Wählen Sie ein Konto für den SQL Server-Agent-Dienst aus.
Gilt für:
SQL Serverazure SQL Managed Instance
Wichtig
In azure SQL Managed Instancewerden die meisten, aber nicht alle SQL Server-Agent-Features derzeit unterstützt. Weitere Informationen finden Sie unter T-SQL-Unterschiede zwischen Azure SQL Managed Instance und SQL Server.
Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem DER SQL Server-Agent ausgeführt wird, und seine Netzwerkberechtigungen. DER SQL Server-Agent wird als angegebenes Benutzerkonto ausgeführt. Sie wählen ein Konto für den SQL Server-Agent-Dienst mithilfe von SQL Server Configuration Manager aus, in dem Sie aus den folgenden Optionen wählen können:
integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:
- Lokales System Konto. Der Name dieses Kontos ist NT AUTHORITY\System. Es ist ein leistungsfähiges Konto, das uneingeschränkten Zugriff auf alle lokalen Systemressourcen hat. Es ist ein Mitglied der Windows -Administratoren--Gruppe auf dem lokalen Computer.
Wichtig
Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Das lokale Systemkonto verfügt über Berechtigungen, die der SQL Server-Agent nicht benötigt. Vermeiden Sie die Ausführung des SQL Server-Agents als lokales Systemkonto. Um die Sicherheit zu verbessern, verwenden Sie ein Windows-Domänenkonto mit den Berechtigungen, die im folgenden Abschnitt "Windows-Domänenkontoberechtigungen" aufgeführt sind.
Dieses Konto. Hiermit können Sie das Windows-Domänenkonto angeben, in dem der SQL Server-Agent-Dienst ausgeführt wird. Es wird empfohlen, ein Windows-Benutzerkonto auszuwählen, das kein Mitglied der Windows -Administratorgruppe ist. Es gibt jedoch Einschränkungen für die Verwendung der Verwaltung mit mehreren Servern, wenn das SQL Server-Agent-Dienstkonto kein Mitglied der lokalen Administratoren Gruppe ist. Weitere Informationen finden Sie unter "Unterstützte Dienstkontotypen", die in diesem Artikel aufgeführt sind.
Windows-Domänenkontoberechtigungen
Um die Sicherheit zu verbessern, wählen Sie Dieses Kontoaus, das ein Windows-Domänenkonto angibt. Das angegebene Windows-Domänenkonto muss über die folgenden Berechtigungen verfügen:
In allen Windows-Versionen ist die Berechtigung zum Anmelden als Dienst erforderlich (
SeServiceLogonRight)Anmerkung
Das SQL Server-Agent-Dienstkonto muss Teil der Pre-Windows-2000-kompatiblen Zugriffsgruppe auf dem Domänencontroller sein, oder Aufträge schlagen fehl, die im Besitz von Domänenbenutzern sind, die keine Mitglieder der Windows-Administratorgruppe sind.
Auf Windows-Servern benötigt das Konto, mit dem der SQL Server-Agent-Dienst ausgeführt wird, die folgenden Berechtigungen, um SQL Server-Agent-Proxys zu unterstützen.
- Berechtigung zum Umgehen der Prüfung der Durchquerung (
SeChangeNotifyPrivilege) - Berechtigung zum Ersetzen eines Tokens auf Prozess-Ebene (
SeAssignPrimaryTokenPrivilege) - Berechtigung zum Anpassen von Speicherkontingenten für einen Prozess (
SeIncreaseQuotaPrivilege) - Berechtigung für den Zugriff auf diesen Computer über das Netzwerk (
SeNetworkLogonRight)
- Berechtigung zum Umgehen der Prüfung der Durchquerung (
Wenn das Konto nicht über die erforderlichen Berechtigungen zum Unterstützen von Proxys verfügt, können nur Mitglieder des sysadmin festen Serverrolle Aufträge erstellen.
Um eine Benachrichtigung über die Windows-Verwaltungsinstrumentation (WMI) zu empfangen, muss dem Dienstkonto des SQL Server-Agenten die Berechtigung für den Namespace gewährt werden, der die WMI-Ereignisse enthält, und ALTER ANY EVENT NOTIFICATION.
SQL Server-Rollenmitgliedschaft
Standardmäßig ist das SQL Server-Agent-Dienstkonto der STANDARD-SQL Server-Agent-Dienst-SID (NT SERVICE\SQLSERVERAGENT) zugeordnet, die Mitglied der sysadmin festen Serverrolle ist. Das Konto muss auch Mitglied der msdb Datenbankrolle TargetServersRole auf dem Masterserver sein, wenn die Verarbeitung von Multiserveraufträgen verwendet wird. Der Masterserver-Assistent fügt dieser Rolle automatisch das Dienstkonto als Teil des Anmeldevorgangs hinzu.
Unterstützte Dienstkontotypen
In der folgenden Tabelle sind die Windows-Kontotypen aufgeführt, die für den SQL Server-Agent-Dienst verwendet werden können.
| Dienstkontotyp | Nicht gruppierter Server | Gruppierter Server | Domänencontroller (nicht gruppiert) |
|---|---|---|---|
| Microsoft Windows-Domänenkonto (Mitglied der Gruppe "Windows-Administratoren") | Unterstützt | Unterstützt | Unterstützt |
| Windows-Domänenkonto (nicht administrativ) | Unterstützt Siehe Einschränkung 1 weiter unten in diesem Abschnitt. |
Unterstützt Siehe Einschränkung 1 weiter unten in diesem Abschnitt. |
Unterstützt Siehe Einschränkung 1 weiter unten in diesem Abschnitt. |
Netzwerkdienstkonto (NT AUTHORITY\NetworkService) |
Unterstützt Siehe Einschränkung 1, 3 und 4 weiter unten in diesem Abschnitt. |
Nicht unterstützt | Nicht unterstützt |
| Lokales Benutzerkonto (nicht administrativ) | Unterstützt Siehe Einschränkung 1 weiter unten in diesem Abschnitt. |
Nicht unterstützt | Nicht zutreffend |
Lokales Systemkonto (NT AUTHORITY\System) |
Unterstützt Siehe Einschränkung 2 weiter unten in diesem Abschnitt. |
Nicht unterstützt | Unterstützt Siehe Einschränkung 2 weiter unten in diesem Abschnitt. |
Lokales Dienstkonto (NT AUTHORITY\LocalService) |
Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
Einschränkung 1: Verwenden von nicht administrativen Konten für die Verwaltung mit mehreren Servern
Fehler beim Auflisten von Zielservern an einem Masterserver mit der folgenden Fehlermeldung: The enlist operation failed.
Um diesen Fehler zu beheben, starten Sie sowohl die SQL Server- als auch die SQL Server-Agent-Dienste neu. Weitere Informationen finden Sie unter Starten, Beenden, Anhalten, Fortsetzen und Neustarten von SQL Server-Diensten.
Einschränkung 2: Verwenden des lokalen Systemkontos für die Verwaltung mit mehreren Servern
Die Verwaltung mit mehreren Servern wird unterstützt, wenn der SQL Server-Agent-Dienst nur unter dem lokalen Systemkonto ausgeführt wird, wenn sich sowohl der Masterserver als auch der Zielserver auf demselben Computer befinden. Wenn Sie diese Konfiguration verwenden, wird die folgende Meldung zurückgegeben, wenn Sie Zielserver auf dem Masterserver auflisten:
Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.
Sie können diese Informationsmeldung ignorieren. Der Anmeldevorgang sollte erfolgreich abgeschlossen sein. Weitere Informationen finden Sie unter Erstellen einer Multiserverumgebung.
Einschränkung 3: Verwenden des Netzwerkdienstkontos, wenn es ein SQL Server-Benutzer ist
Der SQL Server-Agent kann nicht gestartet werden, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und dem Netzwerkdienstkonto explizit Zugriff auf die Anmeldung bei einer SQL Server-Instanz als SQL Server-Benutzer gewährt wird.
Um dies zu beheben, starten Sie den Computer neu, auf dem SQL Server ausgeführt wird. Dies muss nur einmal erfolgen.
Einschränkung 4: Verwenden des Netzwerkdienstkontos, wenn SQL Server Reporting Services auf demselben Computer ausgeführt wird
Der SQL Server-Agent kann nicht gestartet werden, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und Reporting Services auch auf demselben Computer ausgeführt wird.
Um dies zu beheben, starten Sie den Computer neu, auf dem SQL Server ausgeführt wird, und starten Sie dann sowohl die SQL Server- als auch die SQL Server-Agent-Dienste neu. Dies muss nur einmal erfolgen.
Allgemeine Aufgaben
Festlegen des Dienststartkontos für SQL Server-Agent (SQL Server Configuration Manager)
SQL Server-Agent-Mail für die Verwendung von Datenbank-Mail konfigurieren
Verwenden Sie SQL Server Configuration Manager, um anzugeben, dass der SQL Server-Agent beim Starten des Betriebssystems gestartet werden muss.