Configurar contas de serviço e permissões do Windows

  • Artigo

Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL Server com o Windows. Este tópico descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração de serviços SQL Server que você pode definir durante e após a instalação do SQL Server.

Sumário

Este tópico está dividido nas seguintes seções:

  • Serviços instalados pelo SQL Server

  • Propriedades e configuração do serviço

    • Contas de serviço padrão

      • Alterando as propriedades da conta

    • Novos tipos de conta disponíveis com o Windows 7 e o Windows Server 2008 R2

    • Inicialização automática

    • Configurando serviços durante a instalação autônoma

    • Porta do firewall

  • Permissões de serviço

    • Configuração de serviço e controle de acesso

    • Privilégios e direitos do Windows

    • Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows

    • Permissão do sistema de arquivos concedida a outros grupos ou contas de usuário do Windows

    • Permissões do sistema de arquivos relacionadas a locais de disco incomuns

    • Examinando considerações adicionais

    • Permissões de Registro

    • WMI

    • Pipes nomeados

  • Provisionamento

    • Provisionamento do Mecanismo de Banco de Dados

      • Entidades de segurança do Windows

      • Conta sa

      • Logon e privilégios de SID por serviço do SQL Server

      • Logon e privilégios do SQL Server Agent

      • HADRON, privilégios e instância de cluster de failover do SQL

      • Gravador e privilégios do SQL

      • WMI e privilégios do SQL

    • Provisionamento SSAS

    • Provisionamento SSRS

  • Atualizando a partir de versões anteriores

  • Apêndice

    • Descrição de contas de serviço

    • Identificando serviços com e sem reconhecimento de instância

    • Nomes de serviços localizados

Serviços instalados pelo SQL Server

Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:

  • SQL Server Database Services - O serviço para o SQL Server relacional do Mecanismo de Banco de Dados. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL Server Agent - Executa trabalhos, monitora o SQL Server, dispara alertas e habilita a automação de algumas tarefas administrativas. O serviço SQL Server Agent está presente, mas desabilitado em instâncias do SQL Server Express. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis Services - Fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence. O arquivo executável é <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting Services - Gerencia, executa, cria, agenda e entrega relatórios. O arquivo executável é <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration Services - Oferece suporte de gerenciamento para o armazenamento e a execução de pacotes do Integration Services. O caminho do executável é <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe

  • Navegador do SQL Server - O serviço de resolução de nomes que especifica informações de conexão do SQL Server para computadores cliente. O caminho do executável é c:\Arquivos de Programas (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Pesquisa de texto completo - Cria rapidamente índices de texto completo sobre conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e separação de palavras para o SQL Server.

  • Gravador do SQL - Permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume).

  • SQL Server Distributed Replay Controller - Fornece orquestração de reprodução de rastreamento em vários computadores Distributed Replay Client.

  • SQL Server Distributed Replay Client - Um ou mais computadores do Distributed Replay Client que funcionam junto com um Distributed Replay Controller para simular cargas de trabalho simultâneas em relação a uma instância do Mecanismo de Banco de Dados do SQL Server.

Início

Propriedades e configuração do serviço

As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas de usuário de domínio, contas de usuário locais, contas de serviço gerenciado, contas virtuais ou contas de sistema internas. Para ser iniciado e executado, cada serviço no SQL Server deve ter uma conta de inicialização configurada durante a instalação.

Esta seção descreve as contas que podem ser configuradas para iniciar os serviços SQL Server, os valores padrão usados pela Instalação do SQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração de firewall.

  • Contas de serviço padrão

  • Inicialização automática

  • Configurando o tipo de inicialização do serviço

  • Porta do firewall

Contas de serviço padrão

A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes. As contas padrão listadas são as contas recomendadas, exceto como observado.

Servidor autônomo ou controlador de domínio

Componente

Windows Vista e Windows Server 2008

Windows 7 e Windows Server 2008 R2

Mecanismo de Banco de Dados

NETWORK SERVICE

Conta Virtual*

SQL Server Agent

NETWORK SERVICE

Conta Virtual*

SSAS

NETWORK SERVICE

Conta Virtual*

SSIS

NETWORK SERVICE

Conta Virtual*

SSRS

NETWORK SERVICE

Conta Virtual*

SQL Server Distributed Replay Controller

NETWORK SERVICE

Conta Virtual*

SQL Server Distributed Replay Client

NETWORK SERVICE

Conta Virtual*

Iniciador FD (Pesquisa de texto completo)

LOCAL SERVICE

Conta Virtual

Navegador do SQL Server

LOCAL SERVICE

LOCAL SERVICE

Gravador VSS do SQL Server

LOCAL SYSTEM

LOCAL SYSTEM

* Quando recursos externos ao computador do SQL Server são necessários, a Microsoft recomenda usar uma MSA (Conta de Serviço Gerenciado), configurada com os privilégios mínimos necessários.

Instância de cluster de failover do SQL Server

Componente

Windows Server 2008

Windows Server 2008 R2

Mecanismo de Banco de Dados

Nenhum. Forneça uma conta de usuário de domínio.

Forneça uma conta de usuário de domínio.

SQL Server Agent

Nenhum. Forneça uma conta de usuário de domínio.

Forneça uma conta de usuário de domínio.

SSAS

Nenhum. Forneça uma conta de usuário de domínio.

Forneça uma conta de usuário de domínio.

SSIS

NETWORK SERVICE

Conta Virtual

SSRS

NETWORK SERVICE

Conta Virtual

Iniciador FD (Pesquisa de texto completo)

LOCAL SERVICE

Conta Virtual

Navegador do SQL Server

LOCAL SERVICE

LOCAL SERVICE

Gravador VSS do SQL Server

LOCAL SYSTEM

LOCAL SYSTEM

Início

Alterando as propriedades da conta

Observação importanteImportante

  • Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelos serviços Mecanismo de Banco de Dados do SQL Server ou SQL Server Agent, ou para alterar a senha da conta. Além de alterar o nome da conta, o Gerenciador de Configurações do SQL Server executa configurações adicionais, como a atualização do repositório de segurança local do Windows, que protege a chave mestra do serviço para o Mecanismo de Banco de Dados. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.

  • Para instâncias do Analysis Services implantadas em um farm do SharePoint, use sempre a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos Serviço PowerPivot e Serviço Analysis Services. As configurações e permissões associadas serão atualizadas para usar as novas informações da conta quando você usar a Administração Central.

  • Para alterar as opções do Reporting Services, use a Ferramenta de Configuração do Reporting Services.

Início

Novos tipos de conta disponíveis com o Windows 7 e o Windows Server 2008 R2

O Windows 7 e o Windows Server 2008 R2 têm dois novos tipos de contas de serviço chamadas MSA e contas virtuais. As contas de serviço gerenciado e as contas virtuais são criadas para fornecer aplicativos cruciais, como o SQL Server com o isolamento das próprias contas, eliminando a necessidade de um administrador gerenciar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas. Isso facilita bastante o gerenciamento de usuários de contas de serviço, senhas e SPNs a longo prazo.

  • Contas de serviço gerenciado

    Uma MSA é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio. Ela é atribuída a um único computador membro para a execução de um serviço. A senha é gerenciada automaticamente pelo controlador de domínio. Não é possível usar uma MSA para fazer logon em um computador, mas um computador pode usar uma MSA para iniciar um serviço do Windows. Uma MSA tem a capacidade de registrar SPN com o Active Directory. Uma MSA é nomeada com um sufixo $, por exemplo, DOMAIN\ACCOUNTNAME $. Ao especificar uma MSA, deixe a senha em branco. Como um MSA é atribuído a um único computador, não pode ser usado em diferentes nós de um cluster do windows.

    ObservaçãoObservação

    A MSA deve ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la para serviços do SQL Server.
    ObservaçãoObservação

    Atualmente, não há suporte para contas de serviço gerenciadas do grupo.

  • Contas virtuais

    As contas virtuais no Windows Server 2008 R2 e no Windows 7 são contas locais gerenciadas que fornecem os recursos a seguir para simplificar a administração do serviço. A conta virtual é autogerenciada e pode acessar a rede em um ambiente de domínio. Se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server no Windows Server 2008 R2 ou no Windows 7, será usada uma conta virtual que usa o nome da instância como o nome do serviço, no formato NT SERVICE\<SERVICENAME>. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato <nome_do_domínio>\<nome_do_computador>$. Ao especificar uma conta virtual para iniciar o SQL Server, deixe a senha em branco. Se a conta virtual não registra o SPN (Nome da Entidade de Serviço), registre-o manualmente. Para obter mais informações sobre como registrar um SPN manualmente, consulte Registrar um nome de entidade de serviço para conexões de Kerberos.

    ObservaçãoObservação

    As contas virtuais não podem ser usadas para a Instância de Cluster de Failover do SQL Server porque a conta virtual não teria o mesmo SID em cada nó do cluster.

    A tabela a seguir lista exemplos de nomes de contas virtuais.

    Serviço

    Nome da conta virtual

    A instância padrão do serviço Mecanismo de Banco de Dados

    NT SERVICE\MSSQLSERVER

    A instância nomeada de um serviço Mecanismo de Banco de Dados nomeado PAYROLL

    NT SERVICE\MSSQL$PAYROLL

    SQL Server Serviço do Agent na instância padrão de SQL Server

    NT SERVICE\SQLSERVERAGENT

    Serviço SQL Server Agent em uma instância do SQL Server nomeada PAYROLL

    NT SERVICE\SQLAGENT$PAYROLL

Para obter mais informações sobre Contas de Serviço Gerenciado e Contas Virtuais, consulte a seção de conceitos de contas de serviço gerenciado e contas virtuais do guia passo a passo de contas de serviço e de perguntas frequentes sobre contas de serviço.

Observação de segurança:  Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis. Use a conta virtual MSA ou quando possível. Quando a MSA e as contas virtuais não forem possíveis, use uma conta de usuário específica de baixo privilégio ou uma conta de domínio em vez de uma conta compartilhada para os serviços SQL Server. Use contas separadas para serviços diferentes do SQL Server. Não conceda permissões adicionais à conta de serviço ou a grupos de serviço do SQL Server. As permissões serão concedidas por meio da associação de grupo ou diretamente a um SID de serviço, onde um SID de serviço tiver suporte.

Inicialização automática

Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:

  • Desabilitado   O serviço está instalado, mas não está em execução atualmente.

  • Manual   O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar de sua funcionalidade.

  • Automático   O serviço é iniciado automaticamente pelo sistema operacional.

O estado de inicialização é selecionado durante a instalação. Ao instalar uma instância nomeada, o serviço Navegador do SQL Server deve ser definido para iniciar automaticamente.

Configurando serviços durante a instalação autônoma

A tabela a seguir mostra os serviços SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.

Nome do serviço SQL Server

Opções para instalações autônomas1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

SQL Server Distributed Replay Controller

DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS

SQL Server Distributed Replay Client

DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Para obter mais informações e a sintaxe de exemplo para instalações autônomas, consulte Instalar o SQL Server 2012 do prompt de comando.

2O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.

Porta do firewall

Na maioria dos casos, quando inicialmente instalado, o Mecanismo de Banco de Dados pode ser conectado por ferramentas como o SQL Server Management Studio, instalado no mesmo computador que o SQL Server. A Instalação do SQL Server não abre portas no firewall do Windows. Talvez não sejam possíveis conexões de outros computadores até que o Mecanismo de Banco de Dados seja configurado para ouvir em uma porta TCP e a porta apropriada seja aberta para conexões no firewall do Windows. Para obter mais informações, consulte Configurar o Firewall do Windows para permitir acesso ao SQL Server.

Início

Permissões de serviço

Esta seção descreve as permissões que a Instalação do SQL Server configura para os SIDs por serviço dos serviços SQL Server.

  • Configuração de serviço e controle de acesso

  • Privilégios e direitos do Windows

  • Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows do SQL Server

  • Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows

  • Permissões do sistema de arquivos relacionadas a locais de disco incomuns

  • Examinando considerações adicionais

  • Permissões de Registro

  • WMI

  • Pipes nomeados

Configuração de serviço e controle de acesso

O SQL Server 2012 habilita o SID por serviço para cada um de seus serviços para fornecer isolamento do serviço e defesa em profundidade. O SID por serviço é derivado do nome do serviço e é exclusivo ao serviço. Por exemplo, um nome de SID de serviço para o serviço Mecanismo de Banco de Dados poderá ser NT Service\MSSQL$<Nome_da_Instância>. O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha um SID de serviço, um serviço SQL Server pode restringir o acesso a seus recursos.

ObservaçãoObservação

No Windows 7 e no Windows Server 2008 R2, o SID por serviço pode ser a conta virtual usada pelo serviço.

Para a maioria dos componentes, o SQL Server configura a ACL para a conta por serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser efetuada sem a necessidade de repetir o processo da ACL de recurso.

Ao instalar o SSAS, será criado um SID por serviço para o serviço Analysis Services. Um grupo local do Windows é criado, nomeado no formato **SQLServerMSASUser$nome_do_computador$**nome_da_instância. O SID NT SERVICE\MSSQLServerOLAPService por serviço recebe permissão de associação no grupo local do Windows, e o grupo local do Windows recebe as permissões apropriadas na ACL. Se a conta usada para iniciar o serviço Analysis Services for alterada, o Gerenciador de Configurações do SQL Server deverá alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem qualquer atualização, pois o SID por serviço não foi alterado. Esse método permite que o serviço Analysis Services seja renomeado durante atualizações.

Durante a instalação do SQL Server, a Instalação do SQL Server cria grupos locais do Windows para o serviço SSAS e o serviço Navegador do SQL Server. Para esses serviços, o SQL Server configura a ACL para os grupos locais do Windows.

Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviços durante a instalação ou atualização.

Privilégios e direitos do Windows

A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço. O programa de Instalação do SQL Server atribui automaticamente essa permissão. Primeiro instale as Ferramentas de Administração de Servidor Remoto. Consulte o artigo sobre as Ferramentas de Administração de Servidor Remoto para Windows 7.

A tabela a seguir mostra as permissões que a Instalação do SQL Server solicita para os SIDs por serviço ou para os grupos locais do Windows usados pelos componentes do SQL Server.

Serviço SQL Server

Permissões concedidas pela Instalação do SQL Server

Mecanismo de Banco de Dados do SQL Server:

(Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\MSSQLSERVER. Instância nomeada: NT SERVICE\MSSQL$InstanceName.)

Fazer logon como um serviço (SeServiceLogonRight)

Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)

Permissão para iniciar o Gravador do SQL

Permissão para ler o serviço Log de Eventos

Permissão para ler o serviço Chamada de Procedimento Remoto

SQL Server Agent:1

(Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$InstanceName.)

Fazer logon como um serviço (SeServiceLogonRight)

Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)

SSAS:

(Todos os direitos são concedidos a um grupo local do Windows. Instância padrão: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instância nomeada: SQLServerMSASUser$ComputerName$InstanceName. Instância de PowerPivot para SharePoint: SQLServerMSASUser$ComputerName$PowerPivot.)

Fazer logon como um serviço (SeServiceLogonRight)

Apenas para tabular:

Aumentar conjunto de trabalho de processo (SeIncreaseWorkingSetPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaSizePrivilege)

Bloquear páginas na memória (SeLockMemoryPrivilege) – isso é necessário apenas quando a paginação está completamente desabilitada.

Apenas para instalações de cluster de failover:

Aumentar a prioridade de planejamento (SeIncreaseBasePriorityPrivilege)

SSRS:

(Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\ReportServer. Instância nomeada: NT SERVICE\$InstanceName.)

Fazer logon como um serviço (SeServiceLogonRight)

SSIS:

(Todos os direitos são concedidos ao SID por serviço. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer110. O Integration Services não tem um processo separado para uma instância nomeada.)

Fazer logon como um serviço (SeServiceLogonRight)

Permissão para gravar no log de eventos do aplicativo.

Ignorar a verificação completa (SeChangeNotifyPrivilege)

Representar um cliente após autenticação (SeImpersonatePrivilege)

Pesquisa de texto completo:

(Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\MSSQLFDLauncher. Instância nomeada: NT Service\ MSSQLFDLauncher$InstanceName.)

Fazer logon como um serviço (SeServiceLogonRight)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)

SQL Server Navegador:

(Todos os direitos são concedidos a um grupo local do Windows. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser$ComputerName. O Navegador do SQL Server não tem um processo separado para uma instância nomeada.)

Fazer logon como um serviço (SeServiceLogonRight)

Gravador VSS do SQL Server

(Todos os direitos são concedidos ao SID por serviço. Instância padrão ou nomeada: NT Service\SQLWriter. O Gravador VSS do SQL Server não tem um processo separado para uma instância nomeada.)

O SQLWriter é executado sob a conta LOCAL SYSTEM que tem todas as permissões exigidas. A Instalação do SQL Server não verifica nem concede permissões para este serviço.

SQL Server Distributed Replay Controller

Fazer logon como um serviço (SeServiceLogonRight)

SQL Server Distributed Replay Client

Fazer logon como um serviço (SeServiceLogonRight)

1O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express.

Início

Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows

As contas de serviço do SQL Server devem ter acesso aos recursos. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.

Observação importanteImportante

Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.

A tabela a seguir mostra as ACLs que são definidas pela Instalação do SQL Server:

Conta de serviço para

Arquivos e pastas

Acesso

MSSQLServer

Instid\MSSQL\backup

Controle total

 

Instid\MSSQL\binn

Leitura, Execução

 

Instid\MSSQL\data

Controle total

 

Instid\MSSQL\FTData

Controle total

 

Instid\MSSQL\Install

Leitura, Execução

 

Instid\MSSQL\Log

Controle total

 

Instid\MSSQL\Repldata

Controle total

 

110\shared

Leitura, Execução

 

Instid\MSSQL\Template Data (somente SQL Server Express)

Leitura

SQLServerAgent1

Instid\MSSQL\binn

Controle total

 

Instid\MSSQL\binn

Controle total

 

Instid\MSSQL\Log

Leitura, Gravação, Exclusão, Execução

 

110\com

Leitura, Execução

 

110\shared

Leitura, Execução

 

110\shared\Errordumps

Leitura, Gravação

ServerName\EventLog

Controle total

FTS

Instid\MSSQL\FTData

Controle total

 

Instid\MSSQL\FTRef

Leitura, Execução

 

110\shared

Leitura, Execução

 

110\shared\Errordumps

Leitura, Gravação

 

Instid\MSSQL\Install

Leitura, Execução

Instid\MSSQL\jobs

Leitura, Gravação

MSSQLServerOLAPservice

110\shared\ASConfig

Controle total

 

Instid\OLAP

Leitura, Execução

 

Instid\Olap\Data

Controle total

 

Instid\Olap\Log

Leitura, Gravação

 

Instid\OLAP\Backup

Leitura, Gravação

 

Instid\OLAP\Temp

Leitura, Gravação

 

110\shared\Errordumps

Leitura, Gravação

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Leitura, Gravação, Exclusão

 

Instid\Reporting Services\ReportServer

Leitura, Execução

 

Instid\Reportingservices\Reportserver\global.asax

Controle total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Leitura

 

Instid\Reporting Services\reportManager

Leitura, Execução

 

Instid\Reporting Services\RSTempfiles

Leitura, Gravação, Execução, Exclusão

 

110\shared

Leitura, Execução

 

110\shared\Errordumps

Leitura, Gravação

MSDTSServer100

110\dts\binn\MsDtsSrvr.ini.xml

Leitura

 

110\dts\binn

Leitura, Execução

 

110\shared

Leitura, Execução

 

110\shared\Errordumps

Leitura, Gravação

Navegador do SQL Server

110\shared\ASConfig

Leitura

 

110\shared

Leitura, Execução

 

110\shared\Errordumps

Leitura, Gravação

SQLWriter

N/A (Executado como sistema local)

 

Usuário

Instid\MSSQL\binn

Leitura, Execução

 

Instid\Reporting Services\ReportServer

Leitura, Execução, Listar Conteúdo de Pastas

 

Instid\Reportingservices\Reportserver\global.asax

Leitura

 

Instid\Reporting Services\ReportManager

Leitura, Execução

 

Instid\Reporting Services\ReportManager\pages

Leitura

 

Instid\Reporting Services\ReportManager\Styles

Leitura

 

110\dts

Leitura, Execução

 

110\tools

Leitura, Execução

100\tools

Leitura, Execução

 

90\tools

Leitura, Execução

 

80\tools

Leitura, Execução

 

110\sdk

Leitura

 

Microsoft SQL Server\110\Setup Bootstrap

Leitura, Execução

SQL Server Distributed Replay Controller

<ToolsDir>\DReplayController\Log\ (diretório vazio)

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\DReplayController.exe

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\resources\

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\{all dlls}

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\DReplayController.config

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\IRTemplate.tdf

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayController\IRDefinition.xml

Leitura, Execução, Listar Conteúdo de Pastas

SQL Server Distributed Replay Client

<ToolsDir>\DReplayClient\Log\

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\DReplayClient.exe

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\resources\

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\ (all dlls)

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\DReplayClient.config

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\IRTemplate.tdf

Leitura, Execução, Listar Conteúdo de Pastas

<ToolsDir>\DReplayClient\IRDefinition.xml

Leitura, Execução, Listar Conteúdo de Pastas

1O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.

Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder acesso ao SID por serviço para esse local. Para obter mais informações sobre como conceder permissões do sistema de arquivos para um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao mecanismo de banco de dados.

Início

Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows

Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou a outras contas do serviço SQL Server. A tabela a seguir lista ACLs adicionais que são definidas pela Instalação do SQL Server.

Componente solicitante

Conta

Recurso

Permissões

MSSQLServer

Usuários do Log de Desempenho

Instid\MSSQL\binn

Listar conteúdo da pasta

 

Usuários do Monitor de Desempenho

Instid\MSSQL\binn

Listar conteúdo da pasta

 

Usuários do Log de Desempenho, Usuários do Monitor de Desempenho

\WINNT\system32\sqlctr110.dll

Leitura, Execução

 

Somente Administrador

\\. \root\Microsoft\SqlServer\ServerEvents\<nome_da_instância_do_sql>1

Controle total

 

Administradores, Sistema

\tools\binn\schemas\sqlserver\2004\07\showplan

Controle total

 

Usuários

\tools\binn\schemas\sqlserver\2004\07\showplan

Leitura, Execução

Reporting Services

<Conta do serviço Web Servidor de Relatório>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identidade do pool de aplicativos do Gerenciador de Relatórios, conta do ASP.NET, Todos

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Leitura

 

Identidade do pool de aplicativos do Gerenciador de Relatórios

<install>\Reporting Services\ReportManager\Pages\*.*

Leitura

 

<Conta do serviço Web Servidor de Relatório>

<install>\Reporting Services\ReportServer

Leitura

 

<Conta do serviço Web Servidor de Relatório>

<install>\Reporting Services\ReportServer\global.asax

Completa

 

Todos

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Serviço de Rede

<install>\Reporting Services\ReportServer\ReportService.asmx

Completa

 

Todos

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Conta de Serviços do Windows do ReportServer

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Todos

Chaves do Servidor de Relatório (ramificação Instid)

Consultar Valor

Enumerar Subchaves

Notificar

Controle de Leitura

 

Usuários dos Serviços de Terminal

Chaves do Servidor de Relatório (ramificação Instid)

Consultar Valor

Definir Valor

Criar Subchave

Enumerar Subchave

Notificar

Excluir

Controle de Leitura

 

Usuários Avançados

Chaves do Servidor de Relatório (ramificação Instid)

Consultar Valor

Definir Valor

Criar Subchave

Enumerar Subchaves

Notificar

Excluir

Controle de Leitura

1Este é o namespace do provedor WMI.

Início

Permissões do sistema de arquivos relacionadas a locais de disco incomuns

A unidade padrão para locais de instalação é systemdrive, normalmente a unidade C. Quando são instalados bancos de dados tempdb ou de usuário

Unidade não padrão

Quando instalado em uma unidade local que não seja a unidade padrão, o SID por serviço deve ter acesso ao local do arquivo. A Instalação do SQL Server provisiona o acesso necessário.

Compartilhamento de rede

Quando bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e aos bancos de dados tempdb. A Instalação do SQL Server não pode provisionar o acesso a um compartilhamento de rede. O usuário deve provisionar o acesso a um local de tempdb para a conta de serviço antes de executar a instalação. O usuário deve provisionar o acesso ao local do banco de dados de usuário antes de criar o banco de dados.

ObservaçãoObservação

Contas virtuais não podem ser autenticadas em um local remoto. Todas as contas virtuais usam a permissão da conta de máquina. Provisione a conta de máquina no formato <nome_do_domínio>\<nome_do_computador>$.

Examinando considerações adicionais

A tabela a seguir mostra as permissões necessárias para que os serviços do SQL Server forneçam funcionalidade adicional.

Serviço/Aplicativo

Funcionalidade

Permissão necessária

SQL Server (MSSQLSERVER)

Gravar em um slot de email usando xp_sendmail.

Permissões de gravação de rede.

SQL Server (MSSQLSERVER)

Executar xp_cmdshell para um usuário que não seja um administrador do SQL Server.

Atuar como parte do sistema operacional e substituir um token de nível de processo.

SQL Server Agent (MSSQLSERVER)

Usar o recurso de reinicialização automática.

Deve ser membro do grupo local Administrators.

Orientador de Otimização do Mecanismo de Banco de Dados

Ajusta bancos de dados para desempenho ideal de consulta.

No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar apenas as tabelas que são de sua propriedade. Para obter mais informações, consulte "Inicializando o Orientador de Otimização do Mecanismo de Banco de Dados no primeiro uso" nos Manuais Online do SQL Server.
Observação importanteImportante

Antes de atualizar o SQL Server, habilite a Autenticação do Windows para o SQL Server Agent e verifique a configuração padrão necessária: a conta de serviço do SQL Server Agent é membro do grupo sysadmin do SQL Server.

Início

Permissões de Registro

O hive de Registro é criado em HKLM\Software\Microsoft\Microsoft SQL Server\<ID_da_Instância> para os componentes que reconhecem a instância. Por exemplo

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

O registro também mantém um mapeamento do ID da instância para o nome da instância. O mapeamento do ID da instância para o nome da instância é mantido como segue:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

O WMI (Instrumentação de Gerenciamento do Windows) deve poder se conectar ao Mecanismo de Banco de Dados. Para dar suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt) é provisionado no Mecanismo de Banco de Dados.

O provedor WMI do SQL requer as seguintes permissões:

  • Associação nas funções de banco de dados fixas db_ddladmin ou db_owner no banco de dados msdb.

  • Permissão CREATE DDL EVENT NOTIFICATION no servidor.

  • Permissão CREATE TRACE EVENT NOTIFICATION no Mecanismo de Banco de Dados.

  • Permissão VIEW ANY DATABASE no nível do servidor.

    A instalação do SQL Server cria um namespace do WMI do SQL e concede permissão de leitura ao SID de serviço do SQL Server Agent.

Início

Pipes nomeados

Em toda a instalação, a Instalação do SQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL Server via protocolo de memória compartilhada, que é um pipe nomeado local.

Início

Provisionamento

Esta seção descreve como as contas são provisionadas em vários componentes do SQL Server.

  • Provisionamento do Mecanismo de Banco de Dados

    • Entidades de segurança do Windows

    • Conta sa

    • Logon e privilégios de SID por serviço do SQL Server

    • Logon e privilégios do SQL Server Agent

    • HADRON, privilégios e instância de cluster de failover do SQL

    • Gravador e privilégios do SQL

    • WMI e privilégios do SQL

  • Provisionamento SSAS

  • Provisionamento SSRS

Provisionamento do Mecanismo de Banco de Dados

As contas a seguir são adicionadas como logons ao Mecanismo de Banco de Dados do SQL Server.

Entidades de segurança do Windows

Durante a instalação, a Instalação do SQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin.

Conta sa

A conta sa está sempre presente como um logon do Mecanismo de Banco de Dados e é membro da função de servidor fixa sysadmin. Quando o Mecanismo de Banco de Dados é instalado usando somente a Autenticação do Windows (ou seja, quando a Autenticação do SQL Server não está habilitada), o logon de sa ainda está presente, mas desabilitado. Para obter mais informações sobre a habilitação da conta sa, consulte Alterar modo de autenticação do servidor.

Logon e privilégios de SID por serviço do SQL Server

O SID por serviço do serviço SQL Server é provisionado como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin.

Logon e privilégios do SQL Server Agent

O SID por serviço do serviço SQL Server Agent é provisionado como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin.

Grupos de Disponibilidade AlwaysOn, privilégios e instância de cluster de failover do SQL

Ao instalar o Mecanismo de Banco de Dados como um Grupos de Disponibilidade AlwaysOn ou SQL FCI (Instância de Cluster de Failover do SQL), LOCAL SYSTEM é provisionado no Mecanismo de Banco de Dados. O logon de LOCAL SYSTEM recebe a permissão ALTER ANY AVAILABILITY GROUP (para o Grupos de Disponibilidade AlwaysOn) e a permissão VIEW SERVER STATE (para o SQL FCI).

Gravador e privilégios do SQL

O SID por serviço do serviço Gravador VSS do SQL Server é provisionado como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin.

WMI e privilégios do SQL

A Instalação do SQL Server provisiona a conta NT SERVICE\Winmgmt como um logon do Mecanismo de Banco de Dados e a adiciona à função de servidor fixa sysadmin.

Provisionamento SSRS

A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole. Para obter mais informações, consulte Configurar a conta de serviço do Servidor de Relatório.

Início

Provisionamento SSAS

Os requisitos da conta do serviço SSAS variam, dependendo de como o servidor está implantado. Se você estiver instalando o PowerPivot para SharePoint, a Instalação do SQL Server requer a configuração do serviço Analysis Services para a execução em uma conta de domínio. Contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada criada no SharePoint. Por essa razão, a Instalação do SQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do PowerPivot para SharePoint. Para obter mais informações sobre o provisionamento do PowerPivot para SharePoint, consulte Configurar contas de serviço PowerPivot.

Para todas as outras instalações autônomas do SSAS, você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual. Para obter mais informações sobre o provisionamento de contas, consulte Configurar contas de serviço (Analysis Services).

Para instalações clusterizadas, especifique uma conta de domínio ou uma conta de sistema interna. Não há suporte para contas gerenciadas nem contas virtuais em clusters de failover do SSAS.

Todas as instalações do SSAS requerem que você especifique um administrador do sistema da instância do Analysis Services. São provisionados privilégios de administrador na função Servidor do Analysis Services.

Provisionamento SSRS

A conta especificada durante a instalação é provisionada no Mecanismo de Banco de Dados como membro da função de banco de dados RSExecRole. Para obter mais informações, consulte Configurar a conta de serviço do Servidor de Relatório.

Início

Atualizando a partir de versões anteriores

Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL Server.

  • O SQL Server 2012 requer o Windows Vista, o Windows 7, o Windows Server 2008 ou o Windows Server 2008 R2. Qualquer versão anterior do SQL Server que esteja sendo executada no Windows XP ou no Windows Server 2003 deve ter o sistema operacional atualizado antes de atualizar o SQL Server.

  • Durante a atualização do SQL Server 2005 para o SQL Server 2012, a Instalação do SQL Server configura o SQL Server do modo a seguir.

    • O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. O SID por serviço recebe acesso às pastas de arquivos da instância do SQL Server (como DATA) e às chaves do Registro do SQL Server.

    • O SID por serviço do Mecanismo de Banco de Dados é provisionado no Mecanismo de Banco de Dados como membro da função de servidor fixa sysadmin.

    • Os SIDs por serviço são adicionados aos grupos locais do Windows do SQL Server, a menos que o SQL Server seja uma Instância de Cluster de Failover.

    • Os recursos do SQL Server permanecem provisionados nos grupos locais do Windows do SQL Server.

    • O grupo local do Windows para serviços é renomeado de SQLServer2005MSSQLUser $<nome_do_computador>$<nome_da_instância> para SQLServerMSSQLUser $<nome_do_computador>$<nome_da_instância>. Os locais de arquivos de bancos de dados migrados terão ACEs (Entradas de Controle de Acesso) para os grupos locais do Windows. Os locais de arquivos dos novos bancos de dados terão ACEs para o SID por serviço.

  • Durante a atualização do SQL Server 2008, a Instalação do SQL Server preserva as ACEs para o SID por serviço do SQL Server 2008.

  • Para uma Instância de Cluster de Failover do SQL Server, a ACE da conta de domínio configurada para o serviço será retida.

Início

Apêndice

Esta seção contém informações adicionais sobre os serviços do SQL Server.

  • Descrição de contas de serviço

  • Identificando serviços com e sem reconhecimento de instância

  • Nomes de serviços localizados

Descrição de contas de serviço

A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL Server.

Contas disponíveis com qualquer sistema operacional

Além da nova MSA e das contas virtuais descritas anteriormente, as contas a seguir podem ser usadas.

Conta de usuário de domínio

Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio, como os compartilhamentos de arquivos, ou usar conexões de servidor vinculado com outros computadores que estejam executando o SQL Server, você poderá usar uma conta de domínio com privilégios mínimos. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio. Essa conta deve ser pré-criada pela administração do domínio do ambiente.

ObservaçãoObservação

Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios para o aplicativo, mas deverá gerenciar senhas manualmente ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos para servidores usam essa estratégia para aprimorar a segurança, mas essa estratégia requer administração adicional e complexidade. Nessas implantações, os administradores de serviço gastam um tempo considerável em tarefas de manutenção, como o gerenciamento de senhas de serviço e SPNs, que são necessários para a autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper serviço.

Contas de usuário locais

Se o computador não fizer parte de um domínio, é recomendável usar uma conta de usuário local sem permissões de administrador do Windows.

Conta Serviço Local

A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos. Os serviços que são executados como a conta Serviço Local acessam os recursos de rede em uma sessão nula, sem credenciais. Lembre-se de que a conta de Serviço Local não tem suporte no SQL Server nem no SQL Server Agent. O Serviço Local não tem suporte como a conta que executa esses serviços porque é um serviço compartilhado e qualquer outro serviço que é executado sob o serviço local teria acesso de administrador do sistema ao SQL Server. O nome real da conta é NT AUTHORITY\LOCAL SERVICE.

Conta de serviço de rede

A conta de Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços executados como a conta de Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador no formato <nome_do_domínio>\<nome_do_computador>$. O nome real da conta é NT AUTHORITY\NETWORK SERVICE.

Conta Sistema Local

A conta Sistema Local é uma conta interna com privilégios altos. Ela tem privilégios extensos no sistema local e funciona como o computador na rede. O nome real da conta é NT AUTHORITY\SYSTEM.

Identificando serviços com e sem reconhecimento de instância

Os serviços com reconhecimento de instância são associados a uma instância específica do SQL Server e têm suas próprias ramificações de registro. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.

Os serviços com reconhecimento de instância no SQL Server incluem o seguinte:

  • SQL Server

  • SQL Server Agent

    Esteja ciente de que o serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.

  • Analysis Services 1

  • Reporting Services

  • Pesquisa de texto completo

Os serviços sem reconhecimento de instância no SQL Server incluem o seguinte:

  • Integration Services

  • Navegador do SQL Server

  • Gravador do SQL

1O Analysis Services no modo Integrado do SharePoint é executado como 'PowerPivot' como uma instância única e nomeada. O nome da instância é fixo. Não é possível especificar um nome diferente. É possível instalar apenas uma instância do Analysis Services executada como 'PowerPivot' em cada servidor físico.

Início

Nomes de serviços localizados

A tabela a seguir mostra nomes de serviços que são exibidos por versões localizadas do Windows.

Idioma

Nome do serviço local

Nome do serviço de rede

Nome do sistema local

Nome do grupo Admin.

Inglês

Chinês simplificado

Chinês tradicional

Coreano

Japonês

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Alemão

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Francês

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administradores

Italiano

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Espanhol

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russo

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Início

Conteúdo relacionado

Considerações sobre segurança para uma instalação do SQL Server

Locais de arquivos para instâncias padrão e nomeadas do SQL Server

Instalar o Master Data Services