.ndf、.ldf) 所在的任何資料夾具有「完整控制」權限。
SQL Server Agent (InstanceName)
預設執行個體:SQLServerAgent
具名執行個體:SQLAgent$InstanceName
執行作業、監視 SQL Server、檔案警示及允許一些管理工作自動化。
可執行檔的路徑為 \MSSQL\Binn\sqlagent90.exe。
最小權限
功能
這個帳戶必須是系統管理員 (sysadmin) 固定伺服器角色的成員。
這個帳戶必須具有下列 Windows 權限1以服務登入。 以批次作業登入。 取代處理序層級 Token。 調整處理序的記憶體配額。 作為作業系統的一部分。 略過跨越檢查。
Analysis Services 服務 (InstanceName)
預設執行個體:MSSQLServerOLAPService
具名執行個體:MSOLAP$InstanceName
對商務智慧應用程式提供線上分析處理 (OLAP) 和資料採礦功能的服務。
可執行檔的路徑為 \OLAP\Bin\msmdsrv.exe。
報表伺服器
預設執行個體:ReportServer
具名執行個體:ReportServer$InstanceName
管理、執行、轉譯、排程和傳遞報表。
可執行檔的路徑為 \Reporting Services\ReportServer\Bin\ReportingServicesService.exe。
Notification Services
Notification Services 是用來開發及部署應用程式以產生和傳送通知的平台。SQL Server 安裝程式可安裝但不設定 Notification Services。如需有關安裝之後啟用 Notification Services 的詳細資訊,請參閱《SQL Server 2005 線上叢書》中的<設定 Notification Services Windows 服務>主題。
Integration Services
預設或具名執行個體:MSDTSServer
提供 Integration Services 封裝儲存體和執行的管理支援。
可執行檔的路徑為 \DTS\Binn\msdtssrvr.exe。
SQL Server Browser
預設或具名執行個體:SQLBrowser
提供 SQL Server 連接資訊給用戶端電腦的名稱解析服務。這項服務在多個 SQL Server 和 SSIS 執行個體之間共用。
可執行檔的路徑為 \90\shared\sqlbrowser.exe。
Microsoft 全文檢索搜尋 (MSFTESQL)
預設執行個體:MSFTESQL
具名執行個體:MSFTESQL$InstanceName
可以快速地在結構化和半結構化資料的內容與屬性上建立全文檢索索引,以允許在此資料上進行快速語言搜尋。
可執行檔的路徑為 \MSSQL\Binn\msftesql.exe。
SQL Server Active Directory Helper
預設或具名執行個體:MSSQLServerADHelper。
發行和管理 Windows Active Directory 中的 SQL Server 服務。
可執行檔的路徑為 \90\Shared\sqladhelper.exe。
SQL 寫入器
SQLWriter
允許備份與還原應用程式在磁碟區陰影複製服務 (VSS) 架構中操作。伺服器上的所有 SQL Server 執行個體都只有一個 SQL 寫入器服務執行個體。
可執行檔的路徑為 \90\Shared\sqlwriter.exe。
1如需有關如何確認是否已設定每一個必要的 Windows 權限的詳細資訊,請參閱<如何:驗證 SQL Server 服務的權限>。
檢閱其他考量
下表顯示 SQL Server 服務要提供其他功能的必要權限。
| 服務/應用程式 | 功能 | 必要權限 |
|---|---|---|
SQL Server (MSSQLSERVER) |
使用 xp_sendmail 寫入郵件位置。 |
網路寫入權限。 |
SQL Server (MSSQLSERVER) |
對 SQL Server 管理員以外的使用者執行 xp_cmdshell。 |
作為作業系統的一部分並取代處理序層級 Token。 |
SQL Server Agent (MSSQLSERVER) |
使用自動重新啟動功能。 |
必須是管理員本機群組的成員。 |
Database Engine Tuning Advisor |
調整資料庫以達到最佳查詢效能。 |
第一次使用時,具有系統管理員權限的使用者必須初始化應用程式。初始化之後,擁有資料表的使用者 (dbo 使用者) 只能使用 Database Engine Tuning Advisor 來調整他們擁有的那些資料表。如需詳細資訊,請參閱《SQL Server 2005 線上叢書》的<第一次使用時,初始化 Database Engine Tuning Advisor>。 |
| 重要事項: |
|---|
| 在升級到 SQL Server 2005 之前,請對 SQL Server Agent 啟用 Windows 驗證,並確認 SQL Server Agent 服務帳戶是 SQL Server 系統管理員 (sysadmin) 群組的成員。 |
當地語系化服務名稱
下表顯示 Microsoft Windows 的當地語系化版本所使用的服務名稱。
| 語言 | 本機服務的名稱 | 網路服務的名稱 | 本機系統的名稱 | 管理群組的名稱 |
|---|---|---|---|---|
英文 簡體中文 繁體中文 韓文 日文 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
德文 |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
法文 |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
義大利文 |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
西班牙文 |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
俄文 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
請參閱
參考
概念
說明及資訊
變更歷程記錄
| 版本 | 歷程記錄 |
|---|---|
2006 年 12 月 12 日 |
|
2006 年 7 月 17 日 |
|
2005 年 12 月 5 日 |
|