Выберите учетную запись для службы агента SQL Server
применимо к:
SQL ServerУправляемому экземпляру SQL Azure
Важный
В Управляемом экземпляре SQL Azureв настоящее время поддерживаются большинство, но не все функции агента SQL Server. Подробности см. в разделе о различиях T-SQL управляемого экземпляра Azure SQL от SQL Server.
Учетная запись запуска службы определяет учетную запись Microsoft Windows, в которой выполняется агент SQL Server, и ее сетевые разрешения. Агент SQL Server выполняется от имени указанной учетной записи пользователя. Вы выбираете учетную запись для службы агента SQL Server с помощью диспетчера конфигурации SQL Server, где можно выбрать один из следующих вариантов:
встроенная учетная запись. Вы можете выбрать из списка следующих встроенных учетных записей служб Windows:
- Локальная учетная запись системы. Имя этой учетной записи — NT AUTHORITY\System. это мощная учетная запись с неограниченным доступом ко всем локальным системным ресурсам. Это член группы администраторов Windows на локальном компьютере.
Важный
Опция учетной записи локальной системы предоставляется только для обратной совместимости. Учетная запись локальной системы имеет разрешения, которые не требуются агенту SQL Server. Избегайте запуска агента SQL Server в качестве учетной записи локальной системы. Для повышения безопасности используйте учетную запись домена Windows с разрешениями, перечисленными в следующем разделе , "Разрешения учетной записи домена Windows".
учетная запись. Позволяет указать учетную запись домена Windows, в которой выполняется служба агента SQL Server. Мы рекомендуем выбрать учетную запись пользователя Windows, которая не входит в группу администраторов Windows. Однако существуют ограничения на использование многосерверного администрирования, если учетная запись службы агента SQL Server не является членом локальной группы администраторов. Дополнительные сведения см. в разделе "Поддерживаемые типы учетных записей служб", приведенные в этой статье.
Разрешения учетной записи домена Windows
Для повышения безопасности выберите Эта учетная запись, которая указывает учетную запись домена Windows. У указанной учетной записи домена Windows должны быть следующие разрешения:
Во всех версиях Windows разрешение на вход в качестве службы (
SeServiceLogonRight)Заметка
Учетная запись службы агента SQL Server должна быть частью группы совместимого доступа для систем до Windows 2000 на контроллере домена, иначе задания, принадлежащие пользователям домена, которые не являются членами группы администраторов Windows, не выполняются.
На серверах Windows учетная запись, под которой работает служба агента SQL Server, требует следующих разрешений для поддержки прокси-серверов агента SQL Server.
- Разрешение на обход проверки (
SeChangeNotifyPrivilege) - Разрешение на замена маркера уровня процесса (
SeAssignPrimaryTokenPrivilege) - Разрешение на настройку квот памяти для процесса (
SeIncreaseQuotaPrivilege) - Разрешение на доступ к этому компьютеру из сети (
SeNetworkLogonRight)
- Разрешение на обход проверки (
Если у учетной записи нет разрешений, необходимых для поддержки прокси-серверов, то только члены предопределенных ролей сервера sysadmin могут создавать задания.
Для получения уведомления о сигналах инструментария управления Windows (WMI) для учетной записи службы агента SQL Server должно быть предоставлено разрешение на пространство имен, в котором содержатся события WMI и ALTER ANY EVENT NOTIFICATION.
Членство в роли SQL Server
По умолчанию учетная запись службы агента SQL Server сопоставляется с идентификатором безопасности службы агента SQL Server по умолчанию (NT SERVICE\SQLSERVERAGENT), который является членом предопределенной роли сервера sysadmin. Учетная запись также должна быть членом роли базы данных msdbTargetServersRole на главном сервере, если используется обработка многосерверных заданий. Мастер-сервер автоматически добавляет учетную запись службы в эту роль как часть процесса зачисления.
Поддерживаемые типы учетных записей служб
В следующей таблице перечислены типы учетных записей Windows, которые можно использовать для службы агента SQL Server.
| Тип учетной записи службы | Некластеризованный сервер | Кластеризованный сервер | Контроллер домена (некластеризованный) |
|---|---|---|---|
| Учетная запись домена Microsoft Windows (член группы администраторов Windows) | Поддерживается | Поддерживается | Поддержанный |
| Учетная запись домена Windows (не административная) | Поддержанный См. ограничение 1 далее в этом разделе. |
Поддерживается См. ограничение 1 далее в этом разделе. |
Поддержка См. ограничение 1 далее в этом разделе. |
Учетная запись сетевой службы (NT AUTHORITY\NetworkService) |
Поддерживается См. ограничения 1, 3 и 4 далее в этом разделе. |
Не поддерживается | Не поддерживается |
| Локальная пользовательская учетная запись (без административных прав) | Поддерживается См. ограничение 1 далее в этом разделе. |
Не поддерживается | Неприменимо |
Учетная запись локальной системы (NT AUTHORITY\System) |
Поддерживается См. ограничения 2 далее в этом разделе. |
Не поддерживается | Поддержка См. ограничения 2 далее в этом разделе. |
Учетная запись локальной службы (NT AUTHORITY\LocalService) |
Не поддерживается | Не поддерживается | Не поддерживается |
Ограничение 1. Использование не административных учетных записей для администрирования нескольких серверов
При добавлении целевых серверов к главному серверу может произойти сбой с появлением следующего сообщения об ошибке: The enlist operation failed.
Чтобы устранить эту ошибку, перезапустите sql Server и службы агента SQL Server. Дополнительные сведения см. в разделе Запуск, остановка, приостановка, возобновление и перезапуск служб SQL Server.
Ограничение 2. Использование учетной записи локальной системы для администрирования нескольких серверов
Многосерверное администрирование поддерживается, если служба агента SQL Server выполняется под учетной записью локальной системы, только если главный сервер и целевой сервер находятся на одном компьютере. Если вы используете эту конфигурацию, при зачислении целевых серверов на главный сервер возвращается следующее сообщение:
Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.
Это информационное сообщение можно игнорировать. Операция зачисления должна завершиться успешно. Дополнительные сведения см. в статье Создание многосерверной среды.
Ограничение 3: Использование учетной записи сетевой службы, когда она используется в качестве пользователя SQL Server.
Агент SQL Server может не запуститься, если вы запускаете службу агента SQL Server в учетной записи сетевой службы, а учетная запись сетевой службы явно предоставляет доступ для входа в экземпляр SQL Server в качестве пользователя SQL Server.
Чтобы устранить эту проблему, перезапустите компьютер, на котором запущен SQL Server. Это необходимо сделать только один раз.
Ограничение 4. Использование учетной записи сетевой службы при запуске служб SQL Server Reporting Services на том же компьютере
Агент SQL Server может не запуститься, если вы запускаете службу агента SQL Server в учетной записи сетевой службы, а службы Reporting Services также выполняются на том же компьютере.
Чтобы устранить эту проблему, перезапустите компьютер, на котором запущен SQL Server, а затем перезапустите как SQL Server, так и службы агента SQL Server. Это необходимо сделать только один раз.
Распространенные задачи
задать учетную запись запуска службы для агента SQL Server (диспетчер конфигурации SQL Server)
Настройка почты агента SQL Server для использования компонента Database Mail
Используйте диспетчер конфигурации SQL Server, чтобы указать, что агент SQL Server должен запускаться при запуске операционной системы.
Связанное содержимое
- Настройка учетных записей служб Windows и разрешений
- Диспетчер конфигурации SQL Server: подключение к другому компьютеру
- реализация безопасности агента SQL Server