共用方式為


選取 SQL Server Agent 服務的帳戶

更新: 2005 年 12 月 5 日

服務啟動帳戶可定義 SQL Server Agent 用來執行的 Microsoft Windows 帳戶及其網路權限。SQL Server Agent 會以指定的使用者帳戶執行。為了要與舊版 SQL Server 相容,SQL Server Agent 也可用本機系統帳戶的身分執行。

您可以使用 SQL Server 組態管理員來選擇下列選項,以選取 SQL Server Agent 服務的帳戶:

  • [內建帳戶]。您可從下列內建 Windows 服務帳戶的清單中進行選擇:
    • [本機系統] 帳戶。這個帳戶的名稱是 NT AUTHORITY\System。它是功能強大的帳戶,可不受限制地存取所有本機系統資源。這個帳戶是本機電腦上的 Windows Administrators 群組成員,因此也是 SQL Server 系統管理員 (sysadmin) 固定伺服器角色的成員。
      ms191543.security(zh-tw,SQL.90).gif安全性注意事項:
      [本機系統帳戶] 選項僅用於回溯相容性。本機系統帳戶具有 SQL Server Agent 不需要的權限。避免以本機系統帳戶身分執行 SQL Server Agent。為了改善安全性,請搭配使用 Windows 網域帳戶與下節「Windows 網域帳戶權限」所列的權限。
    • [網路服務] 帳戶。這個帳戶的名稱是 NT AUTHORITY\NetworkService。它可在 Microsoft Windows XP 和 Microsoft Windows Server 2003 中使用。所有以網路服務帳戶身分執行的服務會向網路資源驗證,以作為本機電腦。
      ms191543.security(zh-tw,SQL.90).gif安全性注意事項:
      由於多個服務可使用網路服務帳戶,因此,很難控制哪些服務對網路資源 (包含 SQL Server 資料庫) 具有存取權。不建議您將網路服務帳戶用於 SQL Server Agent 服務。
    ms191543.note(zh-tw,SQL.90).gif重要事項:
    請勿選取 [本機服務] 帳戶。SQL Server Agent 服務不能在此帳戶之下執行。它不受支援。這個帳戶的名稱是 NT AUTHORITY\LocalService,它會以不含認證的 Null 工作階段來存取網路資源。它可在 Microsoft Windows XP 和 Microsoft Windows Server 2003 中使用。
  • [這個帳戶]。可讓您指定 SQL Server Agent 服務用來執行的 Windows 網域帳戶。我們建議您選擇非 Windows Administrators 群組成員的 Windows 使用者帳戶。然而,SQL Server Agent 服務帳戶不是本機 Administrators 群組的成員時,則會限制多伺服器管理的使用。如需詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。

如需有關所支援之各種服務帳戶類型之 SQL Server Agent 功能的詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。

Windows 網域帳戶權限

為了改善安全性,請選取 [這個帳戶],以指定 Windows 網域帳戶。您指定的 Windows 網域帳戶必須具有下列權限:

  • 在所有 Windows 版本中,以服務方式登入的權限 (SeServiceLogonRight)
ms191543.note(zh-tw,SQL.90).gif附註:
SQL Server Agent 服務帳戶必須是網域控制站上 Pre-Windows 2000 Compatible Access 群組的一部分,否則,非 Windows Administrators 群組成員之網域使用者所擁有的作業會失敗。
  • 在 Windows 伺服器中,SQL Server Agent 服務用以執行的帳戶需要下列權限,才能支援 SQL Server Agent Proxy。
    • 作為作業系統一部分的權限 (SeTcbPrivilege) (僅限 Windows 2000)
    • 略過周遊檢查的權限 (SeChangeNotifyPrivilege)
    • 取代處理序層級 Token 的權限 (SeAssignPrimaryTokenPrivilege)
    • 調整處理序之記憶體配額的權限 (SeIncreaseQuotaPrivilege)
    • 使用批次登入類型登入的權限 (SeBatchLogonRight)
ms191543.note(zh-tw,SQL.90).gif附註:
如果帳戶沒有支援 Proxy 所需的權限,則只有系統管理員 (sysadmin) 固定伺服器角色的成員可以建立作業。
ms191543.note(zh-tw,SQL.90).gif附註:
若要接收 WMI 警示通知,必須授與 SQL Server Agent 的服務帳戶對於包含 WMI 事件之命名空間的權限,以及 ALTER ANY EVENT NOTIFICATION 的權限。

SQL Server 角色成員資格

用來執行 SQL Server Agent 服務的帳戶必須是下列 SQL Server 角色的成員:

  • 帳戶必須是系統管理員 (sysadmin) 固定伺服器角色的成員。
  • 若要使用多伺服器作業處理,帳戶必須是主要伺服器上 msdb 資料庫角色 TargetServersRole 的成員。

Windows 群組成員資格

SQL Server Agent 服務用以執行的帳戶必須是下列 Windows 群組的成員:

  • 帳戶必須是網域控制站上 Pre-Windows 2000 Compatible Access 群組的成員,才能為非 Administrators 群組成員的使用者執行作業。
    ms191543.security(zh-tw,SQL.90).gif安全性注意事項:
    為了改善安全性,SQL Server Agent 服務帳戶不應該是本機 Administrators 群組的成員。然而,SQL Server Agent 服務帳戶不是本機 Administrators 群組的成員時,則會限制多伺服器管理的使用。如需詳細資訊,請參閱<對 SQL Server Agent 支援的服務帳戶類型>。

一般工作

若要指定 SQL Server Agent 服務的啟動帳戶
若要指定 SQL Server Agent 的郵件設定檔
ms191543.note(zh-tw,SQL.90).gif附註:
使用 SQL Server 組態管理員,指定 SQL Server Agent 必須在啟動作業系統時啟動。

請參閱

概念

SQL Server Agent 管理的安全性
實作 SQL Server Agent 安全性

其他資源

設定 Windows 服務帳戶
使用 SQL Server 組態管理員管理服務

說明及資訊

取得 SQL Server 2005 協助

變更歷程記錄

版本 歷程記錄

2005 年 12 月 5 日

變更的內容:
  • 新增可針對 SQL Server Agent 服務選取之 Windows 內建帳戶 (網路服務) 的描述。
  • 加入 SQL Server Agent 不支援之 Windows 內建帳戶 (本機服務) 的重要注意事項。
  • 將與使用非 Windows Administrators 群組成員之 SQL Server Agent 服務啟動帳戶相關的限制資訊,加入「Windows 群組成員資格」一節中的安全性注意事項。