選取 SQL Server Agent 服務的帳戶
更新: 2005 年 12 月 5 日
服務啟動帳戶可定義 SQL Server Agent 用來執行的 Microsoft Windows 帳戶及其網路權限。SQL Server Agent 會以指定的使用者帳戶執行。為了要與舊版 SQL Server 相容,SQL Server Agent 也可用本機系統帳戶的身分執行。
您可以使用 SQL Server 組態管理員來選擇下列選項,以選取 SQL Server Agent 服務的帳戶:
- [內建帳戶]。您可從下列內建 Windows 服務帳戶的清單中進行選擇:
- [本機系統] 帳戶。這個帳戶的名稱是 NT AUTHORITY\System。它是功能強大的帳戶,可不受限制地存取所有本機系統資源。這個帳戶是本機電腦上的 Windows Administrators 群組成員,因此也是 SQL Server 系統管理員 (sysadmin) 固定伺服器角色的成員。
安全性注意事項: [本機系統帳戶] 選項僅用於回溯相容性。本機系統帳戶具有 SQL Server Agent 不需要的權限。避免以本機系統帳戶身分執行 SQL Server Agent。為了改善安全性,請搭配使用 Windows 網域帳戶與下節「Windows 網域帳戶權限」所列的權限。 - [網路服務] 帳戶。這個帳戶的名稱是 NT AUTHORITY\NetworkService。它可在 Microsoft Windows XP 和 Microsoft Windows Server 2003 中使用。所有以網路服務帳戶身分執行的服務會向網路資源驗證,以作為本機電腦。
安全性注意事項: 由於多個服務可使用網路服務帳戶,因此,很難控制哪些服務對網路資源 (包含 SQL Server 資料庫) 具有存取權。不建議您將網路服務帳戶用於 SQL Server Agent 服務。
重要事項: 請勿選取 [本機服務] 帳戶。SQL Server Agent 服務不能在此帳戶之下執行。它不受支援。這個帳戶的名稱是 NT AUTHORITY\LocalService,它會以不含認證的 Null 工作階段來存取網路資源。它可在 Microsoft Windows XP 和 Microsoft Windows Server 2003 中使用。 - [本機系統] 帳戶。這個帳戶的名稱是 NT AUTHORITY\System。它是功能強大的帳戶,可不受限制地存取所有本機系統資源。這個帳戶是本機電腦上的 Windows Administrators 群組成員,因此也是 SQL Server 系統管理員 (sysadmin) 固定伺服器角色的成員。
- [這個帳戶]。可讓您指定 SQL Server Agent 服務用來執行的 Windows 網域帳戶。我們建議您選擇非 Windows Administrators 群組成員的 Windows 使用者帳戶。然而,SQL Server Agent 服務帳戶不是本機 Administrators 群組的成員時,則會限制多伺服器管理的使用。如需詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。
如需有關所支援之各種服務帳戶類型之 SQL Server Agent 功能的詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。
Windows 網域帳戶權限
為了改善安全性,請選取 [這個帳戶],以指定 Windows 網域帳戶。您指定的 Windows 網域帳戶必須具有下列權限:
- 在所有 Windows 版本中,以服務方式登入的權限 (SeServiceLogonRight)
附註: |
---|
SQL Server Agent 服務帳戶必須是網域控制站上 Pre-Windows 2000 Compatible Access 群組的一部分,否則,非 Windows Administrators 群組成員之網域使用者所擁有的作業會失敗。 |
- 在 Windows 伺服器中,SQL Server Agent 服務用以執行的帳戶需要下列權限,才能支援 SQL Server Agent Proxy。
- 作為作業系統一部分的權限 (SeTcbPrivilege) (僅限 Windows 2000)
- 略過周遊檢查的權限 (SeChangeNotifyPrivilege)
- 取代處理序層級 Token 的權限 (SeAssignPrimaryTokenPrivilege)
- 調整處理序之記憶體配額的權限 (SeIncreaseQuotaPrivilege)
- 使用批次登入類型登入的權限 (SeBatchLogonRight)
附註: |
---|
如果帳戶沒有支援 Proxy 所需的權限,則只有系統管理員 (sysadmin) 固定伺服器角色的成員可以建立作業。 |
附註: |
---|
若要接收 WMI 警示通知,必須授與 SQL Server Agent 的服務帳戶對於包含 WMI 事件之命名空間的權限,以及 ALTER ANY EVENT NOTIFICATION 的權限。 |
SQL Server 角色成員資格
用來執行 SQL Server Agent 服務的帳戶必須是下列 SQL Server 角色的成員:
- 帳戶必須是系統管理員 (sysadmin) 固定伺服器角色的成員。
- 若要使用多伺服器作業處理,帳戶必須是主要伺服器上 msdb 資料庫角色 TargetServersRole 的成員。
Windows 群組成員資格
SQL Server Agent 服務用以執行的帳戶必須是下列 Windows 群組的成員:
- 帳戶必須是網域控制站上 Pre-Windows 2000 Compatible Access 群組的成員,才能為非 Administrators 群組成員的使用者執行作業。
安全性注意事項: 為了改善安全性,SQL Server Agent 服務帳戶不應該是本機 Administrators 群組的成員。然而,SQL Server Agent 服務帳戶不是本機 Administrators 群組的成員時,則會限制多伺服器管理的使用。如需詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。
一般工作
若要指定 SQL Server Agent 服務的啟動帳戶
若要指定 SQL Server Agent 的郵件設定檔
附註: |
---|
使用 SQL Server 組態管理員,指定 SQL Server Agent 必須在啟動作業系統時啟動。 |
請參閱
概念
SQL Server Agent 管理的安全性
實作 SQL Server Agent 安全性
其他資源
設定 Windows 服務帳戶
使用 SQL Server 組態管理員管理服務
說明及資訊
變更歷程記錄
版本 | 歷程記錄 |
---|---|
2005 年 12 月 5 日 |
|