Поделиться через


Настройка учетных записей службы Windows и разрешений

Область применения: SQL Server

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этой статье описана стандартная конфигурация служб в текущем выпуске SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server и после нее. Эта статья дает возможность опытным пользователям детальнее ознакомиться с учетными записями служб.

Большинство служб и их свойств можно настроить с помощью диспетчера конфигурации SQL Server. Ниже приведены расположения последних версий этого диспетчера при установке Windows на диск C.

Версия SQL Server Путь
SQL Server 2022 (16.x) C:\Windows\SysWOW64\SQLServerManager16.msc
SQL Server 2019 (15.x) C:\Windows\SysWOW64\SQLServerManager15.msc
SQL Server 2017 (14.x) C:\Windows\SysWOW64\SQLServerManager14.msc
SQL Server 2016 (13.x) C:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc

SQL Server, включенный Azure Arc

Сведения о разрешениях, необходимых расширению Azure для SQL Server, см. в статье "Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server".

Службы, устанавливаемые с SQL Server

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.

Служба Description
Службы SQL Server Database Services Служба для реляционного ядра СУБД SQL Server. Путь к исполняемому файлу: \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
Агент SQL Server Выполняет задания, наблюдает за SQL Server, выдает предупреждения и обеспечивает автоматизацию некоторых административных задач. Служба агента SQL Server доступна, но отключена для экземпляров SQL Server Express. Путь к исполняемому файлу: \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Службы Analysis Services Предоставляет средства оперативной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики. Путь к исполняемому файлу: \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
службы Reporting Services Управляет, выполняет, создает, планирует и предоставляет отчеты. Путь к исполняемому файлу: \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Службы интеграции Обеспечивает поддержку управления для хранения и выполнения пакета Integration Services. Путь к исполняемому файлу: \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe.

Integration Services может включать дополнительные службы для развертываний с горизонтальным увеличением масштаба. Дополнительные сведения см. в пошаговом руководстве. Настройка горизонтального масштабирования служб Integration Services (SSIS).

Служба Description
Браузер SQL Server Служба разрешения имен, которая предоставляет сведения о соединении с SQL Server клиентским компьютерам. Путь к исполняемому файлу: C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
полнотекстовый поиск. Быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.
Средство записи SQL Служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS).
Контроллер распределенного воспроизведения SQL Server Обеспечивает согласованное воспроизведение трассировки на нескольких клиентских компьютерах распределенного воспроизведения.
Клиент распределенное воспроизведение SQL Server Один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре ядра СУБД SQL Server.
Панель запуска SQL Server Доверенная служба, в которой находятся внешние исполняемые файлы, предоставляемые корпорацией Майкрософт, такие как среда выполнения R или Python, установленная как часть служб R Services или служб машинного обучения. Вспомогательные процессы могут запускаться при работе панели запуска, однако они регулируются ресурсами в зависимости от конфигурации отдельного экземпляра. Служба панели запуска выполняется с использованием собственной учетной записи, и каждому вспомогательному процессу для конкретной зарегистрированной среды выполнения присваивается учетная запись пользователя панели запуска. Вспомогательные процессы создаются и удаляются по запросу во время выполнения.

Панель запуска не может создавать используемые ею учетные записи, если вы установили SQL Server на компьютере, который используется в качестве контроллера домена. Таким образом, программа установки служб R Services (в базе данных) или служб машинного обучения (в базе данных) завершается сбоем на контроллере домена.
Ядро SQL Server PolyBase Позволяет применять распределенные запросы к внешним источникам данных.
Служба перемещения данных PolyBase SQL Server Позволяет перемешать данные между SQL Server и внешними источниками данных, а также между узлами SQL в группах горизонтального масштабирования PolyBase.

Службы CEIP, устанавливаемые с SQL Server

Служба программы улучшения качества программного обеспечения (CEIP) отправляет данные телеметрии обратно в корпорацию Майкрософт.

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы CEIP.

Служба Description
SQLTELEMETRY Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии ядра СУБД обратно в корпорацию Майкрософт.
SSASTELEMETRY Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSAS обратно в корпорацию Майкрософт.
SSISTELEMETRY Программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSIS обратно в корпорацию Майкрософт.

Свойства и настройка служб

В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server, могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Для запуска и выполнения каждая служба SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.

Примечание.

Для экземпляров отказоустойчивого кластера для SQL Server 2016 (13.x) и более поздних версий в качестве стартовых учетных записей SQL Server можно использовать учетные записи пользователя домена или групповые управляемые учетные записи служб.

В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server, значения, используемые по умолчанию при установке SQL Server, понятие идентификаторов безопасности служб, параметры запуска и настройка брандмауэра.

Учетные записи служб по умолчанию

В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.

Изолированный сервер или контроллер домена

Компонент Windows Server 2008 Windows 7, Windows Server 2008 R2 и более поздних версий
Компонент Database Engine СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Агент SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Службы SSAS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1 2
Integration Services СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Службы SSRS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Контроллер распределенного воспроизведения SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Клиент распределенного воспроизведения SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись 1
Средство запуска FD (полнотекстовый поиск) ЛОКАЛЬНАЯ СЛУЖБА Виртуальная учетная запись
Обозреватель SQL Server ЛОКАЛЬНАЯ СЛУЖБА ЛОКАЛЬНАЯ СЛУЖБА
Модуль записи VSS SQL Server ЛОКАЛЬНАЯ СИСТЕМА ЛОКАЛЬНАЯ СИСТЕМА
Расширения углубленной аналитики NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad
Ядро PolyBase СЕТЕВАЯ СЛУЖБА СЕТЕВАЯ СЛУЖБА
Служба перемещения данных PolyBase СЕТЕВАЯ СЛУЖБА СЕТЕВАЯ СЛУЖБА

1 Если требуются ресурсы за пределами компьютера SQL Server, корпорация Майкрософт рекомендует использовать управляемую учетную запись службы (MSA), которой предоставлены следующие минимальные разрешения.

2 При установке на контроллере домена виртуальная учетная запись не поддерживается как учетная запись службы.

Экземпляр отказоустойчивого кластера SQL Server

Компонент Windows Server 2008 Windows Server 2008 R2
Компонент Database Engine Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена .
Агент SQL Server Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена .
Службы SSAS Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена .
Integration Services СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись
Службы SSRS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись
Средство запуска FD (полнотекстовый поиск) ЛОКАЛЬНАЯ СЛУЖБА Виртуальная учетная запись
Обозреватель SQL Server ЛОКАЛЬНАЯ СЛУЖБА ЛОКАЛЬНАЯ СЛУЖБА
Модуль записи VSS SQL Server ЛОКАЛЬНАЯ СИСТЕМА ЛОКАЛЬНАЯ СИСТЕМА

Изменение свойств учетной записи

Внимание

  • Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой ядром СУБД SQL Server или службами агента SQL Server, или для изменения пароля учетной записи. В дополнение к изменению имени учетной записи, диспетчер конфигурации SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для ядра СУБД. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.

    Если вы изменяете учетные записи служб для любой службы SQL с помощью других средств, это может привести к непредвиденному поведению или ошибкам. Например, если вы изменяете учетную запись службы агента SQL на учетную запись домена с помощью applet служб Windows, вы можете заметить, что задания агента SQL, использующие операционную систему (Cmdexec), шаги по репликации или заданию служб SSIS могут завершиться ошибкой, как показано ниже:

    Executed as user : Domain\Account.
    The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
    

    Чтобы устранить эту ошибку, выполните следующие действия с помощью диспетчер конфигурации SQL Server:

    1. Временно измените учетную запись службы агента SQL на виртуальную учетную запись по умолчанию (экземпляр по умолчанию: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$<instance_name>.)
    2. Перезапуск службы агент SQL Server
    3. Измените учетную запись службы обратно на нужную учетную запись домена.
    4. Перезапуск службы агент SQL Server
  • Для экземпляров служб Analysis Services, развертываемых на ферме SharePoint, изменяйте учетные записи сервера для служебных приложений Power Pivot и служб Analysis Services только с помощью центра администрирования SharePoint. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.

  • Чтобы изменить параметры служб Reporting Services, используйте средство настройки служб Reporting Services.

Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи

Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL Server, с изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.

  • Управляемые учетные записи служб

    Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. Она назначается отдельному компьютеру-участнику для использования при запуске службы. Управление паролем осуществляет автоматически контроллер домена. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. MSA имеет возможность зарегистрировать имя участника-службы (SPN) в Active Directory при наличии разрешений на чтение и запись servicePrincipalName. MSA называется суффиксом $ , например DOMAIN\ACCOUNTNAME$. При указании MSA следует оставить поле пароля пустым. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.

    Примечание.

    Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.

  • Учетные записи служб, управляемые группой

    Групповая управляемая учетная запись службы (gMSA) — это управляемая учетная запись службы для нескольких серверов. Windows управляет такой учетной записью для служб, работающих на группе серверов. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы. Службы SQL Server можно настроить для использования основного экземпляра групповой управляемой учетной записи службы. Начиная с версии SQL Server 2014, SQL Server поддерживает групповые управляемые учетные записи службы для изолированных экземпляров, а с версии SQL Server 2016 — для экземпляров отказоустойчивого кластера и для групп доступности.

    Для работы с gMSA в SQL Server 2014 или более поздней версии требуется ОС Windows Server 2012 R2 или более поздней версии. На серверах под управлением Windows Server 2012 R2 нужно применить исправление KB 2998082, чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы.

    Дополнительные сведения см. в статье Групповые управляемые учетные записи служб для Windows Server 2016 и более поздних версий. Для предыдущих версий Windows Server см. статью Групповые управляемые учетные записи служб.

    Примечание.

    Учетная запись gMSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.

  • Виртуальные учетные записи

    Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. Если установка SQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате NT SERVICE\<SERVICENAME>. Службы, которые работают в виде виртуальных учетных записей, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$. При указании виртуальной учетной записи для запуска SQL Server оставьте поле пароля пустым. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos.

    Примечание.

    Виртуальные учетные записи не могут использоваться для экземпляра отказоустойчивого кластера SQL Server, так как у виртуальной учетной записи будет отличаться идентификатор безопасности на каждом узле кластера.

    В следующей таблице перечислены примеры имен виртуальных учетных записей.

    Service Имя виртуальной учетной записи
    Экземпляр по умолчанию для службы ядра СУБД NT SERVICE\MSSQLSERVER
    Именованный экземпляр службы ядро СУБД с именемPAYROLL NT SERVICE\MSSQL$PAYROLL
    Служба агента SQL Server на экземпляре SQL Server по умолчанию NT Service\SQLSERVERAGENT
    Служба агента SQL Server на экземпляре SQL Server с именем PAYROLL NT SERVICE\SQLAGENT$PAYROLL

Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записейПошагового руководства по учетным записям служб, а также в документе Вопросы и ответы по управляемым учетным записям служб.

Примечание.

Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. По возможности используйте учетную запись MSA, gMSA или виртуальную учетную запись. Если использование управляемых учетных записей служб, групповых управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.

Автоматический запуск

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

  • Disabled. Служба установлена, но в данный момент не запущена.
  • Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.
  • Автоматически. Служба автоматически запускается операционной системой.

Тип запуска выбирается во время установки. При установке именованного экземпляра службу обозревателя SQL Server следует настроить на автоматический запуск.

Настройка служб во время автоматической установки

В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.

Имя службы SQL Server Параметры для автоматической установки 1
MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent 2 AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Службы Integration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
Контроллер распределенного воспроизведения SQL Server DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
Клиент распределенного воспроизведения SQL Server DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services или службы машинного обучения (Майкрософт) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3
Ядро PolyBase PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

1 Дополнительные сведения и примеры синтаксиса для автоматической установки см. в руководстве по установке SQL Server 1 из командной строки.

2 Служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.

3 Настройка учетной записи для Панели запуска с помощью одних только параметров сейчас не поддерживается. Используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись и другие параметры службы.

Порт брандмауэра

Обычно при начальной установке ядра СУБД к нему можно подключаться с помощью таких средств, как SQL Server Management Studio, установленных на том же компьютере, что и SQL Server. Программа установки SQL Server не открывает порты в брандмауэре Windows. Подключение от других компьютеров может оказаться невозможным, пока ядро СУБД не будет настроено для прослушивания TCP-порта, а соответствующий порт не будет открыт для подключений в брандмауэре Windows. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Разрешения службы

В этом разделе описаны разрешения, которые настраиваются в программе установки SQL Server для идентификаторов безопасности служб SQL Server.

Настройка служб и управление доступом

SQL Server позволяет обеспечить изоляцию и всестороннюю защиту, предоставляя идентификатор безопасности для каждой службы. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, именем идентификатора безопасности службы для именованного экземпляра службы может быть NT Service\MSSQL$<instance_name>. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую идентификатор безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.

Примечание.

В Windows 7 и Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.

Для большинства компонентов SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.

При установке служб SSAS создается удостоверение безопасности службы для Analysis Services. Создается локальная группа Windows с именем в форматеSQLServerMSASUser$<computer_name>$<instance_name>. Идентификатор безопасности NT SERVICE\MSSQLServerOLAPService для каждой службы предоставляется в локальной группе Windows, а локальная группа Windows предоставляет соответствующие разрешения в ACL. В случае изменения учетной записи, используемой для запуска службы Analysis Services, диспетчер конфигурации SQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как идентификатор безопасности службы не был изменен. Этот метод позволяет переименовывать службу Analysis Services во время обновлений.

Во время установки SQL Server программа установки создает локальную группу Windows для SSAS и службу обозревателя SQL Server. Для этих служб SQL Server настраивает список управления доступом к локальным группам Windows.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.

Права доступа и права Windows

Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. Они автоматически назначаются программой установки SQL Server. Сначала установите средства администрирования удаленного сервера (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 10.

В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server.

Служба SQL Server Разрешения, предоставляемые программой установки SQL Server
Компонент SQL Server Database Engine.

(Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT SERVICE\MSSQLSERVER. Именованный экземпляр: NT Service\MSSQL$<instance_name>.)
Вход в систему в качестве службы (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Разрешение на запуск модуля записи SQL Writer

Разрешение на чтение службы журнала событий

Разрешение на чтение службы удаленного вызова процедур (RPC)
агент SQL Server: 1

(Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$<instance_name>.)
Вход в систему в качестве службы (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)
SSAS:

(Все права предоставляются локальной группе Windows. Экземпляр по умолчанию: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Именованный экземпляр: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot для экземпляра SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot.)
Вход в систему в качестве службы (SeServiceLogonRight)

Только для табличного режима:

Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам.

Только для установок отказоустойчивого кластера:

Увеличение приоритета планирования (SeIncreaseBasePriorityPrivilege)
SSRS:

(Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT SERVICE\ReportServer. Именованный экземпляр: NT SERVICE\ReportServer$<instance_name>.)
Вход в систему в качестве службы (SeServiceLogonRight)
SSIS.

(Все права предоставляются идентификатору безопасности для каждой службы. Экземпляр по умолчанию и именованный экземпляр: NT SERVICE\MsDtsServer150. Службы Integration Services не имеют отдельного процесса для именованного экземпляра.)
Вход в систему в качестве службы (SeServiceLogonRight)

Разрешение на запись в журнал событий приложений

Обход проходной проверки (SeChangeNotifyPrivilege)

Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)
Полнотекстовый поиск:

(Все права предоставляются для SID конкретной службы SID. Экземпляр по умолчанию: NT Service\MSSQLFDLauncher. Именованный экземпляр: NT Service\ MSSQLFDLauncher$<instance_name>.)
Вход в систему в качестве службы (SeServiceLogonRight)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)
Обозреватель SQL Server:

(Все права предоставляются локальной группе Windows. Экземпляр по умолчанию или именованный экземпляр: SQLServer2005SQLBrowserUser$<computer_name>. Обозреватель SQL Server не имеет отдельного процесса для именованного экземпляра.)
Вход в систему в качестве службы (SeServiceLogonRight)
Модуль записи VSS SQL Server:

(Все права предоставляются идентификатору безопасности для каждой службы. По умолчанию или именованный экземпляр: NT Service\SQLWriter. Средство записи VSS SQL Server не содержит отдельный процесс для именованного экземпляра.)
Служба SQLWriter запускается под учетной записью LOCAL SYSTEM, которая имеет все необходимые разрешения. Программа установки SQL Server не проверяет и не предоставляет разрешения для данной службы.
Контроллер распределенного воспроизведения SQL Server: Вход в систему в качестве службы (SeServiceLogonRight)
Клиент распределенного воспроизведения SQL Server: Вход в систему в качестве службы (SeServiceLogonRight)
Ядро PolyBase и DMS: Вход в систему в качестве службы (SeServiceLogonRight)
Панель запуска: Вход в систему как услуга (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)
Службы R/Машинное обучение: SQLRUserGroup (SQL Server 2016 (13.x) и SQL Server 2017 (14.x)) Не имеют разрешения Локальный вход в систему по умолчанию.
Службы машинного обучения: все пакеты приложений [AppContainer] (SQL Server 2019 (15.x)) Разрешения READ и EXECUTE для каталогов Binn, R_Services и PYTHON_Services SQL Server

1 Служба агента SQL Server отключена для экземпляров SQL Server Express.

Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows

Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.

Внимание

В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.

Учетная запись службы для Файлы и папки Открыть
MSSQLServer Instid\MSSQL\backup Полный контроль
Instid\MSSQL\binn Чтение и выполнение
Instid\MSSQL\data Полный контроль
Instid\MSSQL\FTData Полный контроль
Instid\MSSQL\Install Чтение и выполнение
Instid\MSSQL\Log Полный контроль
Instid\MSSQL\Repldata Полный контроль
150\shared Чтение и выполнение
Instid\MSSQL\Template Data (только с SQL Server Express) Читать
SQLServerAgent 1 Instid\MSSQL\binn Полный контроль
Instid\MSSQL\Log Чтение, запись, удаление и выполнение
150\com Чтение и выполнение
150\shared Чтение и выполнение
150\shared\Errordumps Чтение и запись
ServerName\EventLog Полный контроль
FTS Instid\MSSQL\FTData Полный контроль
Instid\MSSQL\FTRef Чтение и выполнение
150\shared Чтение и выполнение
150\shared\Errordumps Чтение и запись
Instid\MSSQL\Install Чтение и выполнение
Instid\MSSQL\jobs Чтение и запись
MSSQLServerOLAPService 150\shared\ASConfig Полный контроль
Instid\OLAP Чтение и выполнение
Instid\Olap\Data Полный контроль
Instid\Olap\Log Чтение и запись
Instid\OLAP\Backup Чтение и запись
Instid\OLAP\Temp Чтение и запись
150\shared\Errordumps Чтение и запись
ReportServer Instid\Reporting Services\Log Files Чтение, запись и удаление
Instid\Reporting Services\ReportServer Чтение и выполнение
Instid\Reporting Services\ReportServer\global.asax Полный контроль
Instid\Reporting Services\ReportServer\rsreportserver.config Читать
Instid\Reporting Services\RSTempfiles Чтение, запись, выполнение и удаление
Instid\Reporting Services\RSWebApp Чтение и выполнение
150\shared Чтение и выполнение
150\shared\Errordumps Чтение и запись
MSDTSServer100 150\dts\binn\MsDtsSrvr.ini.xml Читать
150\dts\binn Чтение и выполнение
150\shared Чтение и выполнение
150\shared\Errordumps Чтение и запись
Обозреватель SQL Server 150\shared\ASConfig Читать
150\shared Чтение и выполнение
150\shared\Errordumps Чтение и запись
SQLWriter н/д (запускается с учетной записью локальной системы)
User Instid\MSSQL\binn Чтение и выполнение
Instid\Reporting Services\ReportServer Чтение и выполнение, список содержимого папки
Instid\Reporting Services\ReportServer\global.asax Читать
Instid\Reporting Services\RSWebApp Чтение и выполнение, список содержимого папки
150\dts Чтение и выполнение
150\tools Чтение и выполнение
100\tools Чтение и выполнение
90\tools Чтение и выполнение
80\tools Чтение и выполнение
150\sdk Читать
Microsoft SQL Server\150\Setup Bootstrap Чтение и выполнение
Контроллер распределенного воспроизведения SQL Server <ToolsDir>\DReplayController\Log\ (пустой каталог) Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayController\DReplayController.exe Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки
<ToolsDir>\DReplayController\{все DLL} Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayController\DReplayController.config Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayController\IRTemplate.tdf Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayController\IRDefinition.xml Чтение и выполнение, список содержимого папки
Клиент распределенного воспроизведения SQL Server <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки
<ToolsDir>\DReplayClient\DReplayClient.exe Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки
<ToolsDir>\DReplayClient\ (все DLL) Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayClient\DReplayClient.config Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayClient\IRTemplate.tdf Чтение и выполнение, список содержимого папки
<ToolsDir>\DReplayClient\IRDefinition.xml Чтение и выполнение, список содержимого папки
Панель запуска %binn Чтение и выполнение
ExtensiblilityData Полный контроль
Log\ExtensibilityLog Полный контроль

1 Служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.

Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.

Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.

Запрашивающий компонент Учетная запись Ресурс Разрешения
MSSQLServer Пользователи журналов производительности Instid\MSSQL\binn Список содержимого папки
Пользователи монитора производительности Instid\MSSQL\binn Список содержимого папки
Пользователи журнала производительности, пользователи системного монитора \WINNT\system32\sqlctr150.dll Чтение и выполнение
Только администратор \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 Полный контроль
Администраторы, система \tools\binn\schemas\sqlserver\2004\07\showplan Полный контроль
Пользователи \tools\binn\schemas\sqlserver\2004\07\showplan Чтение и выполнение
Службы отчетов Учетная запись службы Windows для сервера отчетов <install>\Reporting Services\LogFiles DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Учетная запись службы Windows для сервера отчетов <install>\Reporting Services\ReportServer Читать
Учетная запись службы Windows для сервера отчетов <install>\Reporting Services\ReportServer\global.asax Полностью
Учетная запись службы Windows для сервера отчетов <install>\Reporting Services\RSWebApp Чтение и выполнение
Все <install>\Reporting Services\ReportServer\global.asax READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES
Учетная запись службы Windows для сервера отчетов <install>\Reporting Services\ReportServer\rsreportserver.config DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Все Разделы реестра сервера отчетов (куст Instid) Значение запроса

Перечисление подразделов

Notify

Контроль чтением
Пользователь служб терминала Разделы реестра сервера отчетов (куст Instid) Значение запроса

Установка значения

Создание подраздела

Перечисление подразделов

Notify

Удаление

Контроль чтением
Опытные пользователи Разделы реестра сервера отчетов (куст Instid) Значение запроса

Установка значения

Создание подраздела

Перечисление подразделов

Notify

Удаление

Контроль чтением

1 Это пространство имен поставщика WMI.

Разрешения файловой системы, связанные с нестандартными дисковыми расположениями

Диском по умолчанию для установки является systemdrive, обычно это диск C. В этом разделе содержатся дополнительные рекомендации, относящиеся к установке базы данных tempdb или пользовательских баз данных в необычных расположениях.

Диск не по умолчанию

При установке на локальный диск, который не является диском по умолчанию, удостоверение безопасности службы должно иметь доступ к расположению файлов. Программа установки SQL Server предоставляет необходимые права доступа.

Общая сетевая папка

При установке баз данных в общую сетевую папку учетная запись службы должна иметь доступ к расположению файлов пользовательских баз данных и базы данных tempdb. Программа установки SQL Server не может предоставить доступ к сетевой папке. Пользователь должен предоставлять учетной записи службы доступ к расположению базы данных tempdb до выполнения установки. Пользователь должен предоставить доступ к расположению пользовательской базы данных перед созданием базы данных.

Примечание.

Виртуальные учетные записи не могут проходить проверку подлинности в удаленном расположении. Все виртуальные учетные записи используют разрешение локальной учетной записи. Укажите учетную запись компьютера в формате <domain_name>\<computer_name>$.

Обзор дополнительных рекомендаций

В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.

Служба или приложение Функция Требуемое разрешение
SQL Server (MSSQLSERVER) Запись в почтовый слот с помощью xp_sendmail. Разрешения на запись по сети.
SQL Server (MSSQLSERVER) Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server. Работа в качестве части операционной системы, а также замена токена уровня процесса.
SQL Server Agent (MSSQLSERVER) Использование функции автоматического перезапуска. Должен быть членом локальной группы «Администраторы».
Помощник по настройке ядра СУБД Позволяет настраивать базы данных для оптимальной производительности запросов. При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После этого пользователи dbo могут при использовании помощника по настройке ядра СУБД настраивать только те таблицы, владельцами которых они являются. Дополнительные сведения см. в разделе Запуск и использование помощника по настройке ядра СУБД.

Внимание

Перед обновлением SQL Server, включите агент SQL Server и проверьте необходимые настройки конфигурации по умолчанию: является ли учетная запись службы агента SQL Server членом предопределенной роли сервера SQL Server sysadmin.

Разрешения для реестра

Для компонентов, зависящих от экземпляра, куст реестра создается в разделе HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>. Например:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150

В реестре также хранится сопоставление идентификаторов экземпляров с именами экземпляров. Сопоставление идентификатора экземпляра с именем экземпляра осуществляется следующим образом:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"

WMI

Инструментарий управления Windows (WMI) должен иметь возможность подключиться к ядру СУБД. Для поддержки этого идентификатор безопасности для каждой службы поставщика WMI (NT SERVICE\winmgmt) windows подготавливается в ядро СУБД.

Поставщику SQL WMI необходимы следующие минимальные разрешения:

  • Членство в предопределенных ролях db_ddladmin или db_owner базы данных msdb.

  • РазрешениеCREATE DDL EVENT NOTIFICATION на сервере.

  • Разрешение CREATE TRACE EVENT NOTIFICATION в ядре СУБД.

  • Разрешение уровня сервераVIEW ANY DATABASE .

    Программа установки SQL Server создает пространство имен SQL WMI и предоставляет разрешение на чтение идентификатору безопасности службы агента SQL Server.

Именованные каналы

Во всех видах установки программа установки SQL Server предоставляет доступ к ядру СУБД SQL Server через протокол общей памяти, который является локальным именованным каналом.

Подготовка

В этом разделе описывается подготовка учетных записей в разных компонентах SQL Server.

Подготовка ядра СУБД к работе

Следующие учетные записи добавляются в качестве имен входа в ядро СУБД SQL Server.

Участники Windows

Во время установки программе установки SQL Server требуется наличие как минимум одной учетной записи пользователя, являющейся членом предопределенной роли сервера sysadmin.

Учетная запись sa

Учетная запись sa всегда присутствует в качестве имени входа в ядро СУБД и является членом предопределенной роли сервера sysadmin. Если ядро СУБД установлено с использованием только проверки подлинности Windows (то есть проверка подлинности SQL Server не включена), имя входа sa все равно будет присутствовать, но будет отключено, а пароль будет сложным и случайным. Дополнительные сведения о включении учетной записи sa см. в статье Изменение режима проверки подлинности сервера.

Вход на SQL Server и права доступа для удостоверений безопасности служб

Идентификатор безопасности службы (иногда также называемый субъектом безопасности службы (SID)) для службы SQL Server подготавливается как имя входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin . Сведения об удостоверениях безопасности служб см. в Использование идентификаторов безопасности для предоставления разрешений службам в SQL Server.

Вход и права доступа агента SQL Server

Идентификатор безопасности службы агента SQL Server подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .

Группы доступности Always On, экземпляр отказоустойчивого кластера и привилегии SQL

При установке ядра СУБД в качестве групп доступности Always On или экземпляра отказоустойчивого кластера SQL (SQL FCI) осуществляется подготовка LOCAL SYSTEM в ядре СУБД. Имени входа LOCAL SYSTEM предоставляется разрешение ALTER ANY AVAILABILITY GROUP (для групп доступности Always On) и разрешение VIEW SERVER STATE (для SQL FCI).

Модуль записи SQL и права доступа

Идентификатор безопасности службы "Модуль записи VSS для SQL Server" подготавливается в качестве имени входа для ядра СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .

SQL WMI и права доступа

SQL Server Настраивает NT SERVICE\Winmgmt учетную запись в качестве ядро СУБД имени входа и добавляет ее в предопределяемую роль сервера sysadmin.

Подготовка служб SSRS

Учетная запись, указанная во время установки, предоставляется в качестве члена роли базы данных RSExecRole . Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).

Подготовка служб SSAS

Требования к учетной записи службы SSAS различаются в зависимости от способа развертывания сервера. При установке Power Pivot для SharePoint программе установки SQL Server требуется, чтобы служба Analysis Services запускалась с использованием учетной записи домена. Учетные записи домена необходимы для поддержки механизма управляемых учетных записей, встроенного в SharePoint. По этой причине программа установки SQL Server не предоставляет учетную запись службы по умолчанию, например виртуальную учетную запись, для установки Power Pivot для SharePoint. Дополнительные сведения о подготовке Power Pivot для SharePoint см. в статье Настройка учетных записей службы Power Pivot.

Для всех других случаев изолированной установки служб SSAS можно предоставить службу для запуска с учетной записью домена, встроенной системной учетной записью, управляемой или виртуальной учетной записью. Дополнительные сведения о подготовке учетных записей см. в статье Настройка учетных записей службы (службы Analysis Services).

Для кластерной установки необходимо указать учетную запись домена или встроенную системную учетную запись. Ни управляемые, ни виртуальные учетные записи не поддерживаются для отказоустойчивых кластеров служб SSAS.

Для установки служб SSAS необходимо указать системного администратора экземпляра Analysis Services. Права администратора предоставляются роли Сервер служб Analysis Services.

Подготовка служб SSRS

Учетная запись, указанная во время установки, подготавливается в ядре СУБД в качестве члена роли базы данных RSExecRole. Дополнительные сведения см. в статье Настройка учетной записи службы сервера отчетов (диспетчер конфигурации сервера отчетов).

Обновление с предыдущих версий

В этом разделе описываются изменения, внесенные во время обновления предыдущей версии SQL Server.

  • Для SQL Server 2019 (15.x) требуется поддерживаемая операционная система. Для предыдущих версий SQL Server, работающих в более низкой версии операционной системы, необходимо обновить операционную систему, прежде чем обновлять SQL Server.

  • Во время обновления SQL Server 2005 (9.x) до SQL Server 2019 (15.x) программа установки настраивает экземпляр SQL Server следующим образом:

    • Ядро СУБД запускается в контексте безопасности, настроенного для идентификатора безопасности службы. Идентификатору безопасности службы предоставляется доступ к папкам с файлами экземпляра SQL Server (например, DATA), а также к разделам реестра SQL Server.
    • Идентификатор безопасности службы ядра СУБД подготавливается в ядре СУБД в качестве члена предопределенной роли сервера sysadmin.
    • Идентификатор безопасности служб добавляются в локальные группы Windows для SQL Server, если SQL Server не является экземпляром отказоустойчивого кластера.
    • Ресурсы SQL Server остаются предоставленными локальным группам Windows для SQL Server.
    • Имя локальной группы Windows для служб меняется с SQLServer2005MSSQLUser$<computer_name>$<instance_name> на SQLServerMSSQLUser$<computer_name>$<instance_name>. Расположения файлов перенесенных баз данных имеют записи управления доступом (ACE) для локальных групп Windows. Расположения файлов для новых баз данных имеют записи ACE для идентификатора безопасности службы.
  • Во время обновления с SQL Server 2008 (10.0.x) программа установки SQL Server сохраняет acES для безопасности sql Server 2008 (10.0.x).

  • Для экземпляра отказоустойчивого кластера SQL Server записи ACE учетной записи домена, настроенные для службы, сохраняются.

Приложение

В данном разделе содержатся дополнительные сведения о службах SQL Server.

Описание учетных записей служб

Учетной записью службы является учетная запись, используемая для запуска службы Windows, например ядра СУБД SQL Server. При запуске SQL Server не требуется добавлять учетную запись службы в качестве имени входа для SQL Server в дополнение к идентификатору безопасности службы, который имеется всегда и является членом предопределенной роли сервера sysadmin.

Учетные записи, доступные в любой операционной системе

В дополнение к новым управляемым учетным записям служб, групповым управляемым учетным записям служб и виртуальным учетным записям, описанным выше, могут использоваться следующие учетные записи.

Учетная запись пользователя домена

Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.

При настройке SQL Server на использование учетной записи домена можно изолировать права доступа для службы, при этом придется управлять паролями вручную или создать пользовательское решение для управления паролями. Эта стратегия помогает повысить безопасность многих серверных приложений, но повышает сложность и требует дополнительного администрирования. В этих случаях развертывания администраторы служб тратят значительное количество времени на выполнение задач обслуживания, таких как управление паролями служб и именами участников-служб (SPN), необходимыми для проверки подлинности Kerberos. Кроме того, задачи обслуживания могут нарушить работу службы.

Учетные записи локальных пользователей

Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.

Учетная запись локальной службы

Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных.

Учетная запись локальной службы не поддерживается для служб SQL Server и агента SQL Server. Локальная служба не поддерживается в качестве учетной записи для запуска этих служб, так как это общая служба, а любые другие службы, работающие под учетной записью локальной службы, получили бы доступ с правами администратора к SQL Server.

Фактическое имя этой учетной записи — NT AUTHORITY\LOCAL SERVICE.

Учетная запись сетевой службы

Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, которые работают в виде учетной записи сетевой службы, получают доступ к сетевым ресурсам с помощью учетных данных учетной записи компьютера в формате <domain_name>\<computer_name>$. Фактическое имя этой учетной записи — NT AUTHORITY\NETWORK SERVICE.

Учетная запись локальной системы

Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — NT AUTHORITY\SYSTEM.

Идентификация зависимых и не зависимых от экземпляра служб

Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Запустив программу установки SQL Server для каждого компонента или службы, можно установить несколько копий служб, связанных с экземплярами. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.

В число служб SQL Server, связанных с экземпляром, входят следующие.

  • SQL Server

  • Агент SQL Server

    Учитывайте, что служба агента SQL Server отключена для экземпляров SQL Server Express и SQL Server Express с дополнительными службами.

  • Службы Analysis Services

    Службы Analysis Services в режиме интеграции с SharePoint запускаются как единичный именованный экземпляр Power Pivot. Имя экземпляра фиксировано. Другое имя указать нельзя. На каждом физическом сервере можно установить только один экземпляр служб Analysis Services, запускаемый под именем Power Pivot.

  • Службы отчетов

  • Полнотекстовый поиск

В число служб SQL Server, не связанных с экземпляром, входят следующие.

  • Службы Integration Services
  • Обозреватель SQL Server
  • Модуль записи SQL

Локализованные имена служб

В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.

Язык Имя для Local Service Имя сетевой службы Имя Local System Имя группы администраторов
Английский

Упрощенный китайский

Традиционный китайский

Корейский

Японский
NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Немецкий NT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEM VORDEFINIERT\Administratoren
Французский AUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEM BUILTIN\Administrators
Итальянский NT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Испанский NT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEM BUILTIN\Administradores
русский NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМА BUILTIN\Администраторы

Следующие шаги