Konfigurieren von Windows-Dienstkonten und -BerechtigungenConfigure Windows Service Accounts and Permissions

Jeder Dienst in SQL ServerSQL Server stellt einen Prozess oder eine Gruppe von Prozessen zum Verwalten der Authentifizierung von SQL ServerSQL Server -Vorgängen mit Windows dar.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. In diesem Thema werden die Standardkonfiguration von Diensten in dieser Version von SQL ServerSQL Serverund die Konfigurationsoptionen für SQL ServerSQL Server -Dienste beschrieben, die Sie während und nach der SQL ServerSQL Server -Installation festlegen können.This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation.

HausContents

Dieses Thema ist in folgende Abschnitte unterteilt:This topic is divided into the following sections:

Von SQL ServerSQL ServerServices Installed by SQL ServerSQL Server

Je nach den Komponenten, die Sie installieren möchten, werden beim SQL ServerSQL Server -Setup die folgenden Dienste installiert:Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server -Datenbankdienste – Der Dienst für das relationale SQL ServerSQL Server Datenbank-EngineDatabase Engine.SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Datenbank-EngineDatabase Engine. Die ausführbare Datei ist „<MSSQLPATH>\MSSQL\Binn\sqlservr.exe“.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server-Agent – Führt Aufträge aus, überwacht SQL ServerSQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben.SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. Der SQL ServerSQL Server -Agent-Dienst ist vorhanden, aber in Instanzen von SQL Server ExpressSQL Server Expressdeaktiviert.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. Die ausführbare Datei ist „<MSSQLPATH>\MSSQL\Binn\sqlagent.exe“.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services – Bietet OLAP-Funktionalität (Online Analytical Processing, Analytische Onlineverarbeitung) und Data Mining-Funktionalität für Business Intelligence-Anwendungen.Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. Die ausführbare Datei ist „<MSSQLPATH>\OLAP\Bin\msmdsrv.exe“.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services – Wird zum Verwalten, Ausführen, Erstellen, Planen und Übermitteln von Berichten verwendet.Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. Die ausführbare Datei ist „<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe“.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services – Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration ServicesIntegration Services-Paketen bereit.Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. Der Pfad der ausführbaren Datei ist <mssqlpath > \120\dz\binn\msdtssrvr.exeThe executable path is <MSSQLPATH>\120\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server-Browser – Der Namensauflösungsdienst, der SQL ServerSQL Server-Verbindungsinformationen für Clientcomputer bereitstellt.SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. Der Pfad der ausführbaren Datei lautet „c:\Programme (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe“.The executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Volltextsuche – Erstellt schnell Volltextindizes für den Inhalt und die Eigenschaften von strukturierten und semistrukturierten Daten, um eine Dokumentfilterung und Wörtertrennung für SQL ServerSQL Serverzu bereitzustellen.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • SQL Writer – Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im Framework des Volumeschattenkopie-Diensts (Volume Shadow Copy Service; VSS).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay-Controller – Stellt eine koordinierte Wiedergabe der Ablaufverfolgung auf mehreren Distributed Replay-Clientcomputern bereit.SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay-Client – Mindestens ein Distributed Replay-Clientcomputer, der mit einem Distributed Replay-Controller zusammenarbeitet, um gleichzeitige Arbeitsauslastungen für eine SQL Server-Datenbank-EngineSQL Server Database Engine-Instanz zu simulieren.SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the SQL Server-Datenbank-EngineSQL Server Database Engine.

Diensteigenschaften und -konfigurationService Properties and Configuration

Als Startkonten zum Starten und Ausführen von SQL ServerSQL Server können Domänenbenutzerkonten, lokale Benutzerkonten, verwaltete Dienstkonten, virtuelle Kontenoder integrierte Systemkontenverwendet werden.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Zum Starten und Ausführen muss für jeden Dienst in SQL ServerSQL Server während der Installation ein Startkonto konfiguriert werden.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

In diesem Abschnitt werden die Konten beschrieben, die zum Starten von SQL ServerSQL Server-Diensten konfiguriert werden können. Des Weiteren werden die beim SQL ServerSQL Server-Setup verwendeten Standardwerte, das Konzept der Pro-Dienst-SIDs, die Startoptionen und die Konfiguration der Firewall erläutert.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID's, the startup options, and configuring the firewall.

StandarddienstkontenDefault Service Accounts

Die folgende Tabelle enthält die beim Setup bei der Installation aller Komponenten verwendeten Standarddienstkonten.The following table lists the default service accounts used by setup when installing all components. Die aufgeführten Standardkonten sind die empfohlenen Konten, sofern nicht anders angegeben.The default accounts listed are the recommended accounts, except as noted.

Eigenständiger Server oder DomänencontrollerStand-alone Server or Domain Controller

KomponenteComponent Windows Server 2008Windows Server 2008 Windows 7 und Windows Server 2008Windows Server 2008 R2 oder höherWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Datenbank-EngineDatabase Engine NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SQL ServerSQL Server -AgentAgent NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SSASSSAS NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SSISSSIS NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SSRSSSRS NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client NETZWERKDIENSTNETWORK SERVICE * des virtuellen KontosVirtual Account *
FD-Startprogramm (Volltextsuche)FD Launcher (Full-text Search) LOKALER DIENSTLOCAL SERVICE Virtuelles KontoVirtual Account
SQL ServerSQL Server -BrowserBrowser LOKALER DIENSTLOCAL SERVICE LOKALER DIENSTLOCAL SERVICE
SQL ServerSQL Server VSS WriterVSS Writer LOKALES SYSTEMLOCAL SYSTEM LOKALES SYSTEMLOCAL SYSTEM

* Wenn Ressourcen außerhalb des SQL ServerSQL Server Computers benötigt werden, empfiehlt MicrosoftMicrosoft die Verwendung eines verwalteten Dienst Kontos (Managed Service Account, MSA), das mit den erforderlichen Mindestberechtigungen konfiguriert ist.* When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

SQL Server-FailoverclusterinstanzSQL Server Failover Cluster Instance

KomponenteComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2R2
Datenbank-EngineDatabase Engine Keine.None. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account.
SQL ServerSQL Server -AgentAgent Keine.None. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account.
SSASSSAS Keine.None. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account. Geben Sie ein Domänenbenutzerkonto an.Provide a domain user account.
SSISSSIS NETZWERKDIENSTNETWORK SERVICE Virtuelles KontoVirtual Account
SSRSSSRS NETZWERKDIENSTNETWORK SERVICE Virtuelles KontoVirtual Account
FD-Startprogramm (Volltextsuche)FD Launcher (Full-text Search) LOKALER DIENSTLOCAL SERVICE Virtuelles KontoVirtual Account
SQL ServerSQL Server -BrowserBrowser LOKALER DIENSTLOCAL SERVICE LOKALER DIENSTLOCAL SERVICE
SQL ServerSQL Server VSS WriterVSS Writer LOKALES SYSTEMLOCAL SYSTEM LOKALES SYSTEMLOCAL SYSTEM

Ändern von KontoeigenschaftenChanging Account Properties

Wichtig

  • Verwenden Sie immer SQL ServerSQL Server -Tools, z. B. den SQL ServerSQL Server -Konfigurations-Manager, um das von den SQL Server-Datenbank-EngineSQL Server Database Engine - oder SQL ServerSQL Server -Agent-Diensten verwendete Konto oder das Kennwort für das Konto zu ändern.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the SQL Server-Datenbank-EngineSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. Zusätzlich zum Ändern des Kontonamens können Sie mithilfe vom SQL ServerSQL Server -Konfigurations-Manager weitere Konfigurationen vornehmen wie z. B. das Update der lokalen Windows-Sicherheitsspeicherung, die den Diensthauptschlüssel für Datenbank-EngineDatabase Engineschützt.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Datenbank-EngineDatabase Engine. Mit anderen Tools, z. B. dem Windows-Dienstkontroll-Manager, kann der Kontoname geändert werden, es können jedoch nicht alle erforderlichen Einstellungen vorgenommen werden.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
  • Verwenden Sie für in einer SharePoint-Farm bereitgestellte Analysis ServicesAnalysis Services -Instanzen immer die SharePoint-Zentraladministration, um die Serverkonten für PowerPivot-DienstPowerPivot service -Anwendungen und Analysis Services-DienstAnalysis Services servicezu ändern.For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for PowerPivot-DienstPowerPivot service applications and the Analysis Services-DienstAnalysis Services service. Bei Verwendung der Zentraladministration werden zugehörige Einstellungen und Berechtigungen für die Verwendung der neuen Kontoinformationen aktualisiert.Associated settings and permissions are updated to use the new account information when you use Central Administration.
  • Verwenden Sie zum Ändern der Reporting ServicesReporting Services -Optionen das Reporting Services-Konfigurationstool.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

In Windows 7 und Windows Server 2008 R2 verfügbare neue Konto TypenNew Account Types Available with Windows 7 and Windows Server 2008 R2

In Windows 7 und Windows Server 2008 R2 sind zwei neue Dienstkontotypen verfügbar: verwaltete Dienstkonten (MSA) und virtuelle Konten.Windows 7 and Windows Server 2008 R2 have two new types of service accounts called managed service accounts (MSA) and virtual accounts. Verwaltete Dienstkonten und virtuelle Konten sollen für wichtige Anwendungen wie SQL ServerSQL Server ihre eigenen Konten zur Verfügung stellen, sodass ein Administrator den Dienstprinzipalnamen (Service Principal Name, SPN) und die Anmeldedaten für diese Konten nicht mehr manuell verwalten muss.Managed service accounts and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Diese Konten vereinfachen erheblich die langfristige Verwaltung von Dienstkontobenutzern, Kennwörtern und SPNs.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service AccountsManaged Service Accounts

    Bei einem verwalteten Dienstkonto (MSA) handelt es sich um eine vom Domänencontroller erstellte und verwaltete Art von Domänenkonto.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Es wird einem Computer mit einem Mitglied für die Ausführung eines Diensts zugewiesen.It is assigned to a single member computer for use running a service. Das Kennwort wird automatisch vom Domänencontroller verwaltet.The password is managed automatically by the domain controller. Sie können sich nicht mithilfe eines MSA an einem Computer anmelden, aber ein Computer kann mithilfe eines MSA einen Windows-Dienst starten.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. Ein MSA kann Dienstprinzipalnamen (SPN) bei Active Directory registrieren.An MSA has the ability to register Service Principal Name (SPN) with the Active Directory. Ein MSA wird mit einem $ -Suffix bezeichnet, z.B. DOMÄNE\KONTONAME$ .A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. Wenn Sie ein MSA angeben, lassen Sie das Kennwort leer.When specifying a MSA, leave the password blank. Da ein MSA einem einzelnen Computer zugewiesen ist, kann es nicht für verschiedene Knoten eines Windows-Clusters verwendet werden.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Hinweis

    Das MSA muss in Active Directory vom Domänenadministrator erstellt werden, bevor es beim SQL ServerSQL Server-Setup für SQL ServerSQL Server-Dienste verwendet werden kann.The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Gruppenverwaltete DienstkontenGroup Managed Service Accounts

    Ein gruppenverwaltetes Dienstkonto ist ein MSA für mehrere Server.A Group Managed Service Account is an MSA for multiple servers. Windows verwaltet ein Dienstkonto für Dienste, die auf einer Gruppe von Servern ausgeführt werden.Windows manages a service account for services running on a group of servers. Active Directory aktualisiert das Kennwort des gruppenverwalteten Dienstkontos automatisch, ohne Dienste neu zu starten.Active Directory automatically updates the group managed service account password without restarting services. Sie können SQL Server-Dienste konfigurieren, sodass sie ein gruppenverwalteten Dienstkontoprinzipal verwenden.You can configure SQL Server services to use a group managed service account principal. Ab SQL Server 2014 unterstützt SQL Server gruppenverwaltete Dienstkonten unter Windows Server 2012 R2 und höher für eigenständige Instanzen, Failoverclusterinstanzen und Verfügbarkeitsgruppen.Beginning with SQL Server 2014, SQL Server supports group managed service accounts on Windows Server 2012 R2 and later for standalone instances, failover cluster instances, and availability groups.

    Sie benötigen Windows Server 2012 R2 oder höher als Betriebssystem, um ein gruppenverwaltetes Dienstkonto für SQL Server 2014 oder höher zu verwenden.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Server mit Windows Server 2012 R2 erfordern KB 2998082 , damit die Dienste sich ohne Unterbrechung nach einer Änderung des Kennworts direkt anmelden können.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Weitere Informationen finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.For more information, see Group Manged Service Accounts

    Hinweis

    Das gruppenverwaltete Dienstkonto muss im Active Directory vom Domänenadministrator erstellt werden, bevor es beim SQL ServerSQL Server -Setup für SQL ServerSQL Server -Dienste verwendet werden kann.The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtuelle KontenVirtual Accounts

    Bei virtuellen Konten (beginnend mit Windows Server 2008 R2 und Windows 7) handelt es sich um verwaltete lokale Konten , die die folgenden Funktionen zur Vereinfachung der Dienstverwaltung bereitstellen.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. Das virtuelle Konto wird automatisch verwaltet und kann auf das Netzwerk in einer Domänenumgebung zugreifen.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Wenn während des SQL ServerSQL Server-Setups der Standardwert für die Dienstkonten verwendet wird, wird ein virtuelles Konto mit dem Instanznamen als Dienstnamen im Format NT-DIENST\ <DIENSTNAME> verwendet.If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Als virtuelle Konten ausgeführte Dienste greifen auf Netzwerkressourcen mithilfe der Anmeldeinformationen des Computerkontos im Format <Domänenname> \ $ zu.Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Wenn Sie zum Starten von SQL ServerSQL Server ein virtuelles Konto angeben, lassen Sie das Kennwort leer.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Wenn das virtuelle Konto den Dienstprinzipalnamen (SPN) nicht registriert, registrieren Sie den SPN manuell.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Weitere Informationen zum manuellen Registrieren eines SPNs finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.For more information on registering a SPN manually, see Manual SPN Registration.

    Hinweis

    Virtuelle Konten können nicht für eine SQL ServerSQL Server -Failoverclusterinstanz verwendet werden, da das virtuelle Konto nicht dieselbe SID auf allen Knoten des Clusters besäße.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    In der folgenden Tabelle sind Beispiele für virtuelle Kontonamen aufgeführt:The following table lists examples of virtual account names.

    DienstService Name des virtuellen KontosVirtual Account Name
    Standardinstanz des Datenbank-EngineDatabase Engine -DienstsDefault instance of the Datenbank-EngineDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    Benannte Instanz eines Datenbank-EngineDatabase Engine -Diensts mit dem Namen PAYROLLNamed instance of a Datenbank-EngineDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server -Agent-Dienst auf der Standardinstanz von SQL ServerSQL ServerAgent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server -Agent-Dienst auf einer Instanz von SQL ServerSQL Server mit dem Namen PAYROLLAgent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

Weitere Informationen zu verwalteten Dienstkonten und virtuellen Konten finden Sie im Abschnitt Managed service account and virtual account concepts (Konzepte verwalteter Dienstkonten und virtueller Konten) in der Service Accounts Step-by-Step Guide (Schritt-für-Schritt-Anleitung für Dienstkonten) und den Managed Service Accounts Frequently Asked Questions (FAQ)(Häufig gestellten Fragen (FAQ) zu verwalteten Dienstkonten).For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

Sicherheitshinweis: Führen Sie immer die SQL Server-Dienste mithilfe der geringstmöglichen Benutzerberechtigungen aus.Always run SQL Server services by using the lowest possible user rights. Verwenden Sie möglichst ein MSA - oder virtual account .Security Note: Führen Sie immer die SQL Server-Dienste mithilfe der geringstmöglichen Benutzerberechtigungen aus.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. Wenn die Verwendung von verwalteten Dienstkonten und virtuellen Konten nicht möglich ist, verwenden Sie ein bestimmtes Benutzerkonto oder Domänenkonto mit niedrigen Berechtigungen anstelle eines freigegebenen Kontos für SQL ServerSQL Server -Dienste.When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. Verwenden Sie separate Konten für andere SQL ServerSQL Server -Dienste.Use separate accounts for different SQL ServerSQL Server services. Gewähren Sie dem SQL ServerSQL Server -Dienstkonto oder den Dienstgruppen keine zusätzlichen Berechtigungen.Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. Berechtigungen werden durch Gruppenmitgliedschaft oder direkt für eine Dienst-SID gewährt, sofern eine Dienst-SID unterstützt wird.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Automatischer StartAutomatic Startup

Neben Benutzerkonten verfügt jeder Dienst über drei mögliche Startstatuswerte, die von den Benutzern gesteuert werden können:In addition to having user accounts, every service has three possible startup states that users can control:

  • Deaktiviert Der Dienst ist installiert, wird jedoch zurzeit nicht ausgeführt.Disabled The service is installed but not currently running.

  • Manuell – Der Dienst ist installiert, wird jedoch nur gestartet, wenn ein anderer Dienst oder eine andere Anwendung seine Funktionalität benötigt.Manual The service is installed, but will start only when another service or application needs its functionality.

  • Automatisch Der Dienst wird vom Betriebssystem automatisch gestartet.Automatic The service is automatically started by the operating system.

Der Startstatus wird während des Setups ausgewählt.The startup state is selected during setup. Beim installieren einer benannten Instanz sollte für den SQL ServerSQL Server Browser-Dienst der automatische Start festgelegt werden.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Konfigurieren von Diensten während der unbeaufsichtigten InstallationConfiguring Services During Unattended Installation

In der folgenden Tabelle sind die SQL ServerSQL Server -Dienste dargestellt, die während der Installation konfiguriert werden können.The following table shows the SQL ServerSQL Server services that can be configured during installation. Für unbeaufsichtigte Installationen können Sie die Schalter in einer Konfigurationsdatei oder an einer Eingabeaufforderung verwenden.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Name des SQL Server-DienstsSQL Server service name Switches für unbeaufsichtigte Installationen1Switches for unattended installations1
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2SQLServerAgent2 AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1 Weitere Informationen und eine Beispiel Syntax für unbeaufsichtigte Installationen finden Sie unter Installieren von SQL Server 2014 von der Eingabeaufforderung.1For more information and sample syntax for unattended installations, see Install SQL Server 2014 from the Command Prompt.

2 Der SQL ServerSQL Server-Agent-Dienst ist auf Instanzen von SQL Server ExpressSQL Server Express und SQL Server ExpressSQL Server Express mit Advanced Services deaktiviert.2The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

FirewallportFirewall Port

Bei der Erstinstallation kann in den meisten Fällen mithilfe von Tools wie Datenbank-EngineDatabase Engine , die auf demselben Computer wie SQL Server Management StudioSQL Server Management Studio installiert sind, eine Verbindung mit SQL ServerSQL Serverhergestellt werden.In most cases, when initially installed, the Datenbank-EngineDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. VomSQL ServerSQL Server -Setup werden keine Ports in der Windows-Firewall geöffnet.SQL ServerSQL Server Setup does not open ports in the Windows firewall. Verbindungen von anderen Computern sind möglicherweise nicht möglich, bis Datenbank-EngineDatabase Engine für das Warten auf einen TCP-Port konfiguriert und der entsprechende Port in der Windows-Firewall für Verbindungen geöffnet wird.Connections from other computers may not be possible until the Datenbank-EngineDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

DienstberechtigungenService Permissions

In diesem Abschnitt werden die Berechtigungen beschrieben, die beim SQL ServerSQL Server-Setup für die Pro-Dienst-SIDs der SQL ServerSQL Server-Dienste konfiguriert werden.This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID's of the SQL ServerSQL Server services.

Dienstkonfiguration und ZugriffssteuerungService Configuration and Access Control

SQL Server 2014SQL Server 2014 aktiviert die Pro-Dienst-SID für alle seine Dienste, um Dienstisolierung und tiefgreifende Vorbeugungsmaßnahmen zu ermöglichen.enables per-service SID for each of its services to provide service isolation and defense in depth. Die Pro-Dienst-SID ergibt sich aus dem Dienstnamen und ist für diesen Dienst eindeutig.The per-service SID is derived from the service name and is unique to that service. Ein möglicher Dienst-SID-Name für den Datenbank-EngineDatabase Engine-Dienst wäre NT Service\MSSQL$ <Instanzname> .For example, a service SID name for the Datenbank-EngineDatabase Engine service might be NT Service\MSSQL$<InstanceName>. Die Dienstisolierung ermöglicht den Zugriff auf bestimmte Objekte, ohne dass hierzu ein Konto mit umfangreichen Berechtigungen verwendet oder die Sicherheit des Objekts gefährdet werden muss.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Durch die Verwendung eines Zugriffssteuerungseintrags mit einer Dienst-SID kann ein SQL ServerSQL Server -Dienst den Zugriff auf die eigenen Ressourcen einschränken.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Hinweis

Unter Windows 7 und Windows Server 2008Windows Server 2008 R2 (und höher) kann die Pro-Dienst-SID das virtuelle vom Dienst verwendete Konto sein.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Für die meisten Komponenten wird von SQL ServerSQL Server die ACL direkt für das Pro-Dienst-Konto konfiguriert, sodass das Dienstkonto geändert werden kann, ohne den Prozess für Ressourcen-ACLs zu wiederholen.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

Bei der Installation von SSASSSASwird eine Pro-Dienst-SID für den Analysis ServicesAnalysis Services -Dienst erstellt.When installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. Eine lokale Windows-Gruppe wird im Format SQLServerMSASBenutzer$ Computername $ _Instanzname_erstellt.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. Der Pro-Dienst-SID NT SERVICE\MSSQLServerOLAPService wird die Mitgliedschaft in der lokalen Windows-Gruppe gewährt, und die lokale Windows-Gruppe erhält die entsprechenden Berechtigungen in der ACL.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Wird das für das Starten des Analysis ServicesAnalysis Services -Diensts verwendete Konto geändert, müssen vom SQL ServerSQL Server -Konfigurations-Manager einige Windows-Berechtigungen (wie das Recht zum Anmelden als Dienst) geändert werden. Die der lokalen Windows-Gruppe zugewiesenen Berechtigungen stehen ohne Update weiterhin zur Verfügung, da die Pro-Dienst-SID nicht verändert wurde.If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Diese Methode ermöglicht die Umbenennung des Analysis ServicesAnalysis Services -Diensts während der Upgrades.This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

Während der SQL ServerSQL Server -Installation werden vom SQL ServerSQL Server -Setup lokale Windows-Gruppen für den SSASSSAS - und den SQL ServerSQL Server Browser-Dienst erstellt.During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. Für diese Dienste wird von SQL ServerSQL Server die ACL für die lokalen Windows-Gruppen konfiguriert.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

Je nach Dienstkonfiguration wird das Dienstkonto für einen Dienst oder eine Dienst-SID während der Installation oder eines Upgrades als Element der Dienstgruppe hinzugefügt.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Windows-Berechtigungen und RechteWindows Privileges and Rights

Für das zum Starten eines Diensts zugewiesene Konto ist die Berechtigung zum Starten, Beenden und Anhalten für den Dienst erforderlich.The account assigned to start a service needs the Start, stop and pause permission for the service. Das SQL ServerSQL Server -Setupprogramm weist diese automatisch zu.The SQL ServerSQL Server Setup program automatically assigns this. Installieren Sie zuerst Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT).First install Remote Server Administration Tools (RSAT). Siehe Remoteserver-Verwaltungstools für Windows 7.See Remote Server Administration Tools for Windows 7.

Die folgende Tabelle enthält Berechtigungen, die beim SQL ServerSQL Server -Setup für die von SQL ServerSQL Server -Komponenten verwendeten Pro-Dienst-SIDs oder lokalen Windows-Gruppen erforderlich sind.The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

SQL ServerSQL Server -DienstService Vom SQL ServerSQL Server -Setup gewährte BerechtigungenPermissions granted by SQL ServerSQL Server Setup
SQL Server-Datenbank-EngineSQL Server Database Engine:SQL Server-Datenbank-EngineSQL Server Database Engine:

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Benannte Instanz: NT SERVICE\MSSQL$ Instanzname.)Named instance: NT SERVICE\MSSQL$ InstanceName.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Token auf Prozessebene ersetzen (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Traversierungsüberprüfung umgehen (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Berechtigung zum Starten von SQL WriterPermission to start SQL Writer

Berechtigung zum Lesen des EreignisprotokolldienstsPermission to read the Event Log service

Berechtigung zum Lesen des Remoteprozeduraufruf-DienstsPermission to read the Remote Procedure Call service
SQL ServerSQL Server-Agent: 1SQL ServerSQL Server Agent: 1

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Benannte Instanz: NT Service\SQLAGENT$ Instanzname.)Named instance: NT Service\SQLAGENT$InstanceName.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Token auf Prozessebene ersetzen (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Traversierungsüberprüfung umgehen (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS:SSASSSAS:

(Einer lokalen Windows-Gruppe werden alle Rechte gewährt.(All rights are granted to a local Windows group. Standardinstanz: SQLServerMSASUser$ ComputerName $MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Benannte Instanz: SQLServerMSASUser$ ComputerName $ InstanceName.Named instance: SQLServerMSASUser$ComputerName$InstanceName. PowerPivot für SharePointPowerPivot for SharePoint Instanz: SQLServerMSASUser$ ComputerName $ PowerPivot.)instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Nur für tabellarisch:For tabular only:

Arbeitssatz eines Prozesses vergrößern (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege)

Sperren von Seiten im Speicher (SeLockMemoryPrivilege): Dies ist nur erforderlich, wenn die Auslagerung vollständig ausgeschaltet wird.Lock pages in memory (SeLockMemoryPrivilege) - this is needed only when paging is turned off entirely.

Nur für Failoverclusterinstallationen:For failover cluster installations only:

Anheben der Zeitplanungspriorität (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS:SSRSSSRS:

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Benannte Instanz: NT SERVICE\$ Instanzname.)Named instance: NT SERVICE\$InstanceName.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS:SSISSSIS:

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz und benannte Instanz: NT SERVICE\MsDtsServer120.Default instance and named instance: NT SERVICE\MsDtsServer120. Integration ServicesIntegration Services verfügt über keinen separaten Prozess für eine benannte Instanz.)does not have a separate process for a named instance.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Berechtigung zum Schreiben in das AnwendungsereignisprotokollPermission to write to application event log.

Traversierungsüberprüfung umgehen (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Annehmen der Clientidentität nach Authentifizierung (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Volltextsuche:Full-text search:

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Benannte Instanz: NT Service\MSSQLFDLauncher$ Instanzname.)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Speicherkontingente für einen Prozess anpassen (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Traversierungsüberprüfung umgehen (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server -Browser:SQL ServerSQL Server Browser:

(Einer lokalen Windows-Gruppe werden alle Rechte gewährt.(All rights are granted to a local Windows group. Standardinstanz oder benannte Instanz: SQLServer2005SQLBrowserUser $ComputerName.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser verfügt über keinen separaten Prozess für eine benannte Instanz.)Browser does not have a separate process for a named instance.)
Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server VSS Writer:SQL ServerSQL Server VSS Writer:

(Der Pro-Dienst-SID werden alle Rechte gewährt.(All rights are granted to the per-service SID. Standardinstanz oder benannte Instanz: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. SQL ServerSQL Server VSS Writer verfügt über keinen separaten Prozess für eine benannte Instanz.)VSS Writer does not have a separate process for a named instance.)
Der SQLWriter-Dienst wird unter dem lokalen Systemkonto ausgeführt, das über alle erforderlichen Berechtigungen verfügt.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. SQL ServerSQL Server -Setup überprüft oder erteilt keine Berechtigungen für diesen Dienst.setup does not check or grant permissions for this service.
SQL ServerSQL Server Distributed Replay Controller:SQL ServerSQL Server Distributed Replay Controller: Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client:SQL ServerSQL Server Distributed Replay Client: Als Dienst anmelden (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

1 Der SQL ServerSQL Server-Agent-Dienst ist auf Instanzen von SQL Server ExpressSQL Server Expressdeaktiviert.1The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Pro-Dienst-SIDs für SQL Server oder lokalen Windows-Gruppen gewährte DateisystemberechtigungenFile System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

SQL ServerSQL Server -Dienstkonten müssen über einen Zugriff auf Ressourcen verfügen.service accounts must have access to resources. Zugriffssteuerungslisten (Access Control Lists, ACLs) werden für die Pro-Dienst-SID oder die lokale Windows-Gruppe festgelegt.Access control lists are set for the per-service SID or the local Windows group.

Wichtig

Für Failovercluster-Installationen müssen Ressourcen für freigegebene Datenträger auf eine Zugriffssteuerungsliste für ein lokales Konto festgelegt werden.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

In der folgenden Tabelle werden die vom SQL ServerSQL Server -Setup festgelegten Zugriffssteuerungslisten aufgeführt.The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Dienstkonto fürService account for Dateien und OrdnerFiles and folders ZugriffAccess
MSSQLServerMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup VollzugriffFull control
Instid\MSSQL\binnInstid\MSSQL\binn Lesen, AusführenRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data VollzugriffFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData VollzugriffFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Lesen, AusführenRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log VollzugriffFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata VollzugriffFull control
120\shared120\shared Lesen, AusführenRead, Execute
Instid\MSSQL\Template-Daten (nurSQL Server ExpressSQL Server Express )Instid\MSSQL\Template Data (SQL Server ExpressSQL Server Express only) LesenRead
SQLServerAgent1SQLServerAgent1 Instid\MSSQL\binnInstid\MSSQL\binn VollzugriffFull control
Instid\MSSQL\binnInstid\MSSQL\binn VollzugriffFull control
Instid\MSSQL\LogInstid\MSSQL\Log Lesen, Schreiben, Löschen, AusführenRead, Write, Delete, Execute
120\com120\com Lesen, AusführenRead, Execute
120\shared120\shared Lesen, AusführenRead, Execute
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
ServerName\EventLogServerName\EventLog VollzugriffFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData VollzugriffFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Lesen, AusführenRead, Execute
120\shared120\shared Lesen, AusführenRead, Execute
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Lesen, AusführenRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Lesen, SchreibenRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 120\shared\ASConfig120\shared\ASConfig VollzugriffFull control
Instid\OLAPInstid\OLAP Lesen, AusführenRead, Execute
Instid\Olap\DataInstid\Olap\Data VollzugriffFull control
Instid\Olap\LogInstid\Olap\Log Lesen, SchreibenRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Lesen, SchreibenRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Lesen, SchreibenRead, Write
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Lesen, Schreiben, LöschenRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lesen, AusführenRead, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax VollzugriffFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config LesenRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager Lesen, AusführenRead, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Lesen, Schreiben, Ausführen, LöschenRead, Write, Execute, Delete
120\shared120\shared Lesen, AusführenRead, Execute
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
MSDTSServer100MSDTSServer100 120\dts\binn\MsDtsSrvr.ini.xml120\dts\binn\MsDtsSrvr.ini.xml LesenRead
120\dts\binn120\dts\binn Lesen, AusführenRead, Execute
120\shared120\shared Lesen, AusführenRead, Execute
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
SQL ServerSQL Server -BrowserBrowser 120\shared\ASConfig120\shared\ASConfig LesenRead
120\shared120\shared Lesen, AusführenRead, Execute
120\shared\Errordumps120\shared\Errordumps Lesen, SchreibenRead, Write
SQLWriterSQLWriter N/V (wird als lokales System ausgeführt)N/A (Runs as local system)
BenutzerUser Instid\MSSQL\binnInstid\MSSQL\binn Lesen, AusführenRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax LesenRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager Lesen, AusführenRead, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages LesenRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles LesenRead
120\dts120\dts Lesen, AusführenRead, Execute
120\tools120\tools Lesen, AusführenRead, Execute
100\tools100\tools Lesen, AusführenRead, Execute
90\tools90\tools Lesen, AusführenRead, Execute
80\tools80\tools Lesen, AusführenRead, Execute
120\sdk120\sdk LesenRead
Microsoft SQL Server\120\Setup BootstrapMicrosoft SQL Server\120\Setup Bootstrap Lesen, AusführenRead, Execute
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller <ToolsDir>\DReplayController\Log\ (leeres Verzeichnis)<ToolsDir>\DReplayController\Log\ (empty directory) Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources|Lesen, Ausführen, Ordnerinhalt auflisten<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{alle DLLs}<ToolsDir>\DReplayController\{all dlls} Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client <ToolsDir>\DReplayClient\Log|Lesen, Ausführen, Ordnerinhalt auflisten<ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources|Lesen, Ausführen, Ordnerinhalt auflisten<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (alle DLLs)<ToolsDir>\DReplayClient\ (all dlls) Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Lesen, Ausführen, Ordnerinhalt auflistenRead, Execute, List Folder Contents

1 Der SQL ServerSQL Server-Agent-Dienst ist auf Instanzen von SQL Server ExpressSQL Server Express und SQL Server ExpressSQL Server Express mit Advanced Services deaktiviert.1The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Wenn Datenbankdateien an einem benutzerdefinierten Ort gespeichert werden, muss Pro-Dienst-SID-Zugriff auf diesen Ort gewährt sein.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Weitere Informationen zum Gewähren von Dateisystemberechtigungen an einen pro-Dienst-SID finden Sie unter Konfigurieren von Dateisystemberechtigungen für den Datenbank-Engine-Zugriff.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Anderen Windows-Benutzerkonten oder -Gruppen gewährte DateisystemberechtigungenFile System Permissions Granted to Other Windows User Accounts or Groups

Einige Zugriffssteuerungsberechtigungen müssen u. U. für integrierte Konten oder andere SQL ServerSQL Server -Dienstkonten erteilt werden.Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. In der folgenden Tabelle werden weitere vom SQL ServerSQL Server -Setup festgelegte Zugriffssteuerungslisten aufgeführt.The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Anfordernde KomponenteRequesting component KontoAccount RessourceResource BerechtigungenPermissions
MSSQLServerMSSQLServer LeistungsprotokollbenutzerPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Ordnerinhalt auflistenList folder contents
SystemmonitorbenutzerPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Ordnerinhalt auflistenList folder contents
Leistungsprotokollbenutzer, SystemmonitorbenutzerPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr120.dll\WINNT\system32\sqlctr120.dll Lesen, AusführenRead, Execute
Nur AdministratorAdministrator only \\.\root\microsoft\sqlserver\serverevents\< sql_instance_name >1\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 VollzugriffFull control
Administratoren, SystemAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan VollzugriffFull control
BenutzerUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Lesen, AusführenRead, Execute
Reporting ServicesReporting Services <Berichtsserver-Webdienstkonto><Report Server Web Service Account> <Installationsverzeichnis> \Reporting Services\LogFiles<install> \Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Berichts-Manager-Anwendungspoolidentität, ASP.NETASP.NET -Konto, jederReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <Installationsverzeichnis> \Reporting Services\ReportManager, <Installationsverzeichnis> \Reporting Services\ReportManager\Pages\*.*, <Installationsverzeichnis> \Reporting Services\ReportManager\Styles\*.*, <Installationsverzeichnis> \Reporting Services\ReportManager\webctrl_client\1_0\.*<install>* \Reporting Services\ReportManager, <install> \Reporting Services\ReportManager\Pages\*.*, <install> \Reporting Services\ReportManager\Styles\*.*, <install> \Reporting Services\ReportManager\webctrl_client\1_0\*.* LesenRead
Anwendungspoolidentität für Berichts-ManagerReport Manager Application pool identity <Installationsverzeichnis> \Reporting Services\ReportManager\Pages\.*<install>* \Reporting Services\ReportManager\Pages\*.* LesenRead
<Berichtsserver-Webdienstkonto><Report Server Web Service Account> <Installationsverzeichnis> \Reporting Services\ReportServer<install> \Reporting Services\ReportServer LesenRead
<Berichtsserver-Webdienstkonto><Report Server Web Service Account> <Installationsverzeichnis> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax FullFull
JederEveryone <Installationsverzeichnis> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
NetzwerkdienstNetwork service <Installationsverzeichnis> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx FullFull
JederEveryone <Installationsverzeichnis> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Report Server-Windows-DienstkontoReportServer Windows Services Account <Installationsverzeichnis> \Reporting Services\ReportServer\RSReportServer.config<install> \Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
JederEveryone Berichtsserverschlüssel (Instid-Struktur)Report Server keys (Instid hive) Wert abfragenQuery Value

Unterschlüssel auflistenEnumerate SubKeys

BenachrichtigenNotify

LesezugriffRead Control
TerminaldienstebenutzerTerminal Services User Berichtsserverschlüssel (Instid-Struktur)Report Server keys (Instid hive) Wert abfragenQuery Value

Wert festlegenSet Value

Unterschlüssel erstellenCreate SubKey

Unterschlüssel auflistenEnumerate SubKey

BenachrichtigenNotify

DeleteDelete

LesezugriffRead Control
HauptbenutzerPower Users Berichtsserverschlüssel (Instid-Struktur)Report Server keys (Instid hive) Wert abfragenQuery Value

Wert festlegenSet Value

Unterschlüssel erstellenCreate Subkey

Unterschlüssel auflistenEnumerate Subkeys

BenachrichtigenNotify

DeleteDelete

LesezugriffRead Control

1 Dies ist der Namespace des WMI-Anbieters.1This is the WMI provider namespace.

Auf ungewöhnliche Speicherorte auf einem Datenträger bezogene DateisystemberechtigungenFile System Permissions Related to Unusual Disk Locations

Das Standardlaufwerk für Speicherorte zur Installation von tempdb-Datenbanken oder Benutzerdatenbanken ist systemdrive, normalerweise das Laufwerk C.The default drive for locations for installation is systemdrive, normally drive C. When tempdb or user databases are installed

Nicht standardmäßiges LaufwerkNon-default Drive

Bei der Installation auf einem lokalen Laufwerk, bei dem es sich nicht um das Standardlaufwerk handelt, muss die Pro-Dienst-SID Zugriff auf den Speicherort besitzen.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. SQL ServerSQL Server -Setup stellt den erforderlichen Zugriff bereit.Setup will provision the required access.

NetzwerkfreigabeNetwork Share

Wenn Datenbanken in einer Netzwerkfreigabe installiert werden, muss das Dienstkonto Zugriff auf den Dateispeicherort der Benutzer- und tempdb-Datenbanken haben.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. DasSQL ServerSQL Server -Setup kann keinen Zugriff auf eine Netzwerkfreigabe bereitstellen.SQL ServerSQL Server Setup cannot provision access to a network share. Der Benutzer muss vor dem Ausführen des Setups Zugriff auf einen tempdb-Speicherort für das Dienstkonto bereitstellen.The user must provision access to a tempdb location for the service account before running setup. Der Benutzer muss vor dem Erstellen der Datenbank Zugriff auf den Speicherort der Benutzerdatenbank bereitstellen.The user must provision access to the user database location before creating the database.

Hinweis

Virtuelle Konten können nicht gegenüber einem Remotestandort authentifiziert werden.Virtual accounts cannot be authenticated to a remote location. Alle virtuellen Konten verwenden die Berechtigung des Computerkontos.All virtual accounts use the permission of machine account. Geben Sie das Computerkonto im Format <Domänenname> \ $ an.Provision the machine account in the format <domain_name>\<computer_name>$.

Überprüfen zusätzlicher AspekteReviewing Additional Considerations

In der folgenden Tabelle werden die Berechtigungen angezeigt, die für SQL ServerSQL Server -Dienste erforderlich sind, damit sie zusätzliche Funktionen bereitstellen:The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Dienst/AnwendungService/Application FunktionalitätFunctionality erforderliche BerechtigungRequired permission
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Schreiben in einen Mailslot mithilfe von xp_sendmail.Write to a mail slot using xp_sendmail. Netzwerkschreibberechtigungen.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Ausführen von xp_cmdshell für einen Benutzer, der kein SQL ServerSQL Server -Administrator ist.Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Einsetzen als Teil des Betriebssystems und Ersetzen von Token auf Prozessebene.Act as part of operating system and replace a process-level token.
SQL ServerSQL Server -Agent (MSSQLSERVER)Agent (MSSQLSERVER) Verwenden der Funktion für den automatischen Neustart.Use the autorestart feature. Muss ein Mitglied der lokalen Gruppe Administratoren sein.Must be a member of the Administrators local group.
Datenbank-EngineDatabase Engine -OptimierungsratgeberTuning Advisor Optimiert Datenbanken für eine optimale Abfrageleistung.Tunes databases for optimal query performance. Bei der ersten Verwendung muss ein Benutzer mit Anmeldeinformationen als Systemadministrator die Anwendung initialisieren.On first use, a user who has system administrative credentials must initialize the application. Nach der Initialisierung können dbo-Benutzer mithilfe des Optimierungsratgebers für Datenbank-EngineDatabase Engine nur diejenigen Tabellen optimieren, die sie besitzen.After initialization, dbo users can use the Datenbank-EngineDatabase Engine Tuning Advisor to tune only those tables that they own. Weitere Informationen finden Sie unter "Initialisieren des Datenbank-EngineDatabase Engine -Optimierungsratgebers" in der SQL ServerSQL Server -Onlinedokumentation.For more information, see "Initializing Datenbank-EngineDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Wichtig

Aktivieren Sie vor dem SQL ServerSQL Server-Upgrade die Windows-Authentifizierung für den SQL ServerSQL Server -Agent, und überprüfen Sie die erforderliche Standardkonfiguration: Das Konto des SQL ServerSQL Server -Agent-Diensts muss Mitglied der sysadmin-Gruppe von SQL ServerSQL Serversein.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

RegistrierungsberechtigungenRegistry Permissions

Die Registrierungsstruktur für instanzabhängige Komponenten wird unter HKLM\Software\Microsoft\Microsoft SQL Server\ erstellt.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Beispiel:For example

  • HKLM\Software\Microsoft\Microsoft SQL server\mssql12. MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL12.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL server\msassql12. MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL12.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.120HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.120

Die Registrierung verwaltet auch eine Zuordnung der Instanz-ID zum Instanznamen.The registry also maintains a mapping of instance ID to instance name. Die Zuordnung der Instanz-ID zum Instanznamen wird folgendermaßen verwaltet:Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE \software\microsoft\microsoft SQL Server\Instance Names\SQL] "InstanceName" = "MSSQL12"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL12"

  • [HKEY_LOCAL_MACHINE \software\microsoft\microsoft SQL Server\Instance names\olap] "InstanceName" = "MSASSQL12"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL12"

  • [HKEY_LOCAL_MACHINE \software\microsoft\microsoft SQL Server\Instance names\rs] "InstanceName" = "MSRSSQL12"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL12"

WMIWMI

Windows-Verwaltungsinstrumentation (WMI) muss eine Verbindung mit Datenbank-EngineDatabase Engineherstellen können.Windows Management Instrumentation (WMI) must be able to connect to the Datenbank-EngineDatabase Engine. Dazu wird die Pro-Dienst-SID des Windows-WMI-Anbieters (NT SERVICE\winmgmt) in Datenbank-EngineDatabase Enginebereitgestellt.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Datenbank-EngineDatabase Engine.

Der SQL-WMI-Anbieter erfordert die folgenden Berechtigungen:The SQL WMI provider requires the following permissions:

  • Mitgliedschaft in der festen Datenbankrolle db_ddladmin oder db_owner in der msdb-DatenbankMembership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • CREATE DDL EVENT NOTIFICATION -Berechtigung auf dem ServerCREATE DDL EVENT NOTIFICATION permission in the server.

  • CREATE TRACE EVENT NOTIFICATION -Berechtigung für Datenbank-EngineDatabase EngineCREATE TRACE EVENT NOTIFICATION permission in the Datenbank-EngineDatabase Engine.

  • VIEW ANY DATABASE -Berechtigung auf ServerebeneVIEW ANY DATABASE server-level permission.

    DasSQL ServerSQL Server -Setup erstellt einen SQL-WMI-Namespace und gewährt der SQL ServerSQL Server -Agent-Dienst-SID die Leseberechtigung.SQL ServerSQL Server setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Named PipesNamed Pipes

Bei allen Installationen stellt das SQL ServerSQL Server -Setup über das Shared Memory-Protokoll Zugriff auf SQL Server-Datenbank-EngineSQL Server Database Engine bereit. Dabei handelt es sich um eine Named Pipe.In all installation, SQL ServerSQL Server Setup provides access to the SQL Server-Datenbank-EngineSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

BereitstellungProvisioning

In diesem Abschnitt wird beschrieben, wie Konten in den verschiedenen SQL ServerSQL Server -Komponenten bereitgestellt werden.This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Bereitstellung des DatenbankmodulsDatabase Engine Provisioning

Die folgenden Konten werden als Anmeldungen in SQL Server-Datenbank-EngineSQL Server Database Enginehinzugefügt.The following accounts are added as logins in the SQL Server-Datenbank-EngineSQL Server Database Engine.

Windows-PrinzipaleWindows Principals

Während des Setups wird vom SQL ServerSQL Server -Setup mindestens ein Benutzerkonto gefordert, das als Mitglied der festen Serverrolle sysadmin genannt werden soll.During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

sa-Kontosa Account

Das sa -Konto ist immer als Datenbank-EngineDatabase Engine -Anmeldung vorhanden und ist Mitglied der festen Serverrolle sysadmin .The sa account is always present as a Datenbank-EngineDatabase Engine login and is a member of the sysadmin fixed server role. Wenn Datenbank-EngineDatabase Engine nur mit der Windows-Authentifizierung installiert wird, wenn die SQL ServerSQL Server -Authentifizierung also nicht aktiviert ist, ist die sa -Anmeldung zwar vorhanden, aber deaktiviert.When the Datenbank-EngineDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. Weitere Informationen zum Aktivieren des sa -Kontos finden Sie unter Ändern des Serverauthentifizierungsmodus.For information about enabling the sa account, see Change Server Authentication Mode.

Pro-Dienst-SID-Anmeldung für SQL Server und BerechtigungenSQL Server Per-service SID Login and Privileges

Die Pro-Dienst-SID des SQL ServerSQL Server -Diensts wird als Datenbank-EngineDatabase Engine -Anmeldung bereitgestellt.The per-service SID of the SQL ServerSQL Server service is provisioned as a Datenbank-EngineDatabase Engine login. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

SQL Server-Agent-Anmeldung und BerechtigungenSQL Server Agent Login and Privileges

Die Pro-Dienst-SID des SQL ServerSQL Server -Agent-Diensts wird als Datenbank-EngineDatabase Engine -Anmeldung bereitgestellt.The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Datenbank-EngineDatabase Engine login. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Always On-VerfügbarkeitsgruppenAlways On Availability Groups - und SQL-Failoverclusterinstanz und BerechtigungenAlways On-VerfügbarkeitsgruppenAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

Bei der Installation des Datenbank-EngineDatabase Engine s als Always On-VerfügbarkeitsgruppenAlways On Availability Groups - oder SQL-Failoverclusterinstanz (SQL FCI), wird LOCAL SYSTEM im Datenbank-EngineDatabase Enginebereitgestellt.When installing the Datenbank-EngineDatabase Engine as a Always On-VerfügbarkeitsgruppenAlways On Availability Groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Datenbank-EngineDatabase Engine. Die LOCAL SYSTEM -Anmeldung erhält die Berechtigungen ALTER ANY AVAILABILITY GROUP (für Always On-VerfügbarkeitsgruppenAlways On Availability Groups) und die VIEW SERVER STATE (für SQL FCI).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Always On-VerfügbarkeitsgruppenAlways On Availability Groups) and the VIEW SERVER STATE permission (for SQL FCI).

SQL Writer und BerechtigungenSQL Writer and Privileges

Die Pro-Dienst-SID des SQL ServerSQL Server VSS Writer-Diensts wird als Datenbank-EngineDatabase Engine -Anmeldung bereitgestellt.The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Datenbank-EngineDatabase Engine login. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

SQL WMI und BerechtigungenSQL WMI and Privileges

DasSQL ServerSQL Server -Setup stellt das Konto NT SERVICE\Winmgmt als Datenbank-EngineDatabase Engine -Anmeldung bereit und fügt es der festen Serverrolle sysadmin hinzu.SQL ServerSQL Server Setup provisions the NT SERVICE\Winmgmt account as a Datenbank-EngineDatabase Engine login and adds it to the sysadmin fixed server role.

SSRS-BereitstellungSSRS Provisioning

Das während des Setups angegebene Konto wird als Mitglied der Datenbankrolle RSExecRole bereitgestellt.The account specified during setup is provisioned as a member of the RSExecRole database role. Weitere Informationen finden Sie unter Konfigurieren des Berichtsserver-Dienstkontos (SSRS-Konfigurations-Manager).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

SSAS-BereitstellungSSAS Provisioning

SSASSSAS -Dienstkontoanforderungen unterscheiden sich je nach Bereitstellung des Servers.service account requirements vary depending on how you deploy the server. Bei der Installation von PowerPivot für SharePointPowerPivot for SharePointfordert das SQL ServerSQL Server -Setup die Konfiguration des Analysis ServicesAnalysis Services -Diensts zur Ausführung unter einem Domänenkonto.If you are installing PowerPivot für SharePointPowerPivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. Domänenkonten sind erforderlich, um die in SharePoint integrierte Funktion für verwaltete Konten zu unterstützen.Domain accounts are required to support the managed account facility that is built into SharePoint. Aus diesem Grund wird beim SQL ServerSQL Server -Setup kein Standarddienstkonto, z. B. ein virtuelles Konto, für die PowerPivot für SharePointPowerPivot for SharePoint -Installation bereitgestellt.For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a PowerPivot für SharePointPowerPivot for SharePoint installation. Weitere Informationen zur Bereitstellung von PowerPivot für SharePoint, finden Sie unter Konfigurieren von Power Pivot-Dienstkonten.For more information about provisioning PowerPivot for SharePoint, see Configure PowerPivot Service Accounts.

Für alle anderen eigenständigen SSASSSAS-Installationen können Sie den Dienst zur Ausführung unter einem Domänenkonto, integriertem Systemkonto, verwaltetem Konto oder virtuellem Konto bereitstellen.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Weitere Informationen zur Bereitstellung von Konten finden Sie unter Konfigurieren von Dienstkonten (Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Für gruppierte Installationen müssen Sie ein Domänenkonto oder integriertes Systemkonto angeben.For clustered installations, you must specify a domain account or a built-in system account. Weder verwaltete noch virtuelle Konten werden für SSASSSAS -Failovercluster unterstützt.Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

Für alle SSASSSAS -Installationen ist die Angabe eines Systemadministrators der Analysis ServicesAnalysis Services -Instanz erforderlich.All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. Administratorberechtigungen werden in der Analysis Services-Rolle Server bereitgestellt.Administrator privileges are provisioned in the Analysis Services Server role.

SSRS-BereitstellungSSRS Provisioning

Das während des Setups angegebene Konto wird in Datenbank-EngineDatabase Engine als Mitglied der Datenbankrolle RSExecRole bereitgestellt.The account specified during setup is provisioned in the Datenbank-EngineDatabase Engine as a member of the RSExecRole database role. Weitere Informationen finden Sie unter Konfigurieren des Berichtsserver-Dienstkontos (SSRS-Konfigurations-Manager).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Aktualisieren von früheren VersionenUpgrading From Previous Versions

In diesem Abschnitt werden die während eines Upgrades von einer früheren Version von SQL ServerSQL Servervorgenommenen Änderungen beschrieben.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2014SQL Server 2014 erfordert Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 oder Windows 8.1.requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Bei jeder früheren Version von SQL ServerSQL Server , die unter einer niedrigeren Betriebssystemversion ausgeführt wird, muss zunächst das Betriebssystem aktualisiert werden, bevor SQL ServerSQL Serveraktualisiert wird.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Während des Upgrades von SQL Server 2005SQL Server 2005 auf SQL Server 2014SQL Server 2014wird SQL ServerSQL Server vom SQL ServerSQL Server -Setup folgendermaßen konfiguriert:During upgrade of SQL Server 2005SQL Server 2005 to SQL Server 2014SQL Server 2014, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • Datenbank-EngineDatabase Engine wird mit dem Sicherheitskontext der Pro-Dienst-SID ausgeführt.The Datenbank-EngineDatabase Engine runs with the security context of the per-service SID. Der Pro-Dienst-SID wird Zugriff auf die Dateiordner der SQL ServerSQL Server -Instanz (z. B. DATA) und die SQL ServerSQL Server -Registrierungsschlüssel gewährt.The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • Die Pro-Dienst-SID vom Datenbank-EngineDatabase Engine wird im Datenbank-EngineDatabase Engine als Mitglied der festen Serverrolle sysadmin bereitgestellt.The per-service SID of the Datenbank-EngineDatabase Engine is provisioned in the Datenbank-EngineDatabase Engine as a member of the sysadmin fixed server role.

    • Der Pro-Dienst-SID wird zu den lokalen SQL ServerSQL Server-Windows-Gruppen hinzugefügt, es sei denn, bei SQL ServerSQL Server handelt es sich um eine Failoverclusterinstanz.The per-service SID's are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • Die SQL ServerSQL Server-Ressourcen werden weiterhin in den lokalen SQL ServerSQL Server-Windows-Gruppen bereitgestellt.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • Die lokale Windows-Gruppe für Dienste wird von SQLServer2005MSSQLUser$ $ in SQLServerMSSQLUser$ $ umbenannt.The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. Die Dateipfade für migrierte Datenbanken besitzen Zugriffssteuerungseinträge (Access Control Entries, ACE) für die lokalen Windows-Gruppen.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. Die Dateipfade für neue Datenbanken besitzen ACEs für die Pro-Dienst-SID.The file locations for new databases will have ACE's for the per-service SID.

  • Während des Upgrades von SQL Server 2008SQL Server 2008 werden beim SQL ServerSQL Server-Setup die ACEs für die Pro-Dienst-SID von SQL Server 2008SQL Server 2008 beibehalten.During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE's for the SQL Server 2008SQL Server 2008 per-service SID.

  • Für eine SQL ServerSQL Server -Failoverclusterinstanz wird der für den Dienst konfigurierte ACE für das Domänenkonto beibehalten.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

AnhangAppendix

Dieser Abschnitt enthält weitere Informationen zu SQL ServerSQL Server -Diensten.This section contains additional information about SQL ServerSQL Server services.

Beschreibung von DienstkontenDescription of Service Accounts

Beim Dienstkonto handelt es sich um das Konto, das für das Starten eines Windows-Dienst verwendet wird, wie z. B. SQL Server-Datenbank-EngineSQL Server Database Engine.The service account is the account used to start a Windows service, such as the SQL Server-Datenbank-EngineSQL Server Database Engine.

Mit einem beliebigen Betriebssystem verfügbare KontenAccounts Available With Any Operating System

Neben den zuvor beschriebenen neuen MSAs und virtuellen Konten können folgende Konten verwendet werden:In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

DomänenbenutzerkontoDomain User Account

Wenn der Dienst mit Netzwerkdiensten interagieren und auf Domänenressourcen wie Dateifreigaben zugreifen muss oder verknüpfte Serververbindungen mit anderen Computern mit SQL ServerSQL Serververwendet, kann ein Domänenkonto mit minimalen Rechten verwendet werden.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden.Many server-to-server activities can be performed only with a domain user account. Dieses Konto sollte in Ihrer Umgebung von der Domänenverwaltung vorab erstellt werden.This account should be pre-created by domain administration in your environment.

Hinweis

Wenn Sie die Anwendung zur Verwendung eines Domänenkontos konfigurieren, können Sie zwar die Berechtigungen für die Anwendung isolieren, müssen aber Kennwörter manuell verwalten oder eine benutzerdefinierte Lösung für die Verwaltung dieser Kennwörter erstellen.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. Viele Serveranwendungen erhöhen die Sicherheit mithilfe dieser Strategie, aber diese Strategie erfordert zusätzliche Verwaltung und Komplexität.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. Bei diesem Bereitstellungen wenden Dienstadministratoren viel Zeit für Wartungstasks wie die Verwaltung von Dienstkennwörtern und Dienstprinzipalnamen (SPNs) auf, die für die Kerberos-Authentifizierung erforderlich sind.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. Außerdem können diese Wartungstasks den Dienst stören.In addition, these maintenance tasks can disrupt service.

Local User AccountsLocal User Accounts

Wenn der Computer nicht Teil einer Domäne ist, empfiehlt sich ein lokales Benutzerkonto ohne die Berechtigungen eines Windows-Administrators.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Lokales DienstkontoLocal Service Account

Das lokale Dienstkonto ist ein integriertes Konto, das dieselben Zugriffsrechte für Ressourcen und Objekte besitzt wie die Mitglieder der Gruppe Benutzer.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Durch diesen beschränkten Zugriff wird das System bei Gefährdung einzelner Dienste oder Prozesse geschützt.This limited access helps safeguard the system if individual services or processes are compromised. Dienste, die unter dem lokalen Dienstkonto ausgeführt werden, greifen als NULL-Sitzung ohne Anmeldeinformationen auf Netzwerkressourcen zu.Services that run as the Local Service account access network resources as a null session without credentials. Beachten Sie, dass das lokale Dienstkonto nicht für den SQL ServerSQL Server - oder SQL ServerSQL Server -Agent-Dienst unterstützt wird.Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. Der lokale Dienst wird nicht als das Konto unterstützt, unter dem diese Dienste ausgeführt werden, da es sich um einen freigegebenen Dienst handelt und alle anderen Dienste, die unter dem lokalen Dienst ausgeführt werden, Systemadministratorzugriff auf SQL ServerSQL Serverhätten.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. Der tatsächliche Name des Kontos lautet NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

NetzwerkdienstkontoNetwork Service Account

Das Netzwerkdienstkonto ist ein integriertes Konto, das mehr Zugriffsrechte für Ressourcen und Objekte besitzt als die Mitglieder der Gruppe „Benutzer“.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Dienste, die unter dem Netzwerkdienstkonto ausgeführt werden, greifen mithilfe der Anmeldeinformationen des Computerkontos im Format <Domänenname> \ $ auf Netzwerkressourcen zu.Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Der tatsächliche Name des Kontos lautet NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Lokales SystemkontoLocal System Account

Das lokale Systemkonto ist ein integriertes Konto mit sehr hohen Privilegien.Local System is a very high-privileged built-in account. Es besitzt umfangreiche Berechtigungen auf dem lokalen System und repräsentiert den Computer im Netzwerk.It has extensive privileges on the local system and acts as the computer on the network. Der tatsächliche Name des Kontos lautet NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Identifizieren von instanzabhängigen und nicht instanzabhängigen DienstenIdentifying Instance-Aware and Instance-Unaware Services

Instanzabhängige Dienste werden mit einer bestimmten Instanz von SQL ServerSQL Serververknüpft und haben eine eigene Registrierungsstruktur.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. Sie können mehrere Kopien von instanzabhängigen Diensten installieren, indem Sie das SQL ServerSQL Server -Setup für die einzelnen Komponenten oder Dienste ausführen.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. Nicht instanzabhängige Dienste werden für alle installierten SQL ServerSQL Server -Instanzen freigegeben.Instance-unaware services are shared among all installed SQL ServerSQL Server instances. Sie sind nicht mit einer bestimmten Instanz verknüpft, werden nur einmal installiert und können nicht parallel installiert werden.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Instanzabhängige Dienste in SQL ServerSQL Server umfassen Folgendes:Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server -AgentAgent

    Beachten Sie, dass der SQL ServerSQL Server -Agent-Dienst auf Instanzen von SQL Server ExpressSQL Server Express und SQL Server ExpressSQL Server Express with Advanced Services deaktiviert ist.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services 11

  • Reporting ServicesReporting Services

  • VolltextsucheFull-text search

Nicht instanzabhängige Dienste in SQL ServerSQL Server umfassen Folgendes:Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server -BrowserBrowser

  • SQL WriterSQL Writer

1 Analysis Services im integrierten SharePoint-Modus wird als einzelne, benannte Instanz als ' Power Pivot ' ausgeführt.1Analysis Services in SharePoint integrated mode runs as 'PowerPivot' as a single, named instance. Der Instanzname ist unveränderlich.The instance name is fixed. Sie können keinen anderen Namen angeben.You cannot specify a different name. Sie können nur eine Instanz von Analysis Services installieren, die auf jedem physischen Server als 'PowerPivot' ausgeführt wird.You can install only one instance of Analysis Services running as 'PowerPivot' on each physical server.

Lokalisierte DienstnamenLocalized Service Names

In der folgenden Tabelle werden Dienstnamen aufgeführt, die in lokalisierten Versionen von Windows angezeigt werden.The following table shows service names that are displayed by localized versions of Windows.

SpracheLanguage Name für lokalen DienstName for Local Service Name für NetzwerkdienstName for Network Service Name für lokales SystemName for Local System Name für AdministratorgruppeName for Admin Group
EnglischEnglish

Chinesisch (vereinfacht)Simplified Chinese

Chinesisch (traditionell)Traditional Chinese

KoreanischKorean

JapanischJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
DeutschGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FranzösischFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ItalienischItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
SpanischSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RussischRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\АдминистраторыBUILTIN\Администраторы

Überlegungen zur Sicherheit bei SQL Server-InstallationenSecurity Considerations for a SQL Server Installation

Dateispeicherorte für Standard- und benannte Instanzen von SQL ServerFile Locations for Default and Named Instances of SQL Server

Installieren von Master Data ServicesInstall Master Data Services