Configurare account di servizio e autorizzazioni di WindowsConfigure Windows Service Accounts and Permissions

Per informazioni relative alle versioni precedenti di SQL Server, vedere Configurare account di servizio e autorizzazioni di Windows.For content related to previous versions of SQL Server, see Configure Windows Service Accounts and Permissions.

Ogni servizio in SQL ServerSQL Server rappresenta un processo o un set di processi destinato a gestire l'autenticazione delle operazioni di SQL ServerSQL Server con Windows.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. Nel presente argomento viene fornita la descrizione della configurazione predefinita dei servizi disponibili in questa versione di SQL ServerSQL Servere delle opzioni di configurazione per i servizi SQL ServerSQL Server che è possibile impostare durante e dopo l'installazione di SQL ServerSQL Server .This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. Questo argomento offre informazioni dettagliate sugli account di servizio destinate agli utenti avanzati.This topic helps advanced users understand the details of the service accounts.

Con Gestione configurazione SQL ServerSQL Server è possibile configurare la maggior parte dei servizi e le relative proprietà.Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Ecco i percorsi per le ultime quattro versioni, con Windows installato nell'unità C.Here are the paths to the last four versions when Windows in installed on the C drive.

SQL ServerSQL Server 2016 2016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

Servizi installati tramite SQL ServerSQL Server Services Installed by SQL ServerSQL Server

A seconda dei componenti selezionati, durante l'installazione di SQL ServerSQL Server vengono installati i servizi seguenti:Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server Servizi di database : il servizio per il SQL ServerSQL Server relazionale di Motore di databaseDatabase Engine. SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Motore di databaseDatabase Engine. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server Agent : consente l'esecuzione di processi, il monitoraggio di SQL ServerSQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione. SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. Il servizio SQL ServerSQL Server Agent è presente ma disabilitato nelle istanze di SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services : fornisce funzionalità di elaborazione analitica in linea (OLAP) e di data mining per applicazioni di Business Intelligence. Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. Il file eseguibile è <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services : consente la gestione, l'esecuzione, la creazione, la pianificazione e il recapito di report. Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. Il file eseguibile è <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services : fornisce supporto di gestione per l'archivio pacchetti e l'esecuzione di Integration ServicesIntegration Services . Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. Il percorso del file eseguibile è <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exeThe executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser : servizio di risoluzione dei nomi che fornisce informazioni di connessione a SQL ServerSQL Server per i computer client. SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. Il percorso dell'eseguibile è c:\Programmi (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exeThe executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Ricerca full-text : consente di creare rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per fornire le funzioni di filtro e word breaking dei documenti per SQL ServerSQL Server.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • Writer SQL : consente alle applicazioni di backup e ripristino di operare nel framework del servizio Copia Shadow del volume (VSS).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller : fornisce l'orchestrazione della riproduzione della traccia tra più computer Distributed Replay Client. SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client : uno o più computer Distributed Replay Client che interagiscono con un sistema Distributed Replay Controller per la simulazione di carichi di lavoro simultanei su un'istanza del Motore di database di SQL ServerSQL Server Database Engine. SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Motore di database di SQL ServerSQL Server Database Engine.

  • Launchpad attendibile di SQL ServerSQL Server Trusted Launchpad : servizio attendibile che ospita gli eseguibili esterni forniti da Microsoft, come il runtime R installato nell'ambito di R Services (In-Database)R Services (In-Database). Launchpad attendibile di SQL ServerSQL Server Trusted Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R runtime installed as part of R Services (In-Database)R Services (In-Database). I processi satellite possono essere avviati dal processo Launchpad, ma verranno regolati a livello di risorse in base alla configurazione della istanza singola.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. Il servizio Launchpad viene eseguito con un account utente specifico e ogni processo satellite per un determinato runtime registrato erediterà l'account utente del Launchpad.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. I processi satellite vengono creati e distrutti su richiesta durante la fase di esecuzione.Satellite processes are created and destroyed on demand during execution time.

    • Motore di PolyBase per SQL Server. Offre funzionalità di query distribuite a origini dati esterne.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

    • Servizio spostamento dati di PolyBase per SQL Server. Consente lo spostamento dei dati tra SQL Server e origini dati esterne e tra i nodi SQL in gruppi di scalabilità orizzontale di PolyBase.SQL Server Polybase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

Proprietà e configurazione dei servizi Service Properties and Configuration

Gli account di avvio usati per avviare ed eseguire SQL ServerSQL Server possono essere account utenti di dominio, account utenti locali, account dei servizi gestiti, account virtualioppure account di sistema predefiniti.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Per essere avviato ed eseguito, ogni servizio in SQL ServerSQL Server deve disporre di un account di avvio configurato durante l'installazione.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

In questa sezione sono descritti gli account che possono essere configurati per avviare servizi SQL ServerSQL Server , i valori predefiniti usati dal programma di installazione di SQL ServerSQL Server , il concetto di SID per servizio, le opzioni di avvio e la configurazione del firewall.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.

Account di servizio predefiniti Default Service Accounts

Nella tabella sono vengono elencati gli account di servizio predefiniti usati dall'installazione quando si istallano tutti i componenti.The following table lists the default service accounts used by setup when installing all components. Gli account predefiniti elencati sono gli account consigliati, ad eccezione dei casi indicati.The default accounts listed are the recommended accounts, except as noted.

Server autonomo o controller di dominioStand-alone Server or Domain Controller

ComponenteComponent Windows Server 2008Windows Server 2008 Windows 7 e Windows Server 2008Windows Server 2008 R2 e versioni successiveWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Motore di databaseDatabase Engine NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SQL ServerSQL Server Agent Agent NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SSASSSAS NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SSISSSIS NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SSRSSSRS NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
Utilità di avvio FD (ricerca full-text)FD Launcher (Full-text Search) LOCAL SERVICELOCAL SERVICE Account virtualeVirtual Account
SQL ServerSQL Server Browser Browser LOCAL SERVICELOCAL SERVICE LOCAL SERVICELOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer LOCAL SYSTEMLOCAL SYSTEM LOCAL SYSTEMLOCAL SYSTEM
Advanced Analytics ExtensionsAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
Motore PolyBasePolyBase Engine NETWORK SERVICENETWORK SERVICE NETWORK SERVICENETWORK SERVICE
Servizio spostamento dati di PolyBasePolyBase Data Movement Service NETWORK SERVICENETWORK SERVICE NETWORK SERVICENETWORK SERVICE

Quando sono necessarie risorse esterne al computer SQL ServerSQL Server , MicrosoftMicrosoft consiglia di usare un account del servizio gestito, configurato con i privilegi minimi necessari.When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

Istanza del cluster di failover di SQL ServerSQL Server Failover Cluster Instance

ComponenteComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2 R2
Motore di databaseDatabase Engine nessuna.None. Fornire un account utente di dominio .Provide a domain user account. Fornire un account utente di dominio .Provide a domain user account.
SQL ServerSQL Server Agent Agent nessuna.None. Fornire un account utente di dominio .Provide a domain user account. Fornire un account utente di dominio .Provide a domain user account.
SSASSSAS nessuna.None. Fornire un account utente di dominio .Provide a domain user account. Fornire un account utente di dominio .Provide a domain user account.
SSISSSIS NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
SSRSSSRS NETWORK SERVICENETWORK SERVICE Account virtualeVirtual Account
Utilità di avvio FD (ricerca full-text)FD Launcher (Full-text Search) LOCAL SERVICELOCAL SERVICE Account virtualeVirtual Account
SQL ServerSQL Server Browser Browser LOCAL SERVICELOCAL SERVICE LOCAL SERVICELOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer LOCAL SYSTEMLOCAL SYSTEM LOCAL SYSTEMLOCAL SYSTEM

Modifica delle proprietà dell'account Changing Account Properties

Importante

  • Usare sempre strumenti SQL ServerSQL Server , ad esempio Gestione configurazione SQL ServerSQL Server , per modificare l'account usato dai servizi Motore di database di SQL ServerSQL Server Database Engine o SQL ServerSQL Server Agent oppure per modificare la password per l'account.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the Motore di database di SQL ServerSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL ServerSQL Server consente di eseguire operazioni di configurazione aggiuntive, quali l'aggiornamento dell'archivio di sicurezza locale di Windows, tramite cui viene protetta la chiave master del servizio per il Motore di databaseDatabase Engine.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Motore di databaseDatabase Engine. Altri strumenti, ad esempio Gestione controllo servizi di Windows, consentono di modificare il nome dell'account, ma non tutte le impostazioni necessarie.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
    • Per le istanze di Analysis ServicesAnalysis Services che vengono distribuite in una farm di SharePoint, usare sempre Amministrazione centrale SharePoint per modificare gli account server per le applicazioni Servizio Power PivotPower Pivot service e il Servizio Analysis ServicesAnalysis Services service.For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Servizio Power PivotPower Pivot service applications and the Servizio Analysis ServicesAnalysis Services service. Quando si usa Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'uso delle nuove informazioni sull'account.Associated settings and permissions are updated to use the new account information when you use Central Administration.
    • Per modificare le opzioni di Reporting ServicesReporting Services , usare il relativo strumento di configurazione.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

Account dei servizi gestiti, account dei servizi gestiti di gruppo e account virtuali Managed Service Accounts, Group Managed Service Accounts, and Virtual Accounts

Gli account dei servizi gestiti, gli account dei servizi gestiti di gruppo e gli account virtuali sono progettati per offrire ad applicazioni importanti, come SQL ServerSQL Server , l'isolamento dei relativi account, in modo che non sia più necessario che un amministratore amministri manualmente il nome dell'entità servizio e le credenziali per questi account.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Inoltre, grazie a questi account, la gestione a lungo termine di utenti di account di servizio, di password e di nomi SPN è più semplice.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service Accounts Managed Service Accounts

    Un account del servizio gestito è un tipo di account di dominio creato e gestito dal controller di dominio.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Viene assegnato al computer di un singolo membro per l'esecuzione di un servizioIt is assigned to a single member computer for use running a service. e la password viene gestita automaticamente dal controller di dominio.The password is managed automatically by the domain controller. Non è possibile usare un account del servizio gestito per accedere a un computer, tuttavia tale account può essere usato da un computer per l'avvio di un servizio Windows.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. Un account del servizio gestito consente di registrare un nome dell'entità servizio (SPN) con Active DirectoryAn MSA has the ability to register Service Principal Name (SPN) with the Active Directory. Un account del servizio gestito è denominato con un suffisso $ , ad esempio DOMAIN\ACCOUNTNAME$.A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. Quando si specifica un account del servizio gestito, lasciare la password vuota.When specifying a MSA, leave the password blank. Dal momento che un account del servizio gestito viene assegnato a un singolo computer, non può essere usato in nodi diversi di un cluster Windows.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Nota

    Questo tipo di account deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL ServerSQL Server per i servizi SQL ServerSQL Server .The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Account dei servizi gestiti di gruppo Group Managed Service Accounts

    Un account del servizio gestito di gruppo è un account del servizio gestito per più server.A Group Managed Service Account is an MSA for multiple servers. Windows gestisce un account del servizio per i servizi in esecuzione in un gruppo di server.Windows manages a service account for services running on a group of servers. Active Directory aggiorna automaticamente la password dell'account del servizio gestito di gruppo senza riavviare i servizi.Active Directory automatically updates the group managed service account password without restarting services. È possibile configurare servizi di SQL Server per l'uso di un'entità di account del servizio gestito di gruppo.You can configure SQL Server services to use a group managed service account principal. A partire da SQL Server 2014, SQL Server supporta gli account del servizio gestito di gruppo in Windows Server 2012 R2 e versioni successive per istanze autonome, istanze del cluster di failover e gruppi di disponibilità.Beginning with SQL Server 2014, SQL Server supports group managed service accounts on Windows Server 2012 R2 and later for standalone instances, failover cluster instances, and availability groups.

    Per usare un account del servizio gestito di gruppo per SQL Server 2014 o versioni successive, il sistema operativo deve essere Windows Server 2012 R2 o versioni successive.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. I server con Windows Server 2012 R2 richiedono l'applicazione di KB 2998082 in modo che i servizi possano accedere senza interruzioni immediatamente dopo una modifica della password.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Per altre informazioni, vedere Account dei servizi gestiti di gruppoFor more information, see Group Manged Service Accounts

    Nota

    L'account del servizio gestito di gruppo deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere usato dal programma di installazione di SQL ServerSQL Server per i servizi SQL ServerSQL Server .The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    Gli account virtuali a partire da Windows Server 2008 R2 e Windows 7 sono account locali gestiti che forniscono le funzionalità seguenti per semplificare l'amministrazione dei servizi.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. L'account virtuale è gestito automaticamente e consente di accedere alla rete in un ambiente di dominio.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Se durante l'installazione di SQL ServerSQL Server viene usato il valore predefinito per gli account di servizio, sarà usato un account virtuale con il nome dell'istanza come nome del servizio, nel formato NT SERVICE\<SERVICENAME>.If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. I servizi eseguiti come account virtuali consentono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>$.Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Quando si specifica un account virtuale per avviare SQL ServerSQL Server, lasciare vuoto il campo della password.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Se tramite l'account virtuale non è possibile registrare il nome dell'entità servizio (SPN), registrarlo manualmente.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Per altre informazioni sulla registrazione manuale di un SPN, vedere Registrazione manuale del nome SPN.For more information on registering a SPN manually, see Manual SPN Registration.

    Nota

    Non è possibile usare gli account virtuali per l'istanza del cluster di failover di SQL ServerSQL Server , poiché non dispongono dello stesso SID in ogni nodo del cluster.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    Nella tabella seguente sono elencati esempi di nomi di account virtuali.The following table lists examples of virtual account names.

    ServizioService Nome dell'account virtualeVirtual Account Name
    Istanza predefinita del servizio Motore di databaseDatabase EngineDefault instance of the Motore di databaseDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    Istanza denominata di un servizio Motore di databaseDatabase Engine denominato PAYROLLNamed instance of a Motore di databaseDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server Agent nell'istanza predefinita di SQL ServerSQL Server Agent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server Agent in un'istanza di SQL ServerSQL Server denominata PAYROLL Agent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

    Per altre informazioni sugli account dei servizi gestiti e sugli account virtuali, vedere la sezione Concetti relativi agli account dei servizi gestiti e agli account virtuali nella pagina Guida dettagliata agli account di servizio e la pagina relativa alle domande frequenti sugli account dei servizi gestiti.For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

    Nota sulla sicurezza: Eseguire sempre i servizi SQL Server usando i diritti utente di livello più basso possibile.Always run SQL Server services by using the lowest possible user rights. quando possibile, usare un account MSA o virtual account .Security Note: Eseguire sempre i servizi SQL Server usando i diritti utente di livello più basso possibile.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. In alternativa, usare un account utente con privilegi limitati o un account di dominio specifico anziché un account condiviso per i servizi SQL ServerSQL Server ,When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. assegnando account distinti ai diversi servizi SQL ServerSQL Server .Use separate accounts for different SQL ServerSQL Server services. Non concedere autorizzazioni aggiuntive all'account del servizio oppure ai gruppi di servizi di SQL ServerSQL Server .Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. Le autorizzazioni verranno concesse mediante l'appartenenza a un gruppo o direttamente a un SID del servizio, se quest'ultimo è supportato.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Avvio automatico Automatic Startup

Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:In addition to having user accounts, every service has three possible startup states that users can control:

  • Disabilitato Il servizio è installato ma non è attualmente in esecuzione.Disabled The service is installed but not currently running.

  • Manuale Il servizio è installato ma verrà avviato solo quando le relative funzionalità saranno necessarie per un altro servizio o un'altra applicazione.Manual The service is installed, but will start only when another service or application needs its functionality.

  • Automatico Il servizio viene avviato automaticamente dal sistema operativo.Automatic The service is automatically started by the operating system.

    Lo stato di avvio viene selezionato durante l'installazione.The startup state is selected during setup. Quando si installa un'istanza denominata, il servizio SQL ServerSQL Server Browser deve essere impostato per l'avvio automatico.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Configurazione dei servizi durante l'installazione automatica Configuring Services During Unattended Installation

Nella tabella seguente vengono indicati i servizi SQL ServerSQL Server configurabili durante l'installazione.The following table shows the SQL ServerSQL Server services that can be configured during installation. Per le installazioni automatiche, è possibile usare le opzioni in un file di configurazione o al prompt dei comandi.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Nome del servizio SQL ServerSQL Server service name Opzioni per le installazioni automaticheSwitches for unattended installations
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgentSQLServerAgent AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services (In-Database)R Services (In-Database) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICSEXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS
Motore PolyBasePolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

Per altre informazioni e una sintassi di esempio per le installazioni automatiche, vedere Installazione di SQL Server 2016 dal prompt dei comandi.For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

Il servizio SQL ServerSQL Server Agent viene disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express con Advanced Services.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Porte del firewall Firewall Port

Nella maggior parte dei casi, al momento dell'installazione iniziale, è possibile connettersi al Motore di databaseDatabase Engine mediante strumenti quali SQL Server Management StudioSQL Server Management Studio installati nello stesso computer di SQL ServerSQL Server.In most cases, when initially installed, the Motore di databaseDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. L'installazione di SQL ServerSQL Server non consente di aprire porte in Windows Firewall. SQL ServerSQL Server Setup does not open ports in the Windows firewall. Connessioni da altri computer potrebbero non essere possibili finché il Motore di databaseDatabase Engine non è configurato per essere in ascolto su una porta TCP e la porta appropriata non viene aperta per le connessioni in Windows Firewall.Connections from other computers may not be possible until the Motore di databaseDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Per altre informazioni, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Autorizzazioni del servizio Service Permissions

In questa sezione vengono descritte le autorizzazioni configurate dal programma di installazione di SQL ServerSQL Server per i SID per servizio dei servizi SQL ServerSQL Server .This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID’s of the SQL ServerSQL Server services.

Configurazione e controllo di accesso del servizio Service Configuration and Access Control

SQL Server 2017SQL Server 2017 abilita SID per servizio per ognuno dei servizi in modo da fornire isolamento e protezione avanzata dei servizi. enables per-service SID for each of its services to provide service isolation and defense in depth. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio.The per-service SID is derived from the service name and is unique to that service. Un nome di SID per un servizio Motore di databaseDatabase Engine potrebbe ad esempio essere NT Service\MSSQL$<NomeIstanza>.For example, a service SID name for the Motore di databaseDatabase Engine service might be NT Service\MSSQL$<InstanceName>. Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la sicurezza dell'oggetto.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Mediante una voce di controllo di accesso contenente un SID del servizio, un servizio SQL ServerSQL Server può limitare l'accesso alle proprie risorse.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Nota

In Windows 7, Windows Server 2008Windows Server 2008 R2 e versioni successive il SID per servizio può essere l'account virtuale usato dal servizio.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Per la maggior parte dei componenti, l'elenco di controllo di accesso (ACL) per l'account per servizio viene configurato direttamente da SQL ServerSQL Server , pertanto è possibile modificare l'account di servizio senza dover ripetere il processo ACL per le risorse.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

Quando si installa SSASSSAS, vengono creati un SID per servizio per il servizio Analysis ServicesAnalysis ServicesWhen installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. Viene creato un gruppo locale di Windows, denominato in base al formato SQLServerMSASUser$nome_computer$nome_istanza.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. Al nome SID per servizio NT SERVICE\MSSQLServerOLAPService viene concessa l'appartenenza al gruppo locale di Windows e a tale gruppo vengono concesse le autorizzazioni appropriate nell'elenco ACL.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Se l'account usato per avviare il servizio Analysis ServicesAnalysis Services viene modificato, tramite Gestione configurazione SQL ServerSQL Server devono essere modificate alcune autorizzazioni di Windows, ad esempio il diritto di accedere come servizio. Le autorizzazioni assegnate al gruppo locale di Windows saranno tuttavia ancora disponibili senza alcun aggiornamento, perché il SID per servizio non è stato modificato.If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Questo metodo consente di rinominare il servizio Analysis ServicesAnalysis Services durante gli aggiornamenti.This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

Durante l'installazione di SQL ServerSQL Server tramite il programma di installazione di SQL ServerSQL Server vengono creati gruppi locali di Windows per SSASSSAS e il servizio Browser SQL ServerSQL Server .During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. Per tali servizi, in SQL ServerSQL Server viene configurato l'elenco ACL per i gruppi locali di Windows.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Privilegi e diritti di Windows Windows Privileges and Rights

L'account assegnato per l'avvio di un servizio deve disporre delle autorizzazioni di avvio, arresto e pausa per il servizio,The account assigned to start a service needs the Start, stop and pause permission for the service. che verranno assegnate automaticamente dal programma di installazione di SQL ServerSQL Server .The SQL ServerSQL Server Setup program automatically assigns this. Installare innanzitutto gli strumenti di amministrazione remota del server (RSAT).First install Remote Server Administration Tools (RSAT). Per informazioni vedere la pagina relativa agli strumenti di amministrazione remota del server per Windows 7.See Remote Server Administration Tools for Windows 7.

Nella tabella seguente vengono mostrate le autorizzazioni richieste dal programma di installazione di SQL ServerSQL Server per i SID per servizio o per i gruppi locali di Windows usati dai componenti di SQL ServerSQL Server .The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

Servizio SQL ServerSQL Server SQL ServerSQL Server Service Autorizzazioni concesse dal programma di installazione di SQL ServerSQL ServerPermissions granted by SQL ServerSQL Server Setup
Motore di database di SQL ServerSQL Server Database Engine: Motore di database di SQL ServerSQL Server Database Engine:

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Istanza denominata: NT SERVICE\MSSQL$NomeIstanza.Named instance: NT SERVICE\MSSQL$InstanceName.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Autorizzazione all'avvio del writer SQLPermission to start SQL Writer

Autorizzazione di lettura del servizio Registro eventiPermission to read the Event Log service

Autorizzazione di lettura del servizio RPC (Remote Procedure Call)Permission to read the Remote Procedure Call service
SQL ServerSQL Server Agent: * SQL ServerSQL Server Agent: *

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$NomeIstanza).Named instance: NT Service\SQLAGENT$InstanceName.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS: SSASSSAS:

Tutti i diritti vengono concessi a un gruppo locale di Windows.(All rights are granted to a local Windows group. Istanza predefinita: SQLServerMSASUser$NomeComputer$MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Istanza denominata: SQLServerMSASUser$NomeComputer$NomeIstanza.Named instance: SQLServerMSASUser$ComputerName$InstanceName. PowerPivot per SharePointPower Pivot for SharePoint : SQLServerMSASUser$NomeComputer$PowerPivot). instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Solo per tabulare:For tabular only:

Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege)

Blocco di pagine in memoria (SeLockMemoryPrivilege) – Necessario solo se il paging è disattivato completamente.Lock pages in memory (SeLockMemoryPrivilege) – this is needed only when paging is turned off entirely.

Solo per installazioni di cluster di failover:For failover cluster installations only:

Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS: SSRSSSRS:

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Istanza denominata: NT SERVICE\ReportServer$NomeIstanza.)Named instance: NT SERVICE\ReportServer$InstanceName.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS: SSISSSIS:

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services non ha un processo separato per un'istanza denominata). does not have a separate process for a named instance.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Autorizzazione di scrittura sul registro eventi applicazioniPermission to write to application event log.

Ignorare controllo incrociato (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Ricerca full-text:Full-text search:

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Istanza denominata: NT Service\ MSSQLFDLauncher$NomeIstanza.Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server Browser: SQL ServerSQL Server Browser:

Tutti i diritti vengono concessi a un gruppo locale di Windows.(All rights are granted to a local Windows group. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$ComputerName.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser non dispone di un processo separato per un'istanza denominata. Browser does not have a separate process for a named instance.)
Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server VSS Writer: SQL ServerSQL Server VSS Writer:

Tutti i diritti vengono concessi al SID per servizio.(All rights are granted to the per-service SID. Istanza predefinita o denominata: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. SQL ServerSQL Server VSS Writer non usa un processo separato per un'istanza denominata. VSS Writer does not have a separate process for a named instance.)
Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. Il programma di installazione di SQL ServerSQL Server non controlla né concede le autorizzazioni per questo servizio. SQL ServerSQL Server setup does not check or grant permissions for this service.
SQL ServerSQL Server Distributed Replay Controller: SQL ServerSQL Server Distributed Replay Controller: Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client: SQL ServerSQL Server Distributed Replay Client: Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Motore PolyBase e DMSPolyBase Engine and DMS Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Launchpad:Launchpad: Accesso come servizio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R Services: SQLRUserGroupR Services: SQLRUserGroup Consenti accesso localeAllow Log on locally

Il servizio SQL ServerSQL Server Agent è disabilitato nelle istanze di SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

Gli account del servizio di SQL ServerSQL Server devono disporre dell'accesso alle risorse. SQL ServerSQL Server service accounts must have access to resources. Gli elenchi di controllo di accesso sono impostati per il SID per servizio o per il gruppo locale di Windows.Access control lists are set for the per-service SID or the local Windows group.

Importante

Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

Nella tabella seguente sono indicati gli elenchi di controllo di accesso impostati dal programma di installazione di SQL ServerSQL Server .The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Account del servizio perService account for File e cartelleFiles and folders AccessoAccess
MSSQLSERVERMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup Controllo completoFull control
Instid\MSSQL\binnInstid\MSSQL\binn Lettura, EsecuzioneRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data Controllo completoFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData Controllo completoFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Lettura, EsecuzioneRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log Controllo completoFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata Controllo completoFull control
130\shared130\shared Lettura, EsecuzioneRead, Execute
Instid\MSSQL\Template Data (solo SQL Server ExpressSQL Server Express )Instid\MSSQL\Template Data ( SQL Server ExpressSQL Server Express only) LetturaRead
SQLServerAgentSQLServerAgent Instid\MSSQL\binnInstid\MSSQL\binn Controllo completoFull control
Instid\MSSQL\binnInstid\MSSQL\binn Controllo completoFull control
Instid\MSSQL\LogInstid\MSSQL\Log Lettura, Scrittura, Eliminazione, EsecuzioneRead, Write, Delete, Execute
130\com130\com Lettura, EsecuzioneRead, Execute
130\shared130\shared Lettura, EsecuzioneRead, Execute
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
ServerName\EventLogServerName\EventLog Controllo completoFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData Controllo completoFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Lettura, EsecuzioneRead, Execute
130\shared130\shared Lettura, EsecuzioneRead, Execute
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Lettura, EsecuzioneRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Lettura, ScritturaRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig Controllo completoFull control
Instid\OLAPInstid\OLAP Lettura, EsecuzioneRead, Execute
Instid\Olap\DataInstid\Olap\Data Controllo completoFull control
Instid\Olap\LogInstid\Olap\Log Lettura, ScritturaRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Lettura, ScritturaRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Lettura, ScritturaRead, Write
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Lettura, Scrittura, EliminazioneRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lettura, EsecuzioneRead, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax Controllo completoFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config LetturaRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager Lettura, EsecuzioneRead, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Lettura, Scrittura, Esecuzione, EliminazioneRead, Write, Execute, Delete
130\shared130\shared Lettura, EsecuzioneRead, Execute
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml LetturaRead
130\dts\binn130\dts\binn Lettura, EsecuzioneRead, Execute
130\shared130\shared Lettura, EsecuzioneRead, Execute
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
SQL ServerSQL Server Browser Browser 130\shared\ASConfig130\shared\ASConfig LetturaRead
130\shared130\shared Lettura, EsecuzioneRead, Execute
130\shared\Errordumps130\shared\Errordumps Lettura, ScritturaRead, Write
SQLWriterSQLWriter N/D (eseguito come sistema locale)N/A (Runs as local system)
UtenteUser Instid\MSSQL\binnInstid\MSSQL\binn Lettura, EsecuzioneRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax LetturaRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager Lettura, EsecuzioneRead, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages LetturaRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles LetturaRead
130\dts130\dts Lettura, EsecuzioneRead, Execute
130\tools130\tools Lettura, EsecuzioneRead, Execute
100\tools100\tools Lettura, EsecuzioneRead, Execute
90\tools90\tools Lettura, EsecuzioneRead, Execute
80\tools80\tools Lettura, EsecuzioneRead, Execute
130\sdk130\sdk LetturaRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap Lettura, EsecuzioneRead, Execute
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller <ToolsDir>\DReplayController\Log\ (directory vuota)<ToolsDir>\DReplayController\Log\ (empty directory) Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources\<ToolsDir>\DReplayController\resources\ Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\{all dlls}<ToolsDir>\DReplayController\{all dlls} Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client <ToolsDir>\DReplayClient\Log\<ToolsDir>\DReplayClient\Log\ Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources\<ToolsDir>\DReplayClient\resources\ Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (all dlls)<ToolsDir>\DReplayClient\ (all dlls) Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartellaRead, Execute, List Folder Contents
LaunchpadLaunchpad %binn%binn Lettura, EsecuzioneRead, Execute
ExtensiblilityDataExtensiblilityData Controllo completoFull control
Log\ExtensibiltityLogLog\ExtensibiltityLog Controllo completoFull control

Il servizio SQL ServerSQL Server Agent viene disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express con Advanced Services.The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Se i file di database vengono archiviati in un percorso definito dall'utente, è necessario concedere l'accesso del SID per servizio al percorso in questione.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Per altre informazioni sulla concessione di autorizzazioni del file system a un SID per servizio, vedere Configurare le autorizzazioni del file system per l'accesso al motore di database.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows File System Permissions Granted to Other Windows User Accounts or Groups

Potrebbe essere necessario concedere alcune autorizzazioni relative al controllo dell'accesso ad account predefiniti o ad altri account del servizio SQL ServerSQL Server .Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. Nella tabella seguente sono inclusi gli elenchi di controllo di accesso aggiuntivi impostati dal programma di installazione di SQL ServerSQL Server .The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Componente richiedenteRequesting component AccountAccount RisorsaResource AutorizzazioniPermissions
MSSQLSERVERMSSQLServer Performance Log UsersPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Visualizzazione contenuto cartellaList folder contents
Performance Monitor UsersPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Visualizzazione contenuto cartellaList folder contents
Performance Log Users, Performance Monitor UsersPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll Lettura, EsecuzioneRead, Execute
Solo AmministratoreAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<nome_istanza_sql>\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> Controllo completoFull control
Administrators, SistemaAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Controllo completoFull control
UtentiUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Lettura, EsecuzioneRead, Execute
Reporting ServicesReporting Services <Account del servizio Web ReportServer><Report Server Web Service Account> <installazione>\Reporting Services\LogFiles<install>\Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Identità pool di applicazioni per Gestione report, account di ASP.NETASP.NET , EveryoneReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <installazione>\Reporting Services\ReportManager, <installazione>\Reporting Services\ReportManager\Pages\*.*, <installazione>\Reporting Services\ReportManager\Styles\*.*, <installazione>\Reporting Services\ReportManager\webctrl_client\1_0\.\<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\.\ LetturaRead
Identità pool di applicazioni per Gestione reportReport Manager Application pool identity <installazione>\Reporting Services\ReportManager\Pages\.\<install>\Reporting Services\ReportManager\Pages\.\ LetturaRead
<Account del servizio Web ReportServer><Report Server Web Service Account> <installazione>\Reporting Services\ReportServer<install>\Reporting Services\ReportServer LetturaRead
<Account del servizio Web ReportServer><Report Server Web Service Account> <installazione>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax CompletoFull
EveryoneEveryone <installazione>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
NETWORK SERVICENetwork service <installazione>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx CompletoFull
EveryoneEveryone <installazione>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Account servizi Windows ReportServerReportServer Windows Services Account <installazione>\Reporting Services\ReportServer\RSReportServer.config<install>\Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
EveryoneEveryone Chiavi del server di report (hive Instid)Report Server keys (Instid hive) Richiedi valoreQuery Value

Enumera sottochiaviEnumerate SubKeys

NotificaNotify

Controllo in letturaRead Control
Utente di Servizi terminaliTerminal Services User Chiavi del server di report (hive Instid)Report Server keys (Instid hive) Richiedi valoreQuery Value

Imposta valoreSet Value

Creazione sottochiaveCreate SubKey

Enumerazione sottochiaviEnumerate SubKey

NotificaNotify

DELETEDelete

Controllo in letturaRead Control
Power UsersPower Users Chiavi del server di report (hive Instid)Report Server keys (Instid hive) Richiedi valoreQuery Value

Imposta valoreSet Value

Creazione sottochiaveCreate Subkey

Enumera sottochiaviEnumerate Subkeys

NotificaNotify

DELETEDelete

Controllo in letturaRead Control

Si tratta dello spazio dei nomi del provider WMI.*This is the WMI provider namespace.

L'unità predefinita dei percorsi di installazione è systemdrive, in genere l'unità C quando vengono installati database tempdb o utenteThe default drive for locations for installation is systemdrive, normally drive C. When tempdb or user databases are installed

Unità non predefinitaNon-default Drive

In caso di installazione in un'unità locale diversa dall'unità predefinita, il SID per servizio deve disporre dell'accesso al percorso dei file.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. L'installazione di SQL ServerSQL Server eseguirà il provisioning dell'accesso necessario. SQL ServerSQL Server Setup will provision the required access.

Condivisione di reteNetwork Share

Quando i database vengono installati in una condivisione di rete, l'account del servizio deve disporre dell'accesso al percorso dei file dei database utente e tempdb.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. Il provisioning dell'accesso a una condivisione di rete viene effettuato tramite il programma di installazione di SQL ServerSQL Server . SQL ServerSQL Server Setup cannot provision access to a network share. L'utente deve effettuare il provisioning dell'accesso a un percorso del database tempdb per l'account del servizio prima di eseguire l'installazione.The user must provision access to a tempdb location for the service account before running setup. Inoltre deve effettuare il provisioning dell'accesso al percorso del database utente prima della creazione del database.The user must provision access to the user database location before creating the database.

Nota

Gli account virtuali non possono essere autenticati a un percorso remoto.Virtual accounts cannot be authenticated to a remote location. Per tutti gli account virtuali viene usata l'autorizzazione dell'account del computer.All virtual accounts use the permission of machine account. Eseguire il provisioning dell'account del computer nel formato <nome_dominio>\<nome_computer>$.Provision the machine account in the format <domain_name>\<computer_name>$.

Considerazioni aggiuntive Reviewing Additional Considerations

Nella tabella seguente sono indicate le autorizzazioni necessarie per disporre di funzionalità aggiuntive dei servizi SQL ServerSQL Server .The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Servizio/ApplicazioneService/Application FunzionalitàFunctionality Autorizzazione necessariaRequired permission
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) Scrittura in uno slot di posta elettronica utilizzando xp_sendmail.Write to a mail slot using xp_sendmail. Autorizzazioni di scrittura in rete.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) Eseguire xp_cmdshell per un utente diverso dall'amministratore di SQL ServerSQL Server .Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo.Act as part of operating system and replace a process-level token.
SQL ServerSQL Server Agent (MSSQLSERVER) Agent (MSSQLSERVER) Uso della funzionalità di riavvio automatico.Use the autorestart feature. È necessario essere membri del gruppo locale Administrators.Must be a member of the Administrators local group.
Ottimizzazione guidata Motore di databaseDatabase Engine Motore di databaseDatabase Engine Tuning Advisor Ottimizza i database per ottenere prestazioni ottimali delle query.Tunes databases for optimal query performance. Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo.On first use, a user who has system administrative credentials must initialize the application. In seguito all'inizializzazione, gli utenti dbo possono utilizzare Ottimizzazione guidata Motore di databaseDatabase Engine per ottimizzare solo le tabelle di loro proprietà.After initialization, dbo users can use the Motore di databaseDatabase Engine Tuning Advisor to tune only those tables that they own. Per altre informazioni, vedere l'argomento relativo all'inizializzazione dell'Ottimizzazione guidata Motore di databaseDatabase Engine al primo utilizzo nella documentazione online di SQL ServerSQL Server .For more information, see "Initializing Motore di databaseDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Importante

Prima di aggiornare SQL ServerSQL Server, abilitare l'autenticazione di Windows per SQL ServerSQL Server Agent e verificare la configurazione predefinita richiesta, ovvero che l'account del servizio SQL ServerSQL Server Agent sia un membro del gruppo SQL ServerSQL Serversysadmin.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

Autorizzazioni del Registro di sistema Registry Permissions

L'hive del Registro di sistema viene creato in HKLM\Software\Microsoft\Microsoft SQL Server\<ID_istanza> per i componenti specifici dell'istanza.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Ad esempio:For example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

    Nel Registro di sistema viene inoltre gestito un mapping degli ID istanza ai nomi delle istanze.The registry also maintains a mapping of instance ID to instance name. Il mapping degli ID istanza in base ai nomi delle istanze è gestito nel modo seguente:Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMI WMI

Tramite Strumentazione gestione Windows (WMI) deve essere possibile eseguire la connessione al Motore di databaseDatabase Engine.Windows Management Instrumentation (WMI) must be able to connect to the Motore di databaseDatabase Engine. Per il supporto necessario, viene effettuato il provisioning del SID per servizio del provider WMI di Windows (NT SERVICE\winmgmt) nel Motore di databaseDatabase Engine.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Motore di databaseDatabase Engine.

Per il provider WMI di SQL sono necessarie le autorizzazioni seguenti:The SQL WMI provider requires the following permissions:

  • Appartenenza ai ruoli predefiniti dei database db_ddladmin o db_owner nel database msdb.Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • AutorizzazioneCREATE DDL EVENT NOTIFICATION nel server.CREATE DDL EVENT NOTIFICATION permission in the server.

  • AutorizzazioneCREATE TRACE EVENT NOTIFICATION nel Motore di databaseDatabase Engine.CREATE TRACE EVENT NOTIFICATION permission in the Motore di databaseDatabase Engine.

  • AutorizzazioneVIEW ANY DATABASE a livello di server.VIEW ANY DATABASE server-level permission.

    L'installazione di SQL ServerSQL Server crea uno spazio dei nomi WMI di SQL e concede l'autorizzazione di lettura al SID del servizio SQL ServerSQL Server Agent. SQL ServerSQL Server setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Named Pipe Named Pipes

In tutte le installazioni, il programma di installazione di SQL ServerSQL Server fornisce l'accesso al Motore di database di SQL ServerSQL Server Database Engine tramite il protocollo Shared Memory, una named pipe locale.In all installation, SQL ServerSQL Server Setup provides access to the Motore di database di SQL ServerSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

Provisioning Provisioning

In questa sezione viene descritto il provisioning degli account nei vari componenti di SQL ServerSQL Server .This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Provisioning del motore di database Database Engine Provisioning

Gli account seguenti vengono aggiunti come account di accesso nel Motore di database di SQL ServerSQL Server Database Engine.The following accounts are added as logins in the Motore di database di SQL ServerSQL Server Database Engine.

Entità di Windows Windows Principals

Durante l'installazione, tramite il programma di installazione di SQL ServerSQL Server viene richiesta la denominazione di almeno un account utente come membro del ruolo predefinito del server sysadmin .During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

Account SA sa Account

L'account SA è sempre presente come account di accesso del Motore di databaseDatabase Engine ed è un membro del ruolo predefinito del server sysadmin .The sa account is always present as a Motore di databaseDatabase Engine login and is a member of the sysadmin fixed server role. Quando il Motore di databaseDatabase Engine viene installato usando solo l'autenticazione di Windows, ovvero quando l'autenticazione di SQL ServerSQL Server non è abilitata, l'account di accesso SA è presente ma è disabilitato.When the Motore di databaseDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. Per informazioni sull'abilitazione dell'account sa , vedere Modifica della modalità di autenticazione del server.For information about enabling the sa account, see Change Server Authentication Mode.

Account di accesso del SID per servizio SQL Server e privilegi SQL Server Per-service SID Login and Privileges

Il provisioning del SID per servizio del servizio SQL ServerSQL Server viene effettuato come account di accesso del Motore di databaseDatabase Engine .The per-service SID of the SQL ServerSQL Server service is provisioned as a Motore di databaseDatabase Engine login. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Account di accesso di SQL Server Agent e privilegi SQL Server Agent Login and Privileges

Il provisioning del SID per servizio del servizio SQL ServerSQL Server Agent viene effettuato come account di accesso del Motore di databaseDatabase Engine .The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Motore di databaseDatabase Engine login. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Gruppi di disponibilità AlwaysOnAlways On Availability Groups e istanza del cluster di failover di SQL e privilegi Gruppi di disponibilità AlwaysOnAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

Quando si installa il Motore di databaseDatabase Engine come istanza di Gruppi di disponibilità Always OnAlways On availability groups o del cluster di failover di SQL (FCI di SQL), viene effettuato il provisioning di LOCAL SYSTEM nel Motore di databaseDatabase Engine.When installing the Motore di databaseDatabase Engine as a Gruppi di disponibilità Always OnAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Motore di databaseDatabase Engine. All'account di accesso LOCAL SYSTEM vengono concesse le autorizzazioni ALTER ANY AVAILABILITY (per Gruppi di disponibilità Always OnAlways On availability groups) e VIEW SERVER STATE (per FCI di SQL).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Gruppi di disponibilità Always OnAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

Writer SQL e privilegi SQL Writer and Privileges

Il provisioning del SID per servizio del servizio SQL ServerSQL Server VSS Writer viene effettuato come account di accesso del Motore di databaseDatabase Engine .The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Motore di databaseDatabase Engine login. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

WMI di SQL e privilegi SQL WMI and Privileges

L'installazione di SQL ServerSQL Server esegue il provisioning dell'account NT SERVICE\Winmgmt come account di accesso del Motore di databaseDatabase Engine e aggiunge l'account al ruolo predefinito del server sysadmin . SQL ServerSQL Server Setup provisions the NT SERVICE\Winmgmt account as a Motore di databaseDatabase Engine login and adds it to the sysadmin fixed server role.

Provisioning di SSRSSSRS Provisioning

Il provisioning dell'account specificato durante l'installazione viene effettuato come membro del ruolo del database RSExecRole .The account specified during setup is provisioned as a member of the RSExecRole database role. Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Provisioning di SSAS SSAS Provisioning

I requisiti dell'account del servizio SSASSSAS variano a seconda della modalità di distribuzione del server. SSASSSAS service account requirements vary depending on how you deploy the server. Se si installa PowerPivot per SharePointPower Pivot for SharePoint, tramite il programma di installazione di SQL ServerSQL Server verrà richiesto di configurare il servizio Analysis ServicesAnalysis Services da eseguire con un account di dominio.If you are installing PowerPivot per SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. Gli account di dominio sono necessari per supportare la funzionalità dell'account gestito compilato in SharePoint.Domain accounts are required to support the managed account facility that is built into SharePoint. Per questo motivo, il programma di installazione di SQL ServerSQL Server non fornisce un account del servizio predefinito, ad esempio un account virtuale, per un'installazione di PowerPivot per SharePointPower Pivot for SharePoint .For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a PowerPivot per SharePointPower Pivot for SharePoint installation. Per altre informazioni sul provisioning di Power PivotPower Pivot per SharePoint, vedere Configurare gli account del servizio PowerPivot.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

Per tutte le altre installazioni autonome di SSASSSAS, è possibile effettuare il provisioning del servizio da eseguire con un account di dominio, un account di sistema predefinito, un account gestito o un account virtuale.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Per altre informazioni sul provisioning degli account, vedere Configurare gli account del servizio (Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Per le installazioni cluster, è necessario specificare un account di dominio o un account di sistema predefinito.For clustered installations, you must specify a domain account or a built-in system account. Per i cluster di failover di SSASSSAS non sono supportati account gestiti, né account virtuali.Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

Per tutte le installazioni di SSASSSAS è necessario specificare un amministratore di sistema dell'istanza di Analysis ServicesAnalysis Services .All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. Il provisioning dei privilegi di amministratore viene effettuato nel ruolo Server di Analysis Services.Administrator privileges are provisioned in the Analysis Services Server role.

Provisioning di SSRS SSRS Provisioning

Il provisioning dell'account specificato durante l'installazione viene effettuato nel Motore di databaseDatabase Engine come membro del ruolo del database RSExecRole .The account specified during setup is provisioned in the Motore di databaseDatabase Engine as a member of the RSExecRole database role. Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Aggiornamento da versioni precedenti Upgrading From Previous Versions

In questa sezione sono descritte le modifiche apportate durante l'aggiornamento da una versione precedente di SQL ServerSQL Server.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 richiede Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 o Windows 8.1. requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Qualsiasi versione precedente di SQL ServerSQL Server in esecuzione in una versione meno recente del sistema operativo deve disporre del sistema operativo aggiornato prima dell'aggiornamento a SQL ServerSQL Server.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Durante l'aggiornamento di SQL Server 2005SQL Server 2005 a SQL Server 2017SQL Server 2017, la configurazione di SQL ServerSQL Server verrà eseguita dal programma di installazione di SQL ServerSQL Server nel modo seguente.During upgrade of SQL Server 2005SQL Server 2005 to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • Il Motore di databaseDatabase Engine viene eseguito con il contesto di sicurezza del SID per servizio.The Motore di databaseDatabase Engine runs with the security context of the per-service SID. Al SID per servizio è concesso l'accesso alle cartelle file dell'istanza di SQL ServerSQL Server (ad esempio DATA) e alle chiavi del Registro di sistema di SQL ServerSQL Server .The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • Il SID per servizio del Motore di databaseDatabase Engine viene sottoposto a provisioning in Motore di databaseDatabase Engine come membro del ruolo predefinito del server sysadmin .The per-service SID of the Motore di databaseDatabase Engine is provisioned in the Motore di databaseDatabase Engine as a member of the sysadmin fixed server role.

    • I SID per servizio vengono aggiunti ai gruppi locali di Windows di SQL ServerSQL Server , solo se SQL ServerSQL Server è un'istanza del cluster di failover.The per-service SID’s are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • Le risorse di SQL ServerSQL Server continuano a essere sottoposte a provisioning ai gruppi locali di Windows di SQL ServerSQL Server.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • Il gruppo Windows locale per i servizi viene rinominato da SQLServer2005MSSQLUser$<nome_computer>$<nome_istanza> a SQLServerMSSQLUser$<nome_computer>$<nome_istanza>.The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. I percorsi dei file per database migrati disporranno di voci di controllo di accesso per i gruppi locali di Windows.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. I percorsi dei file di nuovi database disporranno di voci di controllo di accesso per il SID per servizio.The file locations for new databases will have ACE’s for the per-service SID.

  • Durante l'aggiornamento da SQL Server 2008SQL Server 2008, tramite il programma di installazione di SQL ServerSQL Server verranno mantenute le voci di controllo di accesso per il SID per servizio SQL Server 2008SQL Server 2008 .During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE’s for the SQL Server 2008SQL Server 2008 per-service SID.

  • Per un'istanza del cluster di failover di SQL ServerSQL Server , verrà mantenuta la voce di controllo di accesso per l'account di dominio configurato per il servizio.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

Appendice Appendix

In questa sezione sono fornite informazioni aggiuntive sui servizi SQL ServerSQL Server .This section contains additional information about SQL ServerSQL Server services.

Descrizione degli account di servizio Description of Service Accounts

L'account del servizio è l'account usato per avviare un servizio Windows, ad esempio il Motore di database di SQL ServerSQL Server Database Engine.The service account is the account used to start a Windows service, such as the Motore di database di SQL ServerSQL Server Database Engine.

Account disponibili con qualsiasi sistema operativo Accounts Available With Any Operating System

Oltre ai nuovi account del servizio gestito e account virtuali descritti precedentemente, è possibile usare gli account seguenti.In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

Account utente di dominio Domain User Account

Se tramite il servizio si deve interagire con i servizi di rete, accedere a risorse di dominio come condivisioni di file o se sono usate connessioni server collegate ad altri computer che eseguono SQL ServerSQL Server, è possibile usare un account di dominio con privilegi minimi.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. Molte attività tra server possono essere eseguite solo con un account utente di dominio.Many server-to-server activities can be performed only with a domain user account. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.This account should be pre-created by domain administration in your environment.

Nota

Se si configura l'applicazione per usare un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per tale gestione.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. In molte applicazioni server viene usata questa strategia per migliorare la sicurezza. Tuttavia, tale strategia richiede attività complesse e amministrazione aggiuntiva.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. In queste distribuzioni, gli amministratori dei servizi impiegano molto tempo in attività di manutenzione quale la gestione di password del servizio e di nomi dell'entità servizio, necessari per l'autenticazione Kerberos.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. Inoltre, queste attività di manutenzione possono interrompere il servizio.In addition, these maintenance tasks can disrupt service.

Local User Accounts Local User Accounts

Se il computer non fa parte di un dominio, è consigliabile usare un account utente locale senza le autorizzazioni di amministratore di Windows.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Account Servizio locale Local Service Account

L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Questo accesso limitato permette di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati.This limited access helps safeguard the system if individual services or processes are compromised. I servizi eseguiti come account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali.Services that run as the Local Service account access network resources as a null session without credentials. L'account Servizio locale non è supportato per i servizi SQL ServerSQL Server o SQL ServerSQL Server Agent.Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. Servizio locale non è supportato come account che esegue tali servizi, dal momento che si tratta di un servizio condiviso e qualsiasi altro servizio in esecuzione nel servizio locale deve disporre dell'accesso a SQL ServerSQL Servercome amministratore di sistema.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. Il nome effettivo dell'account è NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Account Servizio di rete Network Service Account

Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. I servizi eseguiti con l'account Servizio di rete accedono alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>$.Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Account di sistema locale Local System Account

L'account di sistema locale è un account predefinito con privilegi molto elevati.Local System is a very high-privileged built-in account. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete.It has extensive privileges on the local system and acts as the computer on the network. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Identificazione dei servizi specifici, e non specifici, dell'istanza Identifying Instance-Aware and Instance-Unaware Services

I servizi specifici dell'istanza sono associati a un'istanza specifica di SQL ServerSQL Servere dispongono di hive del Registro di sistema propri.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. È possibile installare più copie di servizi specifici dell'istanza eseguendo il programma di installazione di SQL ServerSQL Server per ciascun componente o servizio.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. I servizi non specifici dell'istanza vengono condivisi tra tutte le istanze installate di SQL ServerSQL Server .Instance-unaware services are shared among all installed SQL ServerSQL Server instances. Tali servizi non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere installati in modalità side-by-side.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Tra i servizi specifici dell'istanza disponibili in SQL ServerSQL Server sono inclusi i seguenti:Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server Agent Agent

    Il servizio SQL ServerSQL Server Agent è disabilitato nelle istanze di SQL Server ExpressSQL Server Express e SQL Server ExpressSQL Server Express with Advanced Services.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • Ricerca full-textFull-text search

    Tra i servizi non specifici dell'istanza disponibili in SQL ServerSQL Server sono inclusi i seguenti:Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server Browser Browser

  • Writer SQLSQL Writer

    Analysis Services in modalità integrata SharePoint viene eseguito come Power PivotPower Pivot, come una singola istanza denominata.Analysis Services in SharePoint integrated mode runs as ' Power PivotPower Pivot' as a single, named instance. Il nome dell'istanza è fisso.The instance name is fixed. Non è possibile specificare un nome diverso.You cannot specify a different name. È possibile installare una sola istanza di Analysis Services in esecuzione come ' Power PivotPower Pivot' in ciascun server fisico.You can install only one instance of Analysis Services running as ' Power PivotPower Pivot' on each physical server.

Nomi dei servizi localizzati Localized Service Names

Nella tabella seguente sono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.The following table shows service names that are displayed by localized versions of Windows.

LinguaggioLanguage Nome del servizio localeName for Local Service Nome del servizio di reteName for Network Service Nome del sistema localeName for Local System Nome del gruppo amministrativoName for Admin Group
IngleseEnglish

Cinese semplificatoSimplified Chinese

Cinese tradizionaleTraditional Chinese

CoreanoKorean

GiapponeseJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
TedescoGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FranceseFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ItalianoItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
SpagnoloSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RussoRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\АдминистраторыBUILTIN\Администраторы

Considerazioni sulla sicurezza per un'installazione di SQL ServerSecurity Considerations for a SQL Server Installation

Percorsi dei file per le istanze predefinite e denominate di SQL ServerFile Locations for Default and Named Instances of SQL Server

Installazione di Master Data ServicesInstall Master Data Services