Windows 서비스 계정 및 권한 구성Configure Windows Service Accounts and Permissions

이전 버전의 SQL Server와 관련된 내용은 Windows 서비스 계정 및 권한 구성을 참조하세요.For content related to previous versions of SQL Server, see Configure Windows Service Accounts and Permissions.

SQL ServerSQL Server 의 각 서비스는 Windows를 사용하여 SQL ServerSQL Server 작업의 인증을 관리하는 프로세스 또는 프로세스 집합을 나타냅니다.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. 이 항목에서는 SQL ServerSQL Server의 이 릴리스에서 기본 서비스 구성과 SQL ServerSQL Server 설치 중에 그리고 설치 후에 설정할 수 있는 SQL ServerSQL Server 서비스에 대한 구성 옵션에 대해 설명합니다.This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. 이 항목에서는 고급 사용자가 서비스 계정의 세부 정보를 파악하는 데 도움이 되는 정보를 제공합니다.This topic helps advanced users understand the details of the service accounts.

대부분의 서비스와 해당 속성은 SQL ServerSQL Server 구성 관리자를 사용하여 구성할 수 있습니다.Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Windows가 C 드라이브에 설치되어 있는 경우 최신 4개 버전의 경로는 다음과 같습니다.Here are the paths to the last four versions when Windows in installed on the C drive.

SQL ServerSQL Server 2016 2016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

SQL ServerSQL Server에 의해 설치되는 서비스 Services Installed by SQL ServerSQL Server

사용자가 설치하도록 선택한 구성 요소에 따라 SQL ServerSQL Server 설치 프로그램에서는 다음 서비스를 설치합니다.Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server 데이터베이스 서비스 - SQL ServerSQL Server 관계형 데이터베이스 엔진Database Engine에 대한 서비스입니다. SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational 데이터베이스 엔진Database Engine. 실행 파일 경로는 <MSSQLPATH>\MSSQL\Binn\sqlservr.exe입니다.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server 에이전트 - 작업을 실행하고 SQL ServerSQL Server를 모니터링하고 경고를 발생시키고 일부 관리 태스크의 자동화를 지원합니다. SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. SQL ServerSQL Server 에이전트 서비스가 제공되지만 SQL Server ExpressSQL Server Express인스턴스에서 해제됩니다.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. 실행 파일 경로는 <MSSQLPATH>\MSSQL\Binn\sqlagent.exe입니다.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services - 비즈니스 인텔리전스 응용 프로그램을 위한 OLAP(온라인 분석 처리) 및 데이터 마이닝 기능을 제공합니다. Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. 실행 파일 경로는 <MSSQLPATH>\OLAP\Bin\msmdsrv.exe입니다.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services - 보고서를 관리, 실행, 작성, 예약 및 배달합니다. Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. 실행 파일 경로는 <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe입니다.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services - Integration ServicesIntegration Services 패키지 저장 및 실행을 위한 관리를 지원합니다. Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. 실행 파일 경로는 <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe입니다.The executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser - 클라이언트 컴퓨터에 대한 SQL ServerSQL Server 연결 정보를 제공하는 이름 확인 서비스입니다. SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. 실행 경로는 c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe입니다.The executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • 전체 텍스트 검색 - 구조화 또는 반구조화된 데이터의 내용 및 속성에 대한 전체 텍스트 인덱스를 생성하여 SQL ServerSQL Server에 문서 필터링 및 단어 분리를 제공합니다.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • SQL 기록기 - 백업 및 복원 응용 프로그램이 VSS(볼륨 섀도 복사본 서비스) 프레임워크에서 작동할 수 있도록 합니다.SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller - 여러 Distributed Replay Client 컴퓨터 간의 추적 재생 오케스트레이션을 제공합니다. SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client - SQL Server 데이터베이스 엔진SQL Server Database Engine인스턴스에 대해 동시 작업을 시뮬레이션하기 위해 Distributed Replay Controller와 함께 작동하는 하나 이상의 Distributed Replay Client 컴퓨터입니다. SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the SQL Server 데이터베이스 엔진SQL Server Database Engine.

  • SQL Server 신뢰할 수 있는 실행 패드SQL Server Trusted Launchpad - R Services(In-Database)R Services (In-Database)의 일부분으로 설치되는 R 런타임과 같이 Microsoft에서 제공하는 외부 실행 파일을 호스트하는 신뢰할 수 있는 서비스입니다. SQL Server 신뢰할 수 있는 실행 패드SQL Server Trusted Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R runtime installed as part of R Services(In-Database)R Services (In-Database). 위성 프로세스는 실행 패드 프로세스를 통해 시작할 수 있지만 해당 리소스는 개별 인스턴스의 구성에 따라 제어됩니다.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. 실행 패드 서비스는 자체 사용자 계정에서 실행되며 등록된 특정 런타임에 대한 각 위성 프로세스는 실행 패드의 사용자 계정을 상속합니다.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. 위성 프로세스는 실행 시간 동안 요청 시에 생성되고 소멸됩니다.Satellite processes are created and destroyed on demand during execution time.

    • SQL Server PolyBase 엔진 - 외부 데이터 원본에 분산 쿼리 기능을 제공합니다.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

    • SQL Server Polybase 데이터 이동 서비스 - PolyBase 스케일 아웃 그룹의 SQL Server와 외부 데이터 원본 간에 데이터 이동을 가능하게 합니다.SQL Server Polybase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

서비스 속성 및 구성 Service Properties and Configuration

SQL ServerSQL Server 를 시작하고 실행하는 데 사용되는 시작 계정은 도메인 사용자 계정, 로컬 사용자 계정, 관리 서비스 계정, 가상 계정또는 기본 제공 시스템 계정일 수 있습니다.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. SQL ServerSQL Server 의 각 서비스를 시작하고 실행하려면 설치 중에 구성된 시작 계정이 있어야 합니다.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

이 섹션에서는 SQL ServerSQL Server 서비스를 시작하기 위해 구성할 수 있는 계정, SQL ServerSQL Server 설치 프로그램에서 사용되는 기본값, 서비스별 SID의 개념, 시작 옵션, 방화벽 구성에 대해 설명합니다.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.

기본 서비스 계정 Default Service Accounts

다음 표에서는 모든 구성 요소를 설치할 때 설치 프로그램에서 사용되는 기본 서비스 계정을 보여 줍니다.The following table lists the default service accounts used by setup when installing all components. 나열된 기본 계정은 특별한 설명이 있는 경우를 제외하고는 권장되는 계정입니다.The default accounts listed are the recommended accounts, except as noted.

독립 실행형 서버 또는 도메인 컨트롤러Stand-alone Server or Domain Controller

구성 요소Component Windows Server 2008Windows Server 2008 Windows 7 및 Windows Server 2008Windows Server 2008 R2 이상Windows 7 and Windows Server 2008Windows Server 2008 R2 and higher
데이터베이스 엔진Database Engine 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SQL ServerSQL Server 에이전트 Agent 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SSASSSAS 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SSISSSIS 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SSRSSSRS 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
전체 텍스트 검색 FD 표시 아이콘FD Launcher (Full-text Search) 로컬 서비스LOCAL SERVICE 가상 계정Virtual Account
SQL ServerSQL Server 브라우저 Browser 로컬 서비스LOCAL SERVICE 로컬 서비스LOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer 로컬 시스템LOCAL SYSTEM 로컬 시스템LOCAL SYSTEM
고급 분석 확장Advanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
PolyBase 엔진PolyBase Engine 네트워크 서비스NETWORK SERVICE 네트워크 서비스NETWORK SERVICE
PolyBase 데이터 이동 서비스PolyBase Data Movement Service 네트워크 서비스NETWORK SERVICE 네트워크 서비스NETWORK SERVICE

* SQL ServerSQL Server 컴퓨터에 대한 외부 리소스가 필요한 경우에는 MicrosoftMicrosoft 의 권장 사항에 따라 필요한 최소 권한으로 구성된 MSA(관리 서비스 계정)를 사용하는 것이 좋습니다.*When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

SQL Server 장애 조치(Failover) 클러스터 인스턴스SQL Server Failover Cluster Instance

구성 요소Component Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2 R2
데이터베이스 엔진Database Engine 없음None. 도메인 사용자 계정을 제공합니다.Provide a domain user account. 도메인 사용자 계정을 제공합니다.Provide a domain user account.
SQL ServerSQL Server 에이전트 Agent 없음None. 도메인 사용자 계정을 제공합니다.Provide a domain user account. 도메인 사용자 계정을 제공합니다.Provide a domain user account.
SSASSSAS 없음None. 도메인 사용자 계정을 제공합니다.Provide a domain user account. 도메인 사용자 계정을 제공합니다.Provide a domain user account.
SSISSSIS 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
SSRSSSRS 네트워크 서비스NETWORK SERVICE 가상 계정Virtual Account
전체 텍스트 검색 FD 표시 아이콘FD Launcher (Full-text Search) 로컬 서비스LOCAL SERVICE 가상 계정Virtual Account
SQL ServerSQL Server 브라우저 Browser 로컬 서비스LOCAL SERVICE 로컬 서비스LOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer 로컬 시스템LOCAL SYSTEM 로컬 시스템LOCAL SYSTEM

계정 속성 변경 Changing Account Properties

중요
  • 항상 SQL ServerSQL Server 구성 관리자와 같은 SQL ServerSQL Server 도구를 사용하여 SQL Server 데이터베이스 엔진SQL Server Database Engine 또는 SQL ServerSQL Server 에이전트 서비스에 사용되는 계정을 변경하거나 계정의 암호를 변경할 수 있습니다.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the SQL Server 데이터베이스 엔진SQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. 계정 이름을 변경하는 것 외에도 SQL ServerSQL Server 구성 관리자는 데이터베이스 엔진Database Engine에 대한 서비스 마스터 키를 보호하는 Windows 로컬 보안 저장소 업데이트와 같은 추가 구성을 수행합니다.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the 데이터베이스 엔진Database Engine. Windows 서비스 제어 관리자와 같은 다른 도구를 사용하면 계정 이름을 변경할 수 있지만 모든 필수 설정을 변경할 수 없습니다.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
    • SharePoint 팜에 배포한 Analysis ServicesAnalysis Services 인스턴스의 경우 항상 SharePoint 중앙 관리를 사용하여 Power Pivot 서비스Power Pivot service 응용 프로그램 및 Analysis Services 서비스Analysis Services service에 대한 서버 계정을 변경합니다.For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Power Pivot 서비스Power Pivot service applications and the Analysis Services 서비스Analysis Services service. 관련 설정 및 사용 권한은 중앙 관리를 사용할 때 새로운 계정 정보를 사용할 수 있도록 업데이트됩니다.Associated settings and permissions are updated to use the new account information when you use Central Administration.
    • Reporting ServicesReporting Services 옵션을 변경하려면 Reporting Services 구성 도구를 사용합니다.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

관리 서비스 계정, 그룹 관리 서비스 계정 및 가상 계정 Managed Service Accounts, Group Managed Service Accounts, and Virtual Accounts

관리 서비스 계정, 그룹 관리 서비스 계정 및 가상 계정은 SQL ServerSQL Server 와 같은 중요한 응용 프로그램에 고유 계정에 대한 격리성을 제공하도록 설계되었습니다. 따라서 관리자는 이러한 계정에 대한 SPN(서비스 사용자 이름)과 자격 증명을 수동으로 관리할 필요가 없습니다.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. 결국 서비스 계정 사용자, 암호 및 SPN을 보다 쉽게 장기적으로 관리할 수 있습니다.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service Accounts Managed Service Accounts

    MSA(관리 서비스 계정)는 도메인 컨트롤러에서 만들어지고 관리되는 도메인 유형입니다.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. 관리 서비스 계정은 단일 멤버 컴퓨터에서 서비스를 실행하는 데 사용할 수 있도록 할당됩니다.It is assigned to a single member computer for use running a service. 암호는 도메인 컨트롤러에서 자동으로 관리됩니다.The password is managed automatically by the domain controller. 사용자는 MSA를 사용하여 컴퓨터에 로그인할 수 없지만 컴퓨터는 MSA를 사용하여 Windows 서비스를 시작할 수 있습니다.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. MSA는 SPN(서비스 사용자 이름)을 Active Directory에 등록할 수 있는 기능이 있습니다.An MSA has the ability to register Service Principal Name (SPN) with the Active Directory. MSA는 $ 접미사를 사용하여 이름이 지정됩니다(예: DOMAIN\ACCOUNTNAME$).A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. MSA를 지정할 때는 암호를 비워 둡니다.When specifying a MSA, leave the password blank. MSA는 단일 컴퓨터에 할당되기 때문에 Windows 클러스터의 다른 노드에서 사용할 수 없습니다.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    참고

    SQL ServerSQL Server 설치 프로그램에서 SQL ServerSQL Server 서비스에 대해 MSA를 사용할 수 있으려면 먼저 도메인 관리자가 Active Directory에서 MSA를 만들어야 합니다.The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • 그룹 관리 서비스 계정 Group Managed Service Accounts

    그룹 관리 서비스 계정은 여러 서버의 MSA입니다.A Group Managed Service Account is an MSA for multiple servers. Windows는 서버 그룹에서 실행되는 서비스에 대한 서비스 계정을 관리합니다.Windows manages a service account for services running on a group of servers. Active Directory는 서비스를 다시 시작하지 않고 그룹 관리 서비스 계정 암호를 자동으로 업데이트합니다.Active Directory automatically updates the group managed service account password without restarting services. 그룹 관리 서비스 계정 보안 주체를 사용하도록 SQL Server 서비스를 구성할 수 있습니다.You can configure SQL Server services to use a group managed service account principal. SQL Server 2014부터 SQL Server은 Windows Server 2012 R2 이상에서 독립 실행형 인스턴스, 장애 조치 클러스터 인스턴스 및 가용성 그룹에 대한 그룹 관리 서비스 계정을 지원합니다.Beginning with SQL Server 2014, SQL Server supports group managed service accounts on Windows Server 2012 R2 and later for standalone instances, failover cluster instances, and availability groups.

    SQL Server 2014 이상에 대해 그룹 관리 서비스 계정을 사용하려면 운영 체제가 Windows Server 2012 R2 이상이어야 합니다.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Windows Server 2012 R2를 실행하는 서버의 경우 암호 변경 후 중단 없이 즉시 서비스가 로그인할 수 있도록 KB 2998082 를 적용해야 합니다.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    자세한 내용은 그룹 관리 서비스 계정 개요를 참조하세요.For more information, see Group Manged Service Accounts

    참고

    SQL ServerSQL Server 설치 프로그램에서 SQL ServerSQL Server 서비스에 대해 그룹 관리 서비스 계정을 사용할 수 있으려면 먼저 도메인 관리자가 Active Directory에서 해당 계정을 만들어야 합니다.The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    (Windows Server 2008 R2 및 Windows 7부터) 가상 계정은 서비스 관리를 간소화하기 위해 다음과 같은 기능들을 제공하는 관리 로컬 계정 입니다.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. 가상 계정은 자동으로 관리되며 도메인 환경에서 네트워크에 액세스할 수 있습니다.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. SQL ServerSQL Server를 설치하는 동안 서비스 계정에 기본값을 사용하는 경우 인스턴스 이름을 서비스 이름으로 사용하는 가상 계정이 NT SERVICE\<SERVICENAME> 형식으로 사용됩니다.If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. 가상 계정으로 실행되는 서비스는 \$ 형식으로 된 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다.Services that run as virtual accounts access network resources by using the credentials of the computer account in the format \$. SQL ServerSQL Server를 시작하는 가상 계정을 지정할 때는 암호를 비워 둡니다.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. 가상 계정을 사용하여 SPN(서비스 사용자 이름)을 등록할 수 없는 경우 SPN을 수동으로 등록합니다.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. SPN을 수동으로 등록하는 방법에 대한 자세한 내용은 SPN 수동 등록을 참조하세요.For more information on registering a SPN manually, see Manual SPN Registration.

    참고

    가상 계정은 클러스터의 각 노드에서 SID가 동일하지 않으므로 SQL ServerSQL Server 장애 조치(Failover) 클러스터 인스턴스에 대해 사용할 수 없습니다.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    다음 표에서는 가상 계정 이름 예를 보여 줍니다.The following table lists examples of virtual account names.

    서비스Service 가상 계정 이름Virtual Account Name
    데이터베이스 엔진Database Engine 서비스의 기본 인스턴스Default instance of the 데이터베이스 엔진Database Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    데이터베이스 엔진Database Engine 로 이름이 지정된 로 이름이 지정된서비스의 명명된 인스턴스Named instance of a 데이터베이스 엔진Database Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server 에이전트 서비스(기본 인스턴스: SQL ServerSQL Server Agent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server PAYROLL SQL ServerSQL Server 로 이름이 지정된 로 이름이 지정된 Agent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

    관리 서비스 계정 및 가상 계정에 대한 자세한 내용은 서비스 계정 단계별 가이드관리 서비스 계정 및 가상 계정 개념 섹션과 관리 서비스 계정 FAQ(질문과 대답)를 참조하세요.For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

    보안 정보: 항상 가장 낮은 사용자 권한을 사용하여 SQL Server 서비스를 실행하세요.Always run SQL Server services by using the lowest possible user rights. 가능하다면 MSA 또는 virtual account 을 사용하세요.Security Note: 항상 가장 낮은 사용자 권한을 사용하여 SQL Server 서비스를 실행하세요.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. MSA 및 가상 계정을 사용할 수 없으면 SQL ServerSQL Server 서비스에 대해 공유 계정 대신 권한이 낮은 특정 사용자 계정 또는 도메인 계정을 사용하십시오.When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. 서로 다른 SQL ServerSQL Server 서비스에 대해서는 각각 별도의 계정을 사용하십시오.Use separate accounts for different SQL ServerSQL Server services. SQL ServerSQL Server 서비스 계정 또는 서비스 그룹에 추가 권한을 부여하지 마세요.Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. 권한은 그룹 멤버 자격을 통해 부여되거나 서비스 SID에 직접 부여됩니다(서비스 SID가 지원되는 경우).Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

자동 시작 Automatic Startup

모든 서비스에는 사용자 계정 외에 다음과 같이 사용자가 제어할 수 있는 3가지 시작 상태가 있습니다.In addition to having user accounts, every service has three possible startup states that users can control:

  • 사용 안 함 서비스가 설치되어 있지만 현재 실행되지 않습니다.Disabled The service is installed but not currently running.

  • 수동 서비스가 설치되어 있지만 다른 서비스 또는 응용 프로그램이 해당 기능을 필요로 하는 경우에만 시작됩니다.Manual The service is installed, but will start only when another service or application needs its functionality.

  • 자동 운영 체제에서 서비스를 자동으로 시작합니다.Automatic The service is automatically started by the operating system.

    설치하는 동안 시작 상태가 선택됩니다.The startup state is selected during setup. 명명된 인스턴스를 설치할 경우 SQL ServerSQL Server Browser 서비스가 자동으로 시작되도록 설정해야 합니다.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

무인 설치 중 서비스 구성 Configuring Services During Unattended Installation

다음 표에서는 설치 중에 구성할 수 있는 SQL ServerSQL Server 서비스를 보여 줍니다.The following table shows the SQL ServerSQL Server services that can be configured during installation. 무인 설치의 경우 구성 파일 또는 명령 프롬프트에서 스위치를 사용할 수 있습니다.For unattended installations, you can use the switches in a configuration file or at a command prompt.

SQL Server 서비스 이름SQL Server service name 무인 설치용 스위치Switches for unattended installations
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgentSQLServerAgent AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services(In-Database)R Services (In-Database) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICSEXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS
PolyBase 엔진PolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

무인 설치에 대한 자세한 내용과 샘플 구문은 명령 프롬프트에서 SQL Server 2016 설치를 참조하세요.For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

** SQL ServerSQL Server 에이전트 서비스는 SQL Server ExpressSQL Server ExpressSQL Server ExpressSQL Server Express with Advanced Services 인스턴스에서 사용할 수 없습니다.**The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

방화벽 포트 Firewall Port

대부분의 경우 처음 설치할 때 데이터베이스 엔진Database EngineSQL Server Management StudioSQL Server Management Studio 와 동일한 컴퓨터에 설치된 SQL ServerSQL Server와 같은 도구를 사용하여 연결할 수 없습니다.In most cases, when initially installed, the 데이터베이스 엔진Database Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. SQL ServerSQL Server 설치 프로그램은 Windows 방화벽의 포트를 열지 않습니다. Setup does not open ports in the Windows firewall. 데이터베이스 엔진Database Engine 이 TCP 포트에서 수신 대기하도록 구성하고 Windows 방화벽에서 적합한 연결 포트를 열지 않으면 다른 컴퓨터에서 연결할 수 없습니다.Connections from other computers may not be possible until the 데이터베이스 엔진Database Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. 자세한 내용은 SQL Server 액세스를 허용하도록 Windows 방화벽 구성을 참조하세요.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

서비스 권한 Service Permissions

이 섹션에서는 SQL ServerSQL Server 설치 프로그램이 SQL ServerSQL Server 서비스의 서비스별 SID에 대해 구성하는 사용 권한에 대해 설명합니다.This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID’s of the SQL ServerSQL Server services.

서비스 구성 및 액세스 제어 Service Configuration and Access Control

SQL Server 2017SQL Server 2017 에서는 각 서비스에 대해 서비스별 SID로 서비스 격리 및 철저한 방어 기능을 제공하도록 지원합니다. enables per-service SID for each of its services to provide service isolation and defense in depth. 서비스별 SID는 서비스 이름에서 파생되며 서비스마다 고유합니다.The per-service SID is derived from the service name and is unique to that service. 예를 들어 데이터베이스 엔진Database Engine 서비스에 대한 서비스 SID는 NT Service\MSSQL$<InstanceName>일 수 있습니다.For example, a service SID name for the 데이터베이스 엔진Database Engine service might be NT Service\MSSQL$<InstanceName>. 서비스 격리는 높은 권한 수준의 계정에서 실행되거나 개체의 보안을 약화시키지 않고도 특정 개체에 액세스할 수 있도록 해줍니다.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. SQL ServerSQL Server 서비스는 서비스 SID가 포함된 액세스 제어 항목을 사용하여 해당 리소스에 대한 액세스를 제한할 수 있습니다.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

참고

Windows 7 및 Windows Server 2008Windows Server 2008 R2(이후 버전)에서 서비스별 SID는 서비스에서 사용되는 가상 계정일 수 있습니다.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

대부분의 구성 요소에서 SQL ServerSQL Server 는 서비스별 계정에 대한 ACL을 직접 구성하므로 리소스 ACL 프로세스를 반복할 필요 없이 서비스 계정 변경을 수행할 수 있습니다.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

SSASSSAS를 설치하면 Analysis ServicesAnalysis Services 서비스에 대한 서비스별 SID가 만들어집니다.When installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. 로컬 Windows 그룹은 SQLServerMSASUser$computer_name$instance_name형식의 이름으로 만들어집니다.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. 서비스별 SID NT SERVICE\MSSQLServerOLAPService 에 로컬 Windows 그룹의 멤버 자격이 부여되고 로컬 Windows 그룹에는 ACL의 적합한 권한이 부여됩니다.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Analysis ServicesAnalysis Services 서비스를 시작하는 데 사용된 계정이 변경된 경우 SQL ServerSQL Server 구성 관리자가 일부 Windows 사용 권한(예: 서비스로 로그온 권한 등)을 변경해야 하지만 로컬 Windows 그룹에 부여된 사용 권한은 서비스별 SID가 변경되지 않았기 때문에 업데이트 없이도 계속 사용할 수 있습니다.If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. 이 방식에 따라 업그레이드 중에 Analysis ServicesAnalysis Services 서비스의 이름을 바꿀 수 있습니다.This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

SQL ServerSQL Server 설치 중에 SQL ServerSQL Server 설치 프로그램은 SSASSSASSQL ServerSQL Server Browser 서비스에 대한 로컬 Windows 그룹을 만듭니다.During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. 이러한 서비스에 대해 SQL ServerSQL Server 는 로컬 Windows 그룹에 대한 ACL을 구성합니다.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

서비스 구성에 따라 설치 또는 업그레이드 중 서비스 또는 서비스 SID에 대한 서비스 계정이 서비스 그룹의 멤버로 추가됩니다.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Windows 사용 권한 및 권한 Windows Privileges and Rights

서비스를 시작하도록 할당된 계정은 해당 서비스에 대해 시작, 중지 및 일시 중지 권한 이 필요합니다.The account assigned to start a service needs the Start, stop and pause permission for the service. SQL ServerSQL Server 설치 프로그램은 이를 자동으로 할당합니다.The SQL ServerSQL Server Setup program automatically assigns this. 먼저 RSAT(원격 서버 관리 도구)를 설치하세요.First install Remote Server Administration Tools (RSAT). Windows 7 원격 서버 관리 도구를 참조하세요.See Remote Server Administration Tools for Windows 7.

다음 표에서는 SQL ServerSQL Server 구성 요소에서 사용된 서비스별 SID 또는 Windows 그룹에 대해 SQL ServerSQL Server 설치 프로그램이 요청하는 사용 권한을 보여 줍니다.The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

SQL ServerSQL Server 서비스 Service SQL ServerSQL Server 설치 프로그램에서 부여된 사용 권한Permissions granted by SQL ServerSQL Server Setup
SQL Server 데이터베이스 엔진SQL Server Database Engine: SQL Server 데이터베이스 엔진SQL Server Database Engine:

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 인스턴스: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. 명명된 인스턴스: NT SERVICE\MSSQL$InstanceName.)Named instance: NT SERVICE\MSSQL$InstanceName.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

프로세스 수준 토큰 바꾸기 (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

트래버스 검사 무시 (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

프로세스의 메모리 할당량 조정 (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

SQL 기록기를 시작할 수 있는 권한Permission to start SQL Writer

이벤트 로그 서비스를 읽을 수 있는 권한Permission to read the Event Log service

원격 프로시저 호출 서비스를 읽을 수 있는 권한Permission to read the Remote Procedure Call service
SQL ServerSQL Server 에이전트: * SQL ServerSQL Server Agent: *

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 인스턴스: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. 명명된 인스턴스: NT Service\SQLAGENT$InstanceName.)Named instance: NT Service\SQLAGENT$InstanceName.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

프로세스 수준 토큰 바꾸기 (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

트래버스 검사 무시 (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

프로세스의 메모리 할당량 조정 (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS: SSASSSAS:

(로컬 Windows 그룹에는 모든 권한이 부여됩니다.(All rights are granted to a local Windows group. 기본 인스턴스: SQLServerMSASUser$ComputerName$MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. 명명된 인스턴스: SQLServerMSASUser$ComputerName$InstanceName.Named instance: SQLServerMSASUser$ComputerName$InstanceName. SharePoint용 PowerPivotPower Pivot for SharePoint 인스턴스: SQLServerMSASUser$ComputerName$PowerPivot) instance: SQLServerMSASUser$ComputerName$PowerPivot.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

테이블 형식에만 해당:For tabular only:

프로세스 작업 집합 향상 (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

프로세스에 대한 메모리 할당량 조정 (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege)

메모리의 페이지 잠금 (SeLockMemoryPrivilege) – 페이징이 전체적으로 해제된 경우에만 필요합니다.Lock pages in memory (SeLockMemoryPrivilege) – this is needed only when paging is turned off entirely.

장애 조치(Failover) 클러스터 설치에만 해당:For failover cluster installations only:

예약 우선 순위 증가 (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS: SSRSSSRS:

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 인스턴스: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. 명명된 인스턴스: NT SERVICE\ReportServer$InstanceName.)Named instance: NT SERVICE\ReportServer$InstanceName.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS: SSISSSIS:

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 인스턴스 및 명명된 인스턴스: NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services 에는 명명된 인스턴스에 대한 개별 프로세스가 없습니다.) does not have a separate process for a named instance.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

응용 프로그램 이벤트 로그에 기록할 수 있는 권한Permission to write to application event log.

트래버스 검사 무시 (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

인증 후 클라이언트 가장 (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
전체 텍스트 검색:Full-text search:

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 인스턴스: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. 명명된 인스턴스: NT Service\ MSSQLFDLauncher$InstanceName.)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

프로세스의 메모리 할당량 조정 (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

트래버스 검사 무시 (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server 브라우저: SQL ServerSQL Server Browser:

(로컬 Windows 그룹에는 모든 권한이 부여됩니다.(All rights are granted to a local Windows group. 기본 또는 명명된 인스턴스: SQLServer2005SQLBrowserUser$ComputerName.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser에는 명명된 인스턴스에 대한 개별 프로세스가 없습니다.) Browser does not have a separate process for a named instance.)
서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server VSS 기록기: SQL ServerSQL Server VSS Writer:

(서비스별 SID에는 모든 권한이 부여됩니다.(All rights are granted to the per-service SID. 기본 또는 명명된 인스턴스: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. SQL ServerSQL Server VSS 기록기에는 명명된 인스턴스에 대한 개별 프로세스가 없습니다.) VSS Writer does not have a separate process for a named instance.)
SQLWriter 기록기 서비스는 모든 필수 사용 권한이 있는 LOCAL SYSTEM 계정으로 실행됩니다.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. SQL ServerSQL Server 설치 프로그램은 이 서비스에 대한 사용 권한을 검사하거나 부여하지 않습니다. setup does not check or grant permissions for this service.
SQL ServerSQL Server Distributed Replay Controller: SQL ServerSQL Server Distributed Replay Controller: 서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client: SQL ServerSQL Server Distributed Replay Client: 서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
PolyBase 엔진 및 DMSPolyBase Engine and DMS 서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
실행 패드:Launchpad: 서비스로 로그온 (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

프로세스 수준 토큰 바꾸기 (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

트래버스 검사 무시 (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

프로세스의 메모리 할당량 조정 (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R 서비스: SQLRUserGroupR Services: SQLRUserGroup 로컬 로그온 허용Allow Log on locally

* SQL ServerSQL Server 에이전트 서비스는 SQL Server ExpressSQL Server Express인스턴스에서 사용할 수 없습니다.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

SQL Server의 서비스별 SID 또는 로컬 Windows 그룹에 부여된 파일 시스템 권한 File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

SQL ServerSQL Server 서비스 계정에 리소스에 대한 액세스 권한이 있어야 합니다. service accounts must have access to resources. 액세스 제어 목록은 서비스별 SID 또는 로컬 Windows 그룹에 대해 설정됩니다.Access control lists are set for the per-service SID or the local Windows group.

중요

장애 조치(Failover) 클러스터 설치의 경우 공유 디스크의 리소스는 로컬 계정에 대한 ACL에 설정해야 합니다.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

다음 표에서는 SQL ServerSQL Server 설치 프로그램에서 설정하는 ACL을 보여 줍니다.The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

서비스 계정 대상Service account for 파일 및 폴더Files and folders 액세스 권한Access
MSSQLSERVERMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup 모든 권한Full control
Instid\MSSQL\binnInstid\MSSQL\binn 읽기, 실행Read, Execute
Instid\MSSQL\dataInstid\MSSQL\data 모든 권한Full control
Instid\MSSQL\FTDataInstid\MSSQL\FTData 모든 권한Full control
Instid\MSSQL\InstallInstid\MSSQL\Install 읽기, 실행Read, Execute
Instid\MSSQL\LogInstid\MSSQL\Log 모든 권한Full control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata 모든 권한Full control
130\shared130\shared 읽기, 실행Read, Execute
Instid\MSSQL\Template Data( SQL Server ExpressSQL Server Express 만 해당)Instid\MSSQL\Template Data ( SQL Server ExpressSQL Server Express only) 읽기Read
SQLServerAgentSQLServerAgent Instid\MSSQL\binnInstid\MSSQL\binn 모든 권한Full control
Instid\MSSQL\binnInstid\MSSQL\binn 모든 권한Full control
Instid\MSSQL\LogInstid\MSSQL\Log 읽기, 쓰기, 삭제, 실행Read, Write, Delete, Execute
130\com130\com 읽기, 실행Read, Execute
130\shared130\shared 읽기, 실행Read, Execute
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
ServerName\EventLogServerName\EventLog 모든 권한Full control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData 모든 권한Full control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef 읽기, 실행Read, Execute
130\shared130\shared 읽기, 실행Read, Execute
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
Instid\MSSQL\InstallInstid\MSSQL\Install 읽기, 실행Read, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs 읽기, 쓰기Read, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig 모든 권한Full control
Instid\OLAPInstid\OLAP 읽기, 실행Read, Execute
Instid\Olap\DataInstid\Olap\Data 모든 권한Full control
Instid\Olap\LogInstid\Olap\Log 읽기, 쓰기Read, Write
Instid\OLAP\BackupInstid\OLAP\Backup 읽기, 쓰기Read, Write
Instid\OLAP\TempInstid\OLAP\Temp 읽기, 쓰기Read, Write
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files 읽기, 쓰기, 삭제Read, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer 읽기, 실행Read, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax 모든 권한Full control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config 읽기Read
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager 읽기, 실행Read, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles 읽기, 쓰기, 실행, 삭제Read, Write, Execute, Delete
130\shared130\shared 읽기, 실행Read, Execute
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml 읽기Read
130\dts\binn130\dts\binn 읽기, 실행Read, Execute
130\shared130\shared 읽기, 실행Read, Execute
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
SQL ServerSQL Server 브라우저 Browser 130\shared\ASConfig130\shared\ASConfig 읽기Read
130\shared130\shared 읽기, 실행Read, Execute
130\shared\Errordumps130\shared\Errordumps 읽기, 쓰기Read, Write
SQLWriterSQLWriter 해당 없음(로컬 시스템으로 실행)N/A (Runs as local system)
사용자User Instid\MSSQL\binnInstid\MSSQL\binn 읽기, 실행Read, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax 읽기Read
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager 읽기, 실행Read, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages 읽기Read
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles 읽기Read
130\dts130\dts 읽기, 실행Read, Execute
130\tools130\tools 읽기, 실행Read, Execute
100\tools100\tools 읽기, 실행Read, Execute
90\tools90\tools 읽기, 실행Read, Execute
80\tools80\tools 읽기, 실행Read, Execute
130\sdk130\sdk 읽기Read
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap 읽기, 실행Read, Execute
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller <ToolsDir>\DReplayController\Log(빈 디렉터리)<ToolsDir>\DReplayController\Log\ (empty directory) 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources\<ToolsDir>\DReplayController\resources\ 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{모든 dll}<ToolsDir>\DReplayController\{all dlls} 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client <ToolsDir>\DReplayClient\Log\<ToolsDir>\DReplayClient\Log\ 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources\<ToolsDir>\DReplayClient\resources\ 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient(모든 dll)<ToolsDir>\DReplayClient\ (all dlls) 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml 읽기, 실행, 폴더 내용 보기Read, Execute, List Folder Contents
실행 패드Launchpad %binn%binn 읽기, 실행Read, Execute
ExtensiblilityDataExtensiblilityData 모든 권한Full control
Log\ExtensibiltityLogLog\ExtensibiltityLog 모든 권한Full control

* SQL ServerSQL Server 에이전트 서비스는 SQL Server ExpressSQL Server ExpressSQL Server ExpressSQL Server Express with Advanced Services 인스턴스에서 사용할 수 없습니다.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

데이터베이스 파일이 사용자 정의 위치에 저장된 경우 해당 위치에 대한 서비스별 SID 액세스 권한을 부여해야 합니다.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. 서비스별 SID에 파일 시스템 권한 부여에 대한 자세한 내용은 데이터베이스 엔진 액세스에 대한 파일 시스템 사용 권한 구성을 참조하세요.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

다른 Windows 사용자 계정 또는 그룹에 부여된 파일 시스템 권한 File System Permissions Granted to Other Windows User Accounts or Groups

기본 제공 계정 또는 기타 SQL ServerSQL Server 서비스 계정에 일부 액세스 제어 권한을 부여해야 할 수도 있습니다.Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. 다음 표에서는 SQL ServerSQL Server 설치 프로그램에서 설정하는 추가 ACL을 보여 줍니다.The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

요구 구성 요소Requesting component 계정Account 리소스Resource 사용 권한Permissions
MSSQLSERVERMSSQLServer 성능 로그 사용자Performance Log Users Instid\MSSQL\binnInstid\MSSQL\binn 폴더 내용 보기List folder contents
성능 모니터 사용자Performance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn 폴더 내용 보기List folder contents
성능, 로그 사용자, 성능 모니터 사용자Performance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll 읽기, 실행Read, Execute
관리자 전용Administrator only \\.\root\Microsoft\SqlServer\ServerEvents\\\.\root\Microsoft\SqlServer\ServerEvents\ 모든 권한Full control
관리자, 시스템Administrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan 모든 권한Full control
사용자Users \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan 읽기, 실행Read, Execute
Reporting ServicesReporting Services <보고서 서버 웹 서비스 계정><Report Server Web Service Account> <설치>\Reporting Services\LogFiles<install>\Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
보고서 관리자 응용 프로그램 풀 ID, ASP.NETASP.NET 계정, 모든 사람Report Manager Application pool identity, ASP.NETASP.NET account, Everyone <설치>\Reporting Services\ReportManager, <설치>\Reporting Services\ReportManager\Pages\*.*, <설치>\Reporting Services\ReportManager\Styles\*.*, <설치>\Reporting Services\ReportManager\webctrl_client\1_0\.\<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\.\ 읽기Read
보고서 관리자 응용 프로그램 풀 IDReport Manager Application pool identity <설치>\Reporting Services\ReportManager\Pages\.\<install>\Reporting Services\ReportManager\Pages\.\ 읽기Read
<보고서 서버 웹 서비스 계정><Report Server Web Service Account> <설치>\Reporting Services\ReportServer<install>\Reporting Services\ReportServer 읽기Read
<보고서 서버 웹 서비스 계정><Report Server Web Service Account> <설치>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax 전체Full
모든 사람Everyone <설치>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
네트워크 서비스Network service <설치>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx 전체Full
모든 사람Everyone <설치>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
ReportServer Windows 서비스 계정ReportServer Windows Services Account <설치>\Reporting Services\ReportServer\RSReportServer.config<install>\Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
모든 사람Everyone 보고서 서버 키(Instid 하이브)Report Server keys (Instid hive) 값 쿼리Query Value

하위 키 열거Enumerate SubKeys

알림Notify

읽기 제어Read Control
터미널 서비스 사용자Terminal Services User 보고서 서버 키(Instid 하이브)Report Server keys (Instid hive) 값 쿼리Query Value

값 설정Set Value

하위 키 만들기Create SubKey

하위 키 열거Enumerate SubKey

알림Notify

DELETEDelete

읽기 제어Read Control
고급 사용자Power Users 보고서 서버 키(Instid 하이브)Report Server keys (Instid hive) 값 쿼리Query Value

값 설정Set Value

하위 키 만들기Create Subkey

하위 키 열거Enumerate Subkeys

알림Notify

DELETEDelete

읽기 제어Read Control

WMI 공급자 네임스페이스입니다.This is the WMI provider namespace.

설치 위치에 대한 기본 드라이브는 일반적으로 C 드라이브인 시스템 드라이브입니다. tempdb 또는 사용자 데이터베이스는 다음과 같은 드라이브에 설치됩니다.The default drive for locations for installation is systemdrive, normally drive C. When tempdb or user databases are installed

기본이 아닌 드라이브Non-default Drive

기본 드라이브가 아닌 로컬 드라이브에 설치된 경우 서비스별 SID는 파일 위치에 대한 액세스 권한이 있어야 합니다.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. SQL ServerSQL Server 설치 프로그램은 필요한 액세스 권한을 프로비전합니다. Setup will provision the required access.

네트워크 공유Network Share

데이터베이스가 네트워크 설치된 경우 서비스 계정은 사용자의 파일 위치 및 tempdb 데이터베이스에 대한 액세스 권한이 있어야 합니다.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. SQL ServerSQL Server 설치 프로그램은 네트워크 공유에 대한 액세스 권한을 프로비전할 수 없습니다. Setup cannot provision access to a network share. 설치 프로그램을 실행하려면 먼저 사용자가 서비스 계정의 tempdb 위치에 대한 액세스 권한을 프로비전해야 합니다.The user must provision access to a tempdb location for the service account before running setup. 데이터베이스를 만들기 전에 사용자가 먼저 사용자 데이터베이스 위치에 대한 액세스 권한을 프로비전해야 합니다.The user must provision access to the user database location before creating the database.

참고

가상 계정은 원격 위치에 대해 인증할 수 없습니다.Virtual accounts cannot be authenticated to a remote location. 모든 가상 계정에는 시스템 계정의 사용 권한이 사용됩니다.All virtual accounts use the permission of machine account. \$ 형식으로 시스템 계정을 프로비전합니다.Provision the machine account in the format \$.

추가 고려 사항 검토 Reviewing Additional Considerations

다음 표에서는 SQL ServerSQL Server 서비스에서 추가 기능을 제공하는 데 필요한 권한을 보여 줍니다.The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

서비스/응용 프로그램Service/Application 기능Functionality 필요한 권한Required permission
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) xp_sendmail을 사용하여 메일 슬롯에 씁니다.Write to a mail slot using xp_sendmail. 네트워크 쓰기 권한Network write permissions.
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) SQL ServerSQL Server 관리자 이외의 사용자를 위해 xp_cmdshell을 실행합니다.Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. 운영 체제의 일부로 작동하며 프로세스 수준의 토큰을 교체합니다.Act as part of operating system and replace a process-level token.
SQL ServerSQL Server 에이전트(MSSQLSERVER) Agent (MSSQLSERVER) 자동 재시작 기능을 사용합니다.Use the autorestart feature. Administrators 로컬 그룹의 멤버여야 합니다.Must be a member of the Administrators local group.
데이터베이스 엔진Database Engine 튜닝 관리자 Tuning Advisor 최적의 쿼리 성능을 위해 데이터베이스를 튜닝합니다.Tunes databases for optimal query performance. 처음 사용하는 경우 시스템 관리 자격 증명이 있는 사용자가 응용 프로그램을 초기화해야 합니다.On first use, a user who has system administrative credentials must initialize the application. 초기화한 다음에는 dbo 사용자가 데이터베이스 엔진Database Engine 튜닝 관리자를 사용하여 자신이 소유한 테이블만 튜닝할 수 있습니다.After initialization, dbo users can use the 데이터베이스 엔진Database Engine Tuning Advisor to tune only those tables that they own. 자세한 내용은 데이터베이스 엔진Database Engine 온라인 설명서의 "처음 사용할 때의 SQL ServerSQL Server 튜닝 관리자 초기화"를 참조하십시오.For more information, see "Initializing 데이터베이스 엔진Database Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.
중요

SQL ServerSQL Server를 업그레이드하기 전에 SQL ServerSQL Server 에이전트에 대해 Windows 인증을 활성화하고 필요한 기본 구성, 즉 SQL ServerSQL Server 에이전트 서비스 계정이 SQL ServerSQL Serversysadmin 그룹의 구성원인지 확인합니다.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

레지스트리 권한 Registry Permissions

인스턴스 인식형 구성 요소인 경우 레지스트리 하이브는 HKLM\Software\Microsoft\Microsoft SQL Server\ 아래에 생성됩니다.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\ for instance-aware components. 예를 들면 다음과 같습니다.For example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

    레지스트리는 또한 인스턴스 이름과 인스턴스 ID의 매핑을 유지 관리합니다.The registry also maintains a mapping of instance ID to instance name. 인스턴스 이름과 인스턴스 ID의 매핑은 다음과 같이 유지 관리됩니다.Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMI WMI

WMI(Windows Management Instrumentation)에서 데이터베이스 엔진Database Engine에 연결할 수 있어야 합니다.Windows Management Instrumentation (WMI) must be able to connect to the 데이터베이스 엔진Database Engine. 이를 지원하기 위해 Windows WMI 공급자의 서비스별 SID(NT SERVICE\winmgmt)가 데이터베이스 엔진Database Engine에 프로비전됩니다.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the 데이터베이스 엔진Database Engine.

SQL WMI 공급자에는 다음과 같은 사용 권한이 필요합니다.The SQL WMI provider requires the following permissions:

  • msdb 데이터베이스에 있는 db_ddladmin 또는 db_owner 고정 데이터베이스 역할의 멤버 자격Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • 서버의CREATE DDL EVENT NOTIFICATION 권한CREATE DDL EVENT NOTIFICATION permission in the server.

  • CREATE TRACE EVENT NOTIFICATION 데이터베이스 엔진Database Engine권한CREATE TRACE EVENT NOTIFICATION permission in the 데이터베이스 엔진Database Engine.

  • VIEW ANY DATABASE 서버 수준 권한VIEW ANY DATABASE server-level permission.

    SQL ServerSQL Server 설치 프로그램은 SQL WMI 네임스페이스를 만들고 SQL ServerSQL Server 에이전트 서비스 SID에 읽기 권한을 부여합니다. setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

명명된 파이프 Named Pipes

모든 설치에서 SQL ServerSQL Server 설치 프로그램은 로컬 명명된 파이프인 공유 메모리 프로토콜을 통해 SQL Server 데이터베이스 엔진SQL Server Database Engine 에 대한 액세스 권한을 제공합니다.In all installation, SQL ServerSQL Server Setup provides access to the SQL Server 데이터베이스 엔진SQL Server Database Engine through the shared memory protocol, which is a local named pipe.

프로비전 Provisioning

이 섹션에서는 여러 SQL ServerSQL Server 구성 요소 내에서 계정이 프로비전되는 방법에 대해 설명합니다.This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

데이터베이스 엔진 프로비전 Database Engine Provisioning

다음 계정이 SQL Server 데이터베이스 엔진SQL Server Database Engine에서 로그인으로 추가됩니다.The following accounts are added as logins in the SQL Server 데이터베이스 엔진SQL Server Database Engine.

Windows 보안 주체 Windows Principals

설치 중에 SQL ServerSQL Server 설치 프로그램에서는 적어도 하나의 사용자 계정을 sysadmin 고정 서버 역할의 멤버로 명명해야 합니다.During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

sa 계정 sa Account

sa 계정은 항상 데이터베이스 엔진Database Engine 로그인으로 제공되며 sysadmin 고정 서버 역할의 멤버입니다.The sa account is always present as a 데이터베이스 엔진Database Engine login and is a member of the sysadmin fixed server role. Windows 인증만 사용하여 데이터베이스 엔진Database Engine 이 설치된 경우에도( SQL ServerSQL Server 인증이 설정되지 않은 경우) sa 로그인이 제공되지만 사용할 수 없습니다.When the 데이터베이스 엔진Database Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. sa 계정을 사용하도록 설정하는 방법은 서버 인증 모드 변경을 참조하세요.For information about enabling the sa account, see Change Server Authentication Mode.

SQL Server 서비스별 SID 로그인 및 권한 SQL Server Per-service SID Login and Privileges

SQL ServerSQL Server 서비스의 서비스별 SID는 데이터베이스 엔진Database Engine 로그인으로 프로비전됩니다.The per-service SID of the SQL ServerSQL Server service is provisioned as a 데이터베이스 엔진Database Engine login. 서비스별 SID 로그인은 sysadmin 고정 서버 역할의 멤버입니다.The per-service SID login is a member of the sysadmin fixed server role.

SQL Server 에이전트 로그인 및 사용 권한 SQL Server Agent Login and Privileges

SQL ServerSQL Server 에이전트 서비스의 서비스별 SID는 데이터베이스 엔진Database Engine 로그인으로 프로비전됩니다.The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a 데이터베이스 엔진Database Engine login. 서비스별 SID 로그인은 sysadmin 고정 서버 역할의 멤버입니다.The per-service SID login is a member of the sysadmin fixed server role.

Always On 가용성 그룹Always On Availability Groups 및 SQL 장애 조치(Failover) 클러스터 인스턴스 및 사용 권한 Always On 가용성 그룹Always On Availability Groups and SQL Failover Cluster Instance and Privileges

데이터베이스 엔진Database EngineAlways On 가용성 그룹Always On availability groups 또는 SQL 장애 조치(Failover) 클러스터 인스턴스(SQL FCI)로 설치한 경우 LOCAL SYSTEM데이터베이스 엔진Database Engine에 프로비전됩니다.When installing the 데이터베이스 엔진Database Engine as a Always On 가용성 그룹Always On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the 데이터베이스 엔진Database Engine. LOCAL SYSTEM 로그인에는 ALTER ANY AVAILABILITY GROUP 권한( Always On 가용성 그룹Always On availability groups용) 및 VIEW SERVER STATE 권한(SQL FCI용)이 부여됩니다.The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Always On 가용성 그룹Always On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

SQL 기록기 및 사용 권한 SQL Writer and Privileges

SQL ServerSQL Server VSS 기록기 서비스의 서비스별 SID는 데이터베이스 엔진Database Engine 로그인으로 프로비전됩니다.The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a 데이터베이스 엔진Database Engine login. 서비스별 SID 로그인은 sysadmin 고정 서버 역할의 멤버입니다.The per-service SID login is a member of the sysadmin fixed server role.

SQL WMI 및 사용 권한 SQL WMI and Privileges

SQL ServerSQL Server 설치 프로그램은 NT SERVICE\Winmgmt 계정을 데이터베이스 엔진Database Engine 로그인으로 프로비전하고 이를 sysadmin 고정 서버 역할에 추가합니다. Setup provisions the NT SERVICE\Winmgmt account as a 데이터베이스 엔진Database Engine login and adds it to the sysadmin fixed server role.

SSRS 프로비전SSRS Provisioning

설치 중에 지정한 계정은 RSExecRole 데이터베이스 역할의 멤버로 프로비전됩니다.The account specified during setup is provisioned as a member of the RSExecRole database role. 자세한 내용은 보고서 서버 서비스 계정 구성(SSRS 구성 관리자)을 참조하세요.For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

SSAS 프로비전 SSAS Provisioning

SSASSSAS 서비스 계정 요구 사항은 서버 배포 방법에 따라 다릅니다. service account requirements vary depending on how you deploy the server. SharePoint용 PowerPivotPower Pivot for SharePoint를 설치하는 경우 SQL ServerSQL Server 설치 프로그램을 실행하려면 도메인 계정으로 실행하도록 Analysis ServicesAnalysis Services 서비스를 구성해야 합니다.If you are installing SharePoint용 PowerPivotPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. SharePoint에 기본 제공되는 관리 계정 기능을 지원하려면 도메인 계정이 필요합니다.Domain accounts are required to support the managed account facility that is built into SharePoint. 따라서 SQL ServerSQL Server 설치 프로그램은 SharePoint용 PowerPivotPower Pivot for SharePoint 설치에 대해 가상 계정과 같은 기본 서비스 계정을 제공하지 않습니다.For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a SharePoint용 PowerPivotPower Pivot for SharePoint installation. SharePoint용 Power PivotPower Pivot 을 프로비전하는 방법에 대한 자세한 내용은 파워 피벗 서비스 계정 구성을 참조하세요.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

다른 모든 독립 실행형 SSASSSAS 설치의 경우 도메인 계정, 기본 제공 시스템 계정, 관리 계정 또는 가상 계정으로 실행하도록 서비스를 프로비전할 수 있습니다.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. 계정 프로비전에 대한 자세한 내용은 서비스 계정 구성(Analysis Services)을 참조하세요.For more information about account provisioning, see Configure Service Accounts (Analysis Services).

클러스터형 설치의 경우 도메인 계정 또는 기본 제공 시스템 계정을 지정해야 합니다.For clustered installations, you must specify a domain account or a built-in system account. SSASSSAS 장애 조치(Failover) 클러스터에는 관리 계정이나 가상 계정이 없습니다.Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

모든 SSASSSAS 설치에서는 Analysis ServicesAnalysis Services 인스턴스의 시스템 관리자를 지정해야 합니다.All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. 관리자 권한은 Analysis Services 서버 역할로 프로비전됩니다.Administrator privileges are provisioned in the Analysis Services Server role.

SSRS 프로비전 SSRS Provisioning

설치 중에 지정한 계정은 데이터베이스 엔진Database Engine 에서 RSExecRole 데이터베이스 역할의 멤버로 프로비전됩니다.The account specified during setup is provisioned in the 데이터베이스 엔진Database Engine as a member of the RSExecRole database role. 자세한 내용은 보고서 서버 서비스 계정 구성(SSRS 구성 관리자)을 참조하세요.For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

이전 버전에서 업그레이드 Upgrading From Previous Versions

이 섹션에서는 이전 버전의 SQL ServerSQL Server에서 업그레이드하는 동안 수행되는 변경 사항에 대해 설명합니다.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 에는 Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 또는 Windows 8.1이 필요합니다. requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . 더 낮은 운영 체제 버전에서 실행되는 모든 이전 버전의 SQL ServerSQL ServerSQL ServerSQL Server를 업그레이드하기 전에 운영 체제를 업그레이드해야 합니다.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • SQL Server 2005SQL Server 2005SQL Server 2017SQL Server 2017로 업그레이드하는 동안 SQL ServerSQL Server 설치 프로그램은 다음과 같은 방식으로 SQL ServerSQL Server 를 구성합니다.During upgrade of SQL Server 2005SQL Server 2005 to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • 데이터베이스 엔진Database Engine 은 서비스별 SID의 보안 컨텍스트로 실행됩니다.The 데이터베이스 엔진Database Engine runs with the security context of the per-service SID. 서비스별 SID에는 SQL ServerSQL Server 인스턴스의 파일 폴더(예: DATA) 및 SQL ServerSQL Server 레지스트리 키에 대한 액세스 권한이 부여됩니다.The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • 데이터베이스 엔진Database Engine 의 서비스별 SID는 데이터베이스 엔진Database Engine 에서 sysadmin 고정 서버 역할의 멤버로 프로비전됩니다.The per-service SID of the 데이터베이스 엔진Database Engine is provisioned in the 데이터베이스 엔진Database Engine as a member of the sysadmin fixed server role.

    • 서비스별 SID는 SQL ServerSQL Server 가 장애 조치(Failover) 클러스터 인스턴스가 아닌 한 로컬 SQL ServerSQL Server Windows 그룹에 추가됩니다.The per-service SID’s are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • SQL ServerSQL Server 리소스는 로컬 SQL ServerSQL Server Windows 그룹에 프로비전된 상태로 유지됩니다.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • 서비스의 로컬 Windows 그룹은 이름이 SQLServer2005MSSQLUser$$에서 SQLServerMSSQLUser$$으로 바뀝니다.The local Windows group for services is renamed from SQLServer2005MSSQLUser$$ to SQLServerMSSQLUser$$. 마이그레이션된 데이터베이스의 파일 위치에는 로컬 Windows 그룹에 대한 ACE(액세스 제어 항목)가 포함됩니다.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. 새 데이터베이스의 파일 위치에는 서비스별 SID에 대한 ACE가 포함됩니다.The file locations for new databases will have ACE’s for the per-service SID.

  • SQL Server 2008SQL Server 2008로부터 업그레이드하는 경우 SQL ServerSQL Server 설치 프로그램은 SQL Server 2008SQL Server 2008 서비스별 SID에 대한 ACE를 보존합니다.During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE’s for the SQL Server 2008SQL Server 2008 per-service SID.

  • SQL ServerSQL Server 장애 조치(Failover) 클러스터 인스턴스의 경우 서비스에 대해 구성된 도메인 계정의 ACE가 보존됩니다.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

부록 Appendix

이 섹션에는 SQL ServerSQL Server 서비스에 대한 추가 정보가 포함되어 있습니다.This section contains additional information about SQL ServerSQL Server services.

서비스 계정에 대한 설명 Description of Service Accounts

서비스 계정은 SQL Server 데이터베이스 엔진SQL Server Database Engine과 같은 Windows 서비스를 시작하는 데 사용되는 계정입니다.The service account is the account used to start a Windows service, such as the SQL Server 데이터베이스 엔진SQL Server Database Engine.

모든 운영 체제에서 사용할 수 있는 계정 Accounts Available With Any Operating System

앞에서 설명한 새로운 MSA가상 계정 외에도 다음과 같은 계정을 사용할 수 있습니다.In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

도메인 사용자 계정 Domain User Account

서비스가 네트워크 서비스, 파일 공유와 같은 액세스 도메인 리소스와 상호 작용해야 하는 경우 또는 SQL ServerSQL Server를 실행하는 다른 컴퓨터에 대한 연결된 서버 연결을 사용하는 경우 최소 권한이 부여된 도메인 계정을 사용하는 것이 좋습니다.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. 서버 간 작업은 많은 경우 도메인 사용자 계정으로만 수행할 수 있습니다.Many server-to-server activities can be performed only with a domain user account. 이 계정은 해당 환경에서 도메인 관리자가 미리 만들어 놓아야 합니다.This account should be pre-created by domain administration in your environment.

참고

도메인 계정을 사용하도록 응용 프로그램을 구성한 경우 응용 프로그램에 대한 사용 권한을 격리시킬 수 있지만 암호를 수동으로 관리하거나 이러한 암호 관리를 위한 사용자 지정 솔루션을 만들어야 합니다.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. 여러 서버 응용 프로그램들에서 보안 향상을 위해 이러한 전략이 사용되고 있지만 이 전략은 추가 관리 수준과 복잡성이 필요합니다.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. 이러한 배포에서 서비스 관리자는 Kerberos 인증에 필요한 서비스 암호 및 SPN(서비스 사용자 이름) 관리와 같은 유지 관리 태스크에 상당 시간을 소비해야 합니다.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. 또한 이러한 유지 관리 태스크로 인해 서비스가 중단될 수 있습니다.In addition, these maintenance tasks can disrupt service.

Local User Accounts Local User Accounts

컴퓨터가 도메인에 속하지 않은 경우에는 Windows 관리자 권한이 없는 로컬 사용자 계정을 사용하는 것이 좋습니다.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

로컬 서비스 계정 Local Service Account

로컬 서비스 계정은 리소스 및 개체에 대한 액세스 권한 수준이 Users 그룹 멤버와 동일한 기본 제공 계정입니다.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. 이러한 액세스 제한을 통해 개별 서비스나 프로세스의 보안이 침해될 때 시스템을 보호할 수 있습니다.This limited access helps safeguard the system if individual services or processes are compromised. 로컬 서비스 계정으로 실행되는 서비스는 자격 증명이 없는 Null 세션으로 네트워크 리소스에 액세스합니다.Services that run as the Local Service account access network resources as a null session without credentials. SQL ServerSQL Server 또는 SQL ServerSQL Server 에이전트 서비스에 대해서는 로컬 서비스 계정이 지원되지 않습니다.Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. 로컬 서비스는 공유 서비스이고 로컬 서비스로 실행되는 다른 모든 서비스가 SQL ServerSQL Server에 대한 시스템 관리자 액세스 권한을 갖기 때문에 해당 서비스를 실행하는 계정으로 지원되지 않습니다.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. 계정의 실제 이름은 NT AUTHORITY\LOCAL SERVICE입니다.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

네트워크 서비스 계정 Network Service Account

네트워크 서비스 계정은 리소스 및 개체에 대한 액세스 권한 수준이 Users 그룹 멤버보다 높은 기본 제공 계정입니다.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. 네트워크 서비스 계정으로 실행되는 서비스는 \$ 형식으로 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다.Services that run as the Network Service account access network resources by using the credentials of the computer account in the format \$. 계정의 실제 이름은 NT AUTHORITY\NETWORK SERVICE입니다.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

로컬 시스템 계정 Local System Account

로컬 시스템은 매우 높은 권한이 설정된 기본 계정입니다.Local System is a very high-privileged built-in account. 이 계정은 로컬 컴퓨터에 대한 확장된 권한을 가지며 네트워크에서 컴퓨터 역할을 합니다.It has extensive privileges on the local system and acts as the computer on the network. 계정의 실제 이름은 NT AUTHORITY\SYSTEM입니다.The actual name of the account is NT AUTHORITY\SYSTEM.

인스턴스 인식형 및 인스턴스 비인식형 서비스 식별 Identifying Instance-Aware and Instance-Unaware Services

인스턴스 인식형 서비스는 특정 SQL ServerSQL Server인스턴스와 연결되며 고유한 레지스트리 하이브를 보유합니다.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. 각 구성 요소 또는 서비스에 대해 SQL ServerSQL Server 설치 프로그램을 실행하여 여러 개의 인스턴스 인식형 서비스 복사본을 설치할 수 있습니다.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. 인스턴스 비인식형 서비스는 설치된 모든 SQL ServerSQL Server 인스턴스 사이에서 공유되며Instance-unaware services are shared among all installed SQL ServerSQL Server instances. 특정 인스턴스와 연결되지 않습니다. 또한 한 번만 설치되며 함께 작동하도록 설치할 수 없습니다.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

SQL ServerSQL Server 의 인스턴스 인식형 서비스는 다음과 같습니다.Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server 에이전트 Agent

    SQL ServerSQL ServerSQL Server ExpressSQL Server Express with Advanced Services 인스턴스에서는 SQL Server ExpressSQL Server Express 에이전트 서비스를 사용할 수 없습니다.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • 전체 텍스트 검색Full-text search

    SQL ServerSQL Server 의 인스턴스 비인식형 서비스는 다음과 같습니다.Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server 브라우저 Browser

  • SQL 기록기SQL Writer

    SharePoint 통합 모드의 Analysis Services는 단일 명명된 인스턴스인 ' Power PivotPower Pivot'으로 실행됩니다.Analysis Services in SharePoint integrated mode runs as ' Power PivotPower Pivot' as a single, named instance. 인스턴스 이름은 고정되어 있습니다.The instance name is fixed. 다른 이름을 지정할 수 없습니다.You cannot specify a different name. ' Power PivotPower Pivot'으로 실행되는 Analysis Services 인스턴스는 각 실제 서버에 하나만 설치할 수 있습니다.You can install only one instance of Analysis Services running as ' Power PivotPower Pivot' on each physical server.

지역화된 버전의 서비스 이름 Localized Service Names

다음 표에서는 각 언어 버전의 Windows에서 표시되는 서비스 이름을 보여 줍니다.The following table shows service names that are displayed by localized versions of Windows.

언어Language 로컬 서비스 이름Name for Local Service 네트워크 서비스 이름Name for Network Service 로컬 시스템 이름Name for Local System 관리자 그룹 이름Name for Admin Group
영어English

중국어(간체)Simplified Chinese

중국어(번체)Traditional Chinese

한국어Korean

일본어Japanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
독일어German NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
프랑스어French AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
이탈리아어Italian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
스페인어Spanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
러시아어Russian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\АдминистраторыBUILTIN\Администраторы

SQL Server 설치에 대한 보안 고려 사항Security Considerations for a SQL Server Installation

SQL Server 기본 인스턴스 및 명명된 인스턴스의 파일 위치File Locations for Default and Named Instances of SQL Server

MDS(Master Data Services) 설치Install Master Data Services