Configurare account di servizio e autorizzazioni di Windows

Ogni servizio in SQL ServerSQL Server rappresenta un processo o un set di processi destinato a gestire l'autenticazione delle operazioni di SQL ServerSQL Server con Windows. Nel presente argomento viene fornita la descrizione della configurazione predefinita dei servizi disponibili in questa versione di SQL ServerSQL Servere delle opzioni di configurazione per i servizi SQL ServerSQL Server che è possibile impostare durante e dopo l'installazione di SQL ServerSQL Server . Questo argomento offre informazioni dettagliate sugli account di servizio destinate agli utenti avanzati.

Con Gestione configurazione SQL ServerSQL Server è possibile configurare la maggior parte dei servizi e le relative proprietà. Ecco i percorsi per le ultime quattro versioni, con Windows installato nell'unità C.

SQL ServerSQL Server 2016 C:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.msc

Servizi installati tramite SQL ServerSQL Server

A seconda dei componenti selezionati, durante l'installazione di SQL ServerSQL Server vengono installati i servizi seguenti:

  • SQL ServerSQL Server Servizi di database: il servizio per il SQL ServerSQL Server relazionale di Motore di databaseDatabase Engine. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server Agent: consente l'esecuzione di processi, il monitoraggio di SQL ServerSQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione. Il servizio SQL ServerSQL Server Agent è presente ma disabilitato nelle istanze di SQL Server ExpressSQL Server Express. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services: fornisce funzionalità di elaborazione analitica in linea (OLAP) e di data mining per applicazioni di Business Intelligence. Il file eseguibile è <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services: consente la gestione, l'esecuzione, la creazione, la pianificazione e il recapito di report. Il file eseguibile è <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services: fornisce supporto di gestione per l'archivio pacchetti e l'esecuzione di Integration ServicesIntegration Services. Il percorso del file eseguibile è <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser: servizio di risoluzione dei nomi che fornisce informazioni di connessione a SQL ServerSQL Server per i computer client. Il percorso dell'eseguibile è c:\Programmi (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Ricerca full-text : consente di creare rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per fornire le funzioni di filtro e word breaking dei documenti per SQL ServerSQL Server.

  • Writer SQL : consente alle applicazioni di backup e ripristino di operare nel framework del servizio Copia Shadow del volume (VSS).

  • SQL ServerSQL Server Distributed Replay Controller : fornisce l'orchestrazione della riproduzione della traccia tra più computer Distributed Replay Client.

  • SQL ServerSQL Server Distributed Replay Client : uno o più computer Distributed Replay Client che interagiscono con un sistema Distributed Replay Controller per la simulazione di carichi di lavoro simultanei su un'istanza del Motore di database di SQL ServerSQL Server Database Engine.

  • Launchpad attendibile di SQL ServerSQL Server Trusted Launchpad : servizio attendibile che ospita gli eseguibili esterni forniti da Microsoft, come il runtime R installato nell'ambito di R Services (In-Database)R Services (In-Database). I processi satellite possono essere avviati dal processo Launchpad, ma verranno regolati a livello di risorse in base alla configurazione della istanza singola. Il servizio Launchpad viene eseguito con un account utente specifico e ogni processo satellite per un determinato runtime registrato erediterà l'account utente del Launchpad. I processi satellite vengono creati e distrutti su richiesta durante la fase di esecuzione.

Proprietà e configurazione dei servizi

Gli account di avvio usati per avviare ed eseguire SQL ServerSQL Server possono essere account utenti di dominio, account utenti locali, account dei servizi gestiti, account virtualioppure account di sistema predefiniti. Per essere avviato ed eseguito, ogni servizio in SQL ServerSQL Server deve disporre di un account di avvio configurato durante l'installazione.

In questa sezione sono descritti gli account che possono essere configurati per avviare servizi SQL ServerSQL Server , i valori predefiniti usati dal programma di installazione di SQL ServerSQL Server , il concetto di SID per servizio, le opzioni di avvio e la configurazione del firewall.

Account di servizio predefiniti

Nella tabella sono vengono elencati gli account di servizio predefiniti usati dall'installazione quando si istallano tutti i componenti. Gli account predefiniti elencati sono gli account consigliati, ad eccezione dei casi indicati.

Server autonomo o controller di dominio

Componente Windows Server 2008Windows Server 2008 Windows 7 e Windows Server 2008Windows Server 2008 R2 e versioni successive
Motore di databaseDatabase Engine NETWORK SERVICE Account virtuale*
SQL ServerSQL Server Agent NETWORK SERVICE Account virtuale*
SSASSSAS NETWORK SERVICE Account virtuale*
SSISSSIS NETWORK SERVICE Account virtuale*
SSRSSSRS NETWORK SERVICE Account virtuale*
SQL ServerSQL Server Distributed Replay Controller NETWORK SERVICE Account virtuale*
SQL ServerSQL Server Distributed Replay Client NETWORK SERVICE Account virtuale*
Utilità di avvio FD (ricerca full-text) LOCAL SERVICE Account virtuale
SQL ServerSQL Server Browser LOCAL SERVICE LOCAL SERVICE
SQL ServerSQL Server VSS Writer LOCAL SYSTEM LOCAL SYSTEM
Advanced Analytics ExtensionsAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad

*Quando sono necessarie risorse esterne al computer SQL ServerSQL Server , MicrosoftMicrosoft consiglia di usare un account del servizio gestito, configurato con i privilegi minimi necessari.

Istanza del cluster di failover di SQL Server

Componente Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2
Motore di databaseDatabase Engine nessuna. Fornire un account utente di dominio . Fornire un account utente di dominio .
SQL ServerSQL Server Agent nessuna. Fornire un account utente di dominio . Fornire un account utente di dominio .
SSASSSAS nessuna. Fornire un account utente di dominio . Fornire un account utente di dominio .
SSISSSIS NETWORK SERVICE Account virtuale
SSRSSSRS NETWORK SERVICE Account virtuale
Utilità di avvio FD (ricerca full-text) LOCAL SERVICE Account virtuale
SQL ServerSQL Server Browser LOCAL SERVICE LOCAL SERVICE
SQL ServerSQL Server VSS Writer LOCAL SYSTEM LOCAL SYSTEM

Modifica delle proprietà dell'account

Importante
  • Usare sempre strumenti SQL ServerSQL Server , ad esempio Gestione configurazione SQL ServerSQL Server , per modificare l'account usato dai servizi Motore di database di SQL ServerSQL Server Database Engine o SQL ServerSQL Server Agent oppure per modificare la password per l'account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL ServerSQL Server consente di eseguire operazioni di configurazione aggiuntive, quali l'aggiornamento dell'archivio di sicurezza locale di Windows, tramite cui viene protetta la chiave master del servizio per il Motore di databaseDatabase Engine. Altri strumenti, ad esempio Gestione controllo servizi di Windows, consentono di modificare il nome dell'account, ma non tutte le impostazioni necessarie.
    • Per le istanze di Analysis ServicesAnalysis Services che vengono distribuite in una farm di SharePoint, usare sempre Amministrazione centrale SharePoint per modificare gli account server per le applicazioni Servizio Power PivotPower Pivot service e il Servizio Analysis ServicesAnalysis Services service. Quando si usa Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'uso delle nuove informazioni sull'account.
    • Per modificare le opzioni di Reporting ServicesReporting Services , usare il relativo strumento di configurazione.

Account dei servizi gestiti, account dei servizi gestiti di gruppo e account virtuali

Gli account dei servizi gestiti, gli account dei servizi gestiti di gruppo e gli account virtuali sono progettati per offrire ad applicazioni importanti, come SQL ServerSQL Server , l'isolamento dei relativi account, in modo che non sia più necessario che un amministratore amministri manualmente il nome dell'entità servizio e le credenziali per questi account. Inoltre, grazie a questi account, la gestione a lungo termine di utenti di account di servizio, di password e di nomi SPN è più semplice.

  • Account dei servizi gestiti

    Un account del servizio gestito è un tipo di account di dominio creato e gestito dal controller di dominio. Viene assegnato al computer di un singolo membro per l'esecuzione di un servizio e la password viene gestita automaticamente dal controller di dominio. Non è possibile usare un account del servizio gestito per accedere a un computer, tuttavia tale account può essere usato da un computer per l'avvio di un servizio Windows. Un account del servizio gestito consente di registrare un nome dell'entità servizio (SPN) con Active Directory Un account del servizio gestito è denominato con un suffisso $ , ad esempio DOMAIN\ACCOUNTNAME$. Quando si specifica un account del servizio gestito, lasciare la password vuota. Dal momento che un account del servizio gestito viene assegnato a un singolo computer, non può essere usato in nodi diversi di un cluster Windows.

    Nota

    Questo tipo di account deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL ServerSQL Server per i servizi SQL ServerSQL Server .

  • Account dei servizi gestiti di gruppo

    Un account del servizio gestito di gruppo è un account del servizio gestito per più server. Windows gestisce un account del servizio per i servizi in esecuzione in un gruppo di server. Active Directory aggiorna automaticamente la password dell'account del servizio gestito di gruppo senza riavviare i servizi. È possibile configurare servizi di SQL Server per l'uso di un'entità di account del servizio gestito di gruppo. A partire da SQL Server 2014, SQL Server supporta gli account del servizio gestito di gruppo in Windows Server 2012 R2 e versioni successive per istanze autonome, istanze del cluster di failover e gruppi di disponibilità.

    Per usare un account del servizio gestito di gruppo per SQL Server 2014 o versioni successive, il sistema operativo deve essere Windows Server 2012 R2 o versioni successive. I server con Windows Server 2012 R2 richiedono l'applicazione di KB 2998082 in modo che i servizi possano accedere senza interruzioni immediatamente dopo una modifica della password.

    Per altre informazioni, vedere Account dei servizi gestiti di gruppo

    Nota

    L'account del servizio gestito di gruppo deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL ServerSQL Server per i servizi SQL ServerSQL Server .

  • Account virtuali

    Gli account virtuali a partire da Windows Server 2008 R2 e Windows 7 sono account locali gestiti che forniscono le funzionalità seguenti per semplificare l'amministrazione dei servizi. L'account virtuale è gestito automaticamente e consente di accedere alla rete in un ambiente di dominio. Se durante l'installazione di SQL ServerSQL Server viene usato il valore predefinito per gli account di servizio, sarà usato un account virtuale con il nome dell'istanza come nome del servizio, nel formato NT SERVICE\<SERVICENAME>. I servizi eseguiti come account virtuali consentono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato \$. Quando si specifica un account virtuale per avviare SQL ServerSQL Server, lasciare vuoto il campo della password. Se tramite l'account virtuale non è possibile registrare il nome dell'entità servizio (SPN), registrarlo manualmente. Per altre informazioni sulla registrazione manuale di un SPN, vedere Registrazione manuale del nome SPN.

    Nota

    Non è possibile usare gli account virtuali per l'istanza del cluster di failover di SQL ServerSQL Server , poiché non dispongono dello stesso SID in ogni nodo del cluster.

    Nella tabella seguente sono elencati esempi di nomi di account virtuali.

    Servizio Nome dell'account virtuale
    Istanza predefinita del servizio Motore di databaseDatabase Engine NT SERVICE\MSSQLSERVER
    Istanza denominata di un servizio Motore di databaseDatabase Engine denominato PAYROLL NT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server Agent nell'istanza predefinita di SQL ServerSQL Server NT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server Agent in un'istanza di SQL ServerSQL Server denominata PAYROLL NT SERVICE\SQLAGENT$PAYROLL

    Per altre informazioni sugli account dei servizi gestiti e sugli account virtuali, vedere la sezione Concetti relativi agli account dei servizi gestiti e agli account virtuali nella pagina Guida dettagliata agli account di servizio e la pagina relativa alle domande frequenti sugli account dei servizi gestiti.

    Nota sulla sicurezza: Eseguire sempre i servizi SQL Server usando i diritti utente di livello più basso possibile.Always run SQL Server services by using the lowest possible user rights. quando possibile, usare un account MSA o virtual account . In alternativa, usare un account utente con privilegi limitati o un account di dominio specifico anziché un account condiviso per i servizi SQL ServerSQL Server , assegnando account distinti ai diversi servizi SQL ServerSQL Server . Non concedere autorizzazioni aggiuntive all'account del servizio oppure ai gruppi di servizi di SQL ServerSQL Server . Le autorizzazioni verranno concesse mediante l'appartenenza a un gruppo o direttamente a un SID del servizio, se quest'ultimo è supportato.

Avvio automatico

Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:

  • Disabilitato Il servizio è installato ma non è attualmente in esecuzione.

  • Manuale Il servizio è installato ma verrà avviato solo quando le relative funzionalità saranno necessarie per un altro servizio o un'altra applicazione.

  • Automatico Il servizio viene avviato automaticamente dal sistema operativo.

    Lo stato di avvio viene selezionato durante l'installazione. Quando si installa un'istanza denominata, il servizio SQL ServerSQL Server Browser deve essere impostato per l'avvio automatico.

Configurazione dei servizi durante l'installazione automatica

Nella tabella seguente vengono indicati i servizi SQL ServerSQL Server configurabili durante l'installazione. Per le installazioni automatiche, è possibile usare le opzioni in un file di configurazione o al prompt dei comandi.

Nome del servizio SQL Server Opzioni per le installazioni automatiche*
MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services (In-Database)R Services (In-Database) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS

*Per altre informazioni e una sintassi di esempio per le installazioni automatiche, vedere Installazione di SQL Server 2016 dal prompt dei comandi.

*Il servizio SQL ServerSQL Server Agent viene disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express con Advanced Services.

Porte del firewall

Nella maggior parte dei casi, al momento dell'installazione iniziale, è possibile connettersi al Motore di databaseDatabase Engine mediante strumenti quali SQL Server Management StudioSQL Server Management Studio installati nello stesso computer di SQL ServerSQL Server. L'installazione di SQL ServerSQL Server non consente di aprire porte in Windows Firewall. Connessioni da altri computer potrebbero non essere possibili finché il Motore di databaseDatabase Engine non è configurato per essere in ascolto su una porta TCP e la porta appropriata non viene aperta per le connessioni in Windows Firewall. Per altre informazioni, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.

Autorizzazioni del servizio

In questa sezione vengono descritte le autorizzazioni configurate dal programma di installazione di SQL ServerSQL Server per i SID per servizio dei servizi SQL ServerSQL Server .

Configurazione e controllo di accesso del servizio

SQL Server 2017SQL Server 2017 abilita SID per servizio per ognuno dei servizi in modo da fornire isolamento e protezione avanzata dei servizi. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio. Un nome di SID per un servizio Motore di databaseDatabase Engine potrebbe ad esempio essere NT Service\MSSQL$<NomeIstanza>. Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la sicurezza dell'oggetto. Mediante una voce di controllo di accesso contenente un SID del servizio, un servizio SQL ServerSQL Server può limitare l'accesso alle proprie risorse.

Nota

In Windows 7, Windows Server 2008Windows Server 2008 R2 e versioni successive il SID per servizio può essere l'account virtuale usato dal servizio.

Per la maggior parte dei componenti, l'elenco di controllo di accesso (ACL) per l'account per servizio viene configurato direttamente da SQL ServerSQL Server , pertanto è possibile modificare l'account di servizio senza dover ripetere il processo ACL per le risorse.

Quando si installa SSASSSAS, vengono creati un SID per servizio per il servizio Analysis ServicesAnalysis Services Viene creato un gruppo locale di Windows, denominato in base al formato SQLServerMSASUser$nome_computer$nome_istanza. Al nome SID per servizio NT SERVICE\MSSQLServerOLAPService viene concessa l'appartenenza al gruppo locale di Windows e a tale gruppo vengono concesse le autorizzazioni appropriate nell'elenco ACL. Se l'account usato per avviare il servizio Analysis ServicesAnalysis Services viene modificato, tramite Gestione configurazione SQL ServerSQL Server devono essere modificate alcune autorizzazioni di Windows, ad esempio il diritto di accedere come servizio. Le autorizzazioni assegnate al gruppo locale di Windows saranno tuttavia ancora disponibili senza alcun aggiornamento, perché il SID per servizio non è stato modificato. Questo metodo consente di rinominare il servizio Analysis ServicesAnalysis Services durante gli aggiornamenti.

Durante l'installazione di SQL ServerSQL Server tramite il programma di installazione di SQL ServerSQL Server vengono creati gruppi locali di Windows per SSASSSAS e il servizio Browser SQL ServerSQL Server . Per tali servizi, in SQL ServerSQL Server viene configurato l'elenco ACL per i gruppi locali di Windows.

A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.

Privilegi e diritti di Windows

L'account assegnato per l'avvio di un servizio deve disporre delle autorizzazioni di avvio, arresto e pausa per il servizio, che verranno assegnate automaticamente dal programma di installazione di SQL ServerSQL Server . Installare innanzitutto gli strumenti di amministrazione remota del server (RSAT). Per informazioni vedere la pagina relativa agli strumenti di amministrazione remota del server per Windows 7.

Nella tabella seguente vengono mostrate le autorizzazioni richieste dal programma di installazione di SQL ServerSQL Server per i SID per servizio o per i gruppi locali di Windows usati dai componenti di SQL ServerSQL Server .

Servizio SQL ServerSQL Server Autorizzazioni concesse dal programma di installazione di SQL ServerSQL Server
Motore di database di SQL ServerSQL Server Database Engine:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\MSSQLSERVER. Istanza denominata: NT SERVICE\MSSQL$NomeIstanza.
Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Autorizzazione all'avvio del writer SQL

Autorizzazione di lettura del servizio Registro eventi

Autorizzazione di lettura del servizio RPC (Remote Procedure Call)
SQL ServerSQL Server Agent: *

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$NomeIstanza).
Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)
SSASSSAS:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita: SQLServerMSASUser$NomeComputer$MSSQLSERVER. Istanza denominata: SQLServerMSASUser$NomeComputer$NomeIstanza. Istanza di PowerPivot per SharePointPower Pivot for SharePoint: SQLServerMSASUser$NomeComputer$PowerPivot).
Accesso come servizio (SeServiceLogonRight)

Solo per tabulare:

Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaSizePrivilege)

Blocco di pagine in memoria (SeLockMemoryPrivilege) – Necessario solo se il paging è disattivato completamente.

Solo per installazioni di cluster di failover:

Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege)
SSRSSSRS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\ReportServer. Istanza denominata: NT SERVICE\$NomeIstanza).
Accesso come servizio (SeServiceLogonRight)
SSISSSIS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services non ha un processo separato per un'istanza denominata).
Accesso come servizio (SeServiceLogonRight)

Autorizzazione di scrittura sul registro eventi applicazioni

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege)
Ricerca full-text:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\MSSQLFDLauncher. Istanza denominata: NT Service\ MSSQLFDLauncher$NomeIstanza.
Accesso come servizio (SeServiceLogonRight)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)
SQL ServerSQL Server Browser:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser non dispone di un processo separato per un'istanza denominata.
Accesso come servizio (SeServiceLogonRight)
SQL ServerSQL Server VSS Writer:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita o denominata: NT Service\SQLWriter. SQL ServerSQL Server VSS Writer non usa un processo separato per un'istanza denominata.
Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie. Il programma di installazione di SQL ServerSQL Server non controlla né concede le autorizzazioni per questo servizio.
SQL ServerSQL Server Distributed Replay Controller: Accesso come servizio (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client: Accesso come servizio (SeServiceLogonRight)
Launchpad: Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

*Il servizio SQL ServerSQL Server Agent è disabilitato nelle istanze di SQL Server ExpressSQL Server Express.

Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows

Gli account del servizio di SQL ServerSQL Server devono disporre dell'accesso alle risorse. Gli elenchi di controllo di accesso sono impostati per il SID per servizio o per il gruppo locale di Windows.

Importante

Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.

Nella tabella seguente sono indicati gli elenchi di controllo di accesso impostati dal programma di installazione di SQL ServerSQL Server .

Account del servizio per File e cartelle Accesso
MSSQLSERVER Instid\MSSQL\backup Controllo completo
Instid\MSSQL\binn Lettura, Esecuzione
Instid\MSSQL\data Controllo completo
Instid\MSSQL\FTData Controllo completo
Instid\MSSQL\Install Lettura, Esecuzione
Instid\MSSQL\Log Controllo completo
Instid\MSSQL\Repldata Controllo completo
130\shared Lettura, Esecuzione
Instid\MSSQL\Template Data (solo SQL Server ExpressSQL Server Express ) Lettura
SQLServerAgent* Instid\MSSQL\binn Controllo completo
Instid\MSSQL\binn Controllo completo
Instid\MSSQL\Log Lettura, Scrittura, Eliminazione, Esecuzione
130\com Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
ServerName\EventLog Controllo completo
FTS Instid\MSSQL\FTData Controllo completo
Instid\MSSQL\FTRef Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
Instid\MSSQL\Install Lettura, Esecuzione
Instid\MSSQL\jobs Lettura, Scrittura
MSSQLServerOLAPService 130\shared\ASConfig Controllo completo
Instid\OLAP Lettura, Esecuzione
Instid\Olap\Data Controllo completo
Instid\Olap\Log Lettura, Scrittura
Instid\OLAP\Backup Lettura, Scrittura
Instid\OLAP\Temp Lettura, Scrittura
130\shared\Errordumps Lettura, Scrittura
SQLServerReportServerUser Instid\Reporting Services\Log Files Lettura, Scrittura, Eliminazione
Instid\Reporting Services\ReportServer Lettura, Esecuzione
Instid\Reportingservices\Reportserver\global.asax Controllo completo
Instid\Reportingservices\Reportserver\Reportserver.config Lettura
Instid\Reporting Services\reportManager Lettura, Esecuzione
Instid\Reporting Services\RSTempfiles Lettura, Scrittura, Esecuzione, Eliminazione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml Lettura
130\dts\binn Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
SQL ServerSQL Server Browser 130\shared\ASConfig Lettura
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
SQLWriter N/D (eseguito come sistema locale)
Utente Instid\MSSQL\binn Lettura, Esecuzione
Instid\Reporting Services\ReportServer Lettura, Esecuzione, Visualizzazione contenuto cartella
Instid\Reportingservices\Reportserver\global.asax Lettura
Instid\Reporting Services\reportManager Lettura, Esecuzione
Instid\Reporting Services\ReportManager\pages Lettura
Instid\Reporting Services\ReportManager\Styles Lettura
130\dts Lettura, Esecuzione
130\tools Lettura, Esecuzione
100\tools Lettura, Esecuzione
90\tools Lettura, Esecuzione
80\tools Lettura, Esecuzione
130\sdk Lettura
Microsoft SQL Server\130\Setup Bootstrap Lettura, Esecuzione
SQL ServerSQL Server Distributed Replay Controller <ToolsDir>\DReplayController\Log\ (directory vuota) Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\DReplayController.exe Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\{all dlls} Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\DReplayController.config Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartella
SQL ServerSQL Server Distributed Replay Client <ToolsDir>\DReplayClient\Log|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\DReplayClient.exe Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\ (tutte le dll) Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\DReplayClient.config Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartella
Launchpad %binn Lettura, Esecuzione
ExtensiblilityData Controllo completo
Log\ExtensibiltityLog Controllo completo

*Il servizio SQL ServerSQL Server Agent viene disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express con Advanced Services.

Se i file di database vengono archiviati in un percorso definito dall'utente, è necessario concedere l'accesso del SID per servizio al percorso in questione. Per altre informazioni sulla concessione di autorizzazioni del file system a un SID per servizio, vedere Configurare le autorizzazioni del file system per l'accesso al motore di database.

Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows

Potrebbe essere necessario concedere alcune autorizzazioni relative al controllo dell'accesso ad account predefiniti o ad altri account del servizio SQL ServerSQL Server . Nella tabella seguente sono inclusi gli elenchi di controllo di accesso aggiuntivi impostati dal programma di installazione di SQL ServerSQL Server .

Componente richiedente Account Risorsa Autorizzazioni
MSSQLSERVER Performance Log Users Instid\MSSQL\binn Visualizzazione contenuto cartella
Performance Monitor Users Instid\MSSQL\binn Visualizzazione contenuto cartella
Performance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll Lettura, Esecuzione
Solo Amministratore \\.\root\Microsoft\SqlServer\ServerEvents\* Controllo completo
Administrators, Sistema \tools\binn\schemas\sqlserver\2004\07\showplan Controllo completo
Utenti \tools\binn\schemas\sqlserver\2004\07\showplan Lettura, Esecuzione
Reporting ServicesReporting Services <Account del servizio Web ReportServer> <installazione>\Reporting Services\LogFiles DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Identità pool di applicazioni per Gestione report, account di ASP.NETASP.NET, Everyone <installazione>\Reporting Services\ReportManager, <installazione>\Reporting Services\ReportManager\Pages\*.*, <installazione>\Reporting Services\ReportManager\Styles\*.*, <installazione>\Reporting Services\ReportManager\webctrl_client\1_0\.\ Lettura
Identità pool di applicazioni per Gestione report <installazione>\Reporting Services\ReportManager\Pages\.\ Lettura
<Account del servizio Web ReportServer> <installazione>\Reporting Services\ReportServer Lettura
<Account del servizio Web ReportServer> <installazione>\Reporting Services\ReportServer\global.asax Full
Everyone <installazione>\Reporting Services\ReportServer\global.asax READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES
Servizio di rete <installazione>\Reporting Services\ReportServer\ReportService.asmx Full
Everyone <installazione>\Reporting Services\ReportServer\ReportService.asmx READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES
Account servizi Windows ReportServer <installazione>\Reporting Services\ReportServer\RSReportServer.config DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Everyone Chiavi del server di report (hive Instid) Richiedi valore

Enumera sottochiavi

Notifica

Controllo in lettura
Utente di Servizi terminali Chiavi del server di report (hive Instid) Richiedi valore

Imposta valore

Creazione sottochiave

Enumerazione sottochiavi

Notifica

DELETE

Controllo in lettura
Power Users Chiavi del server di report (hive Instid) Richiedi valore

Imposta valore

Creazione sottochiave

Enumera sottochiavi

Notifica

DELETE

Controllo in lettura

Si tratta dello spazio dei nomi del provider WMI.

Autorizzazioni del file system correlate a percorsi su disco non comuni

L'unità predefinita dei percorsi di installazione è systemdrive, in genere l'unità C quando vengono installati database tempdb o utente

Unità non predefinita

In caso di installazione in un'unità locale diversa dall'unità predefinita, il SID per servizio deve disporre dell'accesso al percorso dei file. L'installazione di SQL ServerSQL Server eseguirà il provisioning dell'accesso necessario.

Condivisione di rete

Quando i database vengono installati in una condivisione di rete, l'account del servizio deve disporre dell'accesso al percorso dei file dei database utente e tempdb. Il provisioning dell'accesso a una condivisione di rete viene effettuato tramite il programma di installazione di SQL ServerSQL Server. L'utente deve effettuare il provisioning dell'accesso a un percorso del database tempdb per l'account del servizio prima di eseguire l'installazione. Inoltre deve effettuare il provisioning dell'accesso al percorso del database utente prima della creazione del database.

Nota

Gli account virtuali non possono essere autenticati a un percorso remoto. Per tutti gli account virtuali viene usata l'autorizzazione dell'account del computer. Eseguire il provisioning dell'account del computer nel formato \$.

Considerazioni aggiuntive

Nella tabella seguente sono indicate le autorizzazioni necessarie per disporre di funzionalità aggiuntive dei servizi SQL ServerSQL Server .

Servizio/Applicazione Funzionalità Autorizzazione necessaria
SQL ServerSQL Server (MSSQLSERVER) Scrittura in uno slot di posta elettronica utilizzando xp_sendmail. Autorizzazioni di scrittura in rete.
SQL ServerSQL Server (MSSQLSERVER) Eseguire xp_cmdshell per un utente diverso dall'amministratore di SQL ServerSQL Server . Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo.
SQL ServerSQL Server Agent (MSSQLSERVER) Uso della funzionalità di riavvio automatico. È necessario essere membri del gruppo locale Administrators.
Ottimizzazione guidata Motore di databaseDatabase Engine Ottimizza i database per ottenere prestazioni ottimali delle query. Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo. In seguito all'inizializzazione, gli utenti dbo possono utilizzare Ottimizzazione guidata Motore di databaseDatabase Engine per ottimizzare solo le tabelle di loro proprietà. Per altre informazioni, vedere l'argomento relativo all'inizializzazione dell'Ottimizzazione guidata Motore di databaseDatabase Engine al primo utilizzo nella documentazione online di SQL ServerSQL Server .
Importante

Prima di aggiornare SQL ServerSQL Server, abilitare l'autenticazione di Windows per SQL ServerSQL Server Agent e verificare la configurazione predefinita richiesta, ovvero che l'account del servizio SQL ServerSQL Server Agent sia un membro del gruppo SQL ServerSQL Serversysadmin.

Autorizzazioni del Registro di sistema

L'hive del Registro di sistema viene creato in HKLM\Software\Microsoft\Microsoft SQL Server\ per i componenti specifici dell'istanza. Ad esempio:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

    Nel Registro di sistema viene inoltre gestito un mapping degli ID istanza ai nomi delle istanze. Il mapping degli ID istanza in base ai nomi delle istanze è gestito nel modo seguente:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMI

Tramite Strumentazione gestione Windows (WMI) deve essere possibile eseguire la connessione al Motore di databaseDatabase Engine. Per il supporto necessario, viene effettuato il provisioning del SID per servizio del provider WMI di Windows (NT SERVICE\winmgmt) nel Motore di databaseDatabase Engine.

Per il provider WMI di SQL sono necessarie le autorizzazioni seguenti:

  • Appartenenza ai ruoli predefiniti dei database db_ddladmin o db_owner nel database msdb.

  • AutorizzazioneCREATE DDL EVENT NOTIFICATION nel server.

  • AutorizzazioneCREATE TRACE EVENT NOTIFICATION nel Motore di databaseDatabase Engine.

  • AutorizzazioneVIEW ANY DATABASE a livello di server.

    L'installazione di SQL ServerSQL Server crea uno spazio dei nomi WMI di SQL e concede l'autorizzazione di lettura al SID del servizio SQL ServerSQL Server Agent.

Named Pipe

In tutte le installazioni, il programma di installazione di SQL ServerSQL Server fornisce l'accesso al Motore di database di SQL ServerSQL Server Database Engine tramite il protocollo Shared Memory, una named pipe locale.

Provisioning

In questa sezione viene descritto il provisioning degli account nei vari componenti di SQL ServerSQL Server .

Provisioning del motore di database

Gli account seguenti vengono aggiunti come account di accesso nel Motore di database di SQL ServerSQL Server Database Engine.

Entità di Windows

Durante l'installazione, tramite il programma di installazione di SQL ServerSQL Server viene richiesta la denominazione di almeno un account utente come membro del ruolo predefinito del server sysadmin .

Account SA

L'account SA è sempre presente come account di accesso del Motore di databaseDatabase Engine ed è un membro del ruolo predefinito del server sysadmin . Quando il Motore di databaseDatabase Engine viene installato usando solo l'autenticazione di Windows, ovvero quando l'autenticazione di SQL ServerSQL Server non è abilitata, l'account di accesso SA è presente ma è disabilitato. Per informazioni sull'abilitazione dell'account sa , vedere Modifica della modalità di autenticazione del server.

Account di accesso del SID per servizio SQL Server e privilegi

Il provisioning del SID per servizio del servizio SQL ServerSQL Server viene effettuato come account di accesso del Motore di databaseDatabase Engine . L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .

Account di accesso di SQL Server Agent e privilegi

Il provisioning del SID per servizio del servizio SQL ServerSQL Server Agent viene effettuato come account di accesso del Motore di databaseDatabase Engine . L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .

Gruppi di disponibilità AlwaysOnAlways On Availability Groups e istanza del cluster di failover di SQL e privilegi

Quando si installa il Motore di databaseDatabase Engine come istanza di Gruppi di disponibilità Always OnAlways On availability groups o del cluster di failover di SQL (FCI di SQL), viene effettuato il provisioning di LOCAL SYSTEM nel Motore di databaseDatabase Engine. All'account di accesso LOCAL SYSTEM vengono concesse le autorizzazioni ALTER ANY AVAILABILITY (per Gruppi di disponibilità Always OnAlways On availability groups) e VIEW SERVER STATE (per FCI di SQL).

Writer SQL e privilegi

Il provisioning del SID per servizio del servizio SQL ServerSQL Server VSS Writer viene effettuato come account di accesso del Motore di databaseDatabase Engine . L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .

WMI di SQL e privilegi

L'installazione di SQL ServerSQL Server esegue il provisioning dell'account NT SERVICE\Winmgmt come account di accesso del Motore di databaseDatabase Engine e aggiunge l'account al ruolo predefinito del server sysadmin.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato come membro del ruolo del database RSExecRole . Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).

Provisioning di SSAS

I requisiti dell'account del servizio SSASSSAS variano a seconda della modalità di distribuzione del server. Se si installa PowerPivot per SharePointPower Pivot for SharePoint, tramite il programma di installazione di SQL ServerSQL Server verrà richiesto di configurare il servizio Analysis ServicesAnalysis Services da eseguire con un account di dominio. Gli account di dominio sono necessari per supportare la funzionalità dell'account gestito compilato in SharePoint. Per questo motivo, il programma di installazione di SQL ServerSQL Server non fornisce un account del servizio predefinito, ad esempio un account virtuale, per un'installazione di PowerPivot per SharePointPower Pivot for SharePoint . Per altre informazioni sul provisioning di Power PivotPower Pivot per SharePoint, vedere Configurare gli account del servizio PowerPivot.

Per tutte le altre installazioni autonome di SSASSSAS, è possibile effettuare il provisioning del servizio da eseguire con un account di dominio, un account di sistema predefinito, un account gestito o un account virtuale. Per altre informazioni sul provisioning degli account, vedere Configurare gli account del servizio (Analysis Services).

Per le installazioni cluster, è necessario specificare un account di dominio o un account di sistema predefinito. Per i cluster di failover di SSASSSAS non sono supportati account gestiti, né account virtuali.

Per tutte le installazioni di SSASSSAS è necessario specificare un amministratore di sistema dell'istanza di Analysis ServicesAnalysis Services . Il provisioning dei privilegi di amministratore viene effettuato nel ruolo Server di Analysis Services.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato nel Motore di databaseDatabase Engine come membro del ruolo del database RSExecRole . Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).

Aggiornamento da versioni precedenti

In questa sezione sono descritte le modifiche apportate durante l'aggiornamento da una versione precedente di SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 richiede Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 o Windows 8.1. Qualsiasi versione precedente di SQL ServerSQL Server in esecuzione in una versione meno recente del sistema operativo deve disporre del sistema operativo aggiornato prima dell'aggiornamento a SQL ServerSQL Server.

  • Durante l'aggiornamento di SQL Server 2005SQL Server 2005 a SQL Server 2017SQL Server 2017, la configurazione di SQL ServerSQL Server verrà eseguita dal programma di installazione di SQL ServerSQL Server nel modo seguente.

    • Il Motore di databaseDatabase Engine viene eseguito con il contesto di sicurezza del SID per servizio. Al SID per servizio è concesso l'accesso alle cartelle file dell'istanza di SQL ServerSQL Server (ad esempio DATA) e alle chiavi del Registro di sistema di SQL ServerSQL Server .

    • Il SID per servizio del Motore di databaseDatabase Engine viene sottoposto a provisioning in Motore di databaseDatabase Engine come membro del ruolo predefinito del server sysadmin .

    • I SID per servizio vengono aggiunti ai gruppi locali di Windows di SQL ServerSQL Server , solo se SQL ServerSQL Server è un'istanza del cluster di failover.

    • Le risorse di SQL ServerSQL Server continuano a essere sottoposte a provisioning ai gruppi locali di Windows di SQL ServerSQL Server.

    • Il gruppo Windows locale per i servizi viene rinominato da SQLServer2005MSSQLUser$$ a SQLServerMSSQLUser$$. I percorsi dei file per database migrati disporranno di voci di controllo di accesso per i gruppi locali di Windows. I percorsi dei file di nuovi database disporranno di voci di controllo di accesso per il SID per servizio.

  • Durante l'aggiornamento da SQL Server 2008SQL Server 2008, tramite il programma di installazione di SQL ServerSQL Server verranno mantenute le voci di controllo di accesso per il SID per servizio SQL Server 2008SQL Server 2008 .

  • Per un'istanza del cluster di failover di SQL ServerSQL Server , verrà mantenuta la voce di controllo di accesso per l'account di dominio configurato per il servizio.

Appendice

In questa sezione sono fornite informazioni aggiuntive sui servizi SQL ServerSQL Server .

Descrizione degli account di servizio

L'account del servizio è l'account usato per avviare un servizio Windows, ad esempio il Motore di database di SQL ServerSQL Server Database Engine.

Account disponibili con qualsiasi sistema operativo

Oltre ai nuovi account del servizio gestito e account virtuali descritti precedentemente, è possibile usare gli account seguenti.

Account utente di dominio

Se tramite il servizio si deve interagire con i servizi di rete, accedere a risorse di dominio come condivisioni di file o se sono usate connessioni server collegate ad altri computer che eseguono SQL ServerSQL Server, è possibile usare un account di dominio con privilegi minimi. Molte attività tra server possono essere eseguite solo con un account utente di dominio. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.

Nota

Se si configura l'applicazione per usare un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per tale gestione. In molte applicazioni server viene usata questa strategia per migliorare la sicurezza. Tuttavia, tale strategia richiede attività complesse e amministrazione aggiuntiva. In queste distribuzioni, gli amministratori dei servizi impiegano molto tempo in attività di manutenzione quale la gestione di password del servizio e di nomi dell'entità servizio, necessari per l'autenticazione Kerberos. Inoltre, queste attività di manutenzione possono interrompere il servizio.

Account utenti locali

Se il computer non fa parte di un dominio, è consigliabile usare un account utente locale senza le autorizzazioni di amministratore di Windows.

Account Servizio locale

L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users. Questo accesso limitato permette di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati. I servizi eseguiti come account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali. L'account Servizio locale non è supportato per i servizi SQL ServerSQL Server o SQL ServerSQL Server Agent. Servizio locale non è supportato come account che esegue tali servizi, dal momento che si tratta di un servizio condiviso e qualsiasi altro servizio in esecuzione nel servizio locale deve disporre dell'accesso a SQL ServerSQL Servercome amministratore di sistema. Il nome effettivo dell'account è NT AUTHORITY\LOCAL SERVICE.

Account Servizio di rete

Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users. I servizi eseguiti con l'account Servizio di rete accedono alle risorse di rete usando le credenziali dell'account del computer nel formato \$. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.

Account di sistema locale

L'account di sistema locale è un account predefinito con privilegi molto elevati. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.

Identificazione dei servizi specifici, e non specifici, dell'istanza

I servizi specifici dell'istanza sono associati a un'istanza specifica di SQL ServerSQL Servere dispongono di hive del Registro di sistema propri. È possibile installare più copie di servizi specifici dell'istanza eseguendo il programma di installazione di SQL ServerSQL Server per ciascun componente o servizio. I servizi non specifici dell'istanza vengono condivisi tra tutte le istanze installate di SQL ServerSQL Server . Tali servizi non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere installati in modalità side-by-side.

Tra i servizi specifici dell'istanza disponibili in SQL ServerSQL Server sono inclusi i seguenti:

  • SQL ServerSQL Server

  • SQL ServerSQL Server Agent

    Il servizio SQL ServerSQL Server Agent è disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • Ricerca full-text

    Tra i servizi non specifici dell'istanza disponibili in SQL ServerSQL Server sono inclusi i seguenti:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server Browser

  • Writer SQL

    *Analysis Services in modalità integrata SharePoint viene eseguito come Power PivotPower Pivot, come una singola istanza denominata. Il nome dell'istanza è fisso. Non è possibile specificare un nome diverso. È possibile installare una sola istanza di Analysis Services in esecuzione come ' Power PivotPower Pivot' in ciascun server fisico.

Nomi dei servizi localizzati

Nella tabella seguente sono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.

Linguaggio Nome del servizio locale Nome del servizio di rete Nome del sistema locale Nome del gruppo amministrativo
Inglese

Cinese semplificato

Cinese tradizionale

Coreano

Giapponese
NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Tedesco NT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEM VORDEFINIERT\Administratoren
Francese AUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEM BUILTIN\Administrators
Italiano NT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Spagnolo NT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEM BUILTIN\Administradores
Russo NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Администраторы

Considerazioni sulla sicurezza per un'installazione di SQL Server

Percorsi dei file per le istanze predefinite e denominate di SQL Server

Installazione di Master Data Services