Artykuł
07/27/2011

Konfigurowanie kont usług systemu Windows

Każda usługa w programie SQL Server reprezentuje proces lub zestaw procesów do zarządzania uwierzytelnianiem operacji programu SQL Server w systemie Windows.W tym temacie opisano domyślną konfigurację usług w tej wersji programu SQL Server i opcje konfiguracji usług SQL Server, które można określić podczas instalacji programu SQL Server.

W zależności od składników, które użytkownik chce zainstalować instalator programu SQL Server instaluje następujące usługi:

Usługi bazy danych SQL Server — usługi relacyjnej Aparat baz danych programu SQL Server.
SQL Server Agent — wykonuje zadania, monitoruje program SQL Server, wyzwala alerty i umożliwia automatyzację niektórych zadań administracyjnych.

Ostrzeżenie

Aby program SQL Server i SQL Server Agent działały jako usługi w systemie Windows, program SQL Server i SQL Server Agent muszą być przypisane do konta użytkownika systemu Windows.Aby uzyskać więcej informacji dotyczących dostosowywania informacji o koncie dla poszczególnych usług, zobacz Jak: Instalowanie programu SQL Server 2008 R2 (Instalator).
Środowisko Usługi Analysis Services — zapewnia funkcje przetwarzanie analityczne online (OLAP) oraz wyszukiwania danych dla aplikacji analizy biznesowej.
Reporting Services — Zarządza raportami oraz wykonuje, tworzy, planuje i dostarcza je.
Integration Services — zapewnia obsługę zarządzania przechowywania i wykonywania pakietów Integration Services.
Przeglądarka SQL Server — usługa rozpoznawania nazw, która zapewnia informacji o połączeniu programu SQL Server dla komputerów klienckich.
Wyszukiwanie pełnotekstowe — szybko tworzy indeksy pełnotekstowe na podstawie zawartości i właściwości danych strukturalnych i semistrukturalne w celu umożliwienia filtrowania dokumentów i dzielenia wyrazów dla programu SQL Server.
Pomocnik SQL Server Active Directory — publikuje usługi programu SQL Server w usłudze Active Directory i zarządza nimi.

Pisarz SQL — umożliwia działanie aplikacji kopii zapasowej i przywracania w infrastrukturze usługi kopiowania woluminów w tle (VSS).

Ważne:
Należy zawsze używać narzędzi SQL Server, takich jak Menedżera konfiguracji programu SQL Server do zmiany konta używanego przez usługi programu SQL Server lub SQL Server Agent lub do zmiany hasła konta.Oprócz zmiany nazwy konta, menedżer konfiguracji programu SQL Server wykonuje dodatkową konfigurację, jak ustawienie uprawnień w rejestrze systemu Windows, aby nowe konto mogło odczytać ustawienia programu SQL Server.Inne narzędzia takie jak Menedżera sterowania usługami systemu Windows mogą zmieniać nazwę konta, ale nie zmieniają skojarzonych ustawień.Jeśli usługa nie może uzyskać dostępu części SQL Server rejestru, usługa może nie zostać uruchomiona poprawnie.

Należy zawsze używać narzędzi SQL Server, takich jak Menedżera konfiguracji programu SQL Server do zmiany konta używanego przez usługi programu SQL Server lub SQL Server Agent lub do zmiany hasła konta.Oprócz zmiany nazwy konta, menedżer konfiguracji programu SQL Server wykonuje dodatkową konfigurację, jak ustawienie uprawnień w rejestrze systemu Windows, aby nowe konto mogło odczytać ustawienia programu SQL Server.Inne narzędzia takie jak Menedżera sterowania usługami systemu Windows mogą zmieniać nazwę konta, ale nie zmieniają skojarzonych ustawień.Jeśli usługa nie może uzyskać dostępu części SQL Server rejestru, usługa może nie zostać uruchomiona poprawnie.

Ważne:
W odniesieniu do wystąpień usług Analysis Services wdrażanych w farmie programu SharePoint należy zawsze używać administracji centralnej programu SharePoint do zmiany konta serwera dla aplikacji Usługa PowerPivot i Usługa Analysis Services.Skojarzone ustawienia i uprawnienia są aktualizowane, aby używane były nowe informacje o koncie podczas używania administracji centralnej.

Pozostała część tego tematu jest podzielona na następujące sekcje:

Konfigurowanie typu uruchomienia usługi
Używanie konta uruchamiania dla usług programu SQL Server
Identyfikowanie usług opartych i nieopartych na wystąpieniach
Przeglądanie praw i uprawnień NT praw przyznanych dla kont usług SQL Server
Przeglądanie list kontroli dostępu tworzonych dla kont usług programu SQL Server
Przeglądanie uprawnień systemu Windows dla usług programu SQL Server
Przegląd dodatkowych kwestii
Lokalizowanie nazw usług

Konfigurowanie typu uruchomienia usługi

Podczas instalowania programu SQL Server dla niektórych usług programu SQL Server można skonfigurować typ uruchomienia — wyłączony, ręczny lub automatyczny.W poniższej tabeli przedstawiono usługi programu SQL Server, które można skonfigurować podczas instalacji.W przypadku instalacji nienadzorowanych można używać przełączników w pliku konfiguracji lub w wierszu polecenia.

Nazwa usługi programu SQL Server	Można konfigurować w kreatorze instalacji?	Przełączniki dla instalacji nienadzorowanej1
MSSQLSERVER	Tak	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	Tak	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	Tak	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	Tak	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	Tak	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Aby uzyskać więcej informacji na temat instalacji nienadzorowanych oraz przykład składni, zobacz Jak: Instalowanie programu SQL Server 2008 R2 z wiersza polecenia.

2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.

Używanie konta uruchamiania dla usług programu SQL Server

W celu uruchomienia i działania każda usługa w programie SQL Server musi mieć konto skonfigurowane podczas instalacji.Konta uruchamiania używane do uruchamiania i wykonywania usługi programu SQL Server mogą być wbudowanymi kontami systemowymi, kontami użytkowników lokalnych lub kontami użytkowników domeny.

Konto użytkownika domeny

Jeśli usługa musi współdziałać z usługami sieciowymi, uzyskiwać dostęp do zasobów domeny, takich jak udziały plików, lub jeśli używa połączonego serwera połączeń z innymi komputerami, na których działa program SQL Server, można użyć konta domeny o minimalnych uprawnieniach.Wiele działań serwer-serwer może być wykonywanych tylko przy użyciu konta użytkownika domeny.To konto powinno być utworzonego zawczasu przez administratora domeny w Twoim środowisku.

Lokalne konto użytkownika

Jeśli komputer nie jest częścią domeny, zalecane jest konto użytkownika lokalnego bez uprawnień administratora systemu Windows.

Konto usługi lokalnej

Konto Usługa lokalna jest wbudowanym kontem, który ma ten sam poziom dostępu do zasobów i obiektów jako członkowie grupy Użytkownicy.Taki ograniczony dostęp pomaga chronić system, jeśli poszczególne usługi lub procesy są zagrożone.Usługi, które są uruchamiane jako konto usługi lokalnej uzyskują dostęp do zasobów sieciowych jako sesja pusta bez poświadczeń.Należy pamiętać, że konto Usługa lokalna nie jest obsługiwany dla usług programu SQL Server lub SQL Server Agent.Rzeczywista nazwa konta to „NT AUTHORITY\LOCAL SERVICE”.

Konto Usługa sieciowa

Konto Usługa sieciowa jest wbudowanym kontem, które ma większy dostęp do zasobów i obiektów niż członkowie grupy Użytkownicy.Usługi, które są uruchamiane jako konto Usługa sieciowa uzyskują dostęp do zasobów sieciowych, używając poświadczeń konta komputera.Rzeczywista nazwa konta to „NT AUTHORITY\NETWORK SERVICE”.

Konto System lokalny

System lokalny jest kontem wbudowanym o wysokich uprawnieniach.Ma szerokie uprawnienia w systemie lokalnym i działa jako komputer w sieci.Rzeczywista nazwa konta to „NT AUTHORITY\SYSTEM”.

Oprócz posiadania konta użytkownika, każda usługa ma trzy Państwa możliwe stany uruchomienia, które użytkownicy mogą kontrolować:

Wyłączony Usługa jest zainstalowana, ale nie jest obecnie uruchomiona.
Ręczny Usługa jest zainstalowany, ale zostanie uruchomiona tylko wtedy, gdy inna usługa lub aplikacja wymaga jej funkcjonalności.
Automatyczny Usługa jest automatycznie uruchamiana przez system operacyjny.

W poniższej tabeli przedstawiono opcjonalne konta dla każdej usługi programu SQL Server oraz stany uruchomienia każdej usługi.

Nazwa usługi programu SQL Server	Konta opcjonalne	Typ uruchomienia	Domyślny stan po instalacji
SQL Server	SQL Server Express: Użytkownik domeny, System lokalny, Usługa sieciowa Wszystkie inne wersje: Użytkownik domeny, System lokalny, Usługa sieciowa1	Automatyczny1	Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania.
SQL Server Agent	Użytkownik domeny, System lokalny, Usługa sieciowa1	Ręczny1,2 Automatyczny tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie.	Zatrzymano Uruchomiona tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie.
Usługi Analysis Services	Użytkownik domeny, Usługa sieciowa, Usługa lokalna, System lokalny1 4	Automatyczny1	Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania.
Reporting Services	Użytkownik domeny, System lokalny, Usługa sieciowa, Usługa lokalna	Automatyczne	Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania.
Integration Services	Użytkownik domeny, System lokalny, Usługa sieciowa, Usługa lokalna	Automatyczne	Uruchomiono Stan Zatrzymano tylko wtedy, gdy użytkownik nie wybierze automatycznego uruchamiania.
Wyszukiwanie pełnotekstowe	Używa konta innego niż konto dla usługi SQL Server. Domyślnie kontem będzie Usługa lokalna w systemach Windows Server 2008 i Windows Vista.	Automatyczne	Uruchomiono Zatrzymano tylko wtedy, gdy konto nie zostanie określone w systemach Windows Server 2003 lub systemu Windows XP.
Przeglądarka SQL Server	Usługa lokalna	Wyłączony3 Automatyczny tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie.	Zatrzymano Uruchomiona tylko wtedy, gdy użytkownik wybierze automatyczne uruchamianie.
Pomocnik SQL Server Active Directory	System lokalny, Usługa sieciowa	Wyłączony	Zatrzymano
Pisarz SQL	System lokalny	Automatyczne	Uruchomiono

Ważne:

1Dla konfiguracji klastra pracy awaryjnej należy użyć konta użytkownika domeny, a typ uruchamiania będzie ustawiony jako ręczny.

2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.

3Domyślnie dla instalacji klastra pracy awaryjnej i nazwanych wystąpień po zakończeniu instalacji Przeglądarka SQL Server jest ustawiana jako uruchamiana automatycznie.

4Wystąpienia usługi Analysis Services wdrażane w trybie zintegrowanym programu SharePoint muszą być uruchamiane jako konta użytkowników domeny.Instalator będzie blokował instalację, jeśli zostanie określone konto takie jak Usługa sieciowa.Wbudowane konta nie są dozwolone dla usług udostępnionych w farmie.

Uwaga dotycząca zabezpieczeń Usługi programu SQL Server należy zawsze uruchamiać przy użyciu najniższych możliwych praw użytkownika. Użyj konkretnego konta użytkownika o niskich uprawnieniach lub konta domeny zamiast udostępnionego konta dla usług programu SQL Server.Użyj osobnych kont dla różnych usług programu SQL Server.Nie należy udzielać dodatkowych uprawnień kontu usług programu SQL Server lub grupom usług.Uprawnienia będą przyznane za pośrednictwem członkostwa grupy lub bezpośrednio identyfikatorowi SID usługi, gdy identyfikator SID usługi jest obsługiwany.

Obsługiwane konfiguracje usługi

Program SQL Server używa grupy zabezpieczeń do ustawiania list kontroli dostępu zasobu zamiast bezpośredniego używania konta usługi, więc zmiany konta usługi można dokonać bez konieczności powtarzania procesu listy kontroli dostępu zasobu.Grupa zabezpieczeń może być lokalną grupą zabezpieczeń, grupą zabezpieczeń domeny lub identyfikatorem SID usługi.

Podczas instalacji programu SQL Server instalator programu SQL Server tworzy grupę usług dla każdego składnika programu SQL Server.Grupy te uproszczają udzielanie uprawnień, które są wymagane do uruchomienia usług programu SQL Server i innych plików wykonywalnych i pomagają w zabezpieczaniu plików programu SQL Server.

Zależnie od konfiguracji usługi konto usługi dla usługi lub identyfikatora SID usługi jest dodawane jako członek grupy usług podczas instalacji lub uaktualniania.

Program SQL Server umożliwia korzystanie z identyfikatorów SID na usługę dla każdej z jego usług w systemach operacyjnych Windows Server 2008 lub Windows Vista w programie SQL Server 2008 R2 do świadczenia usług izolacji i dogłębnej obrony.Identyfikator SID na usługę pochodzi od nazwy usługi i jest unikatowy dla tej usługi.Na przykład nazwą identyfikatora SID usługi dla programu SQL Server może być NT Service\MSSQL$<NazwaWystąpienia>.Usługa izolacji umożliwia dostęp do określonych obiektów bez konieczności używania konta o wysokich uprawnieniach lub osłabienia ochrony zabezpieczeń obiektu.Za pomocą wpisu kontroli dostępu zawierającego identyfikator SID usługi usługa programu SQL Server może ograniczyć dostęp do swoich zasobów.

W poniższej tabeli przedstawiono obsługiwane konfiguracje usługi dla instalacji nowych i uaktualnionych w systemach Windows Server 2008 lub Windows Vista.

Nowa instalacja	Uaktualnienie
Wystąpienie autonomiczne — grupa usług z identyfikatorem SID usługi Wystąpienie klastra pracy awaryjnej — identyfikator SID usługi Wystąpienie klastra pracy awaryjnej — grupa usługi domeny Kontroler domeny — identyfikator SID usługi Kontroler domeny — grupa usług z kontem usługi	Wystąpienie autonomiczne — grupa usług domeny z identyfikatorem SID usługi Wystąpienie klastra pracy awaryjnej — grupa usług domeny z kontem usługi

W poniższej tabeli przedstawiono obsługiwane konfiguracje usługi dla instalacji nowych i uaktualnionych w systemach Windows Server 2003 lub Windows XP.

Nowa instalacja	Uaktualnienie
Wystąpienie autonomiczne — grupa usług z kontem usługi Wystąpienie klastra pracy awaryjnej instancji — grupa usług domeny z kontem usługi Kontroler domeny — grupa usług z kontem usługi	Wystąpienie autonomiczne — grupa usług domeny z kontem usługi Wystąpienie klastra pracy awaryjnej — grupa usług domeny z kontem usługi

Dla autonomicznego wystąpień programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008 identyfikatory SID usługi są dodawane do grupy usług, a identyfikator SID usługi dla programu SQL Server Engine i SQL Server Agent jest dodawany jako identyfikatora logowania do roli Sysadmin na serwerze.

Dla wystąpień klastra pracy awaryjnej programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008 domyślnie instalator programu SQL Server używa identyfikatora SID usługi i ustawia listy ACL zasobów systemu operacyjnego programu SQL Server jako identyfikator SID usługi.

Ostrzeżenie

Aby użyć grup domeny w klastrze pracy awaryjnej programu SQL Server, muszą zostać utworzone przed uruchomieniem Instalatora.Zaleca się używać unikatowych grup domeny podczas instalowania usług programu SQL Server w klastrze pracy awaryjnej programu SQL Server.

Zmiana właściwości konta

Aby zmienić konta usług, hasło, typ uruchamiania usługi lub inne właściwości dowolnej usługi związanej z programem SQL Server, należy użyć menedżera konfiguracji programu SQL Server.Dla usług Reporting Services należy użyć narzędzia konfiguracji usług raportowania.W przypadku usług Analysis Services w farmie programu SharePoint należy użyć administracji centralnej programu SharePoint.Należy pamiętać, że zmiana nazwy wystąpienia programu SQL Server nie zmienia nazwy grup zabezpieczeń programu SQL Server.Grupy zabezpieczeń będą nadal działać ze starymi nazwami po operacji zmiany nazwy.

Identyfikowanie usług opartych i nieopartych na wystąpieniach

Usługi oparte na wystąpieniach są skojarzone z konkretnym wystąpieniem programu SQL Server i mają własne gałęzie rejestru.Można zainstalować wiele kopii usług opartych na wystąpieniach, uruchamiając instalator programu SQL Server dla każdego składnika lub usługi.Usługi nieoparte na wystąpieniach są współużytkowane przez wszystkie zainstalowane wystąpienia programu SQL Server.Nie są one skojarzone z konkretnym wystąpieniem, są instalowane tylko jeden raz i nie mogą być instalowane obok siebie.

Usługi oparte na wystąpieniach w programie SQL Server to między innymi:

SQL Server
SQL Server Agent

Należy pamiętać, że usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.
Usługi Analysis Services 1
Reporting Services
Wyszukiwanie pełnotekstowe

Usługi nieoparte na wystąpieniach w programie SQL Server to między innymi:

Integration Services
Przeglądarka SQL Server
Pomocnik SQL Server Active Directory
Pisarz SQL

1Usługi Analysis Services w trybie zintegrowanym programu SharePoint działają jako program „PowerPivot” jako pojedyncze nazwane wystąpienie.Nazwa wystąpienia jest ustalona.Nie można określić innej nazwy.Można zainstalować tylko jedno wystąpienie usługi Analysis Services działającej jako program „PowerPivot” na każdym serwerze fizycznym.

Przeglądanie praw i uprawnień systemu Windows NT przyznanych kontom usług programu SQL Server

W poniższej tabeli podano grupy użytkowników tworzone przez instalator programu SQL Server, którym są przyznawane konkretne prawa użytkownika systemu Windows NT.

Usługa programu SQL Server	Grupa użytkowników	Domyślne uprawnienia przyznane przez instalator programu SQL Server
SQL Server	Domyślne wystąpienie: SQLServerMSSQLUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerMSSQLUser$ComputerName$InstanceName	Logowanie w trybie usługi (SeServiceLogonRight)1 Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege) Uprawnienie do uruchamiania Pomocnika SQL Server Active Directory Uprawnienie do uruchamiania programu Pisarz SQL Uprawnienie do odczytu usługi Dziennik zdarzeń Uprawnienie do odczytu usługi Zdalne wywołanie procedury Ważne: Dla wystąpień programu SQL Server w systemie Windows Vista i nowszym, uprawnienia użytkownika Logowanie w trybie usługi, Zastępowanie tokenu na poziomie procesu, Obejdź sprawdzanie przy przechodzeniu i Dostosuj przydziały pamięci dla procesów są przydzielane identyfikatorowi SID usługi programu SQL Server.
SQL Server Agent3	Domyślne wystąpienie: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerSQLAgentUser$ComputerName$InstanceName	Logowanie w trybie usługi (SeServiceLogonRight) Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege) Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege)
Usługi Analysis Services	Domyślne wystąpienie: SQLServerMSASUser$ComputerName$MSSQLSERVER Nazwane wystąpienie: SQLServerMSASUser$ComputerName$InstanceName Wystąpienie programu PowerPivot for SharePoint: SQLServerMSASUser$ComputerName$PowerPivot	Logowanie w trybie usługi (SeServiceLogonRight)
SSRS	Domyślne wystąpienie: SQLServerReportServerUser$ComputerName$MSRS10_50.MSSQLSERVER Nazwane wystąpienie: SQLServerReportServerUser$ComputerName$MSRS10_50.InstanceName	Logowanie w trybie usługi (SeServiceLogonRight)
Integration Services	Domyślne lub nazwane wystąpienie: SQLServerDTSUser$ComputerName	Logowanie w trybie usługi (SeServiceLogonRight) Uprawnienie do zapisu do dziennika zdarzeń aplikacji. Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege) Personifikuj klienta po uwierzytelnieniu (uprawnienie SeImpersonatePrivilege)
Wyszukiwanie pełnotekstowe	Domyślne wystąpienie: SQLServerFDHostUser$ ComputerName$MSSQL10_50.MSSQLSERVER Nazwane wystąpienie: SQLServerFDHostUser$ComputerName$MSSQL10_50.InstanceName	Logowanie w trybie usługi (SeServiceLogonRight) Ważne: Dla wystąpień programu SQL Server w systemie Windows Vista i nowszym, uprawnienie Logowanie w trybie usługi jest przydzielane do identyfikatora SID usługi uruchamiania FD.
Przeglądarka SQL Server	Domyślne lub nazwane wystąpienie: SQLServerSQLBrowserUser$ComputerName	Logowanie w trybie usługi (SeServiceLogonRight)
Pomocnik SQL Server Active Directory	Domyślne lub nazwane wystąpienie: SQLServerMSSQLServerADHelperUser$ComputerName	Brak2
Pisarz SQL	Brak	Brak2

1To uprawnienie jest przydzielane domyślnie do wszystkich usług programu SQL Server.

2SQL Server Instalator nie sprawdza ani nie udziela uprawnień dla tej usługi.

3Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.

Przeglądanie list kontroli dostępu tworzonych dla kont usług programu SQL Server

Konta usługi programu SQL Server muszą mieć dostęp do zasobów.Listy kontroli dostępu są ustawione na poziomie grupy użytkowników.

Ważne:
Dla instalacji klastra pracy awaryjnej zasoby na udostępnionych dyskach muszą być ustawione na listę ACL dla lokalnego konta.

W poniższej tabeli podano listy ACL ustawiane przez instalator programu SQL Server:

Konto usługi1 dla	Pliki i foldery	Dostęp
MSSQLServer	Instid\MSSQL\backup	Pełna kontrola
	Instid\MSSQL\binn	Odczyt, Wykonanie
	Instid\MSSQL\data	Pełna kontrola
	Instid\MSSQL\FTData	Pełna kontrola
	Instid\MSSQL\Install	Odczyt, Wykonanie
	Instid\MSSQL\Log	Pełna kontrola
	Instid\MSSQL\Repldata	Pełna kontrola
	100\shared	Odczyt, Wykonanie
	Instid\MSSQL\Template Data (tylko SQL Server Express)	Odczyt
SQLServerAgent2	Instid\MSSQL\binn	Pełna kontrola
	Instid\MSSQL\binn	Pełna kontrola
	Instid\MSSQL\Log	Odczyt, Zapis, Usuwanie, Wykonanie
	100\com	Odczyt, Wykonanie
	100\shared	Odczyt, Wykonanie
	100\shared\Errordumps	Odczyt, Zapis
	ServerName\EventLog	Pełna kontrola
FTS	Instid\MSSQL\FTData	Pełna kontrola
	Instid\MSSQL\FTRef	Odczyt, Wykonanie
	100\shared	Odczyt, Wykonanie
	100\shared\Errordumps	Odczyt, Zapis
	Instid\MSSQL\Install	Odczyt, Wykonanie
	Instid\MSSQL\jobs	Odczyt, Zapis
MSSQLServerOLAPservice	100\shared\ASConfig	Pełna kontrola
	Instid\OLAP	Odczyt, Wykonanie
	Instid\Olap\Data	Pełna kontrola
	Instid\Olap\Log	Odczyt, Zapis
	Instid\OLAP\Backup	Odczyt, Zapis
	Instid\OLAP\Temp	Odczyt, Zapis
	100\shared\Errordumps	Odczyt, Zapis
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Odczyt, Zapis, Usuwanie
	Instid\Reporting Services\ReportServer	Odczyt, Wykonanie
	Instid\Reportingservices\Reportserver\global.asax	Pełna kontrola
	Instid\Reportingservices\Reportserver\Reportserver.config	Odczyt
	Instid\Reporting Services\reportManager	Odczyt, Wykonanie
	Instid\Reporting Services\RSTempfiles	Odczyt, Zapis, Wykonanie, Usuwanie
	100\shared	Odczyt, Wykonanie
	100\shared\Errordumps	Odczyt, Zapis
MSDTSServer100	100\dts\binn\MsDtsSrvr.ini.xml	Odczyt
	100\dts\binn	Odczyt, Wykonanie
	100\shared	Odczyt, Wykonanie
	100\shared\Errordumps	Odczyt, Zapis
Przeglądarka SQL Server	100\shared\ASConfig	Odczyt
	100\shared	Odczyt, Wykonanie
	100\shared\Errordumps	Odczyt, Zapis
MSADHelper	N/D (działa na koncie Usługa sieciowa)
SQLWriter	N/D (działa jako system lokalny)
Użytkownik	Instid\MSSQL\binn	Odczyt, Wykonanie
	Instid\Reporting Services\ReportServer	Odczyt, Wykonanie, Wyświetlanie zawartości folderu
	Instid\Reportingservices\Reportserver\global.asax	Odczyt
	Instid\Reporting Services\ReportManager	Odczyt, Wykonanie
	Instid\Reporting Services\ReportManager\pages	Odczyt
	Instid\Reporting Services\ReportManager\Styles	Odczyt
	100\dts	Odczyt, Wykonanie
	100\tools	Odczyt, Wykonanie
	90\tools	Odczyt, Wykonanie
	80\tools	Odczyt, Wykonanie
	100\sdk	Odczyt
	Microsoft SQL Server\100\Setup Bootstrap	Odczyt, Wykonanie

1 W wypadku instalacji klastrów pracy awaryjnej programu SQL Server lub instalacji programu SQL Server na kontrolerze domeny listy ACL zostaną ustawione dla identyfikatora SID usługi programu SQL Server a nie dla grupy usługi programu SQL Server w systemach operacyjnych Windows Vista i Windows Server 2008.

2Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.

Niektóre uprawnienia kontroli dostępu mogą być przydzielane do wbudowanych kont lub innych kont usługi programu SQL Server.W poniższej tabeli podano dodatkowe listy ACL ustawiane przez instalator programu SQL Server:

Składnik wnioskujący	Konto	Zasób	Uprawnienia
MSSQLServer	Użytkownicy dziennika wydajności	Instid\MSSQL\binn	Wyświetlanie zawartości folderu
	Użytkownicy monitora wydajności	Instid\MSSQL\binn	Wyświetlanie zawartości folderu
	Użytkownicy dziennika wydajności, Użytkownicy monitora wydajności	\WINNT\system32\sqlctr100.dll	Odczyt, Wykonanie
	Tylko administrator	\\.\root\Microsoft\SqlServer\ServerEvents\<sql_nazwa_wystąpienia>1	Pełna kontrola
	Administratorzy, System	\tools\binn\schemas\sqlserver\2004\07\showplan	Pełna kontrola
	Użytkownicy	\tools\binn\schemas\sqlserver\2004\07\showplan	Odczyt, Wykonanie
Reporting Services	<Konto usługi sieci Web serwera raportów>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Tożsamość puli aplikacji Menedżera raportów, konto ASP.NET, Wszyscy	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\., <install>\Reporting Services\ReportManager\Styles\., <install>\Reporting Services\ReportManager\webctrl_client\1_0\.	Odczyt
	Tożsamość puli aplikacji Menedżera raportów	<install>\Reporting Services\ReportManager\Pages\.	Odczyt
	<Konto usługi sieci Web serwera raportów>	<install>\Reporting Services\ReportServer	Odczyt
	<Konto usługi sieci Web serwera raportów>	<install>\Reporting Services\ReportServer\global.asax	Pełny
	Wszyscy	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Usługa sieciowa	<install>\Reporting Services\ReportServer\ReportService.asmx	Pełny
	Wszyscy	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Konto usługi ReportServer systemu Windows	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Wszyscy	Klucze serwera raportów (gałąź Instid)	Wartości zapytania Wyliczanie podkluczy Powiadom Kontrola odczytu
	Użytkownik usług terminalowych	Klucze serwera raportów (gałąź Instid)	Wartości zapytania Ustaw wartość Tworzenie podklucza Wylicz klucze podrzędne Powiadom Usuń Kontrola odczytu
	Użytkownicy zaawansowani	Klucze serwera raportów (gałąź Instid)	Wartości zapytania Ustaw wartość Tworzenie podklucza Wyliczanie podkluczy Powiadom Usuń Kontrola odczytu

1Jest to obszar nazw dostawcy WMI.

Przeglądanie uprawnień systemu Windows dla usług programu SQL Server

W poniższej tabeli podano nazwy usług, termin, który jest używany do określenia domyślnego i nazwanego wystąpienia usług programu SQL Server, opis funkcji usługi, i wymagane minimalne uprawnienia.

Nazwa wyświetlana	Nazwa usługi	Opis	Wymagane uprawnienia
SQL Server (InstanceName)	Domyślne wystąpienie: MSSQLSERVER Nazwane wystąpienie: MSSQL$InstanceName	Aparat baz danych programu SQL Server. Ścieżka pliku wykonywalnego to \MSSQL\Binn\sqlservr.exe.	Zaleca się konto użytkownika lokalnego lub domeny. Logowanie w trybie usługi (SeServiceLogonRight).1 Zastępowanie tokenu na poziomie procesu (SeAssignPrimaryTokenPrivilege). Obejdź sprawdzanie przy przechodzeniu (SeChangeNotifyPrivilege). Dostosuj przydziały pamięci dla procesów (SeIncreaseQuotaPrivilege). Uprawnienie do uruchamiania Pomocnika SQL Server Active Directory. Uprawnienie do uruchamiania programu Pisarz SQL. Uprawnienie do odczytu usługi Dziennik zdarzeń. Uprawnienie do odczytu usługi Zdalne wywołanie procedury. Minimalne uprawnieniaFunkcja Konto uruchamiania usługi MSSQLServer Konto musi być na liście kont, które mają uprawnienia Wyświetlanie folderu na dysku głównym, na którym jest zainstalowany program SQL Server.Musi on być także w katalogu głównym dowolnego innego dysku, na którym są przechowywane pliki programu SQL Server. Uwaga: Uprawnienia „Wyświetlanie folderu” do dysku głównego nie muszą być dziedziczone przez podfoldery. Konto uruchamiania usługi MSSQLServerKonto musi mieć uprawnienia Pełna kontrola do wszystkich folderów, w których będą się znajdować pliki dziennika (mdf, ndf, ldf).
SQL Server Agent (InstanceName)1	Domyślne wystąpienie: SQLServerAgent Nazwane wystąpienie: SQLAgent$InstanceName	Wykonuje zadania, monitoruje program SQL Server, wyzwala alerty i umożliwia automatyzację niektórych zadań administracyjnych. Ścieżka pliku wykonywalnego to \MSSQL\Binn\sqlagent.exe.	Minimalne uprawnieniaFunkcja Konto musi być członkiem stałej roli serwera sysadmin. Konto musi mieć następujące uprawnienia systemu Windows:Logowanie w trybie usługi.Zamień token na poziomie procesu.Dostosuj przydziały pamięci dla procesów.Obejdź sprawdzanie przy przechodzeniu.
Usług Usługi Analysis Services (InstanceName)	Domyślne wystąpienie: MSSQLServerOLAPService Nazwane wystąpienie: MSOLAP$InstanceName	Usługa zapewniająca funkcje przetwarzania analitycznego online (OLAP) oraz wyszukiwania danych dla aplikacji analizy biznesowej. Ścieżka pliku wykonywalnego to \OLAP\Bin\msmdsrv.exe.
Reporting Services	Domyślne wystąpienie: ReportServer Nazwane wystąpienie: ReportServer$InstanceName	Zarządza raportami oraz wykonuje, tworzy, planuje i dostarcza je. Ścieżka pliku wykonywalnego to \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services	Domyślne lub nazwane wystąpienie: MSDTSServer	Zapewnia obsługę zarządzania dla przechowywania pakietów programu Integration Services i wykonywania ich. Ścieżka pliku wykonywalnego to \DTS\Binn\msdtssrvr.exe.
Wyszukiwanie pełnotekstowe	Domyślne lub nazwane wystąpienie: SQL Full-text Filter Daemon Launcher	Usługa do uruchamiania proces demona filtru pełnotekstowego do wykonywania filtrowania dokumentów i dzielenia wyrazów dla wyszukiwania pełnotekstowego programu SQL Server.
Przeglądarka SQL Server	Domyślne lub nazwane wystąpienie: SQLBrowser	Usługa rozpoznawania nazw, która zapewnia informacje o połączeniu programu SQL Server dla komputerów klienckich.Ta usługa jest współużytkowana przez wiele wystąpień programu SQL Server i SSIS. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe.
Pomocnik SQL Server Active Directory	Domyślne lub nazwane wystąpienie: MSSQLServerADHelper.	Publikuje usługi programu SQL Server w usłudze Windows Active Directory i zarządza nimi. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe.
Pisarz SQL	SQLWriter	Umożliwia działanie aplikacji kopii zapasowej i przywracania w infrastrukturze usługi kopiowania woluminów w tle (VSS).Istnieje jedno wystąpienie usługi SQL pisarz dla wszystkich wystąpień programu SQL Server na serwerze. Ścieżka pliku wykonywalnego to <dysk>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe.

1Usługa SQL Server Agent jest wyłączona na wystąpieniach programu SQL Server Express i SQL Server Express z usługami zaawansowanymi.

Przegląd dodatkowych kwestii

W poniższej tabeli przedstawiono uprawnienia, które są wymagane, aby usługi programu SQL Server zapewniały dodatkowe funkcje.

Usługa/aplikacja	Funkcja	Wymagane uprawnienie
SQL Server (MSSQLSERVER)	Zapis do gniazda poczty przy użyciu xp_sendmail.	Uprawnienia Zapisywanie w sieci.
SQL Server (MSSQLSERVER)	Uruchamianie programu xp_cmdshell dla użytkownika innego niż administrator programu SQL Server.	Działanie jako część systemu operacyjnego i zamień token na poziomie procesu.
SQL Server Agent (MSSQLSERVER)	Użyj funkcji uruchamiania ponownego.	Musi być członkiem grupy lokalnej Administrators.
Doradca dostrajania Aparat baz danych	Dostraja bazy danych dla optymalnego działania zapytań.	Przy pierwszym użyciu użytkownik, który ma poświadczenia administracyjne systemu, musi zainicjować aplikację.Po zainicjowaniu programu dbo użytkownicy mogą używać doradcy dostrajania Aparat baz danych do dostrajania tylko tych tabel, których są właścicielami.Aby uzyskać więcej informacji, zobacz temat „Inicjowanie Doradcy dostrajania Aparat baz danych przy pierwszym użyciu” w witrynie SQL Server — książki online.

Ważne:
Przed uaktualnieniem programu SQL Server, należy włączyć uwierzytelnianie systemu Windows dla usługi SQL Server Agent i sprawdzić wymaganą domyślną konfigurację: czy konto usługi SQL Server Agent jest członkiem grupy SQL Server sysadmin.

Lokalizowanie nazw usług

W poniższej tabeli przedstawiono nazwy usług, które są wyświetlane przez zlokalizowane wersje systemu Windows.

Język	Nazwa dla usługi lokalnej	Nazwa dla usługi sieciowej	Nazwa dla Systemu lokalnego	Nazwa dla grupy Admin
Angielski Chiński uproszczony Chiński tradycyjny Koreański Japoński	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Niemiecki	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Francuski	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Włoski	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Hiszpański	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Rosyjski	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Zobacz także

Odwołanie

Baza danych konfiguracji silnika - konto zastrzegania

Analysis ServicesKonfiguracja - konto zastrzegania

Koncepcje

Uwagi dotyczące zabezpieczeń SQL Server instalacji

Lokalizacje domyślne i nazwanych wystąpień programu SQL Server

Konfigurowanie kont usług systemu Windows

Konfigurowanie typu uruchomienia usługi

Używanie konta uruchamiania dla usług programu SQL Server

Konto użytkownika domeny

Lokalne konto użytkownika

Konto usługi lokalnej

Konto Usługa sieciowa

Konto System lokalny

Obsługiwane konfiguracje usługi

Zmiana właściwości konta

Identyfikowanie usług opartych i nieopartych na wystąpieniach

Przeglądanie praw i uprawnień systemu Windows NT przyznanych kontom usług programu SQL Server

Przeglądanie list kontroli dostępu tworzonych dla kont usług programu SQL Server

Przeglądanie uprawnień systemu Windows dla usług programu SQL Server

Przegląd dodatkowych kwestii

Lokalizowanie nazw usług

Zobacz także

Odwołanie

Koncepcje

Dodatkowe zasoby