Выбор учетной записи для службы агента SQL Server
Стартовая учетная запись службы определяет учетную запись Microsoft Windows, с которой запускается агент SQL Server, а также его сетевые разрешения. Агент SQL Server выполняется как заданная учетная запись пользователя. Диспетчер конфигурации SQL Server позволяет выбрать учетную запись службы агента SQL Server из следующих вариантов:
Встроенная учетная запись. Может быть выбрана из списка следующих встроенных учетных записей Windows:
Учетная запись Локальная система. Имя этой учетной записи — NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам. Она входит в группу Администраторы локального компьютера и поэтому является членом предопределенной роли сервера sysadmin SQL Server.
Примечание по безопасности Параметр Учетная запись локальной системы поддерживается для обратной совместимости. Локальная системная учетная запись обладает разрешениями, которые не нужны для работы агента SQL Server. Старайтесь не запускать агент SQL Server от имени учетной записи локальной системы. В целях безопасности рекомендуется пользоваться учетной записью домена Windows с разрешениями, перечисленными в подразделе «Разрешения учетной записи домена Windows» ниже в этом разделе.
Указанная учетная запись. Позволяет задать учетную запись домена Windows, с которой выполняется служба агента SQL Server. Рекомендуется выбирать учетную запись пользователя Windows, не входящего в группу Администраторы. Однако существуют ограничения при администрировании нескольких серверов, когда учетная запись службы агента SQL Server не входит в локальную группу Администраторы. Дополнительные сведения см. в подразделе «Поддерживаемые типы учетных записей» далее в этом разделе.
Разрешения учетной записи домена Windows
В целях повышения безопасности выбирайте пункт Указанная учетная запись, соответствующий учетной записи домена Windows. Заданная учетная запись домена Windows должна обладать следующими разрешениями:
- Разрешение на вход в систему в качестве службы во всех версиях Windows (SeServiceLogonRight)
Примечание |
---|
Служба агента SQL Server должна быть членом группы «Доступ, совместимый с версиями Windows до 2000» контроллера домена. В противном случае задания, принадлежащие пользователям домена, которые не являются администраторами Windows, выполняться не будут. |
На серверах Windows учетной записи, с которой выполняется служба агента SQL Server, для поддержки посредников агента SQL Server необходимы следующие разрешения:
Разрешение на обход перекрестной проверки (SeChangeNotifyPrivilege)
Разрешение на замену токена уровня процесса (SeAssignPrimaryTokenPrivilege)
Разрешение на выделение процессам квот памяти (SeIncreaseQuotaPrivilege)
Разрешение на вход в систему с помощью входа пакетного типа (SeBatchLogonRight)
Примечание |
---|
Если учетная запись не обладает разрешениями на поддержку посредников, то создавать задания могут только члены предопределенной роли сервера sysadmin. |
Примечание |
---|
Чтобы получать уведомление о предупреждении инструментария WMI, учетной записи службы агента SQL Server должно быть предоставлено разрешение на пространство имен, содержащее события WMI и ALTER ANY EVENT NOTIFICATION. |
Членство в ролях SQL Server
Учетная запись, от которой запускается служба агента SQL Server, должна быть членом следующих ролей SQL Server:
Учетная запись должна быть членом предопределенной роли сервера sysadmin.
Чтобы использовать обработку заданий в многосерверной среде, учетная запись должна быть членом роли базы данных msdb TargetServersRole на главном сервере.
Поддерживаемые типы учетных записей
В следующей таблице перечислены типы учетных записей Windows, которые могут быть использованы для службы агента SQL Server.
Тип учетной записи |
Некластеризованный сервер |
Кластеризованный сервер |
Контроллер домена (некластеризованный) |
---|---|---|---|
Учетная запись Microsoft Windows (член группы Windows «Администраторы») |
Поддерживается |
Поддерживается |
Поддерживается |
Неадминистративная учетная запись домена Windows |
Поддерживается 1 |
Поддерживается 1 |
Поддерживается 1 |
Учетная запись сетевой службы (NT AUTHORITY\NetworkService) |
Поддерживается 1, 3, 4 |
Не поддерживается |
Не поддерживается |
Неадминистративная учетная запись локального пользователя |
Поддерживается 1 |
Не поддерживается |
Неприменимо |
Учетная запись Local System (NT AUTHORITY\System) |
Поддерживается 2 |
Не поддерживается |
Поддерживается 2 |
Учетная запись локальной службы (NT AUTHORITY\NetworkService) |
Не поддерживается |
Не поддерживается |
Не поддерживается |
1 см. следующее ограничение № 1.
2 см. следующее ограничение № 2.
3 см. следующее ограничение № 3.
4 см. следующее ограничение № 4.
Ограничение № 1. Использование неадминистративных учетных записей для администрирования нескольких серверов
Прикрепление целевого сервера к главному серверу может завершиться ошибкой, после чего появляется следующее сообщение: «Не удалось выполнить операцию прикрепления».
Чтобы устранить эту ошибку, перезапустите SQL Server и службы агента SQL Server. Дополнительные сведения см. в разделе Запуск, остановка, приостановка, возобновление и перезапуск компонента Database Engine, агента SQL и службы браузера SQL Server.
Ограничение № 2. Использование учетной записи Local System для администрирования нескольких серверов
Администрирование нескольких серверов поддерживается при выполнении службы агента SQL Server под учетной записью Local System только в том случае, если целевой и главный серверы расположены на одном и том же компьютере. При использовании этой конфигурации, при прикреплении целевого сервера к главному серверу, возвращается следующее сообщение:
«Убедитесь, что стартовая учетная запись агента для <target_server_computer_name> имеет права для входа на сервер targetServer».
Данное сообщение можно пропустить. Операция прикрепления должна быть завершена успешно. Дополнительные сведения см. в разделе Создание многосерверной среды.
Ограничение № 3. Использование учетной записи сетевой службы, которая является учетной записью SQL Server
При запуске агента SQL Server может произойти сбой, если он запускается под учетной записью сетевой службы, которая уже явным образом получила доступ к экземпляру SQL Server в качестве пользователя SQL Server.
Для решения этой проблемы перезагрузите компьютер, на котором работает SQL Server. Это действие необходимо выполнить однократно.
Ограничение № 4. Использование учетной записи сетевой службы при выполнении служб SQL Server Reporting Services на том же самом компьютере
Агент SQL Server не может быть запущен, если он запускается под учетной записью сетевой службы, а службы Службы Reporting Services запущены на этом же самом компьютере.
Для решения этой проблемы перезагрузите компьютер, на котором работает SQL Server, а затем перезапустите службу SQL Server и службу агента SQL Server. Это действие необходимо выполнить однократно.
Общие задачи
Указание стартовой учетной записи службы агента SQL Server
- Назначение стартовой учетной записи службы для агента SQL Server (диспетчер конфигурации SQL Server)
Указание профиля электронной почты агента SQL Server
Примечание |
---|
Запуск агента SQL Server во время старта операционной системы задается с помощью диспетчера конфигурации SQL Server. |
См. также
Справочник
Настройка учетных записей службы Windows и разрешений
Основные понятия
Обеспечение безопасности агента SQL Server
Другие ресурсы
Инструкции по управлению службами (диспетчер конфигурации SQL Server)