Configurar contas de serviço e permissões do Windows
Aplica-se: SQL Server
Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL Server com o Windows. Este artigo descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração de serviços do SQL Server que você pode definir durante e após a instalação do SQL Server. Este artigo ajuda usuários avançados a entender os detalhes das contas de serviço.
A maioria dos serviços e respectivas propriedades podem ser configurados usando o SQL Server Configuration Manager. Estes são os caminhos para as versões recentes quando o Windows é instalado na unidade C.
Versão do SQL Server | Caminho |
---|---|
SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server 2012 | C:\Windows\SysWOW64\SQLServerManager11.msc |
SQL Server habilitado pelo Azure Arc
Para obter as permissões exigidas pela Extensão do Azure para SQL Server, consulte Configurar contas de serviço do Windows e permissões para a Extensão do Azure para SQL Server.
Serviços instalados pelo SQL Server
Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:
Serviço | Descrição |
---|---|
SQL Server Database Services | O serviço para o Mecanismo de Banco de Dados relacional do SQL Server. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe . |
SQL Server Agent | Executa trabalhos, monitora o SQL Server, dispara alertas e permite a automação de algumas tarefas administrativas. O serviço SQL Server Agent está presente, mas desabilitado em instâncias do SQL Server Express. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe . |
Analysis Services | Fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence. O arquivo executável é \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe . |
Reporting Services | Gerencia, executa, cria, agenda e entrega relatórios. O arquivo executável é \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe . |
Serviços de Integração | Dá suporte para gerenciamento de armazenamento e execução de pacotes do Integration Services. O caminho do executável é \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe . |
O Integration Services pode incluir serviços adicionais para implantações de expansão. Saiba mais no Passo a passo: Configurar o SSIS (Integration Services Scale Out).
Serviço | Descrição |
---|---|
SQL Server Browser | O serviço de resolução de nomes que especifica informações de conexão do SQL Server para computadores cliente. O caminho do executável é C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
Pesquisa de texto completo | Cria rapidamente índices de texto completo sobre o conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e quebra de palavras para o SQL Server. |
Gravador do SQL | Permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume). |
Controlador do SQL Server Distributed Replay | Oferece orquestração de reprodução de rastreamento em vários computadores Distributed Replay Client. |
Cliente do SQL Server Distributed Replay | Um ou mais computadores cliente do Distributed Replay Client que funcionam junto com um Distributed Replay Controller para simular cargas de trabalho simultâneas em relação a uma instância do Mecanismo de Banco de Dados do SQL Server. |
SQL Server Launchpad | Um serviço confiável que hospeda executáveis externos fornecidos pela Microsoft, como os runtimes de R ou Python instalados como parte dos R Services ou Serviços de Machine Learning. Os processos de satélite podem ser iniciados pelo processo do Launchpad, mas serão controlados por recursos, com base na configuração da instância individual. O serviço Launchpad será executado na própria conta de usuário e cada processo de satélite para um runtime registrado específico herdará a conta de usuário do Launchpad. Processos de satélite são criados e destruídos sob demanda durante o tempo de execução. O Launchpad não será capaz de criar as contas que ele usa se você instalar o SQL Server em um computador que também é usado como um controlador de domínio. Portanto, a instalação dos R Services (no banco de dados) ou Serviços de Machine Learning (No Banco de Dados) falha em um controlador de domínio. |
Mecanismo PolyBase do SQL Server | Fornece funcionalidades de consulta distribuída para fontes de dados externas. |
Serviço de movimentação de dados de PolyBase do SQL Server | Permite a movimentação de dados entre o SQL Server e Fontes de Dados Externas e entre nós do SQL em Grupos de Expansão PolyBase. |
Serviços do Programa de Aperfeiçoamento da Experiência do Usuário instalados pelo SQL Server
O Serviço do CEIP (Programa de Aperfeiçoamento da Experiência do Usuário) envia dados de telemetria de volta para a Microsoft.
Dependendo dos componentes que você decidir instalar, a instalação do SQL Server instalará os seguintes serviços do Programa de Aperfeiçoamento da Experiência do Usuário.
Serviço | Descrição |
---|---|
SQLTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do mecanismo de banco de dados de volta à Microsoft. |
SSASTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do SSAS de volta à Microsoft. |
SSISTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do SSIS de volta à Microsoft. |
Propriedades e configuração do serviço
As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas de usuário de domínio, contas de usuário locais, contas de serviço gerenciado, contas virtuais ou contas de sistema internas. Para ser iniciado e executado, cada serviço no SQL Server precisa ter uma conta de inicialização configurada durante a instalação.
Observação
Para a instância de cluster de failover de SQL Server para SQL Server 2016 (13.x) e posteriores, as contas de usuário de domínio ou as contas de serviço gerenciadas por grupo podem ser usadas como contas de inicialização para SQL Server.
Esta seção descreve as contas que podem ser configuradas para iniciar os serviços SQL Server, os valores padrão usados pela Instalação do SQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração de firewall.
- Contas de serviço padrão
- Inicialização automática
- Como configurar o StartupType do serviço
- Porta de firewall
Contas de serviço padrão
A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes. As contas padrão listadas são as contas recomendadas, exceto como observado.
Servidor autônomo ou controlador de domínio
Componente | Windows Server 2008 | Windows 7, Windows Server 2008 R2 e superiores |
---|---|---|
Mecanismo de Banco de Dados | SERVIÇO DE REDE | Conta virtual 1 |
SQL Server Agent | SERVIÇO DE REDE | Conta virtual 1 |
SSAS | SERVIÇO DE REDE | Conta virtual 1 2 |
SSIS | SERVIÇO DE REDE | Conta virtual 1 |
SSRS | SERVIÇO DE REDE | Conta virtual 1 |
Controlador do SQL Server Distributed Replay | SERVIÇO DE REDE | Conta virtual 1 |
Cliente do SQL Server Distributed Replay | SERVIÇO DE REDE | Conta virtual 1 |
Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
SQL Server Browser | SERVIÇO LOCAL | SERVIÇO LOCAL |
Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
Extensões de Análise Avançada | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
Mecanismo PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
Serviço de Movimentação de Dados PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
1 Quando recursos externos ao computador do SQL Server são necessários, a Microsoft recomenda usar uma MSA (Conta de Serviço Gerenciado), configurada com os privilégios mínimos necessários.
2 Quando ela é instalada em um controlador de domínio, não há suporte para uma conta virtual como a conta de serviço.
Instância de cluster de failover do SQL Server
Componente | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Mecanismo de Banco de Dados | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SQL Server Agent | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SSAS | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SSIS | SERVIÇO DE REDE | Conta virtual |
SSRS | SERVIÇO DE REDE | Conta virtual |
Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
SQL Server Browser | SERVIÇO LOCAL | SERVIÇO LOCAL |
Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
Alterar propriedades da conta
Importante
Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelo Mecanismo de Banco de Dados do SQL Server ou serviços do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager executa configurações adicionais, como a atualização do repositório de segurança local do Windows, que protege a chave mestra do serviço do Mecanismo de Banco de Dados. Outras ferramentas, como o Gerenciador de Controle de Serviço do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.
Se você alterar as contas de serviço para qualquer serviço SQL usando outros meios, isso poderá levar a comportamentos ou erros inesperados. Por exemplo, se alterar a conta de serviço do SQL Agent para uma conta de domínio usando o applet de serviços do Windows, você poderá observar que os trabalhos do SQL Agent que usam as etapas de trabalho do Sistema Operacional (Cmdexec), de Replicação ou SSIS poderão falhar com um erro como o seguinte:
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
Para resolver esse erro, você deve fazer o seguinte usando SQL Server Configuration Manager:
- Altere temporariamente a conta de serviço do SQL Agent de volta para a conta virtual padrão (Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$<nome_da_instância>).
- Reinicie o serviço SQL Server Agent
- Altere a conta de serviço de volta para a conta de domínio desejada
- Reinicie o serviço SQL Server Agent
Para instâncias do Analysis Services que você implantar em um farm do SharePoint, sempre use a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos de serviço do Power Pivot e do serviço Analysis Services. As configurações e permissões associadas serão atualizadas para usar as novas informações da conta quando você usar a Administração Central.
Para alterar as opções do Reporting Services, use a Ferramenta de Configuração do Reporting Services.
Contas de serviço gerenciado, contas de serviço gerenciado por grupo e contas virtuais
As contas de serviço gerenciado, as contas de serviço gerenciado por grupo e as contas virtuais são criadas para fornecer aplicativos cruciais, como o SQL Server, com o isolamento das próprias contas, eliminando a necessidade de um administrador gerenciar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas. Isso facilita bastante o gerenciamento de usuários de contas de serviço, senhas e SPNs a longo prazo.
-
Uma MSA (conta de serviço gerenciado) é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio. Ela é atribuída a um único computador membro para a execução de um serviço. A senha é gerenciada automaticamente pelo controlador de domínio. Não é possível usar uma MSA para entrar em um computador, mas um computador pode usar uma MSA para iniciar um serviço Windows. Uma MSA pode registrar um SPN (Nome da Entidade de Serviço) no Active Directory quando tem as permissões de ler e gravar servicePrincipalName. Uma MSA é nomeada com um sufixo
$
, por exemplo,DOMAIN\ACCOUNTNAME$
. Ao especificar uma MSA, deixe a senha em branco. Como uma MSA é atribuída a somente um computador, ela não pode ser usada em diferentes nós de um cluster do Windows.Observação
A MSA precisa ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la nos serviços SQL Server.
Contas de serviço gerenciadas por grupo
Uma gMSA (conta de serviço gerenciado por grupo) é uma MSA para vários servidores. O Windows gerencia uma conta de serviço para os serviços executados em um grupo de servidores. O Active Directory atualiza automaticamente a senha da conta de serviço gerenciado por grupo sem reiniciar os serviços. Você pode configurar os serviços SQL Server para usar uma entidade da conta de serviço gerenciado por grupo. Desde o SQL Server 2014, o SQL Server dá suporte a contas de serviço gerenciado por grupo para instâncias autônomas, e o SQL Server 2016 e posteriores a instâncias de cluster de failover e grupos de disponibilidade.
Para usar uma gMSA no SQL Server 2014 ou posterior, o sistema operacional deve ser o Windows Server 2012 R2 ou posterior. Servidores com o Windows Server 2012 R2 requerem que o KB 2998082 seja aplicado de forma que os serviços possam entrar sem interrupção imediatamente após uma alteração de senha.
Para obter mais informações, confira Contas de serviço gerenciado de grupo para Windows Server 2016 e posteriores. Para versões anteriores do Windows Server, confira Contas de Serviço Gerenciado de Grupo.
Observação
A gMSA precisa ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la para serviços SQL Server.
-
As contas virtuais (começando com o Windows Server 2008 R2 e no Windows 7) são contas locais gerenciadas que fornecem os recursos a seguir para simplificar a administração do serviço. A conta virtual é autogerenciada e pode acessar a rede em um ambiente de domínio. Se o valor padrão for usado nas contas de serviço durante a instalação do SQL Server, será usada uma conta virtual que usa o nome da instância como o nome do serviço, no formato
NT SERVICE\<SERVICENAME>
. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato<domain_name>\<computer_name>$
. Ao especificar uma conta virtual para iniciar o SQL Server, deixe a senha em branco. Se a conta virtual não registra o SPN (Nome da Entidade de Serviço), registre-o manualmente. Para obter mais informações sobre como registrar um SPN manualmente, confira Registro manual do SPN.Observação
As contas virtuais não podem ser usadas na Instância de cluster de failover do SQL Server porque a conta virtual não teria a mesma SID em cada nó do cluster.
A tabela a seguir lista exemplos de nomes de contas virtuais.
Serviço Nome da conta virtual Instância padrão do serviço Mecanismo de Banco de Dados NT SERVICE\MSSQLSERVER
A instância nomeada de um serviço do Mecanismo de Banco de Dados chamado PAYROLL
NT SERVICE\MSSQL$PAYROLL
O serviço SQL Server Agent na instância padrão do SQL Server NT Service\SQLSERVERAGENT
O serviço SQL Server Agent em uma instância do SQL Server chamada PAYROLL
NT SERVICE\SQLAGENT$PAYROLL
Para obter mais informações sobre contas de serviço gerenciado e contas virtuais, confira a seção Conceitos de conta de serviço gerenciado e conta virtual do Guia passo a passo de contas de serviço e Perguntas frequentes sobre contas de serviço gerenciado.
Observação
Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis. Use MSA, gMSA ou uma conta virtual quando possível. Quando a MSA, a gMSA e as contas virtuais não forem possíveis, use uma conta de usuário específica de baixo privilégio ou uma conta de domínio em vez de uma conta compartilhada para os serviços SQL Server. Use contas separadas para serviços SQL Server diferentes. Não conceda permissões adicionais à conta de serviço ou a grupos de serviço do SQL Server. As permissões serão concedidas por meio da associação de grupo ou diretamente a uma SID de serviço, quando uma SID de serviço tiver suporte.
Inicialização automática
Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:
- Desabilitado. O serviço está instalado, mas não está em execução atualmente.
- Manual. O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar da funcionalidade dele.
- Automático. O serviço é iniciado automaticamente pelo sistema operacional.
O estado de inicialização é selecionado durante a instalação. Ao instalar uma instância nomeada, o serviço SQL Server Browser deve estar pronto para iniciar automaticamente.
Configurar serviços durante a instalação autônoma
A tabela a seguir mostra os serviços SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.
Nome do serviço SQL Server | Opções para instalações autônomas1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
Controlador do SQL Server Distributed Replay | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
Cliente do SQL Server Distributed Replay | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
R Services ou Serviços de Machine Learning | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
Mecanismo PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Para obter mais informações e sintaxe de exemplo para instalações autônomas, confira Instalar o SQL Server do prompt de comando.
2 O serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
3 Atualmente, a configuração da conta do Launchpad apenas por meio de comutadores não tem suporte. Para alterar a conta e outras configurações de serviço, use o SQL Server Configuration Manager.
Porta de firewall
Na maioria dos casos, quando inicialmente instalado, o Mecanismo de Banco de Dados pode ser conectado por ferramentas como o SQL Server Management Studio instalado no mesmo computador do que o SQL Server. A Instalação do SQL Server não abre portas no firewall do Windows. Talvez não sejam possíveis conexões de outros computadores até que o Mecanismo de Banco de Dados seja configurado para ouvir em uma porta TCP e a porta apropriada seja aberta para conexões no firewall do Windows. Para obter mais informações sobre como fazer isso, veja Configurar o Firewall do Windows para permitir acesso ao SQL Server.
Permissões de serviço
Esta seção descreve as permissões que a Instalação do SQL Server configura para as SIDs por serviço dos serviços SQL Server.
- Configuração de serviço e controle de acesso
- Privilégios e direitos do Windows
- Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows do SQL Server
- Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
- Permissões do sistema de arquivos relacionadas a locais de disco incomuns
- Examinar considerações adicionais
- Permissões de Registro
- WMI
- Pipes nomeados
Configuração de serviço e controle de acesso
O SQL Server habilita a SID por serviço para cada um dos serviços para fornecer isolamento do serviço e defesa em profundidade. O SID por serviço é derivado do nome do serviço e é exclusivo ao serviço. Por exemplo, um nome de SID de serviço de uma instância nomeada do serviço Mecanismo de Banco de Dados pode ser NT Service\MSSQL$<instance_name>
. O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha uma SID de serviço, um serviço SQL Server pode restringir o acesso aos recursos.
Observação
No Windows 7 e no Windows Server 2008 R2 (e posterior), o SID por serviço pode ser a conta virtual usada pelo serviço.
Para a maioria dos componentes, o SQL Server configura a ACL para a conta por serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser efetuada sem a necessidade de repetir o processo da ACL do recurso.
Ao instalar o SSAS, será criado um SID por serviço para o serviço Analysis Services. Um grupo local do Windows é criado, nomeado no formato SQLServerMSASUser$<computer_name>$<instance_name>
. O SID NT SERVICE\MSSQLServerOLAPService
por serviço recebe permissão de associação no grupo local do Windows, e o grupo local do Windows recebe as permissões apropriadas na ACL. Se a conta usada para iniciar o serviço Analysis Services for alterada, o SQL Server Configuration Manager precisará alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem nenhuma atualização, pois a SID por serviço não foi alterada. Esse método permite que o serviço Analysis Services seja renomeado durante atualizações.
Durante a instalação do SQL Server, a Instalação do SQL Server cria um grupo local do Windows para SSAS, bem como o serviço SQL Server Browser. Nesses serviços, o SQL Server configura a ACL para os grupos locais do Windows.
Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviços durante a instalação ou atualização.
Privilégios e direitos do Windows
A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço. O programa de Instalação do SQL Server atribui automaticamente essa permissão. Primeiro instale as Ferramentas de Administração de Servidor Remoto. Consulte o artigo sobre as Ferramentas de Administração de Servidor Remoto para Windows 10.
A tabela a seguir mostra as permissões que a Instalação do SQL Server solicita para as SIDs por serviço ou para os grupos locais do Windows usados pelos componentes do SQL Server.
Serviço do SQL Server | Permissões concedidas pela Instalação do SQL Server |
---|---|
Mecanismo de Banco de Dados do SQL Server: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\MSSQLSERVER . Instância nomeada: NT Service\MSSQL$<instance_name> . |
Fazer logon como um serviço (SeServiceLogonRight) Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Permissão para iniciar o Gravador do SQL Permissão para ler o serviço Log de Eventos Permissão para ler o serviço Chamada de Procedimento Remoto |
Agente do SQL Server: 1 Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\SQLSERVERAGENT . Instância nomeada: NT Service\SQLAGENT$<instance_name> . |
Fazer logon como um serviço (SeServiceLogonRight) Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) |
SSAS: Todos os direitos são concedidos a um grupo local do Windows. Instância padrão: SQLServerMSASUser$<computer_name>$MSSQLSERVER . Instância nomeada: SQLServerMSASUser$<computer_name>$<instance_name> . Instância do Power Pivot para SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot . |
Fazer logon como um serviço (SeServiceLogonRight) Somente tabular: Aumentar conjunto de trabalho de processo (SeIncreaseWorkingSetPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Bloquear páginas na memória (SeLockMemoryPrivilege): isso é necessário somente quando a paginação está totalmente desativada. Somente para instalações de cluster de failover: Aumentar a prioridade de planejamento (SeIncreaseBasePriorityPrivilege) |
SSRS: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\ReportServer . Instância nomeada: NT SERVICE\ReportServer$<instance_name> . |
Fazer logon como um serviço (SeServiceLogonRight) |
SSIS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer150 . O Integration Services não tem um processo separado para uma instância nomeada). |
Fazer logon como um serviço (SeServiceLogonRight) Permissão para gravar no log de eventos do aplicativo. Ignorar a verificação completa (SeChangeNotifyPrivilege) Representar um cliente após autenticação (SeImpersonatePrivilege) |
Pesquisa de texto completo: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\MSSQLFDLauncher . Instância nomeada: NT Service\ MSSQLFDLauncher$<instance_name> . |
Fazer logon como um serviço (SeServiceLogonRight) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) |
SQL Server Browser: Todos os direitos são concedidos a um grupo de Windows local. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser$<computer_name> . SQL Server Browser não tem um processo separado para uma instância nomeada. |
Fazer logon como um serviço (SeServiceLogonRight) |
Gravador VSS do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão ou nomeada: NT Service\SQLWriter . SQL Server Gravador VSS não tem um processo separado para uma instância nomeada). |
O SQLWriter é executado sob a conta LOCAL SYSTEM que tem todas as permissões exigidas. A Instalação do SQL Server não verifica nem concede permissões para este serviço. |
Controlador do SQL Server Distributed Replay: | Fazer logon como um serviço (SeServiceLogonRight) |
Cliente do SQL Server Distributed Replay: | Fazer logon como um serviço (SeServiceLogonRight) |
Mecanismo PolyBase e DMS: | Fazer logon como um serviço (SeServiceLogonRight) |
Launchpad: | Fazer logon como um serviço (SeServiceLogonRight) Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) |
Serviços do R/Serviços de Machine Learning: SQLRUserGroup (SQL Server 2016 (13.x) e SQL Server 2017 (14.x)) | Não tem a permissão Permitir logon local por padrão |
Serviços de Machine Learning "Todos os pacotes de aplicativos" [AppContainer] (SQL Server 2019 (15.x)) | Permissões read e execute para os diretórios SQL Server 'Binn', R_Services e PYTHON_Services |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express.
Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows
As contas de serviço do SQL Server precisam ter acesso aos recursos. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.
Importante
Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.
A seguinte tabela mostra as ACLs que são definidas pela Instalação do SQL Server:
Conta de serviço para | Arquivos e pastas | Acesso |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Controle total |
Instid\MSSQL\binn | Leitura, Execução | |
Instid\MSSQL\data | Controle total | |
Instid\MSSQL\FTData | Controle total | |
Instid\MSSQL\Install | Leitura, Execução | |
Instid\MSSQL\Log | Controle total | |
Instid\MSSQL\Repldata | Controle total | |
150\shared | Leitura, Execução | |
Instid\MSSQL\Template Data (somente SQL Server Express) | Ler | |
SQLServerAgent 1 | Instid\MSSQL\binn | Controle total |
Instid\MSSQL\Log | Leitura, Gravação, Exclusão, Execução | |
150\com | Leitura, Execução | |
150\shared | Leitura, Execução | |
150\shared\Errordumps | Leitura, Gravação | |
ServerName\EventLog | Controle total | |
FTS | Instid\MSSQL\FTData | Controle total |
Instid\MSSQL\FTRef | Leitura, Execução | |
150\shared | Leitura, Execução | |
150\shared\Errordumps | Leitura, Gravação | |
Instid\MSSQL\Install | Leitura, Execução | |
Instid\MSSQL\jobs | Leitura, Gravação | |
MSSQLServerOLAPService | 150\shared\ASConfig | Controle total |
Instid\OLAP | Leitura, Execução | |
Instid\Olap\Data | Controle total | |
Instid\Olap\Log | Leitura, Gravação | |
Instid\OLAP\Backup | Leitura, Gravação | |
Instid\OLAP\Temp | Leitura, Gravação | |
150\shared\Errordumps | Leitura, Gravação | |
ReportServer | Instid\Reporting Services\Log Files | Leitura, Gravação, Exclusão |
Instid\Reporting Services\ReportServer | Leitura, Execução | |
Instid\Reporting Services\ReportServer\global.asax | Controle total | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Ler | |
Instid\Reporting Services\RSTempfiles | Leitura, Gravação, Execução, Exclusão | |
Instid\Reporting Services\RSWebApp | Leitura, Execução | |
150\shared | Leitura, Execução | |
150\shared\Errordumps | Leitura, Gravação | |
MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Ler |
150\dts\binn | Leitura, Execução | |
150\shared | Leitura, Execução | |
150\shared\Errordumps | Leitura, Gravação | |
SQL Server Browser | 150\shared\ASConfig | Ler |
150\shared | Leitura, Execução | |
150\shared\Errordumps | Leitura, Gravação | |
SQLWriter | N/A (Executado como sistema local) | |
Usuário | Instid\MSSQL\binn | Leitura, Execução |
Instid\Reporting Services\ReportServer | Leitura, Execução, Listar Conteúdo de Pastas | |
Instid\Reporting Services\ReportServer\global.asax | Ler | |
Instid\Reporting Services\RSWebApp | Leitura, Execução, Listar Conteúdo de Pastas | |
150\dts | Leitura, Execução | |
150\tools | Leitura, Execução | |
100\tools | Leitura, Execução | |
90\tools | Leitura, Execução | |
80\tools | Leitura, Execução | |
150\sdk | Ler | |
Microsoft SQL Server\150\Setup Bootstrap | Leitura, Execução | |
Controlador do SQL Server Distributed Replay | <ToolsDir>\DReplayController\Log\ (diretório vazio) | Leitura, Execução, Listar Conteúdo de Pastas |
<ToolsDir>\DReplayController\DReplayController.exe | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\resources|Ler, Executar, Listar Conteúdo da Pasta | ||
<ToolsDir>\DReplayController\{todas as dlls} | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\DReplayController.config | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\IRDefinition.xml | Leitura, Execução, Listar Conteúdo de Pastas | |
Cliente do SQL Server Distributed Replay | <ToolsDir>\DReplayClient\Log|Ler, Executar, Listar Conteúdo da Pasta | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\resources|Ler, Executar, Listar Conteúdo da Pasta | ||
<ToolsDir>\DReplayClient\ (todas as dlls) | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\DReplayClient.config | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Leitura, Execução, Listar Conteúdo de Pastas | |
Launchpad | %binn | Leitura, Execução |
ExtensiblilityData | Controle total | |
Log\ExtensibilityLog | Controle total |
1 O serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder acesso ao SID por serviço para esse local. Para obter mais informações sobre como conceder permissões para um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao mecanismo de banco de dados.
Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou a outras contas do serviço do SQL Server. A tabela a seguir lista as ACLs adicionais que são definidas pela Instalação do SQL Server.
Componente solicitante | Conta | Recurso | Permissões |
---|---|---|---|
MSSQLServer | Usuários do Log de Desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta |
Usuários do monitor de desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta | |
Usuários do Log de Desempenho, Usuários do Monitor de Desempenho | \WINNT\system32\sqlctr150.dll | Leitura, Execução | |
Somente Administrador | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 |
Controle total | |
Administradores, Sistema | \tools\binn\schemas\sqlserver\2004\07\showplan | Controle total | |
Usuários | \tools\binn\schemas\sqlserver\2004\07\showplan | Leitura, Execução | |
Reporting Services | Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\LogFiles | Delete (excluir) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\ReportServer | Ler | |
Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\ReportServer\global.asax | Completo | |
Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\RSWebApp | Leitura, Execução | |
Todos | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Conta de Serviços do Windows do ReportServer | <install>\Reporting Services\ReportServer\rsreportserver.config | Delete (excluir) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Todos | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Enumerar Subchaves Notificar Controle de Leitura |
|
Usuários dos Serviços de Terminal | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchave Notificar Excluir Controle de Leitura |
|
Usuários Avançados | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchaves Notificar Excluir Controle de Leitura |
1 Este é o namespace do provedor WMI.
Permissões do sistema de arquivos relacionadas a locais de disco incomuns
A unidade padrão de localizações para instalação é uma unidade do sistema, normalmente a unidade C. Esta seção descreve considerações adicionais quando tempdb ou bancos de dados de usuários são instalados em localizações não usuais.
Unidade não padrão
Quando instalado em uma unidade local que não seja a unidade padrão, a SID por serviço precisa ter acesso à localização do arquivo. A Instalação do SQL Server provisiona o acesso necessário.
Compartilhamento de rede
Quando bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e aos bancos de dados tempdb
. A Instalação do SQL Server não pode provisionar o acesso a um compartilhamento de rede. O usuário deve provisionar o acesso a um local de tempdb para a conta de serviço antes de executar a instalação. O usuário deve provisionar o acesso ao local do banco de dados de usuário antes de criar o banco de dados.
Observação
Contas virtuais não podem ser autenticadas em uma localização remota. Todas as contas virtuais usam a permissão da conta de máquina. Provisione a conta do computador no formato <domain_name>\<computer_name>$
.
Examinar considerações adicionais
A tabela a seguir mostra as permissões necessárias para que os serviços SQL Server forneçam funcionalidade adicional.
Serviço/Aplicativo | Funcionalidade | Permissão necessária |
---|---|---|
SQL Server (MSSQLSERVER) | Gravar em um slot de email usando xp_sendmail. | Permissões de gravação de rede. |
SQL Server (MSSQLSERVER) | Executar o xp_cmdshell para um usuário que não seja um administrador do SQL Server. | Atuar como parte do sistema operacional e substituir um token de nível de processo. |
SQL Server Agent (MSSQLSERVER) | Use o recurso de reinicialização automática. | Deve ser um membro do grupo local Administradores. |
Mecanismo de Banco de Dados Orientador de Otimização | Ajusta bancos de dados para desempenho ideal de consulta. | No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar somente as tabelas que eles possuem. Para obter mais informações, confira Iniciar e usar o Orientador de Otimização do Mecanismo de Banco de Dados. |
Importante
Antes de atualizar o SQL Server, habilite o SQL Server Agent e verifique a configuração padrão exigida: se a conta de serviço do SQL Server Agent é um membro da função de servidor fixa sysadmin do SQL Server.
Permissões de Registro
O hive do Registro é criado em HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>
para componentes com reconhecimento de instância. Por exemplo:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
O registro também mantém um mapeamento do ID da instância para o nome da instância. O mapeamento do ID da instância para o nome da instância é mantido como segue:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
O WMI (Instrumentação de Gerenciamento do Windows) deve poder se conectar ao Mecanismo de Banco de Dados. Para dar suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt
) é provisionado no Mecanismo de Banco de Dados.
O provedor WMI do SQL requer as seguintes permissões mínimas:
Associação nas funções de banco de dados fixas db_ddladmin ou db_owner no banco de dados
msdb
.PermissãoCREATE DDL EVENT NOTIFICATION no servidor.
PermissãoCREATE TRACE EVENT NOTIFICATION no Mecanismo de Banco de Dados.
PermissãoVIEW ANY DATABASE no nível do servidor.
A instalação do SQL Server cria um namespace do WMI do SQL e concede permissão de leitura à SID do serviço do SQL Server Agent.
Pipes nomeados
Durante toda a instalação, a Instalação do SQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL Server via protocolo de memória compartilhada, que é um pipe nomeado local.
Provisionamento
Esta seção descreve como as contas são provisionadas em vários componentes do SQL Server.
Provisionamento do Mecanismo de Banco de Dados
As contas a seguir são adicionadas como logons no Mecanismo de Banco de Dados do SQL Server.
entidades de segurança do Windows
Durante a instalação, a Instalação do SQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin.
Conta SA
A conta sa está sempre presente como um logon do Mecanismo de Banco de Dados e é membro da função de servidor fixa sysadmin. Quando o Mecanismo de Banco de Dados é instalado usando somente a Autenticação do Windows (ou seja, quando a Autenticação do SQL Server não está habilitada), o logon de sa ainda está presente, mas desabilitado, e a senha é complexa e aleatória. Para obter informações sobre como habilitar a conta sa , consulte Alterar modo de autenticação do servidor.
Logon e privilégios de SID por serviço do SQL Server
A SID por serviço (às vezes também chamado de SID (entidade de segurança de serviço)) do serviço SQL Server é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin . Para obter informações sobre o SID por serviço, confira Usando SIDs de Serviço para conceder permissões para serviços no SQL Server.
Logon e privilégios do SQL Server Agent
A SID por serviço do serviço SQL Server Agent é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
Grupos de Disponibilidade Always On e privilégios e instância de Cluster de Failover do SQL
Ao instalar o Mecanismo de Banco de Dados como grupos de disponibilidade Always On ou SQL FCI (Instância de Cluster de Failover do SQL), LOCAL SYSTEM é provisionado no Mecanismo de Banco de Dados. O logon de LOCAL SYSTEM recebe a permissão ALTER ANY AVAILABILITY GROUP (para grupos de disponibilidade Always On) e a permissão VIEW SERVER STATE (para o SQL FCI).
Gravador e privilégios do SQL
A SID por serviço do serviço Gravador VSS do SQL Server é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
WMI e privilégios do SQL
A instalação do SQL Server provisiona a conta NT SERVICE\Winmgmt
como um logon do Mecanismo de Banco de Dados e a adiciona à função de servidor fixa sysadmin.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole . Para obter mais informações, confira Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do SSRS).
Provisionamento SSAS
Os requisitos da conta do serviço SSAS variam, dependendo de como o servidor está implantado. Se você estiver instalando o Power Pivot para SharePoint, a Instalação do SQL Server requer a configuração do serviço Analysis Services para executar em uma conta de domínio. Contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada criada no SharePoint. Por essa razão, a Instalação do SQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do Power Pivot para SharePoint. Para obter mais informações sobre o provisionamento do Power Pivot para SharePoint, confira Configurar contas do serviço Power Pivot.
Para todas as outras instalações autônomas do SSAS, você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual. Para obter mais informações sobre o provisionamento de conta, confira Configurar contas de serviço (Analysis Services).
Para instalações clusterizadas, especifique uma conta de domínio ou uma conta de sistema interna. Não há suporte para contas gerenciadas nem contas virtuais em clusters de failover do SSAS.
Todas as instalações do SSAS requerem que você especifique um administrador do sistema da instância do Analysis Services. São provisionados privilégios de administrador na função Servidor do Analysis Services.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada no Mecanismo de Banco de Dados como membro da função de banco de dados RSExecRole. Para obter mais informações, confira Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do SSRS).
Atualizar com base em versões anteriores
Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL Server.
O SQL Server 2019 (15.x) exige um sistema operacional com suporte. Qualquer versão anterior do SQL Server em execução em uma versão inferior do sistema operacional precisa ter o sistema operacional atualizado antes de atualizar o SQL Server.
Durante a atualização do SQL Server 2005 (9.x) para o SQL Server 2019 (15.x), a instalação configura a instância do SQL Server da seguinte maneira:
- O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. A SID por serviço recebe acesso às pastas de arquivos da instância do SQL Server (como DATA) e às chaves do Registro do SQL Server.
- O SID por serviço do Mecanismo de Banco de Dados é provisionado no Mecanismo de Banco de Dados como membro da função de servidor fixa sysadmin.
- As SIDs por serviço são adicionadas aos grupos locais do Windows do SQL Server, a menos que o SQL Server seja uma Instância de Cluster de Failover.
- Os recursos do SQL Server permanecem provisionados nos grupos locais do Windows do SQL Server.
- O grupo do Windows local para serviços é renomeado de
SQLServer2005MSSQLUser$<computer_name>$<instance_name>
paraSQLServerMSSQLUser$<computer_name>$<instance_name>
. As localizações de arquivos de bancos de dados migrados têm ACEs (Entradas de Controle de Acesso) para os grupos locais do Windows. As localizações de arquivos dos novos bancos de dados têm ACEs para a SID por serviço.
Durante a atualização do SQL Server 2008 (10.0.x), a Instalação do SQL Server preserva as ACEs da SID por serviço do SQL Server 2008 (10.0.x).
Para uma instância de cluster de failover do SQL Server, a ACE da conta de domínio configurada para o serviço será retida.
Apêndice
Esta seção contém informações adicionais sobre os serviços SQL Server.
- Descrição de contas de serviço
- Identificar serviços com e sem reconhecimento de instância
- Nomes de serviços localizados
Descrição de contas de serviço
A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL Server. Para executar o SQL Server, não é necessário adicionar a Conta de Serviço como um Logon ao SQL Server além da SID do Serviço, que está sempre presente e é um membro da função de servidor fixa sysamin.
Contas disponíveis com qualquer sistema operacional
Além da nova MSA, gMSA e das contas virtuais descritas anteriormente, as contas a seguir podem ser usadas.
Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio, como os compartilhamentos de arquivos, ou usar conexões de servidor vinculado com outros computadores que estejam executando o SQL Server, você poderá usar uma conta de domínio com privilégios mínimos. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio. Essa conta deve ser pré-criada pela administração do domínio do ambiente.
Se você configurar o SQL Server para usar uma conta de domínio, poderá isolar os privilégios do Serviço, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos para servidores usam essa estratégia para aprimorar a segurança, mas essa estratégia requer administração adicional e complexidade. Nessas implantações, os administradores de serviço passam um período considerável de tempo em tarefas de manutenção, como gerenciar senhas de serviço e os nomes principais de serviço (SPNs), que são necessários para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
Se o computador não faz parte de um domínio, é recomendável usar uma conta de usuário local sem permissões de administrador do Windows.
A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos. Os serviços que são executados como a conta de serviço local acessam os recursos de rede em uma sessão nula, sem credenciais.
Não há suporte para a conta de serviço local nos serviços SQL Server ou SQL Server Agent. O Serviço Local não tem suporte como a conta que executa esses serviços porque é um serviço compartilhado e qualquer outro serviço que é executado no serviço local teria acesso de administrador do sistema ao SQL Server.
O nome real da conta é NT AUTHORITY\LOCAL SERVICE
.
A conta de Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços executados como conta de serviço de rede acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$
. O nome real da conta é NT AUTHORITY\NETWORK SERVICE
.
A conta Sistema Local é uma conta interna com privilégios altos. Ela tem privilégios extensos no sistema local e funciona como o computador na rede. O nome real da conta é NT AUTHORITY\SYSTEM.
Identificar serviços com e sem reconhecimento de instância
Os serviços com reconhecimento de instância são associados a uma instância específica do SQL Server e têm os próprios hives de Registro. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.
Os serviços com reconhecimento de instância no SQL Server incluem o seguinte:
SQL Server
SQL Server Agent
Esteja ciente de que o serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
-
Analysis Services
O Analysis Services no modo Integrado do SharePoint é executado como “Power Pivot” como uma instância única e nomeada. O nome da instância é fixo. Não é possível especificar um nome diferente. É possível instalar apenas uma instância do Analysis Services executada como “Power Pivot” em cada servidor físico.
-
Reporting Services
Pesquisa de texto completo
Os serviços sem reconhecimento de instância no SQL Server incluem o seguinte:
- Integration Services
- SQL Server Browser
- Gravador do SQL
Nomes de serviços localizados
A tabela a seguir mostra nomes de serviços que são exibidos por versões localizadas do Windows.
Linguagem | Nome do serviço local | Nome do serviço de rede | Nome do sistema local | Nome do grupo Admin. |
---|---|---|---|---|
Inglês Chinês simplificado Chinês tradicional Coreano Japonês |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Alemão | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francês | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Italiano | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Espanhol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russo | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |