Статья
01/24/2011

Настройка учетных записей служб Windows

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этом разделе описана конфигурация, устанавливаемая по умолчанию для служб данной версии SQL Server, а также параметры настройки служб, которые могут быть заданы во время установки SQL Server.

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.

Службы SQL Server Database Services — службы реляционной базы данных компонента SQL ServerDatabase Engine.

Агент SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию.

Примечание
Для запуска SQL Server и агента SQL Server в качестве служб Windows SQL Server и агенту SQL Server должна быть назначена учетная запись пользователя Windows. Дополнительные сведения о настройке данных учетной записи для каждой службы см. в разделе Как установить SQL Server 2008 (программа установки).

Для запуска SQL Server и агента SQL Server в качестве служб Windows SQL Server и агенту SQL Server должна быть назначена учетная запись пользователя Windows. Дополнительные сведения о настройке данных учетной записи для каждой службы см. в разделе Как установить SQL Server 2008 (программа установки).

Службы Analysis Services — предоставляют средства интерактивной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики.
Службы Reporting Services — предназначены для создания, выполнения, создания, планирования, доставки отчетов и управления ими.
Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Integration Services.
Обозреватель SQL Server — служба разрешения имен, поставляющая данные соединения с SQL Server для клиентских компьютеров.
Компонент Full-text Search — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.
Модуль поддержки Active Directory сервера SQL Server — обеспечивает публикацию и управление службами SQL Server в Active Directory.

Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS).

Важно!
Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой SQL Server или службами агента SQL Server, или для изменения пароля учетной записи. Кроме смены имени учетной записи, диспетчер конфигурации SQL Server выполняет дополнительную настройку, такую как установка разрешений в реестре Windows, чтобы новая учетная запись позволяла читать параметры SQL Server. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют соответствующие параметры. Если служба не может получить доступ к части реестра, касающейся SQL Server, запуск службы должным образом может быть не выполнен.

Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой SQL Server или службами агента SQL Server, или для изменения пароля учетной записи. Кроме смены имени учетной записи, диспетчер конфигурации SQL Server выполняет дополнительную настройку, такую как установка разрешений в реестре Windows, чтобы новая учетная запись позволяла читать параметры SQL Server. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют соответствующие параметры. Если служба не может получить доступ к части реестра, касающейся SQL Server, запуск службы должным образом может быть не выполнен.

Оставшаяся часть этого раздела состоит из следующих подразделов:

Настройка типа запуска службы
Использование стартовых учетных записей для запуска служб SQL Server
Использование идентификаторов безопасности служб для служб SQL Server
Идентификация зависимых и не зависимых от экземпляра служб
Обзор прав доступа и привилегий NT, предоставляемых учетным записям служб SQL Server
Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server
Обзор разрешений Windows для служб SQL Server
Обзор дополнительных вопросов
Локализованные имена служб

Настройка типа запуска служб

В процессе работы программы установки SQL Server для некоторых служб SQL Server можно настраивать тип запуска: отключено, вручную или автоматически. В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.

Имя службы SQL Server	Настраивается ли в мастере установки	Параметры для автоматической установки1
MSSQLSERVER	Да	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	Да	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	Да	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	Да	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	Да	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Дополнительные сведения и образцы синтаксиса для автоматической установки см. в разделе Как установить SQL Server 2008 из командной строки.

2Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Использование стартовых учетных записей для запуска служб SQL Server

Для запуска и выполнения каждая служба SQL Server должна иметь учетную запись пользователя, настраиваемую во время установки. Стартовые учетные записи, используемые для запуска и выполнения SQL Server, могут быть встроенными системными учетными записями, учетными записями локальных пользователей или учетными записями пользователей домена.

Учетная запись пользователя домена

Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.

Учетная запись локального пользователя

Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.

Учетная запись локальной службы

Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью Local Service, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных. Помните, что учетная запись локальной службы не поддерживается службами SQL Server или агента SQL Server. Фактическое имя этой учетной записи — «NT AUTHORITY\LOCAL SERVICE».

Учетная запись сетевой службы

Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, запущенные от учетной записи сетевой службы, производят доступ к сетевым ресурсам c учетными данными из учетной записи компьютера. Фактическое имя этой учетной записи — «NT AUTHORITY\NETWORK SERVICE».

Учетная запись локальной системы

Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — «NT AUTHORITY\SYSTEM».

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

Отключено. Служба установлена, но в данный момент не запущена.
Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.
Авто. Служба автоматически запускается операционной системой.

В следующей таблице показаны установленные дополнительные учетные записи для каждой из служб SQL Server, а также типы запуска для каждой службы.

Имя службы SQL Server	Дополнительные учетные записи	Тип запуска	Состояние по умолчанию после установки
SQL Server	SQL Server Express: пользователь домена, локальная система, сетевая служба. Все другие выпуски: пользователь домена, локальная система, сетевая служба1.	Авто1	Работает. Остановлена, если пользователь отменил автозапуск.
Агент SQL Server	Пользователь домена, локальная система, сетевая служба1.	Вручную1,2 Авто, если пользователь выбрал автозапуск.	Остановлена. Работает, если пользователь выбрал автозапуск.
Analysis Services	Пользователь домена, сетевая служба, локальная служба, локальная система1	Авто1	Работает. Остановлена, если пользователь отменил автозапуск.
Reporting Services	Пользователь домена, локальная система, сетевая служба, локальная служба.	Авто	Работает. Остановлена, если пользователь отменил автозапуск.
Integration Services	Пользователь домена, локальная система, сетевая служба, локальная служба.	Авто	Работает Остановлена, если пользователь отменил автозапуск.
Компонент Full-text Search	Используйте учетную запись, отличающуюся от учетной записи для службы SQL Server. В операционных системах Windows Server 2008 и Windows Vista учетной записью по умолчанию является Local Service.	Авто	Работает Остановлена, если учетная запись не указана в Windows Server 2003 или Windows XP.
Обозреватель SQL Server	Локальная служба.	Отключено3 Авто, если пользователь выбрал автозапуск.	Остановлена. Работает, если пользователь выбрал автозапуск.
Модуль поддержки Active Directory в службах SQL Server	Local System, Network Service	Отключено	Остановлена.
Модуль записи SQL	Локальная система	Авто	Работает.

Важно!

1Для конфигураций с отказоустойчивым кластером следует использовать учетную запись пользователя домена и устанавливать тип запуска «Вручную».

2Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

3В конфигурации с отказоустойчивым кластером и именованными экземплярами обозреватель SQL Server после завершения программы установки настраивается на автоматический запуск.

Примечание по безопасности. Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. Используйте конкретную учетную запись пользователя или домена с ограниченными правами доступа вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору, где он поддерживается.

Поддерживаемые конфигурации служб

SQL Server использует группу безопасности, чтобы задать @@@ACL ресурсов вместо использования учетной записи службы напрямую, поэтому учетную запись службы можно изменить без повторения операций с @@@ACL ресурсами. Группой безопасности может быть локальная группа безопасности, группа безопасности домена или идентификатор безопасности службы.

Во время установки SQL Server программа установки SQL Server создает группу служб для всех компонентов SQL Server. Эти группы упрощают предоставление разрешений, необходимых для запуска служб SQL Server и других исполняемых файлов, и позволяют обеспечить защиту файлов.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.

SQL Server обеспечивает идентификатор безопасности для всех служб в операционных системах Windows Server 2008 или Windows Vista в SQL Server 2008, что позволяет обеспечить необходимый уровень изоляции и безопасности службы. Такой идентификатор создается из имени службы и является для нее уникальным. Например, идентификатор безопасности службы SQL Server может иметь имя «NT Service\MSSQL$<InstanceName>». Изоляция служб предоставляет возможность доступа к конкретным объектам без необходимости выполнения с использованием учетной записи с высоким уровнем доступа или ослабления защиты этих объектов. Используя записи управления доступом, содержащие идентификатор безопасности службы, служба SQL Server ограничивает доступ к ресурсам этой службы.

В следующей таблице показаны конфигурации служб новых и обновленных установок на операционные системы Windows Server 2008 или Windows Vista.

Новая установка	Обновление
Изолированный экземпляр — группа служб с идентификатором безопасности службы. Экземпляр отказоустойчивого кластера — идентификатор безопасности службы. Экземпляр отказоустойчивого кластера — группа служб домена. Контроллер домена — идентификатор безопасности службы. Контроллер домена — группа служб с учетной записью службы.	Изолированный экземпляр — группа служб домена с идентификатором безопасности службы. Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы.

Изолированный экземпляр — группа служб с идентификатором безопасности службы.
Экземпляр отказоустойчивого кластера — идентификатор безопасности службы.
Экземпляр отказоустойчивого кластера — группа служб домена.
Контроллер домена — идентификатор безопасности службы.
Контроллер домена — группа служб с учетной записью службы.

Изолированный экземпляр — группа служб домена с идентификатором безопасности службы.
Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы.

В следующей таблице показаны конфигурации служб новых и обновленных установок на операционные системы Windows Server 2003 или Windows XP.

Новая установка	Обновление
Изолированный экземпляр — группа служб с учетной записью службы. Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы. Контроллер домена — группа служб с учетной записью службы.	Изолированный экземпляр — группа служб домена с учетной записью службы. Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы.

Для изолированных экземпляров SQL Server в операционных системах Windows Vista и Windows Server 2008 идентификаторы безопасности служб добавляются к группе служб, а идентификатор безопасности службы обработчика SQL Server и агента SQL Server добавляется как имя входа к роли сервера Sysadmin.

Для экземпляров отказоустойчивого кластера SQL Server в операционных системах Windows Vista и Windows Server 2008 программа установки SQL Server по умолчанию использует идентификатор безопасности службы и устанавливает значение ACL ресурсов SQL Server и операционной системы, равное идентификатору безопасности службы.

Примечание
Используемые группы домена в отказоустойчивом кластере SQL Server должны быть созданы перед запуском программы установки. Рекомендуется использовать уникальное имя группы домена при установке служб SQL Server на отказоустойчивом кластере SQL Server.

Используемые группы домена в отказоустойчивом кластере SQL Server должны быть созданы перед запуском программы установки. Рекомендуется использовать уникальное имя группы домена при установке служб SQL Server на отказоустойчивом кластере SQL Server.

Изменение свойств учетной записи

Чтобы изменить учетные записи службы, пароль, тип запуска службы или другие свойства службы, связанной с SQL Server, используйте диспетчер конфигурации SQL Server. Для служб Reporting Services используйте средство настройки Reporting Services. Обратите внимание, что переименование экземпляра SQL Server не переименовывает группы безопасности SQL Server. После операции переименования группы безопасности продолжат работу со старыми именами.

Идентификация зависимых и не зависимых от экземпляра служб

Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Программа установки SQL Server позволяет для каждого компонента или службы установить несколько копий служб, привязанных к разным экземплярам. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.

С экземпляром связаны следующие службы SQL Server.

SQL Server
Агент SQL Server

Необходимо помнить, что служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.
Analysis Services
Reporting Services
Компонент Full-text Search

В число служб SQL Server, не связываемых с экземпляром, входят следующие.

Integration Services
обозреватель SQL Server;
модуль поддержки Active Directory в SQL Server;
модуль записи SQL.

Обзор прав доступа и привилегий, предоставляемых в Windows NT учетным записям служб SQL Server

В следующей таблице перечислены группы пользователей, создаваемые программой установки SQL Server, которым предоставляются определенные права пользователей Windows NT.

Служба SQL Server	Группа пользователей	Разрешения, предоставляемые по умолчанию программой установки SQL Server
SQL Server	Экземпляр по умолчанию: SQLServerMSSQLUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServerMSSQLUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight)1 Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Разрешение на запуск модуля поддержки Active Directory в службах SQL Server Разрешение на запуск службы SQL Writer Разрешение на чтение службы журнала событий Разрешение на чтение службы удаленного вызова процедур (RPC) Важно! Для экземпляров SQL Server в Windows Vista и более поздних версиях права пользователей входа в качестве службы, замены маркера уровня процесса, обхода перекрестной проверки и настройки квот памяти для процесса предоставляются идентификатору безопасности службы SQL Server.
SQL Server Агент3	Экземпляр по умолчанию: SQLServerSQLAgentUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServerSQLAgentUser$имя_компьютера$имя_экземпляра	Вход в систему в качестве службы (SeServiceLogonRight) Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)
Analysis Services	Экземпляр по умолчанию: SQLServerMSASUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServerMSASUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight)
SSRS	Экземпляр по умолчанию: SQLServerReportServerUser$Имя_компьютера$MSRS10.MSSQLSERVER Именованный экземпляр: SQLServerReportServerUser$Имя_компьютера$MSRS10.Имя_экземпляра	Вход в систему в качестве службы (SeServiceLogonRight)
Integration Services	Именованный или установленный по умолчанию экземпляр: SQLServerDTSUser$ИмяКомпьютера	Вход в систему в качестве службы (SeServiceLogonRight) Разрешение на запись в журнал событий приложения Обход проходной проверки (SeChangeNotifyPrivilege) Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)
Компонент Full-text Search	Экземпляр по умолчанию: SQLServerFDHostUser$имя_компьютера$MSSQL10.MSSQLSERVER Именованный экземпляр: SQLServerFDHostUser$имя_компьютера$имя_экземпляра	Вход в систему в качестве службы (SeServiceLogonRight) Важно! Для экземпляров SQL Server в Windows Vista и более поздних версиях разрешение входа в качестве службы предоставляется идентификатору безопасности службы средства запуска FD.
Обозреватель служб SQL Server	Именованный или установленный по умолчанию экземпляр: SQLServerSQLBrowserUser$ИмяКомпьютера	Вход в систему в качестве службы (SeServiceLogonRight)
Модуль поддержки Active Directory в службах SQL Server	Именованный или установленный по умолчанию экземпляр: SQLServerMSSQLServerADHelperUser$ИмяКомпьютера	Нет2
Модуль записи SQL	Н/Д	Нет2

1Данное разрешение предоставляется всем службам SQL Server по умолчанию.

Программа установки 2SQL Server не проверяет и не предоставляет разрешения для данной службы.

3Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server

Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом (ACL) устанавливаются на уровне группы пользователей.

Важно!
В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.

Учетная запись службы1 для	Файлы и папки	Доступ
MSSQLServer	Instid\MSSQL\backup	Полный доступ
	Instid\MSSQL\binn	Чтение и выполнение
	Instid\MSSQL\data	Полный доступ
	Instid\MSSQL\FTData	Полный доступ
	Instid\MSSQL\Install	Чтение и выполнение
	Instid\MSSQL\Log	Полный доступ
	Instid\MSSQL\Repldata	Полный доступ
	100\shared	Чтение и выполнение
	Instid\MSSQL\Template Data (только SQL Server Express)	Чтение
SQLServerAgent2	Instid\MSSQL\binn	Полный доступ
	Instid\MSSQL\binn	Полный доступ
	Instid\MSSQL\Log	Чтение, запись, удаление и выполнение
	100\com	Чтение и выполнение
	100\shared	Чтение и выполнение
	100\shared\Errordumps	Чтение и запись
	ServerName\EventLog	Полный доступ
FTS	Instid\MSSQL\FTData	Полный доступ
	Instid\MSSQL\FTRef	Чтение и выполнение
	100\shared	Чтение и выполнение
	100\shared\Errordumps	Чтение и запись
	Instid\MSSQL\Install	Чтение и выполнение
	Instid\MSSQL\jobs	Чтение и запись
MSSQLServerOLAPservice	100\shared\ASConfig	Полный доступ
	Instid\OLAP	Чтение и выполнение
	Instid\Olap\Data	Полный доступ
	Instid\Olap\Log	Чтение и запись
	Instid\OLAP\Backup	Чтение и запись
	Instid\OLAP\Temp	Чтение и запись
	100\shared\Errordumps	Чтение и запись
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Чтение, запись и удаление
	Instid\Reporting Services\ReportServer	Чтение и выполнение
	Instid\Reportingservices\Reportserver\global.asax	Полный доступ
	Instid\Reportingservices\Reportserver\Reportserver.config	Чтение
	Instid\Reporting Services\reportManager	Чтение и выполнение
	Instid\Reporting Services\RSTempfiles	Чтение, запись, выполнение и удаление
	100\shared	Чтение и выполнение
	100\shared\Errordumps	Чтение и запись
MSDTSServer100	100\dts\binn\MsDtsSrvr.ini.xml	Чтение
	100\dts\binn	Чтение и выполнение
	100\shared	Чтение и выполнение
	100\shared\Errordumps	Чтение и запись
Обозреватель SQL Server	100\shared\ASConfig	Чтение
	100\shared	Чтение и выполнение
	100\shared\Errordumps	Чтение и запись
MSADHelper	н/д (Запускается под учетной записью Network Service)
SQLWriter	N/A (Запускается с учетной записью Local System)
Пользователь	Instid\MSSQL\binn	Чтение и выполнение
	Instid\Reporting Services\ReportServer	Чтение и выполнение, список содержимого папки
	Instid\Reportingservices\Reportserver\global.asax	Чтение
	Instid\Reporting Services\ReportManager	Чтение и выполнение
	Instid\Reporting Services\ReportManager\pages	Чтение
	Instid\Reporting Services\ReportManager\Styles	Чтение
	100\dts	Чтение и выполнение
	100\tools	Чтение и выполнение
	90\tools	Чтение и выполнение
	80\tools	Чтение и выполнение
	100\sdk	Чтение
	Microsoft SQL Server\100\Setup Bootstrap	Чтение и выполнение

1 Для установки отказоустойчивого кластера SQL Server или установки SQL Server на контроллере домена ACL будут заданы для идентификатора безопасности службы SQL Server, а не для группы служб SQL Server в операционных системах Windows Vista и Windows Server 2008.

2 Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express с Advanced Services.

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.

Запрашивающий компонент	Учетная запись	Ресурс	Разрешения
MSSQLServer	Пользователи журнала производительности	Instid\MSSQL\binn	Просмотр содержимого папки
	Пользователи системного монитора	Instid\MSSQL\binn	Просмотр содержимого папки
	Пользователи журнала производительности, пользователи системного монитора	\WINNT\system32\sqlctr100.dll	Чтение и выполнение
	Только администратор	\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Полный доступ
	Администраторы, система	\tools\binn\schemas\sqlserver\2004\07\showplan	Полный доступ
	Пользователи	\tools\binn\schemas\sqlserver\2004\07\showplan	Чтение и выполнение
Reporting Services	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Удостоверение пула приложений диспетчера отчетов, учетная запись ASP.NET, Все	<каталог_установки>\Reporting Services\ReportManager, <каталог_установки>\Reporting Services\ReportManager\Pages\., <каталог_установки>\Reporting Services\ReportManager\Styles\., <каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\.	Чтение
	Удостоверение пула приложений диспетчера отчетов	<каталог_установки>\Reporting Services\ReportManager\Pages\.	Чтение
	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\ReportServer	Чтение
	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\ReportServer\global.asax	Полные
	Все	<каталог установки>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Сетевая служба	<каталог_установки>\Reporting Services\ReportServer\ReportService.asmx	Полные
	Все	<каталог_установки>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Учетная запись службы Windows для сервера отчетов	<каталог установки>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Все	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Перечисление подразделов Уведомление Управление чтением
	Пользователь служб терминала	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением
	Опытные пользователи	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением

1Это пространство имен поставщика инструментария WMI.

Обзор разрешений Windows для служб SQL Server

В следующей таблице перечислены имена служб и термины, используемые для экземпляров по умолчанию и именованных экземпляров служб SQL Server, описания функций служб, а также минимальные необходимые разрешения.

Отображаемое имя	Имя службы	Описание	Требуемые разрешения
SQL Server (ИмяЭкземпляра)	Экземпляр по умолчанию: MSSQLSERVER Именованный экземпляр: MSSQL$ИмяЭкземпляра	SQL Server Database Engine. Путь к исполняемому файлу: \MSSQL\Binn\sqlservr.exe.	Рекомендуется локальная учетная запись пользователя или учетная запись домена пользователя. Вход в качестве службы (SeServiceLogonRight)1. Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege). Обход перекрестной проверки (SeChangeNotifyPrivilege). Настройка квот памяти для процесса (SeIncreaseQuotaPrivilege). Разрешение на запуск службы поддержки SQL Server Active Directory. Разрешение на запуск модуля записи SQL. Разрешение на чтение службы журнала событий. Разрешение на чтение службы удаленного вызова процедур (RPC). Минимальные разрешенияФункциональность Учетная запись для запуска службы MSSQLServer Эта учетная запись должна быть включена в список учетных записей, имеющих разрешение на просмотр содержимого корневой папки диска, где установлен SQL Server. Это разрешение также должно распространяться на корневую папку любого другого диска, где хранятся файлы SQL Server. Примечание Разрешения «Список содержимого папки» для корневой папки диска не обязательно должны наследоваться вложенными папками. Учетная запись для запуска службы MSSQLServerУчетная запись должна иметь разрешения «Полный доступ» на все папки, где хранятся файлы данных или журналов (MDF, NDF, LDF).
Агент SQL Server (имя_экземпляра)1	Экземпляр по умолчанию: SQLServerAgent Именованный экземпляр: SQLAgent$ИмяЭкземпляра	Служит для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях и позволяет автоматизировать некоторые задачи по администрированию. Путь к исполняемому файлу: \MSSQL\Binn\sqlagent.exe.	Минимальные разрешенияФункциональность Учетная запись должна быть членом предопределенной роли сервера sysadmin Эта учетная запись должна иметь следующие разрешения Windows:Вход в систему в качестве службы. Замена маркера уровня процесса. Назначение квот памяти процессам. Обход проходной проверки.
Службы Analysis Services (ИмяЭкземпляра)	Экземпляр по умолчанию: MSSQLServerOLAPService Именованный экземпляр: MSOLAP$ИмяЭкземпляра	Служба, обеспечивающая интерактивную аналитическую обработку (OLAP) и интеллектуальный анализ данных для приложений бизнес-аналитики. Путь к исполняемому файлу: \OLAP\Bin\msmdsrv.exe.
Reporting Services	Экземпляр по умолчанию: ReportServer Именованный экземпляр: ReportServer$ИмяЭкземпляра	Служит для создания, выполнения, планирования, доставки отчетов и управления ими. Путь к исполняемому файлу: \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services	Именованный или установленный по умолчанию экземпляр: MSDTSServer	Обеспечивает поддержку управления хранением и выполнением пакетов службы Integration Services. Путь к исполняемому файлу: \DTS\Binn\msdtssrvr.exe.
Компонент Full-text Search	Именованный или установленный по умолчанию экземпляр: средство запуска управляющей программы полнотекстовой фильтрации SQL	Служба запустит процесс управляющей программы полнотекстовой фильтрации для проведения фильтрации документов и разбиения по словам для компонента SQL Server Full-Text Search.
Обозреватель SQL Server	Именованный или установленный по умолчанию экземпляр: SQLBrowser	Служба разрешения имен, поставляющая сведения о соединениях SQL Server для клиентских компьютеров. Эта служба совместно используется множеством экземпляров SQL Server и служб SSIS. Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe.
Модуль поддержки Active Directory в службах SQL Server	Именованный или установленный по умолчанию экземпляр: MSSQLServerADHelper	Осуществляет публикацию служб SQL Server и управление ими в службе каталогов Windows Active Directory. Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe.
SQL Writer	SQLWriter	Позволяет приложениям для резервного копирования и восстановления работать в составе службы теневого копирования томов. Для всех экземпляров SQL Server на сервере используется один и тот же экземпляр модуля записи SQL. Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe.

1Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Обзор дополнительных вопросов

В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.

Служба или приложение	Функциональность	Требуемые разрешения
SQL Server (MSSQLSERVER)	Запись в почтовый слот с помощью xp_sendmail.	Разрешения на запись по сети.
SQL Server (MSSQLSERVER)	Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server.	Работа в качестве части операционной системы, а также замена маркера уровня процесса.
Агент SQL Server (MSSQLSERVER)	Использование функции автоматического перезапуска.	Должен быть членом локальной группы Administrators.
Помощник по настройке Database Engine	Позволяет настраивать базы данных для оптимальной производительности запросов.	При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После инициализации пользователи dbo могут использовать помощник по настройке компонента Database Engine для настройки только тех таблиц, владельцами которых они являются. Дополнительные сведения см. в разделе «Инициализация помощника по настройке ядра компонента Database Engine при первом запуске» электронной документации по SQL Server.

Важно!
Перед обновлением SQL Server включите проверку подлинности Windows для агента SQL Server и проверьте необходимые настройки конфигурации по умолчанию: является ли учетная запись службы агента SQL Server членом группы SQL Serversysadmin.

Локализованные имена служб

В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.

Язык	Имя для Local Service	Имя сетевой службы	Имя Local System	Имя группы администраторов
Английский Китайский (упрощенный) Китайский (традиционный) Корейский Японский	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Немецкий	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Французский	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Итальянский	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Испанский	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Русский	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Журнал изменений

Обновленное содержимое
Примечание, касающееся средств, используемых для настройки или изменения параметров учетной записи для служб SQL Server 2008, было добавлено к разделу «Введение».
Параметры для автоматической установки в таблице «Настройка типа запуска служб» были изменены.
Предупреждения об уточнении разрешений, предоставляемых идентификаторам безопасности служб, были добавлены в таблицу «Обзор прав доступа и привилегий, предоставляемых в Windows NT учетным записям служб SQL Server».

См. также

Справочник

Настройка компонента Database Engine — назначение учетных записей

Настройка служб Analysis Services — назначение учетных записей

Основные понятия

Анализ безопасности при установке SQL Server

Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server

Поделиться через