Configurare account di servizio e autorizzazioni di Windows
Si applica a: SQL Server
Ogni servizio in SQL Server rappresenta un processo o un set di processi destinato a gestire l'autenticazione delle operazioni di SQL Server con Windows. In questo articolo viene fornita la descrizione della configurazione predefinita dei servizi disponibili in questa versione di SQL Server e delle opzioni di configurazione per i servizi SQL Server che è possibile impostare durante e dopo l'installazione di SQL Server. Questo articolo offre informazioni dettagliate sugli account di servizio destinate agli utenti avanzati.
Con Gestione configurazione SQL Server è possibile configurare la maggior parte dei servizi e le relative proprietà. Ecco i percorsi delle versioni recenti con Windows installato nell'unità C.
Versione di SQL Server | Percorso |
---|---|
SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server 2012 | C:\Windows\SysWOW64\SQLServerManager11.msc |
SQL Server abilitato da Azure Arc.
Per le autorizzazioni richieste dall'estensione di Azure per SQL Server, vedere Configurare gli account del servizio Windows e le autorizzazioni per l'estensione di Azure per SQL Server.
Servizi installati tramite SQL Server
A seconda dei componenti selezionati, durante l'installazione di SQL Server vengono installati i servizi seguenti:
Servizio | Descrizione |
---|---|
Servizi di database di SQL Server | Servizio per il motore di database relazionale di SQL Server. Il file eseguibile è \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe . |
SQL Server Agent | Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione. Il servizio SQL Server Agent è presente, ma è disabilitato nelle istanze di SQL Server Express. Il file eseguibile è \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe . |
Analysis Services | Offre funzionalità OLAP (Online Analytical Processing) e di data mining per applicazioni di business intelligence. Il file eseguibile è \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe . |
Reporting Services | Gestisce, esegue, crea, pianificazioni e recapita report. Il file eseguibile è \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe . |
Integration Services | Fornisce il supporto di gestione per l'esecuzione e l'archiviazione dei pacchetti di Integration Services. Il percorso dell'eseguibile è \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe . |
Integration Services può includere servizi aggiuntivi per le distribuzioni con scalabilità orizzontale. Per altre informazioni, vedere Procedura dettagliata: Configurare Integration Services (SSIS) Scale Out.
Servizio | Descrizione |
---|---|
SQL Server Browser | Servizio di risoluzione dei nomi che fornisce informazioni di connessione a SQL Server per i computer client. Il percorso dell'eseguibile è C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe . |
Ricerca full-text | Consente di creare rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per fornire le funzioni di filtro e word breaking dei documenti per SQL Server. |
SQL Writer | Consente alle applicazioni di backup e ripristino di operare nel framework del Servizio Copia Shadow del volume (VSS). |
Controller di Riesecuzione distribuita di SQL Server | Fornisce l'orchestrazione della riproduzione della traccia tra più computer client Riesecuzione distribuita. |
Client Riesecuzione distribuita di SQL Server | Uno o più computer Distributed Replay Client che interagiscono con un sistema Distributed Replay Controller per la simulazione di carichi di lavoro simultanei su un'istanza del motore di database di SQL Server. |
Launchpad di SQL Server | Servizio attendibile che ospita gli eseguibili esterni forniti da Microsoft, come i runtime R o Python installati nell'ambito di R Services o Machine Learning Services. I processi satellite possono essere avviati dal processo Launchpad, ma verranno regolati a livello di risorse in base alla configurazione della istanza singola. Il servizio Launchpad viene eseguito con un account utente specifico e ogni processo satellite per un determinato runtime registrato eredita l'account utente del Launchpad. I processi satellite vengono creati e distrutti su richiesta durante la fase di esecuzione. Il Launchpad non può creare gli account che usa se si installa SQL Server in un computer che viene usato anche come controller di dominio. Pertanto, la configurazione di R Services (In-Database) o Machine Learning Services (In-Database) non riesce in un controller di dominio. |
Motore di ricerca PolyBase di SQL Server | Offre funzionalità di query distribuite a origini dati esterne. |
Servizio di spostamento dati PolyBase di SQL Server | Consente lo spostamento dei dati tra SQL Server e origini dati esterne e tra i nodi SQL in gruppi di scalabilità orizzontale di PolyBase. |
Servizi di Analisi utilizzo software installati tramite SQL Server
Il servizio Analisi utilizzo software invia i dati di telemetria a Microsoft.
A seconda dei componenti selezionati, durante l'installazione di SQL Server vengono installati i servizi di Analisi utilizzo software seguenti.
Servizio | Descrizione |
---|---|
SQLTELEMETRY | Programma Analisi utilizzo software che invia i dati di telemetria del motore di database a Microsoft. |
SSASTELEMETRY | Programma di Analisi utilizzo software che invia i dati di telemetria di SQL Server Analysis Services a Microsoft. |
SSISTELEMETRY | Programma di Analisi utilizzo software che invia i dati di telemetria di SQL Server Integration Services a Microsoft. |
Proprietà e configurazione dei servizi
Gli account di avvio usati per avviare ed eseguire SQL Server possono essere account utente di dominio, account utente locali, account dei servizi gestiti, account virtuali oppure account di sistema predefiniti. Per essere avviato ed eseguito, ogni servizio in SQL Server deve disporre di un account di avvio configurato durante l'installazione.
Nota
Per l'istanza del cluster di failover per SQL Server 2016 (13.x) e versioni successive, è possibile usare account utente di dominio o account del servizio gestiti dal gruppo come account di avvio per SQL Server.
In questa sezione sono descritti gli account che possono essere configurati per avviare servizi SQL Server, i valori predefiniti usati dal programma di installazione di SQL Server, il concetto di SID per servizio, le opzioni di avvio e la configurazione del firewall.
- Account di servizio predefiniti
- Avvio automatico
- Configurazione del tipo di avvio del servizio
- Porta del firewall
Account di servizio predefiniti
Nella tabella sono vengono elencati gli account di servizio predefiniti usati dall'installazione quando si istallano tutti i componenti. Gli account predefiniti elencati sono gli account consigliati, ad eccezione dei casi indicati.
Server autonomo o controller di dominio
Componente | Windows Server 2008 | Windows 7, Windows Server 2008 R2 e versioni successive |
---|---|---|
Motore di database | NETWORK SERVICE | Account virtuale 1 |
SQL Server Agent | NETWORK SERVICE | Account virtuale 1 |
SSAS | NETWORK SERVICE | Account virtuale 1 2 |
SSIS | NETWORK SERVICE | Account virtuale 1 |
SSRS | NETWORK SERVICE | Account virtuale 1 |
Controller di Riesecuzione distribuita di SQL Server | NETWORK SERVICE | Account virtuale 1 |
Client Riesecuzione distribuita di SQL Server | NETWORK SERVICE | Account virtuale 1 |
Utilità di avvio FD (ricerca full-text) | LOCAL SERVICE | Account virtuale |
SQL Server Browser | LOCAL SERVICE | LOCAL SERVICE |
SQL Server VSS Writer | LOCAL SYSTEM | LOCAL SYSTEM |
Advanced Analytics Extensions | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
Motore PolyBase | NETWORK SERVICE | NETWORK SERVICE |
Servizio spostamento dati di PolyBase | NETWORK SERVICE | NETWORK SERVICE |
1 Quando sono necessarie risorse esterne al computer SQL Server, Microsoft consiglia di usare un account del servizio gestito, configurato con i privilegi minimi necessari.
2 Quando è installato in un controller di dominio, un account virtuale non è supportato come account del servizio.
Istanza del cluster di failover di SQL Server
Componente | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Motore di database | Nessuno. Fornire un account utente di dominio . | Fornire un account utente di dominio . |
SQL Server Agent | Nessuno. Fornire un account utente di dominio . | Fornire un account utente di dominio . |
SSAS | Nessuno. Fornire un account utente di dominio . | Fornire un account utente di dominio . |
SSIS | NETWORK SERVICE | Account virtuale |
SSRS | NETWORK SERVICE | Account virtuale |
Utilità di avvio FD (ricerca full-text) | LOCAL SERVICE | Account virtuale |
SQL Server Browser | LOCAL SERVICE | LOCAL SERVICE |
SQL Server VSS Writer | LOCAL SYSTEM | LOCAL SYSTEM |
Modificare le proprietà dell'account
Importante
Usare sempre strumenti di SQL Server, ad esempio Gestione configurazione SQL Server, per modificare l'account usato dai servizi Motore di database di SQL Server o SQL Server Agent oppure per modificare la password per l'account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL Server consente di eseguire operazioni di configurazione aggiuntive, quali l'aggiornamento dell'archivio di sicurezza locale di Windows, tramite cui viene protetta la chiave master del servizio per il motore di database Altri strumenti, ad esempio Gestione controllo servizi Windows, possono modificare il nome dell'account, ma non modifica tutte le impostazioni necessarie.
Se si modificano gli account del servizio per qualsiasi servizio SQL usando altri mezzi, può causare comportamenti o errori imprevisti. Ad esempio, se si modifica l'account del servizio SQL Agent in un account di dominio usando l'applet dei servizi Windows, è possibile notare che i processi di SQL Agent che usano il sistema operativo (Cmdexec), la replica o i passaggi del processo SSIS potrebbero non riuscire con un errore simile al seguente:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
Per risolvere questo errore, è necessario eseguire le operazioni seguenti usando Gestione configurazione SQL Server:
- Modificare temporaneamente l'account del servizio SQL Agent con l'account virtuale predefinito (istanza predefinita: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$<instance_name>.
- Riavviare il servizio SQL Server Agent
- Ripristinare l'account del servizio con l'account di dominio desiderato
- Riavviare il servizio SQL Server Agent
Per le istanze di Analysis Services distribuibili in una farm SharePoint, usare sempre Amministrazione centrale SharePoint per modificare gli account server per applicazioni del servizio Power Pivot e il servizio Analysis Services. Quando si usa Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'uso delle nuove informazioni sull'account.
Per modificare le opzioni di Reporting Services, usare il relativo strumento di configurazione.
Account dei servizi gestiti, account dei servizi gestiti di gruppo e account virtuali
Gli account dei servizi gestiti, gli account dei servizi gestiti di gruppo e gli account virtuali sono progettati per offrire ad applicazioni importanti, come SQL Server, l'isolamento dei relativi account, in modo che non sia più necessario che un amministratore amministri manualmente il nome dell'entità servizio e le credenziali per questi account. Inoltre, grazie a questi account, la gestione a lungo termine di utenti di account di servizio, di password e di nomi SPN è più semplice.
-
Un account del servizio gestito è un tipo di account di dominio creato e gestito dal controller di dominio. Viene assegnato al computer di un singolo membro per l'esecuzione di un servizio e la password viene gestita automaticamente dal controller di dominio. Non è possibile usare un account del servizio gestito per accedere a un computer, tuttavia tale account può essere usato da un computer per l'avvio di un servizio Windows. Un account del servizio gestito ha la capacità di registrare un nome dell'entità servizio (SPN) in Active Directory Domain Services date le autorizzazioni servicePrincipalName di lettura e scrittura. Il nome di un account del servizio gestito è caratterizzato da un suffisso
$
, ad esempioDOMAIN\ACCOUNTNAME$
. Quando si specifica un account del servizio gestito, lasciare la password vuota. Dal momento che un account del servizio gestito viene assegnato a un singolo computer, non può essere usato in nodi diversi di un cluster Windows.Nota
Questo tipo di account deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL Server per i servizi SQL Server.
Account del servizio gestiti dal gruppo
Un account del servizio gestito di gruppo (gMSA) è un account del servizio gestito per più server. Windows gestisce un account del servizio per i servizi in esecuzione in un gruppo di server. Active Directory aggiorna automaticamente la password dell'account del servizio gestito di gruppo senza riavviare i servizi. È possibile configurare servizi di SQL Server per l'uso di un'entità di account del servizio gestito di gruppo. A partire da SQL Server 2014, SQL Server supporta gli account del servizio gestito di gruppo per istanze autonome e SQL Server 2016 e versioni successive per istanze del cluster di failover e gruppi di disponibilità.
Per usare un account del servizio gestito di gruppo per SQL Server 2014 o versioni successive, il sistema operativo deve essere Windows Server 2012 R2 o versioni successive. I server con Windows Server 2012 R2 richiedono l'applicazione di KB 2998082 in modo che i servizi possano accedere senza interruzioni immediatamente dopo una modifica della password.
Per altre informazioni, vedere Raggruppare account del servizio gestito per Windows Server 2016 e versioni successive. Per le versioni precedenti di Windows Server, vedere Raggruppare account del servizio gestito.
Nota
Questo tipo di account deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL Server per i servizi SQL Server.
-
Gli account virtuali a partire da Windows Server 2008 R2 e Windows 7 sono account locali gestiti che forniscono le funzionalità seguenti per semplificare l'amministrazione dei servizi. L'account virtuale è gestito automaticamente e consente di accedere alla rete in un ambiente di dominio. Se durante l'installazione di SQL Server viene usato il valore predefinito per gli account di servizio, viene usato un account virtuale con il nome dell'istanza come nome del servizio, nel formato
NT SERVICE\<SERVICENAME>
. I servizi eseguiti come account virtuali permettono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato<domain_name>\<computer_name>$
. Quando si specifica un account virtuale per avviare SQL Server, lasciare vuoto il campo della password. Se tramite l'account virtuale non è possibile registrare il nome dell'entità servizio (SPN), registrarlo manualmente. Per altre informazioni sulla registrazione manuale di un SPN, vedere Registrazione manuale del nome SPN.Nota
Non è possibile usare gli account virtuali per l'istanza del cluster di failover di SQL Server, perché non dispongono dello stesso SID in ogni nodo del cluster.
Nella tabella seguente sono elencati esempi di nomi di account virtuali.
Service Nome dell'account virtuale Istanza predefinita del servizio motore di database NT SERVICE\MSSQLSERVER
Istanza denominata di un servizio motore di database denominato PAYROLL
NT SERVICE\MSSQL$PAYROLL
Servizio SQL Server Agent nell'istanza predefinita di SQL Server NT Service\SQLSERVERAGENT
Servizio SQL Server Agent in un'istanza di SQL Server denominata PAYROLL
NT SERVICE\SQLAGENT$PAYROLL
Per altre informazioni sugli account dei servizi gestiti e sugli account virtuali, vedere la sezione Concetti relativi agli account dei servizi gestiti e agli account virtuali nella pagina Guida dettagliata agli account di servizio e la pagina relativa alle domande frequenti sugli account dei servizi gestiti.
Nota
Eseguire sempre i servizi SQL Server usando i diritti utente di livello più basso possibile. Usare un account del servizio gestito, un account del servizio gestito di gruppo o un account virtuale, quando possibile. In alternativa, usare un account utente con privilegi limitati o un account di dominio specifico anziché un account condiviso per i servizi SQL Server, assegnando account distinti ai diversi servizi SQL Server. Non concedere autorizzazioni aggiuntive all'account del servizio oppure ai gruppi di servizi di SQL Server. Le autorizzazioni vengono concesse mediante l'appartenenza a un gruppo o direttamente a un SID del servizio, se quest'ultimo è supportato.
Avvio automatico
Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:
- Disabilitati. Il servizio è installato ma non è attualmente in esecuzione.
- Manuale. Il servizio è installato ma viene avviato solo quando le relative funzionalità sono necessarie per un altro servizio o un'altra applicazione.
- Automatica. Il servizio viene avviato automaticamente dal sistema operativo.
Lo stato di avvio viene selezionato durante l'installazione. Quando si installa un'istanza denominata, il servizio SQL Server Browser deve essere impostato per l'avvio automatico.
Configurare i servizi durante l'installazione automatica
Nella tabella seguente vengono indicati i servizi SQL Server configurabili durante l'installazione. Per le installazioni automatiche, è possibile usare le opzioni in un file di configurazione o al prompt dei comandi.
Nome del servizio SQL Server | Opzioni per le installazioni automatiche 1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
Controller di Riesecuzione distribuita di SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
Client Riesecuzione distribuita di SQL Server | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
R Services o Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
Motore PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Per altre informazioni e una sintassi di esempio per le installazioni automatiche, vedere Installare SQL Server dal prompt dei comandi.
2 Il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Servizi avanzati.
3 L'impostazione dell'account per il servizio Launchpad tramite le sole opzioni non è attualmente supportata. Per modificare l'account e altre impostazioni del servizio, usare Gestione configurazione SQL Server.
Porta del firewall
Nella maggior parte dei casi, al momento dell'installazione iniziale, è possibile connettersi al motore di database mediante strumenti quali SQL Server Management Studio installati nello stesso computer di SQL Server. L'installazione di SQL Server non consente di aprire porte in Windows Firewall. Connessioni da altri computer potrebbero non essere possibili finché il motore di database non è configurato per essere in ascolto su una porta TCP e la porta appropriata non viene aperta per le connessioni in Windows Firewall. Per altre informazioni, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.
Autorizzazioni del servizio
In questa sezione vengono descritte le autorizzazioni configurate dal programma di installazione di SQL Server per i SID per servizio dei servizi SQL Server.
- Configurazione e controllo di accesso del servizio
- Privilegi e diritti di Windows
- Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows di SQL Server
- Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows
- Autorizzazioni del file system correlate a percorsi su disco non comuni
- Considerazioni aggiuntive
- Autorizzazioni del Registro di sistema
- WMI
- Named pipe
Configurazione e controllo di accesso del servizio
SQL Server abilita il SID per servizio per ognuno dei servizi in modo da fornire isolamento e protezione avanzata dei servizi. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio. Un nome di SID per servizio per un'istanza denominata del servizio motore di database potrebbe essere ad esempio NT Service\MSSQL$<instance_name>
. Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la sicurezza dell'oggetto. Mediante una voce di controllo di accesso contenente un SID del servizio, un servizio SQL Server può limitare l'accesso alle proprie risorse.
Nota
In Windows 7 e Windows Server 2008 R2 e versioni successive il SID per servizio può essere l'account virtuale usato dal servizio.
Per la maggior parte dei componenti, l'elenco di controllo di accesso (ACL) per l'account per servizio viene configurato direttamente da SQL Server, quindi è possibile modificare l'account di servizio senza dover ripetere il processo ACL per le risorse.
Quando si installa SQL Server Analysis Services, vengono creati un SID per servizio per il servizio Analysis Services e un gruppo locale di Windows, il cui nome è conforme al formato SQLServerMSASUser$<computer_name>$<instance_name>
. Al SID NT SERVICE\MSSQLServerOLAPService
per servizio viene concessa l'appartenenza al gruppo di Windows locale e al gruppo di Windows locale vengono concesse le autorizzazioni appropriate nell'ACL. Se l'account usato per avviare il servizio Analysis Services viene modificato, tramite Gestione configurazione SQL Server devono essere modificate alcune autorizzazioni di Windows, ad esempio il diritto di accedere come servizio. Le autorizzazioni assegnate al gruppo locale di Windows sono tuttavia ancora disponibili senza alcun aggiornamento, perché il SID per servizio non è stato modificato. Questo metodo consente di rinominare il servizio Analysis Services durante gli aggiornamenti.
Durante l'installazione di SQL Server, il programma di installazione di SQL Server crea un gruppo di Windows locale per SQL Server Analysis Services e il servizio SQL Server Browser. Per tali servizi, in SQL Server viene configurato l'elenco ACL per i gruppi locali di Windows.
A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.
Privilegi e diritti di Windows
L'account assegnato per l'avvio di un servizio deve disporre delle autorizzazioni di avvio, arresto e pausa per il servizio, che verranno assegnate automaticamente dal programma di installazione di SQL Server. Installare innanzitutto gli strumenti di amministrazione remota del server (RSAT). Vedere la pagina relativa agli strumenti di amministrazione remota del server per Windows 10.
Nella tabella seguente vengono mostrate le autorizzazioni richieste dal programma di installazione di SQL Server per i SID per servizio o per i gruppi locali di Windows usati dai componenti di SQL Server.
Servizio di SQL Server | Autorizzazioni concesse dal programma di installazione di SQL Server |
---|---|
Motore di database di SQL Server: (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\MSSQLSERVER . Istanza denominata: NT Service\MSSQL$<instance_name> ). |
Accesso come servizio (SeServiceLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) Autorizzazione all'avvio del writer SQL Autorizzazione di lettura del servizio Registro eventi Autorizzazione di lettura del servizio RPC (Remote Procedure Call) |
SQL Server Agent: 1 (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\SQLSERVERAGENT . Istanza denominata: NT Service\SQLAGENT$<instance_name> ). |
Accesso come servizio (SeServiceLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) |
SSAS: (tutti i diritti vengono concessi a un gruppo di Windows locale. Istanza predefinita: SQLServerMSASUser$<computer_name>$MSSQLSERVER . Istanza denominata: SQLServerMSASUser$<computer_name>$<instance_name> . Istanza di Power Pivot per SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot ). |
Accesso come servizio (SeServiceLogonRight) Solo per tabulare: Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) Blocco di pagine in memoria (SeLockMemoryPrivilege) - Necessario solo se il paging è disattivato completamente. Solo per installazioni di cluster di failover: Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege) |
SSRS: (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\ReportServer . Istanza denominata: NT SERVICE\ReportServer$<instance_name> ). |
Accesso come servizio (SeServiceLogonRight) |
SSIS: (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer150 . Integration Services non prevede un processo separato per un'istanza denominata). |
Accesso come servizio (SeServiceLogonRight) Autorizzazione di scrittura sul registro eventi applicazioni Ignorare controllo incrociato (SeChangeNotifyPrivilege) Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege) |
Ricerca full-text: (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\MSSQLFDLauncher . Istanza denominata: NT Service\ MSSQLFDLauncher$<instance_name> ). |
Accesso come servizio (SeServiceLogonRight) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) |
SQL Server Browser: (tutti i diritti vengono concessi a un gruppo di Windows locale. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$<computer_name> . SQL Server Browser non prevede un processo separato per un'istanza denominata). |
Accesso come servizio (SeServiceLogonRight) |
SQL Server VSS Writer: (tutti i diritti vengono concessi al SID per servizio. Istanza predefinita o denominata: NT Service\SQLWriter . SQL Server VSS Writer non prevede un processo separato per un'istanza denominata). |
Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie. Il programma di installazione di SQL Server non controlla né concede le autorizzazioni per questo servizio. |
Controller di Riesecuzione distribuita di SQL Server: | Accesso come servizio (SeServiceLogonRight) |
Client Riesecuzione distribuita di SQL Server: | Accesso come servizio (SeServiceLogonRight) |
Motore PolyBase e Servizio Migrazione del database: | Accesso come servizio (SeServiceLogonRight) |
Launchpad: | Accedere come servizio (SeServiceLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege) |
R Services/Machine Learning Services: SQLRUserGroup (SQL Server 2016 (13.x) e SQL Server 2017 (14.x)) | Non dispone dell'autorizzazione Consenti accesso locale per impostazione predefinita |
Machine LearningServices: 'Tutti i pacchetti applicazioni' [AppContainer] (SQL Server 2019 (15.x)) | Autorizzazioni Read ed execute per le directory SQL Server 'Binn', R_Services e PYTHON_Services |
1 Il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express.
Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows
Gli account del servizio di SQL Server devono disporre dell'accesso alle risorse. Gli elenchi di controllo di accesso sono impostati per il SID per servizio o per il gruppo locale di Windows.
Importante
Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.
Nella tabella seguente sono indicati gli elenchi di controllo di accesso impostati dal programma di installazione di SQL Server.
Account del servizio per | File e cartelle | Accesso |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Controllo completo |
Instid\MSSQL\binn | Lettura, Esecuzione | |
Instid\MSSQL\data | Controllo completo | |
Instid\MSSQL\FTData | Controllo completo | |
Instid\MSSQL\Install | Lettura, Esecuzione | |
Instid\MSSQL\Log | Controllo completo | |
Instid\MSSQL\Repldata | Controllo completo | |
150\shared | Lettura, Esecuzione | |
Instid\MSSQL\Template Data (solo SQL Server Express) | Lettura | |
SQLServerAgent 1 | Instid\MSSQL\binn | Controllo completo |
Instid\MSSQL\Log | Lettura, Scrittura, Eliminazione, Esecuzione | |
150\com | Lettura, Esecuzione | |
150\shared | Lettura, Esecuzione | |
150\shared\Errordumps | Lettura, Scrittura | |
ServerName\EventLog | Controllo completo | |
FTS | Instid\MSSQL\FTData | Controllo completo |
Instid\MSSQL\FTRef | Lettura, Esecuzione | |
150\shared | Lettura, Esecuzione | |
150\shared\Errordumps | Lettura, Scrittura | |
Instid\MSSQL\Install | Lettura, Esecuzione | |
Instid\MSSQL\jobs | Lettura, Scrittura | |
MSSQLServerOLAPService | 150\shared\ASConfig | Controllo completo |
Instid\OLAP | Lettura, Esecuzione | |
Instid\Olap\Data | Controllo completo | |
Instid\Olap\Log | Lettura, Scrittura | |
Instid\OLAP\Backup | Lettura, Scrittura | |
Instid\OLAP\Temp | Lettura, Scrittura | |
150\shared\Errordumps | Lettura, Scrittura | |
ReportServer | Instid\Reporting Services\Log Files | Lettura, Scrittura, Eliminazione |
Instid\Reporting Services\ReportServer | Lettura, Esecuzione | |
Instid\Reporting Services\ReportServer\global.asax | Controllo completo | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Lettura | |
Instid\Reporting Services\RSTempfiles | Lettura, Scrittura, Esecuzione, Eliminazione | |
Instid\Reporting Services\RSWebApp | Lettura, Esecuzione | |
150\shared | Lettura, Esecuzione | |
150\shared\Errordumps | Lettura, Scrittura | |
MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Lettura |
150\dts\binn | Lettura, Esecuzione | |
150\shared | Lettura, Esecuzione | |
150\shared\Errordumps | Lettura, Scrittura | |
SQL Server Browser | 150\shared\ASConfig | Lettura |
150\shared | Lettura, Esecuzione | |
150\shared\Errordumps | Lettura, Scrittura | |
SQLWriter | N/D (eseguito come sistema locale) | |
Utente | Instid\MSSQL\binn | Lettura, Esecuzione |
Instid\Reporting Services\ReportServer | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
Instid\Reporting Services\ReportServer\global.asax | Lettura | |
Instid\Reporting Services\RSWebApp | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
150\dts | Lettura, Esecuzione | |
150\tools | Lettura, Esecuzione | |
100\tools | Lettura, Esecuzione | |
90\tools | Lettura, Esecuzione | |
80\tools | Lettura, Esecuzione | |
150\sdk | Lettura | |
Microsoft SQL Server\150\Setup Bootstrap | Lettura, Esecuzione | |
Controller di Riesecuzione distribuita di SQL Server | <ToolsDir>\DReplayController\Log\ (directory vuota) | Lettura, Esecuzione, Visualizzazione contenuto cartella |
<ToolsDir>\DReplayController\DReplayController.exe | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayController\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella | ||
<ToolsDir>\DReplayController\{all dlls} | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayController\DReplayController.config | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayController\IRDefinition.xml | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
Client Riesecuzione distribuita di SQL Server | <ToolsDir>\DReplayClient\Log|Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayClient\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella | ||
<ToolsDir>\DReplayClient\ (all dlls) | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayClient\DReplayClient.config | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Lettura, Esecuzione, Visualizzazione contenuto cartella | |
Launchpad | %binn | Lettura, Esecuzione |
ExtensiblilityData | Controllo completo | |
Log\ExtensibilityLog | Controllo completo |
1 Il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Servizi avanzati.
Se i file di database vengono archiviati in un percorso definito dall'utente, è necessario concedere l'accesso del SID per servizio al percorso in questione. Per altre informazioni sulla concessione di autorizzazioni del file system a un SID per servizio, vedere Configurare le autorizzazioni del file system per l'accesso al motore di database.
Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows
Potrebbe essere necessario concedere alcune autorizzazioni relative al controllo dell'accesso ad account predefiniti o ad altri account del servizio SQL Server. Nella tabella seguente sono inclusi gli elenchi di controllo di accesso aggiuntivi impostati dal programma di installazione di SQL Server.
Componente richiedente | Conto | Conto risorse | Autorizzazioni |
---|---|---|---|
MSSQLServer | Performance Log Users | Instid\MSSQL\binn | Visualizzazione contenuto cartella |
Performance Monitor Users | Instid\MSSQL\binn | Visualizzazione contenuto cartella | |
Performance Log Users, Performance Monitor Users | \WINNT\system32\sqlctr150.dll | Lettura, Esecuzione | |
Solo Amministratore | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 |
Controllo completo | |
Administrators, Sistema | \tools\binn\schemas\sqlserver\2004\07\showplan | Controllo completo | |
Utenti | \tools\binn\schemas\sqlserver\2004\07\showplan | Lettura, Esecuzione | |
Reporting Services | Account del servizio Windows del server di report | <installazione>\Reporting Services\LogFiles | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Account del servizio Windows del server di report | <installazione>\Reporting Services\ReportServer | Lettura | |
Account del servizio Windows del server di report | <installazione>\Reporting Services\ReportServer\global.asax | Completo | |
Account del servizio Windows del server di report | <installazione>\Reporting Services\RSWebApp | Lettura, Esecuzione | |
Tutti | <installazione>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Account servizi Windows ReportServer | <installazione>\Reporting Services\ReportServer\rsreportserver.config | DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tutti | Chiavi del server di report (hive Instid) | Valore query Enumera sottochiavi Notify Controllo di lettura |
|
Utente di Servizi terminali | Chiavi del server di report (hive Instid) | Valore query Imposta valore Creazione sottochiave Enumerazione sottochiavi Notify Elimina Controllo di lettura |
|
Power Users | Chiavi del server di report (hive Instid) | Valore query Imposta valore Creazione sottochiave Enumerazione delle sottochiavi Notify Elimina Controllo di lettura |
1 Si tratta dello spazio dei nomi del provider WMI.
Autorizzazioni del file system correlate a percorsi su disco non comuni
L'unità predefinita dei percorsi di installazione è unità di sistema, in genere l'unità C. Questa sezione offre ulteriori considerazioni relative all'installazione di database tempdb o utente in posizioni insolite.
Unità non predefinita
In caso di installazione in un'unità locale diversa dall'unità predefinita, il SID per servizio deve disporre dell'accesso al percorso dei file. Il programma di installazione di SQL Server effettua il provisioning dell'accesso richiesto.
Condivisione di rete
Quando i database vengono installati in una condivisione di rete, l'account del servizio deve disporre dell'accesso al percorso dei file dei database utente e tempdb
. Il programma di installazione di SQL Server non può effettuare il provisioning dell'accesso a una condivisione di rete. L'utente deve effettuare il provisioning dell'accesso a un percorso del database tempdb per l'account del servizio prima di eseguire l'installazione. Inoltre deve effettuare il provisioning dell'accesso al percorso del database utente prima della creazione del database.
Nota
Gli account virtuali non possono essere autenticati a un percorso remoto. Per tutti gli account virtuali viene usata l'autorizzazione dell'account del computer. Effettuare il provisioning dell'account del computer nel formato <domain_name>\<computer_name>$
.
Esaminare considerazioni aggiuntive
Nella tabella seguente sono indicate le autorizzazioni necessarie per disporre di funzionalità aggiuntive dei servizi SQL Server.
Servizio/Applicazione | Funzionalità | Autorizzazione necessaria |
---|---|---|
SQL Server (MSSQLSERVER) | Scrittura in uno slot di posta elettronica utilizzando xp_sendmail. | Autorizzazioni di scrittura in rete. |
SQL Server (MSSQLSERVER) | Eseguire xp_cmdshell per un utente diverso dall'amministratore di SQL Server. | Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo. |
SQL Server Agent (MSSQLSERVER) | Usare la funzionalità di riavvio automatico. | È necessario essere membri del gruppo locale Administrators. |
Ottimizzazione guidata motore di database | Ottimizza i database per ottenere prestazioni ottimali delle query. | Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo. In seguito all'inizializzazione, gli utenti dbo possono usare Ottimizzazione guidata motore di database per ottimizzare solo le tabelle di loro proprietà. Per altre informazioni, vedere Avvio e utilizzo di Ottimizzazione guidata motore di database. |
Importante
Prima di aggiornare SQL Server, abilitare SQL Server Agent e verificare la configurazione predefinita richiesta, ovvero che l'account del servizio SQL Server Agent sia un membro del ruolo predefinito del server sysadmin di SQL Server.
Autorizzazioni del Registro di sistema
L'hive del Registro di sistema viene creato in HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>
per i componenti specifici dell'istanza. Ad esempio:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Nel Registro di sistema viene inoltre gestito un mapping degli ID istanza ai nomi delle istanze. Il mapping degli ID istanza in base ai nomi delle istanze è gestito nel modo seguente:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
Tramite Strumentazione gestione Windows (WMI) deve essere possibile eseguire la connessione al motore di database. Per il supporto necessario, viene effettuato il provisioning del SID per servizio del provider WMI di Windows (NT SERVICE\winmgmt
) nel motore di database.
Per il provider WMI di SQL sono necessarie le autorizzazioni minime seguenti:
Appartenenza ai ruoli predefiniti dei database db_ddladmin o db_owner nel database
msdb
.AutorizzazioneCREATE DDL EVENT NOTIFICATION nel server.
AutorizzazioneCREATE TRACE EVENT NOTIFICATION nel motore di database.
AutorizzazioneVIEW ANY DATABASE a livello di server.
Il programma di installazione di SQL Server crea uno spazio dei nomi WMI di SQL e concede l'autorizzazione di lettura al SID del servizio SQL Server Agent.
Named pipe
In tutte le installazioni il programma di installazione di SQL Server fornisce l'accesso al motore di database di SQL Server tramite il protocollo Shared Memory, una named pipe locale.
Provisioning in corso
In questa sezione viene descritto il provisioning degli account nei vari componenti di SQL Server.
Provisioning del motore di database
Gli account seguenti vengono aggiunti come account di accesso nel motore di database di SQL Server.
Entità di Windows
Durante l'installazione il programma di installazione di SQL Server richiede che ad almeno un account utente venga assegnato il ruolo predefinito del server sysadmin.
Account SA
L'account sa è sempre presente come account di accesso del motore di database ed è membro del ruolo predefinito del server sysadmin. Quando il motore di database viene installato usando solo l'autenticazione di Windows, ovvero quando l'autenticazione di SQL Server non è abilitata, l'account di accesso sa è presente ma è disabilitato e la password è complessa e casuale. Per informazioni sull'abilitazione dell'account sa , vedere Modifica della modalità di autenticazione del server.
Account di accesso del SID per servizio SQL Server e privilegi
Il provisioning del SID per servizio (a volte noto anche come entità di sicurezza del servizio) del servizio SQL Server viene effettuato come account di accesso del motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin . Per informazioni sul SID per servizio, vedere Uso dei SID dei servizi per concedere autorizzazioni ai servizi in SQL Server.
Account di accesso di SQL Server Agent e privilegi
Il provisioning del SID per servizio del servizio SQL Server Agent viene effettuato come account di accesso del motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .
Gruppi di disponibilità Always On e istanza del cluster di failover SQL e relativi privilegi
Quando si installa il motore di database come gruppi di disponibilità Always On o istanza del cluster di failover SQL (FCI SQL), il provisioning di LOCAL SYSTEM viene effettuato nel motore di database. All'account di accesso LOCAL SYSTEM vengono concesse le autorizzazioni ALTER ANY AVAILABILITY (per i gruppi di disponibilità Always On) e VIEW SERVER STATE (per FCI SQL).
Writer SQL e privilegi
Il provisioning del SID per servizio del servizio SQL Server VSS Writer viene effettuato come account di accesso del motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .
WMI di SQL e privilegi
Il programma di installazione di SQL Server effettua il provisioning dell'account NT SERVICE\Winmgmt
come account di accesso del motore di database e lo aggiunge al ruolo predefinito del server sysadmin.
Provisioning di SSRS
Il provisioning dell'account specificato durante l'installazione viene effettuato come membro del ruolo del database RSExecRole . Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).
Provisioning di SSAS
I requisiti dell'account del servizio SQL Server Analysis Services variano a seconda della modalità di distribuzione del server. Se si installa Power Pivot per SharePoint, il programma di installazione di SQL Server richiede la configurazione del servizio Analysis Services da eseguire in un account di dominio. Gli account di dominio sono necessari per supportare la funzionalità dell'account gestito compilato in SharePoint. Per questo motivo, il programma di installazione di SQL Server non fornisce un account del servizio predefinito, ad esempio un account virtuale, per un'installazione di Power Pivot per SharePoint. Per altre informazioni sul provisioning di Power Pivot per SharePoint, vedere Configurare gli account del servizio Power Pivot.
Per tutte le altre installazioni autonome di SQL Server Analysis Services, è possibile effettuare il provisioning del servizio da eseguire con un account di dominio, un account di sistema predefinito, un account gestito o un account virtuale. Per altre informazioni sul provisioning degli account, vedere Configurare gli account del servizio (Analysis Services).
Per le installazioni cluster, è necessario specificare un account di dominio o un account di sistema predefinito. Per i cluster di failover di SQL Server Analysis Services non sono supportati account gestiti, né account virtuali.
Per tutte le installazioni di SQL Server Analysis Services è necessario specificare un amministratore di sistema dell'istanza di Analysis Services. Il provisioning dei privilegi di amministratore viene effettuato nel ruolo Server di Analysis Services.
Provisioning di SSRS
Il provisioning dell'account specificato durante l'installazione viene effettuato nel motore di database come membro del ruolo del database RSExecRole. Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).
Eseguire l'aggiornamento dalle versioni precedenti
In questa sezione sono descritte le modifiche apportate durante l'aggiornamento da una versione precedente di SQL Server.
SQL Server 2019 (15.x) richiede un sistema operativo supportato. Qualsiasi versione precedente di SQL Server in esecuzione in una versione meno recente del sistema operativo deve disporre del sistema operativo aggiornato prima dell'aggiornamento a SQL Server.
Durante l'aggiornamento di SQL Server 2005 (9.x) a SQL Server 2019 (15.x) il programma di installazione configura l'istanza di SQL Server nel modo seguente:
- Il motore di database viene eseguito con il contesto di sicurezza del SID per servizio. Al SID per servizio è concesso l'accesso alle cartelle file dell'istanza di SQL Server (ad esempio DATA) e alle chiavi del Registro di sistema di SQL Server.
- Il SID per servizio del motore di database viene sottoposto a provisioning nel motore di database come membro del ruolo predefinito del server sysadmin.
- I SID per servizio vengono aggiunti ai gruppi di Windows locali SQL Server, a meno che SQL Server non sia un'istanza del cluster di failover.
- Le risorse di SQL Server continuano a essere sottoposte a provisioning nei gruppi locali di Windows di SQL Server.
- Il gruppo locale di Windows per i servizi viene rinominato da
SQLServer2005MSSQLUser$<computer_name>$<instance_name>
inSQLServerMSSQLUser$<computer_name>$<instance_name>
. Nei percorsi dei file per database migrati sono presenti voci di controllo di accesso per i gruppi locali di Windows. Nei percorsi dei file di nuovi database sono presenti voci di controllo di accesso per il SID per servizio.
Durante l'aggiornamento da SQL Server 2008 (10.0.x), il programma di installazione di SQL Server mantiene gli ACL per IL SID di SQL Server 2008 (10.0.x).
Per un'istanza del cluster di failover di SQL Server, viene mantenuta la voce di controllo di accesso per l'account di dominio configurato per il servizio.
Appendice
In questa sezione sono fornite informazioni aggiuntive sui servizi SQL Server.
- Descrizione degli account di servizio
- Identificazione dei servizi specifici, e non specifici, dell'istanza
- Nomi dei servizi localizzati
Descrizione degli account di servizio
L'account del servizio è l'account usato per avviare un servizio Windows, ad esempio il motore di database di SQL Server. Per l'esecuzione di SQL Server, non è necessario aggiungere l'account del servizio come account di accesso di SQL Server oltre al SID del servizio, sempre presente e membro del ruolo predefinito del server sysadmin.
Account disponibili con qualsiasi sistema operativo
Oltre ai nuovi account del servizio gestito, account gMSA e account virtuali descritti precedentemente, è possibile usare gli account seguenti.
Se tramite il servizio si deve interagire con i servizi di rete, accedere a risorse di dominio come condivisioni di file o se sono usate connessioni server collegate ad altri computer che eseguono SQL Server, è possibile usare un account di dominio con privilegi minimi. Molte attività tra server possono essere eseguite solo con un account utente di dominio. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.
Se si configura SQL Server per usare un account di dominio, è possibile isolare i privilegi per il servizio, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per tale gestione. Molte applicazioni server utilizzano questa strategia per migliorare la protezione, ma questa strategia richiede un'ulteriore amministrazione e complessità. In queste distribuzioni, gli amministratori di servizio impiegano un tempo considerevole in attività di manutenzione come la gestione delle password di servizio e dei nomi SPN necessari per l'autenticazione Kerberos. Inoltre, le attività di manutenzione possono interrompere il servizio.
Se il computer non fa parte di un dominio, è consigliabile usare un account utente locale senza le autorizzazioni di amministratore di Windows.
L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users. Questo accesso limitato permette di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati. I servizi eseguiti come account del servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali.
L'account del servizio locale non è supportato per i servizi SQL Server o SQL Server Agent. Servizio locale non è supportato come account che esegue tali servizi, dal momento che si tratta di un servizio condiviso e qualsiasi altro servizio in esecuzione nel servizio locale deve disporre dell'accesso a SQL Server come amministratore di sistema.
Il nome effettivo dell'account è NT AUTHORITY\LOCAL SERVICE
.
Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users. I servizi eseguiti con l'account del servizio di rete accedono alle risorse di rete usando le credenziali dell'account del computer nel formato <domain_name>\<computer_name>$
. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE
.
L'account di sistema locale è un account predefinito con privilegi molto elevati. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.
Identificare i servizi specifici e non specifici dell'istanza
I servizi specifici dell'istanza sono associati a un'istanza specifica di SQL Server e dispongono di hive del Registro di sistema propri. È possibile installare più copie di servizi specifici dell'istanza eseguendo il programma di installazione di SQL Server per ciascun componente o servizio. I servizi non specifici dell'istanza vengono condivisi tra tutte le istanze installate di SQL Server. Tali servizi non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere installati in modalità side-by-side.
Tra i servizi specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:
SQL Server
SQL Server Agent
Tenere presente che il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Servizi avanzati.
-
Analysis Services
Analysis Services in modalità integrata SharePoint viene eseguito come 'Power Pivot', come singola istanza denominata. Il nome dell'istanza è fisso. Non è possibile specificare un nome diverso. In ogni server fisico è possibile installare una sola istanza di Analysis Services in esecuzione come 'Power Pivot'.
-
Reporting Services
Ricerca full-text
Tra i servizi non specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:
- Integration Services
- SQL Server Browser
- Writer SQL
Nomi dei servizi localizzati
Nella tabella seguente sono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.
Lingua | Nome del servizio locale | Nome del servizio di rete | Nome del sistema locale | Nome del gruppo amministrativo |
---|---|---|---|---|
italiano Cinese semplificato Cinese tradizionale Coreano Giapponese |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Tedesco | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francese | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Italiano | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Spagnolo | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russo | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |