Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server
Varje tjänst i SQL Server representerar en process eller en uppsättning processer för att hantera autentisering av SQL Server-åtgärder med Windows. Den här artikeln beskriver standardkonfigurationen av tjänster i den här versionen av SQL Server och konfigurationsalternativ för SQL Server-tjänster som du kan ange under och efter SQL Server-installationen. Den här artikeln hjälper avancerade användare att förstå information om tjänstkontona.
Anmärkning
Mer information om SQL Server för Linux-behörigheter finns i GUIDEN SQL Server på Linux – Säkerhet och behörigheter.
De flesta tjänster och deras egenskaper kan konfigureras med hjälp av SQL Server Configuration Manager. Här är sökvägarna till de senaste versionerna när Windows är installerat på C-enheten.
| SQL Server-version | Väg |
|---|---|
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server aktiverat av Azure Arc
Behörigheter som krävs av Azure-tillägget för SQL Server finns i Konfigurera Windows-tjänstkonton och behörigheter för Azure-tillägget för SQL Server.
Tjänster som installerats av SQL Server
Beroende på vilka komponenter du väljer att installera installerar SQL Server-installationsprogrammet följande tjänster:
| Tjänster | Beskrivning |
|---|---|
| SQL Server Database Services | Tjänsten för SQL Server-relationsdatabasmotorn. Den körbara filen är \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| SQL Server-agent | Kör jobb, övervakar SQL Server, utlöser aviseringar och möjliggör automatisering av vissa administrativa uppgifter. SQL Server Agent-tjänsten finns men är inaktiverad på instanser av SQL Server Express. Den körbara filen är \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Analysis Services | Tillhandahåller onlineanalysbearbetning (OLAP) och funktioner för datautvinning för business intelligence-program. Den körbara filen är \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Rapporteringstjänster | Hanterar, kör, skapar, schemalägger och levererar rapporter. Den körbara filen är \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Integreringstjänster | Tillhandahåller hanteringsstöd för lagring och körning av Integration Services-paket. Den körbara sökvägen är \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
Integration Services kan innehålla ytterligare tjänster för utskalningsdistributioner. Mer information finns i Genomgång: Konfigurera utskalning av Integration Services (SSIS).
| Tjänster | Beskrivning |
|---|---|
| SQL Server-webbläsare | Namnmatchningstjänsten som tillhandahåller SQL Server-anslutningsinformation för klientdatorer. Den körbara sökvägen är C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Fulltextsökning | Skapar snabbt fulltextindex för innehåll och egenskaper för strukturerade och halvstrukturerade data för att tillhandahålla dokumentfiltrering och ordbrytning för SQL Server. |
| SQL-skrivare | Tillåter säkerhetskopiering och återställning av program att fungera i VSS-ramverket (Volume Shadow Copy Service). |
| SQL Server Distributed Replay Controller | Tillhandahåller spårningsreprisorkestrering över flera distribuerade Replay-klientdatorer. |
| SQL Server Distributed Replay Client | En eller flera Distributed Replay-klientdatorer som fungerar tillsammans med en Distributed Replay-styrenhet för att simulera samtidiga arbetsbelastningar mot en instans av SQL Server Database Engine. |
| STARTPLATTA FÖR SQL Server | En betrodd tjänst som är värd för externa körbara filer som tillhandahålls av Microsoft, till exempel R- eller Python-körningen som installeras som en del av R Services eller Machine Learning Services. Satellitprocesser kan startas av Launchpad-processen men är resursstyrt baserat på konfigurationen av den enskilda instansen. Launchpad-tjänsten körs under ett eget användarkonto, och varje satellitprocess för en specifik, registrerad körning ärver användarkontot för Launchpad. Satellitprocesser skapas och förstörs på begäran under körningstiden. Launchpad kan inte skapa de konton som används om du installerar SQL Server på en dator som också används som domänkontrollant. Därför misslyckas installationen av R Services (In-Database) eller Machine Learning Services (In-Database) på en domänkontrollant. |
| SQL Server PolyBase-motor | Tillhandahåller distribuerade frågefunktioner till externa datakällor. |
| SQL Server PolyBase Data Movement Service | Möjliggör dataflytt mellan SQL Server och externa datakällor och mellan SQL-noder i PolyBase Scaleout-grupper. |
CEIP-tjänster installerade av SQL Server
Den lokala granskningen för SQL Server-användning och insamling av diagnostikdata (CEIP) skickar telemetridata tillbaka till Microsoft.
Beroende på vilka komponenter du väljer att installera installerar SQL Server-installationen följande CEIP-tjänster.
| Tjänster | Beskrivning |
|---|---|
| SQLTELEMETRY | Customer Experience Improvement Program som skickar databasmotorns telemetridata tillbaka till Microsoft. |
| SSASTELEMETRY | Customer Experience Improvement Program som skickar SSAS-telemetridata tillbaka till Microsoft. |
| SSISTELEMETRY | Customer Experience Improvement Program som skickar SSIS-telemetridata tillbaka till Microsoft. |
Tjänstegenskaper och konfiguration
Startkonton som används för att starta och köra SQL Server kan vara domänanvändarkonton, lokala användarkonton, hanterade tjänstkonton, virtuella konton eller inbyggda systemkonton. För att starta och köra måste varje tjänst i SQL Server ha ett startkonto konfigurerat under installationen.
Anmärkning
För SQL Server-redundansklusterinstans för SQL Server 2016 (13.x) och senare kan domänanvändarkonton eller grupphanterade tjänstkonton användas som startkonton för SQL Server.
I det här avsnittet beskrivs de konton som kan konfigureras för att starta SQL Server-tjänster, standardvärdena som används av SQL Server-installationsprogrammet, begreppet sid per tjänst, startalternativen och konfigurationen av brandväggen.
Standardtjänstkonton
I följande tabell visas de standardtjänstkonton som används vid installation av alla komponenter. Standardkontona i listan är de rekommenderade kontona, förutom vad som anges.
Fristående server eller domänkontrollant
| Komponent | Windows Server 2008 | Windows 7, Windows Server 2008 R2 och senare |
|---|---|---|
| Databas-motor | NÄTVERKSTJÄNST | Virtuellt konto1 |
| SQL Server-agent | NÄTVERKSTJÄNST | Virtuellt konto1 |
| SSAS | NÄTVERKSTJÄNST | Virtuellt konto12 |
| SSIS (SQL Server Integration Services) | NÄTVERKSTJÄNST | Virtuellt konto1 |
| SSRS | NÄTVERKSTJÄNST | Virtuellt konto1 |
| SQL Server Distributed Replay Controller | NÄTVERKSTJÄNST | Virtuellt konto1 |
| SQL Server Distributed Replay Client | NÄTVERKSTJÄNST | Virtuellt konto1 |
| FD Launcher (fulltextsökning) | LOKAL TJÄNST | Virtuellt konto |
| SQL Server-webbläsare | LOKAL TJÄNST | LOKAL TJÄNST |
| SQL Server VSS-skrivare | LOKALT SYSTEM | LOKALT SYSTEM |
| Avancerade analystillägg | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| PolyBase-motor | NÄTVERKSTJÄNST | NÄTVERKSTJÄNST |
| PolyBase Data Movement Service | NÄTVERKSTJÄNST | NÄTVERKSTJÄNST |
1 När resurser utanför SQL Server-datorn behövs rekommenderar Microsoft att du använder ett hanterat tjänstkonto (MSA) som konfigurerats med minsta möjliga behörighet.
2 När det är installerat på en domänkontrollant stöds inte ett virtuellt konto som tjänstkonto.
SQL Server-redundansklusterinstans
| Komponent | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Databas-motor | Ingen. Ange ett domänanvändarkonto . | Ange ett domänanvändarkonto . |
| SQL Server-agent | Ingen. Ange ett domänanvändarkonto . | Ange ett domänanvändarkonto . |
| SSAS | Ingen. Ange ett domänanvändarkonto . | Ange ett domänanvändarkonto . |
| SSIS (SQL Server Integration Services) | NÄTVERKSTJÄNST | Virtuellt konto |
| SSRS | NÄTVERKSTJÄNST | Virtuellt konto |
| FD Launcher (fulltextsökning) | LOKAL TJÄNST | Virtuellt konto |
| SQL Server-webbläsare | LOKAL TJÄNST | LOKAL TJÄNST |
| SQL Server VSS-skrivare | LOKALT SYSTEM | LOKALT SYSTEM |
Ändra kontoegenskaper
- Använd alltid SQL Server-verktyg som SQL Server Configuration Manager för att ändra det konto som används av SQL Server Database Engine eller SQL Server Agent-tjänster, eller för att ändra lösenordet för kontot. Förutom att ändra kontonamnet utför SQL Server Configuration Manager ytterligare konfiguration, till exempel uppdatering av det lokala Säkerhetsarkivet i Windows, vilket skyddar tjänsthuvudnyckeln för databasmotorn. Andra verktyg som Windows Services Control Manager kan ändra kontonamnet men ändrar inte alla nödvändiga inställningar.
Om du ändrar tjänstkonton för en SQL-tjänst på annat sätt kan det leda till oväntat beteende eller fel. Om du till exempel ändrar SQL Agent-tjänstkontot till ett domänkonto med Hjälp av Windows-tjänster kan du märka att SQL-agentjobb som använder Operativsystem (Cmdexec), Replikering eller SSIS-jobbsteg kan misslyckas med ett fel som:
Executed as user : Domain\Account.
The process couldn't be created for step Step Number of job Unique Job ID (reason: A required privilege isn't held by the client). The step failed.
För att lösa det här felet bör du göra följande med SQL Server Configuration Manager:
- Ändra tillfälligt tillbaka SQL Agent-tjänstkontot till standardkontot för virtuellt konto (standardinstans: NT Service\SQLSERVERAGENT. Namngiven instans: NT Service\SQLAGENT$<instance_name>.)
- Starta om SQL Server Agent Service
- Ändra tillbaka tjänstkontot till önskat domänkonto
- Starta om SQL Server Agent-tjänsten
För Analysis Services-instanser som du distribuerar i en SharePoint-servergrupp använder du alltid SharePoint Central Administration för att ändra serverkontona för Power Pivot-tjänstprogram och Analysis Services-tjänsten. Associerade inställningar och behörigheter uppdateras för att använda den nya kontoinformationen när du använder central administration.
Om du vill ändra Reporting Services-alternativ använder du Konfigurationsverktyget för Reporting Services.
Hanterade tjänstkonton, grupphanterade tjänstkonton och virtuella konton
Hanterade tjänstkonton, grupphanterade tjänstkonton och virtuella konton är utformade för att tillhandahålla viktiga program som SQL Server med isolering av sina egna konton, samtidigt som det eliminerar behovet av att en administratör manuellt administrerar tjänstens huvudnamn (SPN) och autentiseringsuppgifter för dessa konton. Dessa gör det enklare att hantera tjänstkontoanvändare, lösenord och SPN på lång sikt.
Hanterade tjänstkonton
Ett hanterat tjänstkonto (MSA) är en typ av domänkonto som skapas och hanteras av domänkontrollanten. Den tilldelas till en enda medlemsdator för användning som kör en tjänst. Lösenordet hanteras automatiskt av domänkontrollanten. Du kan inte använda en MSA för att logga in på en dator, men en dator kan använda en MSA för att starta en Windows-tjänst. En MSA har möjlighet att registrera ett tjänsthuvudnamn (SPN) i Active Directory när det ges behörigheter för läs- och skrivtjänstenPrincipalName. En MSA namnges med ett
$suffix, till exempelDOMAIN\ACCOUNTNAME$. När du anger en MSA lämnar du lösenordet tomt. Eftersom en MSA har tilldelats till en enda dator kan den inte användas på olika noder i ett Windows-kluster.Anmärkning
MSA måste skapas i Active Directory av domänadministratören innan SQL Server-installationen kan använda den för SQL Server-tjänster.
Grupphanterade tjänstkonton
Ett grupphanterat tjänstkonto (gMSA) är en MSA för flera servrar. Windows hanterar ett tjänstkonto för tjänster som körs på en grupp servrar. Active Directory uppdaterar automatiskt lösenordet för det grupphanterade tjänstkontot utan att starta om tjänsterna. Du kan konfigurera SQL Server-tjänster att använda ett huvudnamn för grupphanterat tjänstkonto. Från och med SQL Server 2014 stöder SQL Server grupphanterade tjänstkonton för fristående instanser och SQL Server 2016 och senare för redundansklusterinstanser och tillgänglighetsgrupper.
Om du vill använda en gMSA för SQL Server 2014 eller senare måste operativsystemet vara Windows Server 2012 R2 eller senare. Servrar med Windows Server 2012 R2 kräver KB-2998082 tillämpas så att tjänsterna kan logga in utan avbrott omedelbart efter en lösenordsändring.
Mer information finns i Gruppera hanterade tjänstkonton för Windows Server 2016 och senare. Tidigare versioner av Windows Server finns i Gruppera hanterade tjänstkonton.
Anmärkning
GMSA måste skapas i Active Directory av domänadministratören innan SQL Server-installationen kan använda den för SQL Server-tjänster.
Virtuella konton
Virtuella konton är hanterade lokala konton som tillhandahåller följande funktioner för att förenkla tjänstadministration. Det virtuella kontot hanteras automatiskt och det virtuella kontot kan komma åt nätverket i en domänmiljö. Om standardvärdet används för tjänstkontona under konfigurationen av SQL Server används ett virtuellt konto med instansnamnet som tjänstnamn i formatet
NT SERVICE\<SERVICENAME>. Tjänster som körs som virtuella konton får åtkomst till nätverksresurser med hjälp av autentiseringsuppgifterna för datorkontot i formatet<domain_name>\<computer_name>$. När du anger ett virtuellt konto för att starta SQL Server lämnar du lösenordet tomt. Om det virtuella kontot inte kan registrera tjänstens huvudnamn (SPN) registrerar du SPN manuellt. Mer information om hur du registrerar ett SPN manuellt finns i Registrera ett tjänsthuvudnamn för Kerberos-anslutningar.Anmärkning
Virtuella konton kan inte användas för SQL Server-redundansklusterinstans eftersom det virtuella kontot inte skulle ha samma SID på varje nod i klustret.
I följande tabell visas exempel på virtuella kontonamn.
Tjänster Namn på virtuellt konto Standardinstans av database engine-tjänsten NT SERVICE\MSSQLSERVERNamngiven instans av en databasmotortjänst med namnet PAYROLLNT SERVICE\MSSQL$PAYROLLSQL Server Agent-tjänsten på standardinstansen av SQL Server NT Service\SQLSERVERAGENTSQL Server Agent-tjänsten på en instans av SQL Server med namnet PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Mer information om hanterade tjänstkonton och virtuella konton finns i avsnittet Begrepp för hanterat tjänstkonto och virtuellt konto i Steg-för-steg-guide för tjänstkonton och Vanliga frågor och svar om hanterade tjänstkonton.
Anmärkning
Kör alltid SQL Server-tjänster med hjälp av lägsta möjliga användarrättigheter. Använd ett MSA-, gMSA- eller virtuellt konto när det är möjligt. När MSA, gMSA och virtuella konton inte är möjliga använder du ett specifikt användarkonto eller domänkonto med låg behörighet i stället för ett delat konto för SQL Server-tjänster. Använd separata konton för olika SQL Server-tjänster. Bevilja inte ytterligare behörigheter till SQL Server-tjänstkontot eller tjänstgrupperna. Behörigheter beviljas via gruppmedlemskap eller beviljas direkt till ett tjänst-SID, där ett tjänst-SID stöds.
Automatisk start
Förutom att ha användarkonton har varje tjänst tre möjliga starttillstånd som användarna kan styra:
- Inaktiverad. Tjänsten är installerad men körs inte för närvarande.
- Manuell. Tjänsten installeras, men startar bara när en annan tjänst eller ett annat program behöver dess funktioner.
- Automatisk. Tjänsten startas automatiskt av operativsystemet.
Starttillståndet väljs under installationen. När du installerar en namngiven instans ska SQL Server Browser-tjänsten vara inställd på att starta automatiskt.
Konfigurera tjänster under obevakad installation
I följande tabell visas de SQL Server-tjänster som kan konfigureras under installationen. För obevakade installationer kan du använda växlarna i en konfigurationsfil eller i en kommandotolk.
| SQL Server-tjänstnamn | Växlar för obevakade installationer 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| Rapportserver | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Tjänster för integration | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| SQL Server Distributed Replay Controller | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| SQL Server Distributed Replay Client | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R Services eller Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| PolyBase-motor | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Mer information och exempelsyntax för obevakade installationer finns i Installera, konfigurera eller avinstallera SQL Server i Windows från kommandotolken.
2 SQL Server Agent-tjänsten är inaktiverad på instanser av SQL Server Express och SQL Server Express med Advanced Services.
3 Det finns för närvarande inte stöd för att ställa in kontot för Launchpad via switcharna ensamt. Använd SQL Server Configuration Manager för att ändra kontot och andra tjänstinställningar.
Brandväggsport
I de flesta fall, när den först installerades, kan databasmotorn anslutas till med verktyg som SQL Server Management Studio installerat på samma dator som SQL Server. SQL Server-installationsprogrammet öppnar inte portar i Windows-brandväggen. Anslutningar från andra datorer kanske inte är möjliga förrän databasmotorn har konfigurerats för att lyssna på en TCP-port och lämplig port öppnas för anslutningar i Windows-brandväggen. Mer information finns i Konfigurera Windows-brandväggen för att tillåta SQL Server-åtkomst.
Tjänstbehörigheter
I det här avsnittet beskrivs de behörigheter som SQL Server-konfigurationen konfigurerar för SD:erna per tjänst för SQL Server-tjänsterna.
- Tjänstkonfiguration och åtkomstkontroll
- Windows-behörigheter och -rättigheter
- Filsystembehörigheter som beviljats SQL Server per tjänst-SD eller lokala Windows-grupper i SQL Server
- Filsystembehörigheter som beviljats andra Windows-användarkonton eller -grupper
- Filsystembehörigheter relaterade till ovanliga diskplatser
- Granska ytterligare överväganden
- Registerbehörigheter
- WMI
- Namngivna rör
Tjänstkonfiguration och åtkomstkontroll
SQL Server gör det möjligt för sid per tjänst för var och en av dess tjänster att tillhandahålla tjänstisolering och skydd på djupet. SID per tjänst härleds från tjänstnamnet och är unikt för den tjänsten. Ett tjänst-SID-namn för en namngiven instans av database engine-tjänsten kan till exempel vara NT Service\MSSQL$<instance_name>. Tjänstisolering ger åtkomst till specifika objekt utan att behöva köra ett konto med hög behörighet eller försvaga objektets säkerhetsskydd. Genom att använda en åtkomstkontrollpost som innehåller ett tjänst-SID kan en SQL Server-tjänst begränsa åtkomsten till dess resurser.
Anmärkning
I Windows 7 och Windows Server 2008 R2 (och senare) kan sid per tjänst vara det virtuella konto som används av tjänsten.
För de flesta komponenter konfigurerar SQL Server ACL för kontot per tjänst direkt, så att ändra tjänstkontot kan göras utan att behöva upprepa resurs-ACL-processen.
När du installerar SSAS skapas ett SID per tjänst för Analysis Services-tjänsten. En lokal Windows-grupp skapas med namnet i formatet SQLServerMSASUser$<computer_name>$<instance_name>. SID NT SERVICE\MSSQLServerOLAPService per tjänst beviljas medlemskap i den lokala Windows-gruppen och den lokala Windows-gruppen beviljas lämpliga behörigheter i ACL. Om kontot som används för att starta Analysis Services-tjänsten ändras måste SQL Server Configuration Manager ändra vissa Windows-behörigheter (till exempel rätten att logga in som en tjänst), men de behörigheter som tilldelats till den lokala Windows-gruppen är fortfarande tillgängliga utan uppdatering, eftersom sid per tjänst inte har ändrats. Med den här metoden kan Analysis Services-tjänsten byta namn under uppgraderingar.
Under SQL Server-installationen skapar SQL Server-installationen en lokal Windows-grupp för SSAS och SQL Server Browser-tjänsten. För dessa tjänster konfigurerar SQL Server ACL för de lokala Windows-grupperna.
Beroende på tjänstkonfigurationen läggs tjänstkontot för en tjänst eller tjänst-SID till som medlem i tjänstgruppen under installationen eller uppgraderingen.
Windows-behörigheter och -rättigheter
Kontot som har tilldelats för att starta en tjänst behöver behörigheten Starta, stoppa och pausa för tjänsten. Installationsprogrammet för SQL Server tilldelar automatiskt detta. Installera först RSAT (Remote Server Administration Tools). Se Administrationsverktyg för fjärrserver för Windows 10.
I följande tabell visas behörigheter som SQL Server-installationsbegäranden för sid per tjänst eller lokala Windows-grupper som används av SQL Server-komponenter.
| SQL Server-tjänst | Behörigheter som beviljats av SQL Server-installationsprogrammet |
|---|---|
|
SQL Server Database Engine: (Alla rättigheter beviljas till sid per tjänst. Standardinstans: NT SERVICE\MSSQLSERVER. Namngiven instans: NT Service\MSSQL$<instance_name>.) |
Logga in som en tjänst (SeServiceLogonRight)Ersätt en token på processnivå (SeAssignPrimaryTokenPrivilege) Kringgå bläddringskontroll (SeChangeNotifyPrivilege) Justera minneskvoter för en process (SeIncreaseQuotaPrivilege) Behörighet att starta SQL Writer Behörighet att läsa händelseloggtjänsten Behörighet att läsa fjärrproceduranropstjänsten |
|
SQL Server Agent:1 (Alla rättigheter beviljas till sid per tjänst. Standardinstans: NT Service\SQLSERVERAGENT. Namngiven instans: NT Service\SQLAGENT$<instance_name>.) |
Logga in som en tjänst (SeServiceLogonRight)Ersätt en token på processnivå (SeAssignPrimaryTokenPrivilege) Kringgå bläddringskontroll (SeChangeNotifyPrivilege) Justera minneskvoter för en process (SeIncreaseQuotaPrivilege) |
|
SSAS: (Alla rättigheter beviljas till en lokal Windows-grupp. Standardinstans: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Namngiven instans: SQLServerMSASUser$<computer_name>$<instance_name>. Power Pivot för SharePoint-instans: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Logga in som en tjänst (SeServiceLogonRight)Endast för tabell: Öka en arbetsuppsättning för processer (SeIncreaseWorkingSetPrivilege) Justera minneskvoter för en process (SeIncreaseQuotaPrivilege) Lås sidor i minnet (SeLockMemoryPrivilege) – detta behövs bara när växlingen är helt avstängd. Endast för redundansklusterinstallationer: Öka schemaläggningsprioriteten (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Alla rättigheter beviljas till sid per tjänst. Standardinstans: NT SERVICE\ReportServer. Namngiven instans: NT SERVICE\ReportServer$<instance_name>.) |
Logga in som en tjänst (SeServiceLogonRight) |
|
SSIS: (Alla rättigheter beviljas till sid per tjänst. Standardinstans och namngiven instans: NT SERVICE\MsDtsServer150. Integration Services har ingen separat process för en namngiven instans.) |
Logga in som en tjänst (SeServiceLogonRight)Behörighet att skriva till programhändelseloggen. Kringgå bläddringskontroll (SeChangeNotifyPrivilege) Personifiera en klient efter autentisering (SeImpersonatePrivilege) |
|
Fulltextsökning: (Alla rättigheter beviljas till sid per tjänst. Standardinstans: NT Service\MSSQLFDLauncher. Namngiven instans: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Logga in som en tjänst (SeServiceLogonRight)Justera minneskvoter för en process (SeIncreaseQuotaPrivilege) Kringgå bläddringskontroll (SeChangeNotifyPrivilege) |
|
SQL Server Browser: (Alla rättigheter beviljas till en lokal Windows-grupp. Standard eller namngiven instans: SQLServer2005SQLBrowserUser$<computer_name>. SQL Server Browser har ingen separat process för en namngiven instans.) |
Logga in som en tjänst (SeServiceLogonRight) |
|
SQL Server VSS Writer: (Alla rättigheter beviljas till sid per tjänst. Standard eller namngiven instans: NT Service\SQLWriter. SQL Server VSS Writer har ingen separat process för en namngiven instans.) |
SQLWriter-tjänsten körs under det LOCAL SYSTEM konto som har alla nödvändiga behörigheter. SQL Server-konfigurationen kontrollerar eller beviljar inte behörigheter för den här tjänsten. |
| SQL Server Distributed Replay Controller: |
Logga in som en tjänst (SeServiceLogonRight) |
| SQL Server Distributed Replay Client: |
Logga in som en tjänst (SeServiceLogonRight) |
| PolyBase Engine och DMS: |
Logga in som en tjänst (SeServiceLogonRight) |
| Launchpad: |
Logga in som en tjänst (SeServiceLogonRight)Ersätt en token på processnivå (SeAssignPrimaryTokenPrivilege) Kringgå bläddringskontroll (SeChangeNotifyPrivilege) Justera minneskvoter för en process (SeIncreaseQuotaPrivilege) |
| R Services/Machine Learning Services:SQLRUserGroup (SQL Server 2016 (13.x) och SQL Server 2017 (14.x)) | har inte behörigheten Tillåt inloggning lokalt som standard |
| Machine Learning Services: "Alla programpaket" [AppContainer] (SQL Server 2019 (15.x)) | Läsa och köra behörigheter till SQL Server "Binn", R_Services och PYTHON_Services kataloger |
1 SQL Server Agent-tjänsten är inaktiverad på instanser av SQL Server Express.
Filsystembehörigheter som beviljats SQL Server per tjänst-SD eller lokala Windows-grupper
SQL Server-tjänstkonton måste ha åtkomst till resurser. Åtkomstkontrollistor anges för sid per tjänst eller den lokala Windows-gruppen.
Viktigt!
För installationer av redundanskluster måste resurser på delade diskar anges till en ACL för ett lokalt konto.
I följande tabell visas de ACL:er som anges av SQL Server-installationsprogrammet:
| Tjänstkonto för | Filer och mappar | Åtkomst |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Fullständig kontroll |
| Instid\MSSQL\binn | Läsa, köra | |
| Instid\MSSQL\data | Fullständig kontroll | |
| Instid\MSSQL\FTData | Fullständig kontroll | |
| Instid\MSSQL\Install | Läsa, köra | |
| Instid\MSSQL\Log | Fullständig kontroll | |
| Instid\MSSQL\Repldata | Fullständig kontroll | |
| 150\shared | Läsa, köra | |
| Instid\MSSQL\Template Data (endast SQL Server Express) | Läs | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Fullständig kontroll |
| Instid\MSSQL\Log | Läsa, skriva, ta bort, köra | |
| 150\com | Läsa, köra | |
| 150\shared | Läsa, köra | |
| 150\shared\Errordumps | Läsa, skriva | |
| ServerName\EventLog | Fullständig kontroll | |
| FTS | Instid\MSSQL\FTData | Fullständig kontroll |
| Instid\MSSQL\FTRef | Läsa, köra | |
| 150\shared | Läsa, köra | |
| 150\shared\Errordumps | Läsa, skriva | |
| Instid\MSSQL\Install | Läsa, köra | |
| Instid\MSSQL\jobs | Läsa, skriva | |
| MSSQLServerOLAPservice | 150\shared\ASConfig | Fullständig kontroll |
| Instid\OLAP | Läsa, köra | |
| Instid\Olap\Data | Fullständig kontroll | |
| Instid\Olap\Log | Läsa, skriva | |
| Instid\OLAP\Backup | Läsa, skriva | |
| Instid\OLAP\Temp | Läsa, skriva | |
| 150\shared\Errordumps | Läsa, skriva | |
| Rapportserver | Instid\Reporting Services\Log Files | Läsa, skriva, ta bort |
| Instid\Reporting Services\ReportServer | Läsa, köra | |
| Instid\Reporting Services\ReportServer\global.asax | Fullständig kontroll | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Läs | |
| Instid\Reporting Services\RSTempfiles | Läsa, skriva, köra, ta bort | |
| Instid\Reporting Services\RSWebApp | Läsa, köra | |
| 150\shared | Läsa, köra | |
| 150\shared\Errordumps | Läsa, skriva | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Läs |
| 150\dts\binn | Läsa, köra | |
| 150\shared | Läsa, köra | |
| 150\shared\Errordumps | Läsa, skriva | |
| SQL Server-webbläsare | 150\shared\ASConfig | Läs |
| 150\shared | Läsa, köra | |
| 150\shared\Errordumps | Läsa, skriva | |
| SQLWriter | N/A (Körs som lokalt system) | |
| Användare | Instid\MSSQL\binn | Läsa, köra |
| Instid\Reporting Services\ReportServer | Läsa, köra, lista mappinnehåll | |
| Instid\Reporting Services\ReportServer\global.asax | Läs | |
| Instid\Reporting Services\RSWebApp | Läsa, köra, lista mappinnehåll | |
| 150\dts | Läsa, köra | |
| 150\tools | Läsa, köra | |
| 100\tools | Läsa, köra | |
| 90\tools | Läsa, köra | |
| 80\tools | Läsa, köra | |
| 150\sdk | Läs | |
| Microsoft SQL Server\150\Setup Bootstrap | Läsa, köra | |
| SQL Server Distributed Replay Controller | <ToolsDir>\DReplayController\Log\ (tom katalog) | Läsa, köra, lista mappinnehåll |
| <ToolsDir>\DReplayController\DReplayController.exe | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayController\resources| Läsa, köra, lista mappinnehåll | ||
| <ToolsDir>\DReplayController\{alla dlls} | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayController\DReplayController.config | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayController\IRDefinition.xml | Läsa, köra, lista mappinnehåll | |
| SQL Server Distributed Replay Client | <ToolsDir>\DReplayClient\Log| Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayClient\DReplayClient.exe | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayClient\resources| Läsa, köra, lista mappinnehåll | ||
| <ToolsDir>\DReplayClient\ (alla dlls) | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayClient\DReplayClient.config | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Läsa, köra, lista mappinnehåll | |
| <ToolsDir>\DReplayClient\IRDefinition.xml | Läsa, köra, lista mappinnehåll | |
| Launchpad | %binn | Läsa, köra |
| ExtensiblilityData | Fullständig kontroll | |
| Log\ExtensibilityLog | Fullständig kontroll |
1 SQL Server Agent-tjänsten är inaktiverad på instanser av SQL Server Express och SQL Server Express med Advanced Services.
När databasfiler lagras på en användardefinierad plats måste du ge SID-åtkomst per tjänst till den platsen. Mer information om hur du beviljar filsystembehörigheter till ett SID per tjänst finns i Konfigurera filsystembehörigheter för databasmotoråtkomst.
Filsystembehörigheter som beviljats andra Windows-användarkonton eller -grupper
Vissa behörigheter för åtkomstkontroll kan behöva beviljas för inbyggda konton eller andra SQL Server-tjänstkonton. I följande tabell visas ytterligare ACL:er som anges av SQL Server-installationsprogrammet.
| Begära komponent | Konto | Resurs | Behörigheter |
|---|---|---|---|
| MSSQLServer | Användare av prestandaloggar | Instid\MSSQL\binn | Lista mappinnehåll |
| Användare av prestandaövervakare | Instid\MSSQL\binn | Lista mappinnehåll | |
| Användare av prestandaloggar, prestandaövervakare | \WINNT\system32\sqlctr150.dll | Läsa, köra | |
| Endast administratör |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Fullständig kontroll | |
| Administratörer, system | \tools\binn\schemas\sqlserver\2004\07\showplan | Fullständig kontroll | |
| Användare | \tools\binn\schemas\sqlserver\2004\07\showplan | Läsa, köra | |
| Rapporteringstjänster | Windows-tjänstkonto för rapportserver | <install>\Reporting Services\LogFiles | DELETEREAD_CONTROL SYNKRONISERA FILE_GENERIC_READ FILE_GENERIC_WRITE LÄSA_FILDATA FILE_SKRIV_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FIL_LÄS_ATTRIBUT FIL_SKRIV_ATTRIBUT |
| Windows-tjänstkonto för rapportserver | <install>\Reporting Services\ReportServer | Läs | |
| Windows-tjänstkonto för rapportserver | <install>\Reporting Services\ReportServer\global.asax | Fullständig | |
| Windows-tjänstkonto för rapportserver | <install>\Reporting Services\RSWebApp | Läsa, köra | |
| Alla | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL LÄSA_FILDATA FILE_READ_EA FIL_LÄS_ATTRIBUT |
|
| ReportServer Windows Services-konto | <installera>\Reporting Services\ReportServer\rsreportserver.config | DELETEREAD_CONTROL SYNKRONISERA FILE_GENERIC_READ FILE_GENERIC_WRITE LÄSA_FILDATA FILE_SKRIV_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FIL_LÄS_ATTRIBUT FIL_SKRIV_ATTRIBUT |
|
| Alla | Rapportservernycklar (Instid hive) | Frågevärde Räkna upp undernycklar Meddela Läskontroll |
|
| Terminal Services-användare | Rapportservernycklar (Instid hive) | Frågevärde Ange värde Skapa undernyckel Räkna upp undernyckel Meddela Ta bort Läskontroll |
|
| Power-användare | Rapportservernycklar (Instid hive) | Frågevärde Ange värde Skapa undernyckel Räkna upp undernycklar Meddela Ta bort Läskontroll |
1 Det här är namnområdet för WMI-providern.
Filsystembehörigheter relaterade till ovanliga diskplatser
Standardenheten för installationsplatser är systemenhet, vanligtvis enhet C. I det här avsnittet beskrivs ytterligare överväganden när tempdb eller användardatabaser installeras på ovanliga platser.
Enhet som inte är standard
När det är installerat på en lokal enhet som inte är standardenheten måste sid per tjänst ha åtkomst till filplatsen. Konfigurationen av SQL Server etablerar nödvändig åtkomst.
Nätverksresurs
När databaser installeras på en nätverksresurs måste tjänstkontot ha åtkomst till filplatsen för användaren och tempdb databaserna. SQL Server-installationsprogrammet kan inte etablera åtkomst till en nätverksresurs. Användaren måste etablera åtkomst till en tempdb plats för tjänstkontot innan installationen körs. Användaren måste etablera åtkomst till användarens databasplats innan databasen skapas.
Anmärkning
Virtuella konton kan inte autentiseras till en fjärrplats. Alla virtuella konton använder behörigheten för datorkontot. Etablera datorkontot i formatet <domain_name>\<computer_name>$.
Granska ytterligare överväganden
I följande tabell visas de behörigheter som krävs för ATT SQL Server-tjänster ska kunna tillhandahålla ytterligare funktioner.
| Tjänst/applikation | Funktionalitet | Nödvändig behörighet |
|---|---|---|
| SQL Server (MSSQLSERVER) | Skriv till ett e-postfack med .xp_sendmail |
Behörigheter för nätverksskrivning. |
| SQL Server (MSSQLSERVER) | Kör xp_cmdshell för en annan användare än en SQL Server-administratör. |
Agera som en del av operativsystemet och ersätt en token på processnivå. |
| SQL Server-agent (MSSQLSERVER) | Använd funktionen för automatisk omstart. | Måste vara medlem i den lokala gruppen Administratörer. |
| Justeringsguide för databasmotor | Tunes-databaser för optimal frågeprestanda. | Vid första användningen måste en användare som har systemadministratörsautentiseringsuppgifter initiera programmet. Efter initieringen kan dbo-användare använda justeringsguiden för databasmotorn för att endast justera de tabeller som de äger. Mer information finns i Starta och använda justeringsguiden för databasmotorn. |
Viktigt!
Innan du uppgraderar SQL Server aktiverar du SQL Server-agenten och kontrollerar den standardkonfiguration som krävs: SQL Server Agent-tjänstkontot är medlem i den fasta serverrollen SQL Server sysadmin .
Registerbehörigheter
Registreringsdatafilen skapas under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> för instansmedvetna komponenter. Till exempel:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Registret har också en mappning av instans-ID till instansnamn. Instans-ID till instansnamnmappning underhålls på följande sätt:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
Windows Management Instrumentation (WMI) måste kunna ansluta till databasmotorn. För att stödja detta etableras sid per tjänst för Windows WMI-providern (NT SERVICE\winmgmt) i databasmotorn.
SQL WMI-providern kräver följande minimala behörigheter:
Medlemskap i db_ddladmin - eller db_owner fasta databasroller i
msdbdatabasen.CREATE DDL EVENT NOTIFICATIONbehörighet på servern.CREATE TRACE EVENT NOTIFICATIONbehörighet i databasmotorn.VIEW ANY DATABASEbehörighet på servernivå.SQL Server-installationen skapar ett SQL WMI-namnområde och ger läsbehörighet till SQL Server Agent-tjänsten-SID.
Namngivna rör
I all installation ger SQL Server-installationsprogrammet åtkomst till SQL Server Database Engine via protokollet för delat minne, som är ett lokalt namngivet pipe.
Provision
I det här avsnittet beskrivs hur konton etableras i de olika SQL Server-komponenterna.
Etablering av databasmotor
Följande konton läggs till som inloggningar i SQL Server Database Engine.
Windows-huvudnamn
Under installationen kräver SQL Server-installationen att minst ett användarkonto namnges som medlem i den fasta serverrollen sysadmin .
SA-konto
Kontot sa finns alltid som en databasmotorinloggning och är medlem i den fasta serverrollen sysadmin . När databasmotorn installeras med endast Windows-autentisering (dvs. när SQL Server-autentisering inte är aktiverat) finns inloggningen sa fortfarande men inaktiveras och lösenordet är komplext och slumpmässigt. Information om hur du aktiverar kontot finns i saÄndra serverautentiseringsläge.
SQL Server per tjänst SID-inloggning och behörigheter
SID per tjänst (kallas ibland även tjänstsäkerhetshuvudnamn (SID)) för SQL Server-tjänsten etableras som en databasmotorinloggning. SID-inloggningen per tjänst är medlem i den fasta serverrollen sysadmin . Information om SID per tjänst finns i Använda tjänst-SID:er för att bevilja behörigheter till tjänster i SQL Server.
Inloggning och behörigheter för SQL Server Agent
SID per tjänst för SQL Server Agent-tjänsten etableras som en databasmotorinloggning. SID-inloggningen per tjänst är medlem i den fasta serverrollen sysadmin .
AlwaysOn-tillgänglighetsgrupper och SQL-redundansklusterinstanser och behörigheter
När du installerar databasmotorn som en AlwaysOn-tillgänglighetsgrupper eller SQL-redundansklusterinstans (SQL FCI) LOCAL SYSTEM etableras den i databasmotorn. Inloggningen LOCAL SYSTEM beviljas behörigheten ALTER ANY AVAILABILITY GROUP (för AlwaysOn-tillgänglighetsgrupper) och behörigheten VIEW SERVER STATE (för SQL FCI).
SQL Writer och behörigheter
SID per tjänst för SQL Server VSS Writer-tjänsten etableras som en databasmotorinloggning. SID-inloggningen per tjänst är medlem i den fasta serverrollen sysadmin .
SQL WMI och behörigheter
SQL Server Konfigurera etablerar NT SERVICE\Winmgmt kontot som en databasmotorinloggning och lägger till det i den fasta serverrollen sysadmin .
SSRS-etablering
Kontot som angavs under installationen etableras som medlem i RSExecRole-databasrollen . Mer information finns i Konfigurera rapportservertjänstkontot (Konfigurationshanteraren för rapportserver).
SSAS-etablering
Kraven på SSAS-tjänstkonto varierar beroende på hur du distribuerar servern. Om du installerar Power Pivot för SharePoint kräver SQL Server-installationen att du konfigurerar Analysis Services-tjänsten så att den körs under ett domänkonto. Domänkonton krävs för att stödja den hanterade kontofunktion som är inbyggd i SharePoint. Därför tillhandahåller SQL Server-installationsprogrammet inte något standardtjänstkonto, till exempel ett virtuellt konto, för en Power Pivot för SharePoint-installation. Mer information om hur du etablerar Power Pivot för SharePoint finns i Konfigurera Power Pivot-tjänstkonton.
För alla andra fristående SSAS-installationer kan du etablera tjänsten som ska köras under ett domänkonto, ett inbyggt systemkonto, ett hanterat konto eller ett virtuellt konto. Mer information om kontoetablering finns i Konfigurera tjänstkonton (Analysis Services).
För klustrade installationer måste du ange ett domänkonto eller ett inbyggt systemkonto. Varken hanterade konton eller virtuella konton stöds för SSAS-redundanskluster.
Alla SSAS-installationer kräver att du anger en systemadministratör för Analysis Services-instansen. Administratörsbehörigheter etableras i analysis services-serverrollen .
SSRS-etablering
Kontot som angavs under installationen etableras i databasmotorn som medlem i RSExecRole-databasrollen . Mer information finns i Konfigurera rapportservertjänstkontot (Konfigurationshanteraren för rapportserver).
Uppgradera från tidigare versioner
I det här avsnittet beskrivs de ändringar som gjorts under uppgraderingen från en tidigare version av SQL Server.
SQL Server 2019 (15.x) kräver ett operativsystem som stöds. Alla tidigare versioner av SQL Server som körs på en lägre version av operativsystemet måste uppgradera operativsystemet innan du uppgraderar SQL Server.
Under uppgraderingen av SQL Server 2005 (9.x) till SQL Server 2019 (15.x) konfigureras SQL Server-instansen på följande sätt:
- Databasmotorn körs med säkerhetskontexten för sid per tjänst. SID per tjänst beviljas åtkomst till filmapparna för SQL Server-instansen (till exempel
DATA) och SQL Server-registernycklarna. - Sid per tjänst för databasmotorn etableras i databasmotorn som medlem i den fasta serverrollen sysadmin .
- SID:erna per tjänst läggs till i de lokala SQL Server Windows-grupperna, såvida inte SQL Server är en redundansklusterinstans.
- SQL Server-resurserna är fortfarande etablerade i de lokala SQL Server Windows-grupperna.
- Den lokala Windows-gruppen för tjänster har bytt namn från
SQLServer2005MSSQLUser$<computer_name>$<instance_name>tillSQLServerMSSQLUser$<computer_name>$<instance_name>. Filplatser för migrerade databaser har åtkomstkontrollposter (ACL) för de lokala Windows-grupperna. Filplatserna för nya databaser har ACL:er för sid per tjänst.
- Databasmotorn körs med säkerhetskontexten för sid per tjänst. SID per tjänst beviljas åtkomst till filmapparna för SQL Server-instansen (till exempel
Under uppgraderingen från SQL Server 2008 (10.0.x) bevarar SQL Server-installationen ACL:erna för SQL Server 2008 (10.0.x) per tjänst-SID.
För en SQL Server-redundansklusterinstans behålls ACL:erna för det domänkonto som konfigurerats för tjänsten.
Bilaga
Det här avsnittet innehåller ytterligare information om SQL Server-tjänster.
- Beskrivning av tjänstkonton
- Identifiera instansmedvetna och instansmedvetna tjänster
- Lokaliserade tjänstnamn
Beskrivning av tjänstkonton
Tjänstkontot är det konto som används för att starta en Windows-tjänst, till exempel SQL Server Database Engine. För att köra SQL Server krävs det inte att du lägger till tjänstkontot som en inloggning till SQL Server utöver tjänst-SID, som alltid finns och är medlem i den fasta serverrollen sysamin .
Konton som är tillgängliga med valfritt operativsystem
Förutom de nya MSA-kontona, gMSA och virtuella konton som beskrevs tidigare kan följande konton användas.
Domänanvändarkonto
Om tjänsten måste interagera med nätverkstjänster, komma åt domänresurser som filresurser eller om den använder länkade serveranslutningar till andra datorer som kör SQL Server, kan du använda ett domänkonto med minimal behörighet. Många server-till-server-aktiviteter kan endast utföras med ett domänanvändarkonto. En domänadministratör bör skapa det här kontot i din miljö i förväg.
Om du konfigurerar SQL Server för att använda ett domänkonto kan du isolera behörigheterna för tjänsten, men måste hantera lösenord manuellt eller skapa en anpassad lösning för att hantera dessa lösenord. Många serverprogram använder den här strategin för att förbättra säkerheten, men den här strategin kräver ytterligare administration och komplexitet. I dessa distributioner lägger tjänstadministratörer mycket tid på underhållsuppgifter, till exempel hantering av tjänstlösenord och tjänsthuvudnamn (SPN), som krävs för Kerberos-autentisering. Dessutom kan dessa underhållsaktiviteter störa tjänsten.
Lokala användarkonton
Om datorn inte ingår i en domän rekommenderas ett lokalt användarkonto utan Windows-administratörsbehörighet.
Lokalt tjänstkonto
Det lokala tjänstkontot är ett inbyggt konto som har samma åtkomstnivå till resurser och objekt som medlemmar i gruppen Användare. Den här begränsade åtkomsten hjälper till att skydda systemet om enskilda tjänster eller processer komprometteras. Tjänster som körs som det lokala tjänstkontot får åtkomst till nätverksresurser som en null-session utan autentiseringsuppgifter.
Det lokala tjänstkontot stöds inte för SQL Server- eller SQL Server Agent-tjänsterna. Lokal tjänst stöds inte som det konto som kör dessa tjänster eftersom det är en delad tjänst och andra tjänster som körs under lokal tjänst skulle ha systemadministratörsåtkomst till SQL Server.
Det faktiska namnet på kontot är NT AUTHORITY\LOCAL SERVICE.
Nätverkstjänstkonto
Nätverkstjänstkontot är ett inbyggt konto som har mer åtkomst till resurser och objekt än medlemmar i gruppen Användare. Tjänster som körs som nätverkstjänstkonto får åtkomst till nätverksresurser med hjälp av autentiseringsuppgifterna för datorkontot i formatet <domain_name>\<computer_name>$. Det faktiska namnet på kontot är NT AUTHORITY\NETWORK SERVICE.
Lokalt systemkonto
Lokalt system är ett mycket högprivilegierat inbyggt konto. Den har omfattande privilegier i det lokala systemet och fungerar som datorn i nätverket. Det faktiska namnet på kontot är NT AUTHORITY\SYSTEM.
Identifiera instansmedvetna och instansmedvetna tjänster
Instansmedvetna tjänster är associerade med en specifik instans av SQL Server och har egna registerdatafiler. Du kan installera flera kopior av instansmedvetna tjänster genom att köra SQL Server-installationsprogrammet för varje komponent eller tjänst. Instansens ovetande tjänster delas mellan alla installerade SQL Server-instanser. De är inte associerade med en specifik instans, installeras bara en gång och kan inte installeras sida vid sida.
Instansmedvetna tjänster i SQL Server omfattar:
SQL Server
SQL Server-agent
SQL Server Agent-tjänsten är inaktiverad på instanser av SQL Server Express och SQL Server Express med Advanced Services.
-
Analystjänster
Analysis Services i SharePoint-integrerat läge körs som "Power Pivot" som en enda namngiven instans. Instansnamnet har åtgärdats. Du kan inte ange ett annat namn. Du kan bara installera en instans av Analysis Services som körs som "Power Pivot" på varje fysisk server.
-
Rapporteringstjänster
Fulltextsökning
Instansens ovetande tjänster i SQL Server omfattar:
- Tjänster för integration
- SQL Server-webbläsare
- SQL-skrivare
Lokaliserade tjänstnamn
I följande tabell visas tjänstnamn som visas av lokaliserade versioner av Windows.
| Språk | Namn på lokal tjänst | Namn på nätverkstjänst | Namn på lokalt system | Namn på administratörsgrupp |
|---|---|---|---|---|
| Engelska Förenklad kinesiska Traditionell kinesiska Koreanska Japanska |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Tyska | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Franska | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Italienska | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Spanska | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Ryska | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |