Auswählen eines Kontos für den SQL Server-Agent-Dienst

Anwendungsbereich: JaSQL Server (alle unterstützten Versionen) JaVerwaltete Azure SQL-Instanz

Wichtig

In Azure SQL Managed Instance werden derzeit die meisten, aber nicht alle, SQL Server-Agent-Features unterstützt. Details dazu finden Sie unter T-SQL-Unterschiede zwischen Azure SQL Managed Instance und SQL Server.

Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem der SQL Server -Agent ausgeführt wird, und legt dessen Netzwerkberechtigungen fest. SQL Server -Agent wird als angegebenes Benutzerkonto ausgeführt. Sie wählen ein Konto für den SQL Server -Agent-Dienst mithilfe des SQL Server -Konfigurations-Managers aus. Dort können Sie zwischen folgenden Optionen wählen:

  • Integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:

    • Lokales Systemkonto . Der Name dieses Kontos lautet NT-AUTORITÄT\System. Hierbei handelt es sich um ein Konto mit weit reichenden Befugnissen, das über unbeschränkten Zugriff auf alle lokalen Systemressourcen verfügt. Es ist ein Mitglied der Windows-Gruppe Administratoren auf dem lokalen Computer und somit Mitglied der festen Serverrolle SQL Server sysadmin in .

      Wichtig

      Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Ein lokales Systemkonto verfügt über Berechtigungen, die für den SQL Server -Agent nicht erforderlich sind. Vermeiden Sie die Ausführung des SQL Server -Agents als lokales Systemkonto. Zur Verbesserung der Sicherheit sollten Sie ein Windows-Domänenkonto zusammen mit den im folgenden Abschnitt "Berechtigungen für Windows-Domänenkonten" aufgelisteten Berechtigungen verwenden.

  • Dieses Konto. Hier können Sie das Windows-Domänenkonto angeben, unter dem der SQL Server -Agent-Dienst ausgeführt wird. Das von Ihnen ausgewählte Windows-Benutzerkonto sollte kein Mitglied der Windows-Gruppe Administratoren sein. Es bestehen jedoch Einschränkungen für die Verwendung der Multiserveradministration, wenn das Konto des SQL Server -Agent-Diensts kein Mitglied der lokalen Gruppe Administratoren ist. Weitere Informationen finden Sie unter "Unterstützte Dienstkontotypen" weiter unten in diesem Thema.

Berechtigungen für Windows-Domänenkonten

Zur Verbesserung der Sicherheit sollten Sie die Option Dieses Konto auswählen, um ein Windows-Domänenkonto anzugeben. Das von Ihnen angegebene Windows-Domänenkonto muss folgende Berechtigungen haben:

  • Berechtigung zum Anmelden als Dienst für alle Windows-Versionen (SeServiceLogonRight)

Hinweis

Das Konto des SQL Server -Agent-Diensts muss Teil der Gruppe Prä-Windows 2000 kompatibler Zugriff auf dem Domänencontroller sein. Andernfalls führen Aufträge im Besitz von Domänenbenutzern, die keine Mitglieder der Windows-Gruppe Administratoren sind, zu Fehlern.

  • Auf Servern unter Windows erfordert das vom SQL Server -Agent-Dienst ausgeführte Konto folgende Berechtigungen, um Proxys für den SQL Server -Agent unterstützen zu können.

    • Berechtigung zum Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

    • Berechtigung zum Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

    • Berechtigung zum Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

    • Berechtigung für den Zugriff auf diesen Computer über das Netzwerk (SeNetworkLogonRight)

Hinweis

Wenn das Konto nicht über die Berechtigungen verfügt, die zur Unterstützung von Proxys erforderlich sind, können Aufträge nur von Mitgliedern der festen Serverrolle sysadmin erstellt werden.

Hinweis

Um WMI-Warnbenachrichtigungen zu empfangen, muss das Dienstkonto des SQL Server -Agents über die Berechtigung für den Namespace verfügen, der die WMI-Ereignisse enthält. Außerdem muss es dazu berechtigt sein, EREIGNISBERECHTIGUNGEN ZU ÄNDERN.

SQL Server-Rollenmitgliedschaft

Das Konto, als das der SQL Server -Agent-Dienst ausgeführt wird, muss Mitglied der folgenden SQL Server -Rollen sein:

  • Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein.

  • Um die Multiserver-Auftragsverarbeitung verwenden zu können, muss das Konto Mitglied der msdb -Datenbankrolle TargetServersRole auf dem Masterserver sein.

Unterstützte Dienstkontotypen

In der folgenden Tabelle werden die Windows-Kontotypen aufgelistet, die für den SQL Server -Agent-Dienst verwendet werden können.

Dienstkontotyp Nicht gruppierter Server Gruppierter Server Domänencontroller (nicht gruppiert)
Microsoft Windows-Domänenkonto (Mitglied der Windows-Administratorengruppe) Unterstützt Unterstützt Unterstützt
Windows-Domänenkonto (kein Administratorkonto) Unterstützt

Siehe Einschränkung 1 weiter unten.
Unterstützt

Siehe Einschränkung 1 weiter unten.
Unterstützt

Siehe Einschränkung 1 weiter unten.
Netzwerkdienstkonto (NT AUTHORITY\NetworkService) Unterstützt

Siehe Einschränkungen 1, 3 und 4 weiter unten.
Nicht unterstützt Nicht unterstützt
Lokales Benutzerkonto (kein Administratorkonto) Unterstützt

Siehe Einschränkung 1 weiter unten.
Nicht unterstützt Nicht zutreffend
Lokales Systemkonto (NT AUTHORITY\System) Unterstützt

Siehe Einschränkung 2 weiter unten.
Nicht unterstützt Unterstützt

Siehe Einschränkung 2 weiter unten.
Lokales Dienstkonto (NT AUTHORITY\LocalService) Nicht unterstützt Nicht unterstützt Nicht unterstützt

Einschränkung 1: Verwenden von Nichtadministratorkonten für die Multiserververwaltung

Beim Eintragen von Zielservern auf einem Masterserver kann ein Fehler mit einer Fehlermeldung, die der folgenden ähnlich ist, auftreten: "Fehler beim Eintragen."

Starten Sie SQL Server und die SQL Server -Agent-Dienste neu, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Starten, Beenden, Anhalten, Fortsetzen und Neustarten von SQL Server-Diensten.

Einschränkung 2: Verwenden des lokalen Systemkontos für die Multiserververwaltung

Die Multiserververwaltung wird bei Ausführung des SQL Server -Agent-Diensts unter dem lokalen Systemkonto nur dann unterstützt, wenn sich der Masterserver und der Zielserver auf demselben Computer befinden. Wenn Sie diese Konfiguration verwenden, wird beim Eintragen der Zielserver auf dem Masterserver etwa die folgende Meldung zurückgegeben:

„Stellen Sie sicher, dass das Agentstartkonto für Rechte zur Anmeldung als Zielserver besitzt.“

Sie können diese zu Informationszwecken ausgegebene Meldung ignorieren. Der Eintragungsvorgang wird dennoch erfolgreich abgeschlossen. Weitere Informationen finden Sie unter Erstellen einer Multiserverumgebung.

Einschränkung 3: Verwenden des Netzwerkdienstkontos als SQL Server-Benutzer

SQL Server Agent wird möglicherweise nicht gestartet, wenn Sie den SQL Server -Agent-Dienst unter dem Netzwerkdienstkonto ausführen und dem Netzwerkdienstkonto explizit der Zugriff auf eine SQL Server -Instanz als SQL Server -Benutzer erteilt wurde.

Starten Sie den Computer, auf dem SQL Server ausgeführt wird, neu, um diesen Fehler zu beheben. Dies muss nur einmal erfolgen.

Einschränkung 4: Verwenden des Netzwerkdienstkontos bei Ausführung von SQL Server Reporting Services auf demselben Computer

SQL Server Agent wird möglicherweise nicht gestartet, wenn Sie den SQL Server -Agent-Dienst unter dem Netzwerkdienstkonto ausführen und Reporting Services ebenfalls auf demselben Computer ausgeführt wird.

Starten Sie den Computer, auf dem SQL Server ausgeführt wird, neu, um diesen Fehler zu beheben. Starten Sie anschließend SQL Server und die SQL Server -Agent-Dienste neu. Dies muss nur einmal erfolgen.

Allgemeine Aufgaben

So geben Sie das Startkonto für den SQL Server-Agent-Dienst an

So geben Sie das Mailprofil für den SQL Server-Agent an

Hinweis

Verwenden Sie den SQL Server -Konfigurations-Manager, um anzugeben, dass der SQL Server -Agent beim Start des Betriebssystems starten soll.

Weitere Informationen

Einrichten von Windows-Dienstkonten
Verwalten von Diensten mit SQL-Computer-Manager
Implementieren der SQL Server-Agent-Sicherheit