Configurare account di servizio e autorizzazioni di Windows

Si applica a: sìSQL Server (tutte le versioni supportate)

Ogni servizio in SQL Server rappresenta un processo o un set di processi per gestire l'autenticazione SQL Server operazioni con Windows. Questo argomento descrive la configurazione predefinita dei servizi in questa versione di SQL Server e le opzioni di configurazione per i servizi SQL Server che è possibile impostare durante e dopo l SQL Server installazione. Questo argomento offre informazioni dettagliate sugli account di servizio destinate agli utenti avanzati.

La maggior parte dei servizi e delle relative proprietà può essere configurata usando Gestione configurazione SQL Server. Ecco i percorsi per le ultime quattro versioni, con Windows installato nell'unità C.

Versione di SQL Server Path
SQL Server 2019 C:\Windows\SysWOW64\SQLServerManager15.msc
SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.msc
SQL Server 2016 C:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc

Servizi installati da SQL Server

A seconda dei componenti che si decide di installare, SQL Server installazione installa i servizi seguenti:

  • SQL Server Database Services: servizio per l'SQL Server Motore di database relazionale. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL Server Agent: esegue processi, monitora SQL Server, genera avvisi e abilita l'automazione di alcune attività amministrative. Il SQL Server Agent è presente ma disabilitato nelle istanze di SQL Server Express . Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis Services : offre funzionalità OLAP (Online Analytical Processing) e di data mining per applicazioni di business intelligence. Il file eseguibile è <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting Services : gestisce, esegue, crea, pianifica e recapita i report. Il file eseguibile è <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration Services : fornisce supporto di gestione per l'archivio pacchetti e l'esecuzione di Integration Services. Il percorso del file eseguibile è <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

    Integration Services può includere servizi aggiuntivi per le distribuzioni con scalabilità orizzontale. Per altre informazioni, vedere Procedura dettagliata: Installare Integration Services (SSIS) Scale Out.

  • SQL Server Browser: servizio di risoluzione dei nomi che fornisce SQL Server di connessione per i computer client. Il percorso dell'eseguibile è c:\Programmi (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Ricerca full-text: consente di creare rapidamente indici full-text sul contenuto e sulle proprietà dei dati strutturati e semistrutturati per fornire il filtro dei documenti e l'interruzione delle parole per SQL Server.

  • Writer SQL : consente alle applicazioni di backup e ripristino di operare nel framework del servizio Copia Shadow del volume (VSS).

  • SQL Server Riesecuzione distribuita controller: fornisce l'orchestrazione della riproduzione della traccia in Riesecuzione distribuita computer client.

  • SQL Server Riesecuzione distribuita client: uno o più Riesecuzione distribuita client che lavorano insieme a un controller Riesecuzione distribuita per simulare carichi di lavoro simultanei in un'istanza di Motore di database di SQL Server .

  • Launchpad di SQL Server : servizio attendibile che ospita gli eseguibili esterni forniti da Microsoft, come i runtime R o Python installati nell'ambito di R Services o Machine Learning Services. I processi satellite possono essere avviati dal processo Launchpad, ma sono disciplinati dalle risorse in base alla configurazione della singola istanza. Il servizio Launchpad viene eseguito con il proprio account utente e ogni processo satellite per un runtime registrato specifico eredita l'account utente della finestra di avvio. I processi satellite vengono creati e distrutti su richiesta durante la fase di esecuzione.

    Launchpad non può creare gli account usati se si installa SQL Server in un computer usato anche come controller di dominio. Pertanto, la configurazione di R Services (In-Database) o Machine Learning Services (In-Database) non riesce in un controller di dominio.

  • Motore di PolyBase per SQL Server. Offre funzionalità di query distribuite a origini dati esterne.

  • SQL Server PolyBase Data Movement Service. Consente lo spostamento dei dati tra SQL Server e origini dati esterne e tra i nodi SQL in gruppi di scalabilità orizzontale di PolyBase.

Servizi di Analisi utilizzo software installati da SQL Server

Il servizio Analisi utilizzo software (Analisi utilizzo software) invia i dati di telemetria a Microsoft.

A seconda dei componenti che si decide di installare, SQL Server installazione dei servizi di Analisi utilizzo software seguenti:

  • SQLTELEMETRY: Analisi utilizzo software che invia i dati di telemetria del motore di database a Microsoft.
  • SSASTELEMETRY: Analisi utilizzo software che invia i dati di telemetria SSAS a Microsoft.
  • SSISTELEMETRY: Analisi utilizzo software che invia i dati di telemetria SSIS a Microsoft.

Proprietà e configurazione dei servizi

Gli account di avvio usati per avviare ed eseguire SQL Server possono essere account utente di dominio,account utente locali,account del servizio gestito,account virtuali o account di sistema predefiniti. Per avviare ed eseguire, ogni servizio in SQL Server deve avere un account di avvio configurato durante l'installazione.

Questa sezione descrive gli account che è possibile configurare per avviare i servizi SQL Server, i valori predefiniti usati dal programma di installazione di SQL Server, il concetto di SID per servizio, le opzioni di avvio e la configurazione del firewall.

Account di servizio predefiniti

Nella tabella sono vengono elencati gli account di servizio predefiniti usati dall'installazione quando si istallano tutti i componenti. Gli account predefiniti elencati sono gli account consigliati, ad eccezione dei casi indicati.

Server autonomo o controller di dominio

Componente Windows Server 2008 Windows 7 e Windows Server 2008 R2 e versioni successive
Motore di database NETWORK SERVICE Account virtuale*
SQL Server Agent NETWORK SERVICE Account virtuale*
SSAS NETWORK SERVICE Account virtuale* **
SSIS NETWORK SERVICE Account virtuale*
SSRS NETWORK SERVICE Account virtuale*
SQL Server Riesecuzione distribuita controller NETWORK SERVICE Account virtuale*
SQL Server Riesecuzione distribuita Client NETWORK SERVICE Account virtuale*
Utilità di avvio FD (ricerca full-text) LOCAL SERVICE Account virtuale
SQL Server Browser LOCAL SERVICE LOCAL SERVICE
SQL Server VSS Writer LOCAL SYSTEM LOCAL SYSTEM
Advanced Analytics Extensions NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad
Motore PolyBase NETWORK SERVICE NETWORK SERVICE
Servizio spostamento dati di PolyBase NETWORK SERVICE NETWORK SERVICE

*Quando sono necessarie risorse esterne SQL Server computer, consiglia di usare un account del servizio gestito configurato con i Microsoft privilegi minimi necessari. ** Se installato in un controller di dominio, non è supportato un account virtuale come account del servizio.

Istanza del cluster di failover di SQL Server

Componente Windows Server 2008 Windows Server 2008 R2
Motore di database No. Fornire un account utente di dominio . Fornire un account utente di dominio .
SQL Server Agent No. Fornire un account utente di dominio . Fornire un account utente di dominio .
SSAS No. Fornire un account utente di dominio . Fornire un account utente di dominio .
SSIS NETWORK SERVICE Account virtuale
SSRS NETWORK SERVICE Account virtuale
Utilità di avvio FD (ricerca full-text) LOCAL SERVICE Account virtuale
SQL Server Browser LOCAL SERVICE LOCAL SERVICE
SQL Server VSS Writer LOCAL SYSTEM LOCAL SYSTEM

Modifica delle proprietà dell'account

Importante

  • Usare sempre SQL Server, ad esempio Gestione configurazione SQL Server, per modificare l'account usato dai servizi SQL Server Agent o per modificare la Motore di database di SQL Server password per l'account. Oltre a modificare il nome dell'account, Gestione configurazione SQL Server configurazione aggiuntiva, ad esempio l'aggiornamento dell'archivio sicurezza locale di Windows che protegge la chiave master del servizio per Motore di database . Altri strumenti, ad esempio Gestione controllo servizi Windows, possono modificare il nome dell'account, ma non tutte le impostazioni necessarie.
  • Per le istanze di Analysis Services che vengono distribuite in una farm di SharePoint, usare sempre Amministrazione centrale SharePoint per modificare gli account server per le applicazioni Servizio Power Pivot e il Servizio Analysis Services. Quando si usa Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'uso delle nuove informazioni sull'account.
  • Per modificare le opzioni di Reporting Services , usare il relativo strumento di configurazione.

Account del servizio gestito, Group-Managed account del servizio e account virtuali

Gli account del servizio gestito, gli account del servizio gestiti dal gruppo e gli account virtuali sono progettati per fornire applicazioni cruciali, ad esempio SQL Server, con l'isolamento dei propri account, eliminando la necessità che un amministratore amministra manualmente il nome dell'entità servizio (SPN) e le credenziali per questi account. In questo modo è molto più semplice la gestione a lungo termine di utenti, password e nomi SPN dell'account di servizio.

  • Account del servizio gestiti

    Un account del servizio gestito è un tipo di account di dominio creato e gestito dal controller di dominio. Viene assegnato al computer di un singolo membro per l'esecuzione di un servizio e la password viene gestita automaticamente dal controller di dominio. Non è possibile usare un account del servizio msa per accedere a un computer, ma un computer può usare un account del servizio microsoft per avviare un servizio Windows. Un account del servizio gestito ha la capacità di registrare un nome dell'entità servizio (SPN) in Active Directory Domain Services date le autorizzazioni servicePrincipalName di lettura e scrittura. Un amministratore di sistema è denominato con un $ suffisso, ad esempio DOMAIN\ACCOUNTNAME$. Quando si specifica un account del servizio di gestione, lasciare vuota la password. Poiché un amministratore di sistema viene assegnato a un singolo computer, non può essere usato in nodi diversi di un cluster Windows.

    Nota

    L'amministratore del dominio deve essere creato in Active Directory dall'amministratore di dominio prima che SQL Server programma di installazione possa usarlo per SQL Server servizi.

  • Account del servizio gestito dal gruppo

    Un Group-Managed account del servizio clienti (gMSA) è un account del servizio microsoft per più server. Windows gestisce un account del servizio per i servizi in esecuzione in un gruppo di server. Active Directory aggiorna automaticamente la password dell'account del servizio gestito dal gruppo senza riavviare i servizi. È possibile configurare i SQL Server per l'uso di un'entità account del servizio gestita dal gruppo. A partire da SQL Server 2014, SQL Server supporta gli account del servizio gestiti dal gruppo per le istanze autonome e SQL Server 2016 e versioni successive per le istanze del cluster di failover e i gruppi di disponibilità.

    Per usare un account del servizio gestito di gruppo per SQL Server 2014 o versioni successive, il sistema operativo deve essere Windows Server 2012 R2 o versioni successive. I server con Windows Server 2012 R2 richiedono l'applicazione di KB 2998082 in modo che i servizi possano accedere senza interruzioni immediatamente dopo una modifica della password.

    Per altre informazioni, vedere Group Managed Service Accounts (Account del servizio gestito di gruppo)

    Nota

    L'account del servizio gestione del gruppo deve essere creato in Active Directory dall'amministratore di dominio prima SQL Server programma di installazione possa usarlo per SQL Server servizi.

  • Virtual Accounts

    Gli account virtuali a partire da Windows Server 2008 R2 e Windows 7 sono account locali gestiti che forniscono le funzionalità seguenti per semplificare l'amministrazione dei servizi. L'account virtuale è gestito automaticamente e consente di accedere alla rete in un ambiente di dominio. Se il valore predefinito viene usato per gli account del servizio durante l'installazione SQL Server, viene usato un account virtuale che usa il nome dell'istanza come nome del servizio, nel formato NT SERVICE \ <SERVICENAME> . I servizi eseguiti come account virtuali consentono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio> \ <nome_computer> $ . Quando si specifica un account virtuale per avviare SQL Server, lasciare vuota la password. Se tramite l'account virtuale non è possibile registrare il nome dell'entità servizio (SPN), registrarlo manualmente. Per altre informazioni sulla registrazione manuale di un nome SPN, vedere Registrazione manuale del nome SPN.

    Nota

    Gli account virtuali non possono essere usati per SQL Server cluster di failover, perché l'account virtuale non avrebbe lo stesso SID in ogni nodo del cluster.

    Nella tabella seguente sono elencati esempi di nomi di account virtuali.

    Service Nome dell'account virtuale
    Istanza predefinita del servizio Motore di database NT SERVICE\MSSQLSERVER
    Istanza denominata di un servizio Motore di database denominato PAYROLL NT SERVICE\MSSQL$PAYROLL
    SQL Server Agent nell'istanza predefinita di SQL Server NT SERVICE\SQLSERVERAGENT
    SQL Server Agent in un'istanza di SQL Server denominata PAYROLL NT SERVICE\SQLAGENT$PAYROLL

Per altre informazioni sugli account dei servizi gestiti e sugli account virtuali, vedere la sezione Concetti relativi agli account dei servizi gestiti e agli account virtuali nella pagina Guida dettagliata agli account di servizio e la pagina relativa alle domande frequenti sugli account dei servizi gestiti.

Nota

Eseguire sempre i servizi SQL Server usando i diritti utente di livello più basso possibile. Usare un account msa, gMSA o virtuale, quando possibile. Quando non è possibile usare un account utente o un account di dominio con privilegi minimi specifico, gMSA e account virtuali anziché un account condiviso per i SQL Server servizi. Usare account separati per servizi SQL Server diversi. Non concedere autorizzazioni aggiuntive all'account SQL Server o ai gruppi di servizi. Le autorizzazioni vengono concesse tramite l'appartenenza a gruppi o concesse direttamente a un SID del servizio, in cui è supportato un SID del servizio.

Avvio automatico

Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:

  • Disabilitato Il servizio è installato ma non è attualmente in esecuzione.
  • Manuale Il servizio viene installato, ma viene avviato solo quando un altro servizio o un'altra applicazione ne richiede la funzionalità.
  • Automatico Il servizio viene avviato automaticamente dal sistema operativo.

Lo stato di avvio viene selezionato durante l'installazione. Quando si installa un'istanza denominata, il SQL Server Browser deve essere impostato per l'avvio automatico.

Configurazione dei servizi durante l'installazione automatica

La tabella seguente illustra i SQL Server che possono essere configurati durante l'installazione. Per le installazioni automatiche, è possibile usare le opzioni in un file di configurazione o al prompt dei comandi.

Nome del servizio SQL Server Opzioni per le installazioni automatiche*
MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Riesecuzione distribuita controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL Server Riesecuzione distribuita Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services o Machine Learning Services EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***
Motore PolyBase PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

*Per altre informazioni e una sintassi di esempio per le installazioni automatiche, vedere Installazione di SQL Server 2016 dal prompt dei comandi.

**Il SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Servizi avanzati.

***L'impostazione dell'account per Launchpad tramite i soli commutatori non è attualmente supportata. Per modificare l'account e altre impostazioni del servizio, usare Gestione configurazione SQL Server.

Porte del firewall

Nella maggior parte dei casi, quando è installato inizialmente, può essere connesso a da strumenti come installati nello stesso Motore di database SQL Server Management Studio computer SQL Server. SQL Server il programma di installazione non apre le porte in Windows Firewall. Connessioni da altri computer potrebbero non essere possibili finché il Motore di database non è configurato per essere in ascolto su una porta TCP e la porta appropriata non viene aperta per le connessioni in Windows Firewall. Per altre informazioni, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.

Autorizzazioni del servizio

In questa sezione vengono descritte le SQL Server configurate dal programma di installazione per i SID per servizio dei SQL Server servizi.

Configurazione e controllo di accesso del servizio

SQL Server il SID per servizio per ognuno dei servizi consente di fornire in modo approfondito l'isolamento e la difesa del servizio. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio. Un nome di SID per servizio per un'istanza denominata del servizio Motore di database potrebbe essere ad esempio NT Service\MSSQL$ <InstanceName> . Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la sicurezza dell'oggetto. Usando una voce di controllo di accesso che contiene un SID del servizio, un SQL Server può limitare l'accesso alle relative risorse.

Nota

In Windows 7, Windows Server 2008 R2 e versioni successive il SID per servizio può essere l'account virtuale usato dal servizio.

Per la maggior parte SQL Server configura direttamente l'ACL per l'account per servizio, quindi la modifica dell'account del servizio può essere eseguita senza dover ripetere il processo ACL della risorsa.

Quando si installa SSAS, vengono creati un SID per servizio per il servizio Analysis Services Viene creato un gruppo locale di Windows, denominato in base al formato SQLServerMSASUser$ nome_computer $ nome_istanza. Al nome SID per servizio NT SERVICE\MSSQLServerOLAPService viene concessa l'appartenenza al gruppo locale di Windows e a tale gruppo vengono concesse le autorizzazioni appropriate nell'elenco ACL. Se l'account usato per avviare il servizio viene modificato, Gestione configurazione SQL Server deve modificare alcune autorizzazioni di Windows (ad esempio il diritto di accedere come servizio), ma le autorizzazioni assegnate al gruppo di Windows locale sono ancora disponibili senza alcun aggiornamento, perché il SID per servizio non è stato Analysis Services modificato. Questo metodo consente di rinominare il servizio Analysis Services durante gli aggiornamenti.

Durante l SQL Server installazione, SQL Server viene creato un gruppo di Windows locale per SSAS e il SQL Server Browser locale. Per questi servizi, SQL Server l'elenco di controllo di accesso per i gruppi di Windows locali.

A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.

Privilegi e diritti di Windows

L'account assegnato per l'avvio di un servizio deve disporre delle autorizzazioni di avvio, arresto e pausa per il servizio, Il SQL Server setup lo assegna automaticamente. Installare innanzitutto gli strumenti di amministrazione remota del server (RSAT). Vedere la pagina relativa agli strumenti di amministrazione remota del server per Windows 10.

La tabella seguente illustra le autorizzazioni che SQL Server richieste di installazione per i SID per servizio o i gruppi di Windows locali usati SQL Server componenti.

Servizio di SQL Server Autorizzazioni concesse dal programma SQL Server installazione
Motore di database di SQL Server:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\MSSQLSERVER. Istanza denominata: NT Service\MSSQLServer$ InstanceName.)
Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Autorizzazione all'avvio del writer SQL

Autorizzazione di lettura del servizio Registro eventi

Autorizzazione di lettura del servizio RPC (Remote Procedure Call)
SQL Server Agent:*

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$ InstanceName.)
Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)
SSAS:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita: SQLServerMSASUser$ ComputerName $MSSQLSERVER. Istanza denominata: SQLServerMSASUser$ ComputerName $ InstanceName. Istanza di PowerPivot per SharePoint: SQLServerMSASUser$ ComputerName $ PowerPivot.)
Accesso come servizio (SeServiceLogonRight)

Solo per tabulare:

Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Blocco di pagine in memoria (SeLockMemoryPrivilege) - Necessario solo se il paging è disattivato completamente.

Solo per installazioni di cluster di failover:

Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege)
SSRS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\ReportServer. Istanza denominata: NT SERVICE\ReportServer$ InstanceName.)
Accesso come servizio (SeServiceLogonRight)
SSIS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer130. Integration Services non dispone di un processo separato per un'istanza denominata.
Accesso come servizio (SeServiceLogonRight)

Autorizzazione di scrittura sul registro eventi applicazioni

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege)
Ricerca full-text:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\MSSQLFDLauncher. Istanza denominata: NT Service\ MSSQLFDLauncher$ InstanceName.)
Accesso come servizio (SeServiceLogonRight)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)
SQL Server Browser:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser $ComputerName. SQL Server Browser non dispone di un processo separato per un'istanza denominata.
Accesso come servizio (SeServiceLogonRight)
SQL Server VSS Writer:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita o denominata: NT Service\SQLWriter. SQL Server VSS Writer non ha un processo separato per un'istanza denominata.
Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie. SQL Server programma di installazione non controlla né concede le autorizzazioni per questo servizio.
SQL Server Riesecuzione distribuita controller: Accesso come servizio (SeServiceLogonRight)
SQL Server Riesecuzione distribuita client: Accesso come servizio (SeServiceLogonRight)
Motore PolyBase e DMS Accesso come servizio (SeServiceLogonRight)
Launchpad: Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)
R Services/Machine Learning Services: SQLRUserGroup (SQL 2016 e 2017) non ha l'autorizzazione Consenti accesso locale per impostazione predefinita
Machine LearningServices 'Tutti i pacchetti applicazioni' [AppContainer] (SQL 2019) Autorizzazioni Read ed execute per le directory SQL Server 'Binn', R_Services e PYTHON_Services

*Il SQL Server Agent è disabilitato nelle istanze di SQL Server Express .

Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows

SQL Server gli account del servizio devono avere accesso alle risorse. Gli elenchi di controllo di accesso sono impostati per il SID per servizio o per il gruppo locale di Windows.

Importante

Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.

Nella tabella seguente vengono illustrati gli elenchi di controllo di accesso impostati SQL Server programma di installazione:

Account del servizio per File e cartelle Accesso
MSSQLServer Instid\MSSQL\backup Controllo completo
Instid\MSSQL\binn Lettura, Esecuzione
Instid\MSSQL\data Controllo completo
Instid\MSSQL\FTData Controllo completo
Instid\MSSQL\Install Lettura, Esecuzione
Instid\MSSQL\Log Controllo completo
Instid\MSSQL\Repldata Controllo completo
130\shared Lettura, Esecuzione
Instid\MSSQL\Template Data (soloSQL Server Express ) Lettura
SQLServerAgent* Instid\MSSQL\binn Controllo completo
Instid\MSSQL\Log Lettura, Scrittura, Eliminazione, Esecuzione
130\com Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
ServerName\EventLog Controllo completo
FTS Instid\MSSQL\FTData Controllo completo
Instid\MSSQL\FTRef Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
Instid\MSSQL\Install Lettura, Esecuzione
Instid\MSSQL\jobs Lettura, Scrittura
MSSQLServerOLAPService 130\shared\ASConfig Controllo completo
Instid\OLAP Lettura, Esecuzione
Instid\Olap\Data Controllo completo
Instid\Olap\Log Lettura, Scrittura
Instid\OLAP\Backup Lettura, Scrittura
Instid\OLAP\Temp Lettura, Scrittura
130\shared\Errordumps Lettura, Scrittura
ReportServer Instid\Reporting Services\Log Files Lettura, Scrittura, Eliminazione
Instid\Reporting Services\ReportServer Lettura, Esecuzione
Instid\Reporting Services\ReportServer\global.asax Controllo completo
Instid\Reporting Services\ReportServer\rsreportserver.config Lettura
Instid\Reporting Services\RSTempfiles Lettura, Scrittura, Esecuzione, Eliminazione
Instid\Reporting Services\RSWebApp Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml Lettura
130\dts\binn Lettura, Esecuzione
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
SQL Server Browser 130\shared\ASConfig Lettura
130\shared Lettura, Esecuzione
130\shared\Errordumps Lettura, Scrittura
SQLWriter N/D (eseguito come sistema locale)
Utente Instid\MSSQL\binn Lettura, Esecuzione
Instid\Reporting Services\ReportServer Lettura, Esecuzione, Visualizzazione contenuto cartella
Instid\Reporting Services\ReportServer\global.asax Lettura
Instid\Reporting Services\RSWebApp Lettura, Esecuzione, Visualizzazione contenuto cartella
130\dts Lettura, Esecuzione
130\tools Lettura, Esecuzione
100\tools Lettura, Esecuzione
90\tools Lettura, Esecuzione
80\tools Lettura, Esecuzione
130\sdk Lettura
Microsoft SQL Server\130\Setup Bootstrap Lettura, Esecuzione
controller SQL Server Riesecuzione distribuita <ToolsDir>\DReplayController\Log\ (directory vuota) Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\DReplayController.exe Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\{all dlls} Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\DReplayController.config Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayController\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartella
client SQL Server Riesecuzione distribuita <ToolsDir>\DReplayClient\Log|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\DReplayClient.exe Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\resources|Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\ (all dlls) Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\DReplayClient.config Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\IRTemplate.tdf Lettura, Esecuzione, Visualizzazione contenuto cartella
<ToolsDir>\DReplayClient\IRDefinition.xml Lettura, Esecuzione, Visualizzazione contenuto cartella
Launchpad %binn Lettura, Esecuzione
ExtensiblilityData Controllo completo
Log\ExtensibilityLog Controllo completo

*Il SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Advanced Services.

Se i file di database vengono archiviati in un percorso definito dall'utente, è necessario concedere l'accesso del SID per servizio al percorso in questione. Per altre informazioni sulla concessione di autorizzazioni del file system a un SID per servizio, vedere Configurare le autorizzazioni del file system per l'accesso al motore di database.

Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows

Potrebbe essere necessario concedere alcune autorizzazioni di controllo di accesso ad account predefiniti o ad altri SQL Server di servizio. Nella tabella seguente sono elencati gli elenchi di controllo di accesso aggiuntivi impostati SQL Server programma di installazione.

Componente richiedente Account Risorsa Autorizzazioni
MSSQLServer Performance Log Users Instid\MSSQL\binn Visualizzazione contenuto cartella
Performance Monitor Users Instid\MSSQL\binn Visualizzazione contenuto cartella
Performance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll Lettura, Esecuzione
Solo Amministratore \\.\root\Microsoft\SqlServer\ServerEvents\<nome_istanza_sql>* Controllo completo
Administrators, Sistema \tools\binn\schemas\sqlserver\2004\07\showplan Controllo completo
Utenti \tools\binn\schemas\sqlserver\2004\07\showplan Lettura, Esecuzione
Reporting Services Account del servizio Windows del server di report <install> \Reporting Services\LogFiles DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Account del servizio Windows del server di report <install> \Reporting Services\ReportServer Lettura
Account del servizio Windows del server di report <install> \Reporting Services\ReportServer\global.asax Full
Account del servizio Windows del server di report <install> \Reporting Services\RSWebApp Lettura, Esecuzione
Tutti <install> \Reporting Services\ReportServer\global.asax READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES
Account servizi Windows ReportServer <install> \Reporting Services\ReportServer\rsreportserver.config DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Tutti Chiavi del server di report (hive Instid) Richiedi valore

Enumera sottochiavi

Notifica

Controllo in lettura
Utente di Servizi terminali Chiavi del server di report (hive Instid) Richiedi valore

Imposta valore

Creazione sottochiave

Enumerazione sottochiavi

Notifica

Delete

Controllo in lettura
Power Users Chiavi del server di report (hive Instid) Richiedi valore

Imposta valore

Creazione sottochiave

Enumera sottochiavi

Notifica

Delete

Controllo in lettura

*Si tratta dello spazio dei nomi del provider WMI.

L'unità predefinita per i percorsi di installazione è l'unità di sistema, in genere l'unità C. Questa sezione descrive considerazioni aggiuntive quando i database tempdb o utente vengono installati in posizioni insolite.

Unità non predefinita

Quando viene installato in un'unità locale che non è l'unità predefinita, il SID per servizio deve avere accesso al percorso del file. SQL Server programma di installazione effettua il provisioning dell'accesso richiesto.

Condivisione di rete

Quando i database vengono installati in una condivisione di rete, l'account del servizio deve disporre dell'accesso al percorso dei file dei database utente e tempdb. SQL Server il programma di installazione non può effettuare il provisioning dell'accesso a una condivisione di rete. L'utente deve effettuare il provisioning dell'accesso a un percorso del database tempdb per l'account del servizio prima di eseguire l'installazione. Inoltre deve effettuare il provisioning dell'accesso al percorso del database utente prima della creazione del database.

Nota

Gli account virtuali non possono essere autenticati in una posizione remota. Per tutti gli account virtuali viene usata l'autorizzazione dell'account del computer. Eseguire il provisioning dell'account del computer nel formato <nome_dominio> \ <nome_computer> $ .

Considerazioni aggiuntive

Nella tabella seguente vengono illustrate le autorizzazioni necessarie per consentire ai SQL Server di fornire funzionalità aggiuntive.

Servizio/Applicazione Funzionalità Autorizzazione necessaria
SQL Server (MSSQLSERVER) Scrittura in uno slot di posta elettronica utilizzando xp_sendmail. Autorizzazioni di scrittura in rete.
SQL Server (MSSQLSERVER) Eseguire xp_cmdshell per un utente diverso da un SQL Server amministratore. Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo.
SQL Server Agent (MSSQLSERVER) Usare la funzionalità di riavvio automatico. È necessario essere membri del gruppo locale Administrators.
Ottimizzazione guidataMotore di database Ottimizza i database per ottenere prestazioni ottimali delle query. Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo. In seguito all'inizializzazione, gli utenti dbo possono utilizzare Ottimizzazione guidata Motore di database per ottimizzare solo le tabelle di loro proprietà. Per altre informazioni, vedere "Inizializzazione di Ottimizzazione guidata al Motore di database primo utilizzo" in documentazione online di SQL Server.

Importante

Prima di aggiornare SQL Server, abilitare SQL Server Agent e verificare la configurazione predefinita necessaria: che l'account del servizio SQL Server Agent sia membro del ruolo predefinito del server SQL Server sysadmin .

Autorizzazioni del Registro di sistema

L'hive del Registro di sistema viene creato in HKLM\Software\Microsoft\Microsoft SQL Server\ <ID_istanza> per i componenti specifici dell'istanza. Ad esempio:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

Nel Registro di sistema viene inoltre gestito un mapping degli ID istanza ai nomi delle istanze. Il mapping degli ID istanza in base ai nomi delle istanze è gestito nel modo seguente:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMI

Tramite Strumentazione gestione Windows (WMI) deve essere possibile eseguire la connessione al Motore di database. Per il supporto necessario, viene effettuato il provisioning del SID per servizio del provider WMI di Windows (NT SERVICE\winmgmt) nel Motore di database.

Per il provider WMI di SQL sono necessarie le autorizzazioni minime seguenti:

  • Appartenenza ai ruoli predefiniti dei database db_ddladmin o db_owner nel database msdb.

  • Autorizzazione CREATE DDL EVENT NOTIFICATION nel server.

  • Autorizzazione CREATE TRACE EVENT NOTIFICATION nel Motore di database.

  • Autorizzazione VIEW ANY DATABASE a livello di server.

    SQL Server programma di installazione crea uno spazio dei nomi WMI DI SQL e concede l'autorizzazione di lettura SQL Server Agent siD del servizio.

Named Pipe

In tutte le installazioni, SQL Server'installazione di fornisce l'accesso a tramite il protocollo shared memory, che è Motore di database di SQL Server un named pipe.

Provisioning

Questa sezione descrive come viene effettuato il provisioning degli account all'interno dei vari SQL Server componenti.

Provisioning del motore di database

Gli account seguenti vengono aggiunti come account di accesso nel Motore di database di SQL Server.

Entità di Windows

Durante l'SQL Server il programma di installazione di richiede che almeno un account utente sia denominato come membro del ruolo predefinito del server sysadmin .

Account SA

L'account SA è sempre presente come account di accesso del Motore di database ed è un membro del ruolo predefinito del server sysadmin . Quando viene installato usando solo l'autenticazione di Windows, ovvero quando l'autenticazione di SQL Server non è abilitata, l'account di accesso sa è ancora presente ma è disabilitato e la password è complessa e Motore di database casuale. Per informazioni sull'abilitazione dell'account sa , vedere Modifica della modalità di autenticazione del server.

Account di accesso del SID per servizio SQL Server e privilegi

Il provisioning del SID per servizio (talvolta detto anche entità di sicurezza del servizio) del servizio SQL Server viene eseguito come account di Motore di database accesso. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin . Per informazioni sul SID per servizio, vedere Uso dei SID dei servizi per concedere autorizzazioni ai servizi in SQL Server.

Account di accesso di SQL Server Agent e privilegi

Il provisioning del SID per servizio del SQL Server Agent viene eseguito come account di Motore di database accesso. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .

Gruppi di disponibilità AlwaysOn e istanza e privilegi del cluster di failover di SQL

Quando si installa il Motore di database come istanza di Gruppi di disponibilità AlwaysOn o del cluster di failover di SQL (FCI di SQL), viene effettuato il provisioning di LOCAL SYSTEM nel Motore di database. All'account di accesso LOCAL SYSTEM vengono concesse le autorizzazioni ALTER ANY AVAILABILITY (per Gruppi di disponibilità AlwaysOn) e VIEW SERVER STATE (per FCI di SQL).

Writer SQL e privilegi

Il provisioning del SID per servizio del servizio SQL Server VSS Writer viene eseguito come account di Motore di database accesso. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin .

WMI di SQL e privilegi

SQL Server configura effettua il provisioning dell'account NT SERVICE\Winmgmt come account di accesso e lo aggiunge al ruolo predefinito Motore di database del server sysadmin.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato come membro del ruolo del database RSExecRole . Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).

Provisioning di SSAS

I requisiti dell'account del servizioSSAS variano a seconda della modalità di distribuzione del server. Se si installa , per SQL Server il programma di installazione di richiede la configurazione del servizio per PowerPivot per SharePoint l'esecuzione con un account di Analysis Services dominio. Gli account di dominio sono necessari per supportare la funzionalità dell'account gestito compilato in SharePoint. Per questo motivo, SQL Server'installazione di non fornisce un account del servizio predefinito, ad esempio un account virtuale, per PowerPivot per SharePoint un'installazione. Per altre informazioni sul provisioning di Power Pivot per SharePoint, vedere Configurare gli account del servizio PowerPivot.

Per tutte le altre installazioni autonome di SSAS , è possibile effettuare il provisioning del servizio da eseguire con un account di dominio, un account di sistema predefinito, un account gestito o un account virtuale. Per altre informazioni sul provisioning degli account, vedere Configurare gli account del servizio (Analysis Services).

Per le installazioni cluster, è necessario specificare un account di dominio o un account di sistema predefinito. Per i cluster di failover di SSAS non sono supportati account gestiti, né account virtuali.

Per tutte le installazioni di SSAS è necessario specificare un amministratore di sistema dell'istanza di Analysis Services . Il provisioning dei privilegi di amministratore viene effettuato nel ruolo Server di Analysis Services.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato nel Motore di database come membro del ruolo del database RSExecRole . Per altre informazioni, vedere Configurare l'account del servizio del server di report (Gestione configurazione SSRS).

Aggiornamento da versioni precedenti

In questa sezione vengono descritte le modifiche apportate durante l'aggiornamento da una versione precedente di SQL Server.

  • SQL Server 2019 (15.x)richiede un sistema operativo supportato. Qualsiasi versione precedente di SQL Server in esecuzione in una versione precedente del sistema operativo deve avere il sistema operativo aggiornato prima di SQL Server.

  • Durante l'aggiornamento di al programma di installazione di SQL Server 2005 (9.x) SQL Server 2019 (15.x) SQL Server'istanza di nel modo seguente:

    • Il Motore di database viene eseguito con il contesto di sicurezza del SID per servizio. Al SID per servizio viene concesso l'accesso alle cartelle file dell'istanza di SQL Server (ad esempio DATA) e alle chiavi SQL Server del Registro di sistema.
    • Il SID per servizio del Motore di database viene sottoposto a provisioning in Motore di database come membro del ruolo predefinito del server sysadmin .
    • I SID per servizio vengono aggiunti al gruppo locale SQL Server Windows, a meno che SQL Server non sia un'istanza del cluster di failover.
    • Il SQL Server delle risorse rimane il provisioning nei gruppi SQL Server Windows.
    • Il gruppo Windows locale per i servizi viene rinominato da SQLServer2005MSSQLUser$ <nome_computer> $ <nome_istanza> a SQLServerMSSQLUser$ <nome_computer> $ <nome_istanza> . I percorsi dei file per i database migrati hanno voci di controllo di accesso (ACE) per i gruppi di Windows locali. I percorsi dei file per i nuovi database hanno le ACE per il SID per servizio.
  • Durante l'aggiornamento da , SQL Server programma di installazione mantiene le SQL Server 2008 ACE per il SQL Server 2008 SID per servizio.

  • Per un SQL Server cluster di failover di , la ACE per l'account di dominio configurato per il servizio viene mantenuta.

Appendice

In questa sezione sono contenute informazioni aggiuntive SQL Server servizi.

Descrizione degli account di servizio

L'account del servizio è l'account usato per avviare un servizio Windows, ad esempio il Motore di database di SQL Server. Per l'SQL Server, non è necessario aggiungere l'account del servizio come account di accesso a SQL Server oltre al SID del servizio, sempre presente e membro del ruolo predefinito del server sysamin.

Account disponibili con qualsiasi sistema operativo

Oltre ai nuovi account del servizio gestito, account gMSA e account virtuali descritti precedentemente, è possibile usare gli account seguenti.

Account utente di dominio

Se il servizio deve interagire con i servizi di rete, accedere alle risorse di dominio come le condivisioni file o se usa connessioni a server collegati ad altri computer che eseguono SQL Server, è possibile usare un account di dominio con privilegi minimi. Molte attività tra server possono essere eseguite solo con un account utente di dominio. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.

Nota

Se si configura SQL Server per usare un account di dominio, è possibile isolare i privilegi per il servizio, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per tale gestione. In molte applicazioni server viene usata questa strategia per migliorare la sicurezza. Tuttavia, tale strategia richiede attività complesse e amministrazione aggiuntiva. In queste distribuzioni, gli amministratori dei servizi impiegano molto tempo in attività di manutenzione quale la gestione di password del servizio e di nomi dell'entità servizio, necessari per l'autenticazione Kerberos. Inoltre, queste attività di manutenzione possono interrompere il servizio.

Account utente locali

Se il computer non fa parte di un dominio, è consigliabile un account utente locale senza autorizzazioni di amministratore di Windows.

Account del servizio locale

L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users. Questo accesso limitato permette di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati. I servizi eseguiti come account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali.

Nota

L'account servizio locale non è supportato per i servizi SQL Server o SQL Server Agent locale. Il servizio locale non è supportato perché l'account che esegue tali servizi perché è un servizio condiviso e qualsiasi altro servizio in esecuzione nel servizio locale avrebbe accesso come amministratore di sistema a SQL Server. Il nome effettivo dell'account è NT AUTHORITY\LOCAL SERVICE.

Account del servizio di rete

Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users. I servizi eseguiti con l'account Servizio di rete accedono alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio> \ <nome_computer> $ . Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.

Account di sistema locale

L'account di sistema locale è un account predefinito con privilegi molto elevati. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.

Identificazione dei servizi specifici, e non specifici, dell'istanza

I servizi in grado di riconoscere le istanze sono associati a un'istanza specifica SQL Server e hanno i propri hive del Registro di sistema. È possibile installare più copie dei servizi con supporto dell'istanza eseguendo SQL Server programma di installazione per ogni componente o servizio. I servizi non in grado di essere a conoscenza dell'istanza vengono condivisi tra tutte le istanze SQL Server installate. Non sono associati a un'istanza specifica, vengono installati una sola volta e non possono essere installati side-by-side.

I servizi in grado di riconoscere le SQL Server includono quanto segue:

  • SQL Server

  • SQL Server Agent

    Tenere presente che il SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express con Advanced Services.

  • Analysis Services*

  • Reporting Services

  • Ricerca full-text

    I servizi non in grado di SQL Server includono quanto segue:

  • Integration Services

  • SQL Server Browser

  • Writer SQL

*Analysis Services in modalità integrata SharePoint viene eseguito come 'Power Pivot', come una singola istanza denominata. Il nome dell'istanza è fisso. Non è possibile specificare un nome diverso. È possibile installare una sola istanza di Analysis Services in esecuzione come 'Power Pivot' in ciascun server fisico.

Nomi dei servizi localizzati

Nella tabella seguente sono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.

Linguaggio Nome del servizio locale Nome del servizio di rete Nome del sistema locale Nome del gruppo amministrativo
Inglese

Cinese semplificato

Cinese tradizionale

Coreano

Giapponese
NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Tedesco NT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEM VORDEFINIERT\Administratoren
Francese AUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEM BUILTIN\Administrators
Italiano NT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Spagnolo NT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEM BUILTIN\Administradores
Russo NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Администраторы