Configurar contas de serviço e permissões do WindowsConfigure Windows Service Accounts and Permissions

Aplica-se a:Applies to: simSQL ServerSQL Server (todas as versões compatíveis) yesSQL ServerSQL Server (all supported versions) Aplica-se a:Applies to: simSQL ServerSQL Server (todas as versões compatíveis) yesSQL ServerSQL Server (all supported versions)

Cada serviço no SQL ServerSQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL ServerSQL Server com o Windows.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. Este tópico descreve a configuração padrão de serviços nesta versão do SQL ServerSQL Servere as opções de configuração de serviços SQL ServerSQL Server que você pode definir durante e após a instalação do SQL ServerSQL Server .This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. Este tópico ajuda usuários avançados a entender os detalhes das contas de serviço.This topic helps advanced users understand the details of the service accounts.

A maioria dos serviços e suas propriedades podem ser configurados usando o SQL ServerSQL Server Configuration Manager.Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Aqui estão os caminhos para as últimas quatro versões do Windows instaladas na unidade C.Here are the paths to the last four versions when Windows is installed on the C drive.

Versão do SQL ServerSQL Server version CaminhoPath
SQL Server 2019SQL Server 2019 C:\Windows\SysWOW64\SQLServerManager15.mscC:\Windows\SysWOW64\SQLServerManager15.msc
Microsoft SQL Server 2017SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.mscC:\Windows\SysWOW64\SQLServerManager14.msc
SQL ServerSQL Server 20162016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 (12.x)SQL Server 2014 (12.x) C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 (11.x)SQL Server 2012 (11.x) C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc

Serviços instalados pelo SQL ServerSQL ServerServices Installed by SQL ServerSQL Server

Dependendo dos componentes que você decidir instalar, a Instalação do SQL ServerSQL Server instalará os seguintes serviços:Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server Database Services : o serviço para o SQL ServerSQL Server relacional do Mecanismo de Banco de DadosDatabase Engine.SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Mecanismo de Banco de DadosDatabase Engine. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server Agent : executa trabalhos, monitora o SQL ServerSQL Server, dispara alertas e habilita a automação de algumas tarefas administrativas.SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. O serviço SQL ServerSQL Server Agent está presente, mas desabilitado em instâncias do SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Serviços de análiseAnalysis Services – fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence.Serviços de análiseAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. O arquivo executável é <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services – gerencia, executa, cria, agenda e entrega relatórios.Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. O arquivo executável é <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services – fornece suporte de gerenciamento para o armazenamento e a execução de pacotes do Integration ServicesIntegration Services.Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. O caminho do executável é <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exeThe executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

    Integration ServicesIntegration Services pode incluir serviços adicionais para implantações de expansão.may include additional services for scale out deployments. Saiba mais no Passo a passo: Configurar o SSIS (Integration Services Scale Out).For more information, see Walkthrough: Set up Integration Services (SSIS) Scale Out.

  • Navegador do SQL ServerSQL Server : o serviço de resolução de nomes que especifica informações de conexão do SQL ServerSQL Server para computadores cliente.SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. O caminho do executável é c:\Arquivos de Programas (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exeThe executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Pesquisa de texto completo : cria rapidamente índices de texto completo sobre conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e separação de palavras para o SQL ServerSQL Server.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • Gravador do SQL : permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller : fornece orquestração de reprodução de rastreamento em vários computadores cliente Distributed Replay Client.SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client : um ou mais computadores cliente do Distributed Replay Client que funcionam junto com um Distributed Replay Controller para simular cargas de trabalho simultâneas em relação a uma instância do Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine.SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine.

  • SQL Server LaunchpadSQL Server Launchpad – um serviço confiável que hospeda executáveis externos fornecidos pela Microsoft, como os runtimes de R ou Python instalados como parte dos R Services ou Serviços de Machine Learning.SQL Server LaunchpadSQL Server Launchpad- A trusted service that hosts external executables that are provided by Microsoft, such as the R or Python runtimes installed as part of R Services or Machine Learning Services. Processos de satélite podem ser iniciados pelo processo do Launchpad, mas serão controlados por recursos, com base na configuração da instância individual.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. O serviço Launchpad será executado em sua própria conta de usuário e cada processo de satélite para um runtime registrado específico herdará a conta de usuário do Launchpad.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. Processos de satélite são criados e destruídos sob demanda durante o tempo de execução.Satellite processes are created and destroyed on demand during execution time.

    O Launchpad não é capaz de criar as contas que ele utiliza se você instala o SQL Server em um computador que também é usado como um controlador de domínio.Launchpad cannot create the accounts it uses if you install SQL Server on a computer that is also used as a domain controller. Portanto, a instalação dos R Services (no banco de dados) ou Serviços de Machine Learning (No Banco de Dados) falha em um controlador de domínio.Hence, setup of R Services (In-Database) or Machine Learning Services (In-Database) fails on a domain controller.

  • Mecanismo PolyBase do SQL Server – fornece funcionalidades de consulta distribuída para fontes de dados externas.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

  • Serviço de Movimentação de Dados PolyBase do SQL Server – permite a movimentação de dados entre o SQL Server e Fontes de Dados Externas e entre nós do SQL em Grupos de Expansão PolyBase.SQL Server PolyBase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

Propriedades e configuração do serviçoService Properties and Configuration

As contas de inicialização usadas para iniciar e executar o SQL ServerSQL Server podem ser contas de usuário de domínio, contas de usuário locais, contas de serviço gerenciado, contas virtuaisou contas de sistema internas.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Para ser iniciado e executado, cada serviço no SQL ServerSQL Server deve ter uma conta de inicialização configurada durante a instalação.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

Esta seção descreve as contas que podem ser configuradas para iniciar os serviços SQL ServerSQL Server, os valores padrão usados pela Instalação do SQL ServerSQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração de firewall.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID's, the startup options, and configuring the firewall.

Contas de serviço padrãoDefault Service Accounts

A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes.The following table lists the default service accounts used by setup when installing all components. As contas padrão listadas são as contas recomendadas, exceto como observado.The default accounts listed are the recommended accounts, except as noted.

Servidor autônomo ou controlador de domínioStand-alone Server or Domain Controller

ComponenteComponent Windows Server 2008Windows Server 2008 Windows 7 e Windows Server 2008Windows Server 2008 R2 e posteriorWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Mecanismo de Banco de DadosDatabase Engine SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
SQL ServerSQL Server AgentAgent SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
SSASSSAS SERVIÇO DE REDENETWORK SERVICE Conta Virtual* **Virtual Account* **
SSISSSIS SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
SSRSSSRS SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
SQL ServerSQL Server Controlador Distributed ReplayDistributed Replay Controller SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
SQL ServerSQL Server Cliente Distributed ReplayDistributed Replay Client SERVIÇO DE REDENETWORK SERVICE Conta Virtual*Virtual Account*
Iniciador FD (Pesquisa de texto completo)FD Launcher (Full-text Search) SERVIÇO LOCALLOCAL SERVICE Conta VirtualVirtual Account
SQL ServerSQL Server NavegadorBrowser SERVIÇO LOCALLOCAL SERVICE SERVIÇO LOCALLOCAL SERVICE
SQL ServerSQL Server Gravador VSSVSS Writer SISTEMA LOCALLOCAL SYSTEM SISTEMA LOCALLOCAL SYSTEM
Extensões de Análise AvançadaAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
Mecanismo PolyBasePolyBase Engine SERVIÇO DE REDENETWORK SERVICE SERVIÇO DE REDENETWORK SERVICE
Serviço de Movimentação de Dados PolyBasePolyBase Data Movement Service SERVIÇO DE REDENETWORK SERVICE SERVIÇO DE REDENETWORK SERVICE

*Quando recursos externos ao computador do SQL ServerSQL Server são necessários, a MicrosoftMicrosoft recomenda usar uma MSA (Conta de Serviço Gerenciado), configurada com os privilégios mínimos necessários.*When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary. ** Quando instalada em um Controlador de Domínio, não há suporte para uma conta virtual como a conta de serviço.** When installed on a Domain Controller, a virtual account as the service account is not supported.

Instância de cluster de failover do SQL ServerSQL Server Failover Cluster Instance

ComponenteComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2R2
Mecanismo de Banco de DadosDatabase Engine Nenhum.None. Forneça uma conta de usuário de domínio .Provide a domain user account. Forneça uma conta de usuário de domínio .Provide a domain user account.
SQL ServerSQL Server AgentAgent Nenhum.None. Forneça uma conta de usuário de domínio .Provide a domain user account. Forneça uma conta de usuário de domínio .Provide a domain user account.
SSASSSAS Nenhum.None. Forneça uma conta de usuário de domínio .Provide a domain user account. Forneça uma conta de usuário de domínio .Provide a domain user account.
SSISSSIS SERVIÇO DE REDENETWORK SERVICE Conta VirtualVirtual Account
SSRSSSRS SERVIÇO DE REDENETWORK SERVICE Conta VirtualVirtual Account
Iniciador FD (Pesquisa de texto completo)FD Launcher (Full-text Search) SERVIÇO LOCALLOCAL SERVICE Conta VirtualVirtual Account
SQL ServerSQL Server NavegadorBrowser SERVIÇO LOCALLOCAL SERVICE SERVIÇO LOCALLOCAL SERVICE
SQL ServerSQL Server Gravador VSSVSS Writer SISTEMA LOCALLOCAL SYSTEM SISTEMA LOCALLOCAL SYSTEM

Alterando as propriedades da contaChanging Account Properties

Importante

  • Sempre use as ferramentas do SQL ServerSQL Server , como o SQL ServerSQL Server Configuration Manager, para alterar a conta usada pelos serviços Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine ou SQL ServerSQL Server Agent, ou para alterar a senha da conta.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. Além de alterar o nome da conta, o Gerenciador de Configurações do SQL ServerSQL Server executa configurações adicionais, como a atualização do repositório de segurança local do Windows, que protege a chave mestra do serviço para o Mecanismo de Banco de DadosDatabase Engine.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Mecanismo de Banco de DadosDatabase Engine. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
  • Para instâncias do Serviços de análiseAnalysis Services implantadas em um farm do SharePoint, use sempre a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos Serviço Power PivotPower Pivot service e Serviço Analysis ServicesAnalysis Services service.For Serviços de análiseAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Serviço Power PivotPower Pivot service applications and the Serviço Analysis ServicesAnalysis Services service. As configurações e permissões associadas serão atualizadas para usar as novas informações da conta quando você usar a Administração Central.Associated settings and permissions are updated to use the new account information when you use Central Administration.
  • Para alterar as opções do Reporting ServicesReporting Services , use a Ferramenta de Configuração do Reporting Services.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

Contas de serviço gerenciado, contas de serviço gerenciado de grupo e contas virtuaisManaged Service Accounts, Group Managed Service Accounts, and Virtual Accounts

As contas de serviço gerenciado, as contas de serviço gerenciado de grupo e as contas virtuais são criadas para fornecer aplicativos cruciais, como o SQL ServerSQL Server com o isolamento das próprias contas, eliminando a necessidade de um administrador gerenciar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Isso facilita bastante o gerenciamento de usuários de contas de serviço, senhas e SPNs a longo prazo.These make long term management of service account users, passwords and SPNs much easier.

  • Contas de serviços gerenciadosManaged Service Accounts

    Uma MSA é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Ela é atribuída a um único computador membro para a execução de um serviço.It is assigned to a single member computer for use running a service. A senha é gerenciada automaticamente pelo controlador de domínio.The password is managed automatically by the domain controller. Não é possível usar uma MSA para fazer logon em um computador, mas um computador pode usar uma MSA para iniciar um serviço do Windows.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. Uma MSA pode registrar um SPN (Nome da Entidade de Serviço) no Active Directory quando tem as permissões de ler e gravar servicePrincipalName.An MSA has the ability to register a Service Principal Name (SPN) within Active Directory when given read and write servicePrincipalName permissions. Uma MSA é nomeada com um sufixo $ , por exemplo, DOMAIN\ACCOUNTNAME$ .A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. Ao especificar uma MSA, deixe a senha em branco.When specifying a MSA, leave the password blank. Como um MSA é atribuído a um único computador, não pode ser usado em diferentes nós de um cluster do windows.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Observação

    A MSA deve ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL ServerSQL Server possa usá-la para serviços do SQL ServerSQL Server .The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Contas de serviços gerenciados de grupoGroup Managed Service Accounts

    Uma gMSA (conta de serviço gerenciada de grupo) é um MSA para vários servidores.A Group Managed Service Account (gMSA) is an MSA for multiple servers. O Windows gerencia uma conta de serviço para os serviços executados em um grupo de servidores.Windows manages a service account for services running on a group of servers. O Active Directory atualiza automaticamente a senha da conta de serviço gerenciado de grupo sem reiniciar os serviços.Active Directory automatically updates the group managed service account password without restarting services. Você pode configurar os serviços do SQL Server para usar uma entidade da conta de serviço gerenciado de grupo.You can configure SQL Server services to use a group managed service account principal. Começando no SQL Server 2014, o SQL Server dá suporte a contas de serviço gerenciado de grupo para instâncias autônomas, e o SQL Server 2016 e posteriores a instâncias de cluster de failover e grupos de disponibilidade.Beginning with SQL Server 2014, SQL Server supports group managed service accounts for standalone instances, and SQL Server 2016 and later for failover cluster instances, and availability groups.

    Para usar uma gMSA no SQL Server 2014 ou posterior, o sistema operacional deve ser o Windows Server 2012 R2 ou posterior.To use a gMSA for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Servidores com o Windows Server 2012 R2 requerem que o KB 2998082 seja aplicado de forma que os serviços possam fazer logon sem interrupção imediatamente após uma alteração de senha.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Para obter mais informações, consulte Group Managed Service Accounts (Contas de serviço gerenciado de grupo)For more information, see Group Managed Service Accounts

    Observação

    A gMSA deve ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL ServerSQL Server possa usá-la para serviços do SQL ServerSQL Server.The gMSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    As contas virtuais (começando com o Windows Server 2008 R2 e no Windows 7) são contas locais gerenciadas que fornecem os recursos a seguir para simplificar a administração do serviço.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. A conta virtual é autogerenciada e pode acessar a rede em um ambiente de domínio.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Se o valor padrão for usado para as contas de serviço durante a instalação do SQL ServerSQL Server, será usada uma conta virtual que usa o nome da instância como o nome do serviço, no formato NT SERVICE\ <SERVICENAME> .If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name> \ <computer_name> $ .Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Ao especificar uma conta virtual para iniciar o SQL ServerSQL Server, deixe a senha em branco.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Se a conta virtual não registra o SPN (Nome da Entidade de Serviço), registre-o manualmente.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Para obter mais informações sobre como registrar um SPN manualmente, confira Registro manual de SPN.For more information on registering a SPN manually, see Manual SPN Registration.

    Observação

    As contas virtuais não podem ser usadas para a Instância de Cluster de Failover do SQL ServerSQL Server porque a conta virtual não teria o mesmo SID em cada nó do cluster.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    A tabela a seguir lista exemplos de nomes de contas virtuais.The following table lists examples of virtual account names.

    ServiçoService Nome da conta virtualVirtual Account Name
    A instância padrão do serviço Mecanismo de Banco de DadosDatabase EngineDefault instance of the Mecanismo de Banco de DadosDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    A instância nomeada de um serviço Mecanismo de Banco de DadosDatabase Engine nomeado PAYROLLNamed instance of a Mecanismo de Banco de DadosDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server Agent na instância padrão de SQL ServerSQL ServerAgent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server Agent em uma instância de SQL ServerSQL Server chamada PAYROLLAgent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

Para obter mais informações sobre Contas de Serviço Gerenciado e Contas Virtuais, consulte a seção Managed service account and virtual account concepts (Conceitos de conta de serviço gerenciado e conta virtual) do Service Accounts Step-by-Step Guide (Guia passo a passo de contas de serviço) e Managed Service Accounts Frequently Asked Questions (FAQ)(Perguntas frequentes sobre contas de serviço gerenciado).For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

Observação de segurança: Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis.Always run SQL Server services by using the lowest possible user rights. Use MSA, gMSA ou uma conta virtual quando possível.Security Note: Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis.Always run SQL Server services by using the lowest possible user rights. Use a MSA, gMSA or virtual account when possible. Quando a MSA, a gMSA e as contas virtuais não forem possíveis, use uma conta de usuário específica de baixo privilégio ou uma conta de domínio em vez de uma conta compartilhada para os serviços SQL ServerSQL Server.When MSA, gMSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. Use contas separadas para serviços diferentes do SQL ServerSQL Server .Use separate accounts for different SQL ServerSQL Server services. Não conceda permissões adicionais à conta de serviço ou a grupos de serviço do SQL ServerSQL Server .Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. As permissões serão concedidas por meio da associação de grupo ou diretamente a um SID de serviço, onde um SID de serviço tiver suporte.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Inicialização automáticaAutomatic startup

Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:In addition to having user accounts, every service has three possible startup states that users can control:

  • Desabilitado O serviço está instalado, mas não está em execução atualmente.Disabled The service is installed but not currently running.
  • Manual O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar de sua funcionalidade.Manual The service is installed, but will start only when another service or application needs its functionality.
  • Automático O serviço é iniciado automaticamente pelo sistema operacional.Automatic The service is automatically started by the operating system.

O estado de inicialização é selecionado durante a instalação.The startup state is selected during setup. Ao instalar uma instância nomeada, o serviço Navegador do SQL ServerSQL Server deve ser definido para iniciar automaticamente.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Configurando serviços durante a instalação autônomaConfiguring services during unattended installation

A tabela a seguir mostra os serviços SQL ServerSQL Server que podem ser configurados durante a instalação.The following table shows the SQL ServerSQL Server services that can be configured during installation. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Nome do serviço SQL ServerSQL Server service name Opções para instalações autônomas*Switches for unattended installations*
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent**SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Controlador Distributed ReplayDistributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Cliente Distributed ReplayDistributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services ou Serviços de Machine LearningR Services or Machine Learning Services EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***
Mecanismo PolyBasePolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

*Para saber mais e obter a sintaxe de exemplo para instalações autônomas, veja Instalar o SQL Server 2016 do prompt de comando.*For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

**O serviço SQL ServerSQL Server Agent é desabilitado em instâncias do SQL Server ExpressSQL Server Express e do SQL Server ExpressSQL Server Express com Advanced Services.**The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

***Atualmente, não há suporte para configurar a conta para a barra inicial apenas por meio de comutadores.***Setting the account for Launchpad through the switches alone is not currently supported. Para alterar a conta e outras configurações de serviço, use o SQL Server Configuration Manager.Use SQL Server Configuration Manager to change the account and other service settings.

Porta do firewallFirewall Port

Na maioria dos casos, quando inicialmente instalado, o Mecanismo de Banco de DadosDatabase Engine pode ser conectado por ferramentas como o SQL Server Management StudioSQL Server Management Studio , instalado no mesmo computador que o SQL ServerSQL Server.In most cases, when initially installed, the Mecanismo de Banco de DadosDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. A instalação doSQL ServerSQL Server não abre portas no firewall do Windows.SQL ServerSQL Server Setup does not open ports in the Windows firewall. Talvez não sejam possíveis conexões de outros computadores até que o Mecanismo de Banco de DadosDatabase Engine seja configurado para ouvir em uma porta TCP e a porta apropriada seja aberta para conexões no firewall do Windows.Connections from other computers may not be possible until the Mecanismo de Banco de DadosDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Para obter mais informações sobre como fazer isso, veja Configurar o Firewall do Windows para permitir acesso ao SQL Server.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Permissões de serviçoService Permissions

Esta seção descreve as permissões que a Instalação do SQL ServerSQL Server configura para os SIDs por serviço dos serviços SQL ServerSQL Server.This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID's of the SQL ServerSQL Server services.

Configuração de serviço e controle de acessoService Configuration and Access Control

OSQL Server 2019 (15.x)SQL Server 2019 (15.x) habilita o SID por serviço para cada um de seus serviços para fornecer isolamento do serviço e defesa em profundidade.SQL Server 2019 (15.x)SQL Server 2019 (15.x) enables per-service SID for each of its services to provide service isolation and defense in depth. O SID por serviço é derivado do nome do serviço e é exclusivo ao serviço.The per-service SID is derived from the service name and is unique to that service. Por exemplo, um nome de SID de serviço de uma instância nomeada do serviço Mecanismo de Banco de DadosDatabase Engine pode ser NT Service\MSSQL$ <InstanceName> .For example, a service SID name for a named instance of the Mecanismo de Banco de DadosDatabase Engine service might be NT Service\MSSQL$<InstanceName>. O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Ao usar uma entrada de controle de acesso que contenha um SID de serviço, um serviço SQL ServerSQL Server pode restringir o acesso a seus recursos.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Observação

No Windows 7 e no Windows Server 2008Windows Server 2008 R2 (e posterior), o SID por serviço pode ser a conta virtual usada pelo serviço.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Para a maioria dos componentes, o SQL ServerSQL Server configura a ACL para a conta por serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser efetuada sem a necessidade de repetir o processo da ACL de recurso.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

Ao instalar o SSASSSAS, será criado um SID por serviço para o serviço Serviços de análiseAnalysis Services .When installing SSASSSAS, a per-service SID for the Serviços de análiseAnalysis Services service is created. Um grupo local do Windows é criado, nomeado no formato SQLServerMSASUser$ computer_name $ instance_name.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. O SID NT SERVICE\MSSQLServerOLAPService por serviço recebe permissão de associação no grupo local do Windows, e o grupo local do Windows recebe as permissões apropriadas na ACL.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Se a conta usada para iniciar o serviço Serviços de análiseAnalysis Services for alterada, o Gerenciador de Configurações do SQL ServerSQL Server deverá alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem qualquer atualização, pois o SID por serviço não foi alterado.If the account used to start the Serviços de análiseAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Esse método permite que o serviço Serviços de análiseAnalysis Services seja renomeado durante atualizações.This method allows the Serviços de análiseAnalysis Services service to be renamed during upgrades.

Durante a instalação do SQL ServerSQL Server , a Instalação do SQL ServerSQL Server cria grupos locais do Windows para o serviço SSASSSAS e o serviço Navegador do SQL ServerSQL Server .During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. Para esses serviços, o SQL ServerSQL Server configura a ACL para os grupos locais do Windows.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviços durante a instalação ou atualização.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Privilégios e direitos do WindowsWindows Privileges and Rights

A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço.The account assigned to start a service needs the Start, stop and pause permission for the service. O programa de Instalação do SQL ServerSQL Server atribui automaticamente essa permissão.The SQL ServerSQL Server Setup program automatically assigns this. Primeiro instale as Ferramentas de Administração de Servidor Remoto.First install Remote Server Administration Tools (RSAT). Consulte o artigo sobre as Ferramentas de Administração de Servidor Remoto para Windows 10.See Remote Server Administration Tools for Windows 10.

A tabela a seguir mostra as permissões que a Instalação do SQL ServerSQL Server solicita para os SIDs por serviço ou para os grupos locais do Windows usados pelos componentes do SQL ServerSQL Server .The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

Serviço doSQL ServerSQL ServerSQL ServerSQL Server Service Permissões concedidas pela Instalação do SQL ServerSQL ServerPermissions granted by SQL ServerSQL Server Setup
Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine:Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine:

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Instância nomeada: NT Service\SQLAGENT$ InstanceName.)Named instance: NT Service\SQLAGENT$InstanceName.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Permissão para iniciar o Gravador do SQLPermission to start SQL Writer

Permissão para ler o serviço Log de EventosPermission to read the Event Log service

Permissão para ler o serviço Chamada de Procedimento RemotoPermission to read the Remote Procedure Call service
Agente do SQL ServerSQL Server: *SQL ServerSQL Server Agent: *

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$ InstanceName.)Named instance: NT Service\SQLAGENT$InstanceName.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS:SSASSSAS:

(Todos os direitos são concedidos a um grupo local do Windows.(All rights are granted to a local Windows group. Instância padrão: SQLServerMSASUser$ ComputerName $MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instância nomeada: SQLServerMSASUser$ ComputerName $ InstanceName.Named instance: SQLServerMSASUser$ComputerName$InstanceName. instância Power Pivot para SharePointPower Pivot for SharePoint: SQLServerMSASUser$ ComputerName $ PowerPivot.)Power Pivot para SharePointPower Pivot for SharePoint instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Somente tabular:For tabular only:

Aumentar conjunto de trabalho de processo (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Bloquear páginas na memória (SeLockMemoryPrivilege): isso é necessário somente quando a paginação está totalmente desativada.Lock pages in memory (SeLockMemoryPrivilege) - this is needed only when paging is turned off entirely.

Somente para instalações de cluster de failover:For failover cluster installations only:

Aumentar a prioridade de planejamento (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS:SSRSSSRS:

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Instância nomeada: NT SERVICE\ReportServer$ InstanceName.)Named instance: NT SERVICE\ReportServer$InstanceName.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS:SSISSSIS:

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. OIntegration ServicesIntegration Services não tem um processo separado para uma instância nomeada).Integration ServicesIntegration Services does not have a separate process for a named instance.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Permissão para gravar no log de eventos do aplicativo.Permission to write to application event log.

Ignorar a verificação completa (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Representar um cliente após autenticação (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Pesquisa de texto completo:Full-text search:

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Instância nomeada: NT Service\ MSSQLFDLauncher$ InstanceName.)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server Navegador:SQL ServerSQL Server Browser:

(Todos os direitos são concedidos a um grupo local do Windows.(All rights are granted to a local Windows group. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser $ComputerName.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. O Navegador doSQL ServerSQL Server não tem um processo separado para uma instância nomeada.)SQL ServerSQL Server Browser does not have a separate process for a named instance.)
Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Gravador VSS:SQL ServerSQL Server VSS Writer:

(Todos os direitos são concedidos ao SID por serviço.(All rights are granted to the per-service SID. Instância padrão ou nomeada: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. SQL ServerSQL Server O Gravador VSS não tem um processo separado para uma instância nomeada).VSS Writer does not have a separate process for a named instance.)
O SQLWriter é executado sob a conta LOCAL SYSTEM que tem todas as permissões exigidas.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. A Instalação doSQL ServerSQL Server não verifica nem concede permissões para este serviço.SQL ServerSQL Server setup does not check or grant permissions for this service.
SQL ServerSQL Server Controlador Distributed Replay:SQL ServerSQL Server Distributed Replay Controller: Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Cliente Distributed Replay:SQL ServerSQL Server Distributed Replay Client: Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Mecanismo PolyBase e DMSPolyBase Engine and DMS Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Launchpad:Launchpad: Fazer logon como um serviço (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorar a verificação completa (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R Services/Serviços de Machine Learning: SQLRUserGroup (SQL 2016 e 2017)R Services/Machine Learning Services: SQLRUserGroup (SQL 2016 and 2017) Não tem a permissão Permitir logon local por padrãoDoes not have the Allow Log on locally permission by default
Serviços de Machine Learning "Todos os pacotes de aplicativos" [AppContainer] (SQL 2019)Machine Learning Services 'All Application Packages' [AppContainer] (SQL 2019) Permissões read e execute para os diretórios SQL Server 'Binn', R_Services e PYTHON_ServicesRead and execute permissions to the SQL Server 'Binn', R_Services, and PYTHON_Services directories

*O serviço SQL ServerSQL Server Agent está desabilitado em instâncias do SQL Server ExpressSQL Server Express.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do WindowsFile System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

As contas de serviço doSQL ServerSQL Server devem ter acesso aos recursos.SQL ServerSQL Server service accounts must have access to resources. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.Access control lists are set for the per-service SID or the local Windows group.

Importante

Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

A tabela a seguir mostra as ACLs que são definidas pela Instalação do SQL ServerSQL Server :The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Conta de serviço paraService account for Arquivos e pastasFiles and folders AcessoAccess
MSSQLServerMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup Controle totalFull control
Instid\MSSQL\binnInstid\MSSQL\binn Leitura, ExecuçãoRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data Controle totalFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData Controle totalFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Leitura, ExecuçãoRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log Controle totalFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata Controle totalFull control
130\shared130\shared Leitura, ExecuçãoRead, Execute
Instid\MSSQL\Template Data (somenteSQL Server ExpressSQL Server Express )Instid\MSSQL\Template Data (SQL Server ExpressSQL Server Express only) LerRead
SQLServerAgent*SQLServerAgent* Instid\MSSQL\binnInstid\MSSQL\binn Controle totalFull control
Instid\MSSQL\LogInstid\MSSQL\Log Leitura, Gravação, Exclusão, ExecuçãoRead, Write, Delete, Execute
130\com130\com Leitura, ExecuçãoRead, Execute
130\shared130\shared Leitura, ExecuçãoRead, Execute
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
ServerName\EventLogServerName\EventLog Controle totalFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData Controle totalFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Leitura, ExecuçãoRead, Execute
130\shared130\shared Leitura, ExecuçãoRead, Execute
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Leitura, ExecuçãoRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Leitura, GravaçãoRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig Controle totalFull control
Instid\OLAPInstid\OLAP Leitura, ExecuçãoRead, Execute
Instid\Olap\DataInstid\Olap\Data Controle totalFull control
Instid\Olap\LogInstid\Olap\Log Leitura, GravaçãoRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Leitura, GravaçãoRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Leitura, GravaçãoRead, Write
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
ReportServerReportServer Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Leitura, Gravação, ExclusãoRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Leitura, ExecuçãoRead, Execute
Instid\Reporting Services\ReportServer\global.asaxInstid\Reporting Services\ReportServer\global.asax Controle totalFull control
Instid\Reporting Services\ReportServer\rsreportserver.configInstid\Reporting Services\ReportServer\rsreportserver.config LerRead
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Leitura, Gravação, Execução, ExclusãoRead, Write, Execute, Delete
Instid\Reporting Services\RSWebAppInstid\Reporting Services\RSWebApp Leitura, ExecuçãoRead, Execute
130\shared130\shared Leitura, ExecuçãoRead, Execute
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml LerRead
130\dts\binn130\dts\binn Leitura, ExecuçãoRead, Execute
130\shared130\shared Leitura, ExecuçãoRead, Execute
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
SQL ServerSQL Server NavegadorBrowser 130\shared\ASConfig130\shared\ASConfig LerRead
130\shared130\shared Leitura, ExecuçãoRead, Execute
130\shared\Errordumps130\shared\Errordumps Leitura, GravaçãoRead, Write
SQLWriterSQLWriter N/A (Executado como sistema local)N/A (Runs as local system)
UsuárioUser Instid\MSSQL\binnInstid\MSSQL\binn Leitura, ExecuçãoRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
Instid\Reporting Services\ReportServer\global.asaxInstid\Reporting Services\ReportServer\global.asax LerRead
Instid\Reporting Services\RSWebAppInstid\Reporting Services\RSWebApp Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
130\dts130\dts Leitura, ExecuçãoRead, Execute
130\tools130\tools Leitura, ExecuçãoRead, Execute
100\tools100\tools Leitura, ExecuçãoRead, Execute
90\tools90\tools Leitura, ExecuçãoRead, Execute
80\tools80\tools Leitura, ExecuçãoRead, Execute
130\sdk130\sdk LerRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap Leitura, ExecuçãoRead, Execute
SQL ServerSQL Server Controlador Distributed ReplayDistributed Replay Controller <ToolsDir>\DReplayController\Log\ (diretório vazio)<ToolsDir>\DReplayController\Log\ (empty directory) Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources|Leitura, Execução, Listar Conteúdo de Pastas<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{todos dlls}<ToolsDir>\DReplayController\{all dlls} Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
SQL ServerSQL Server Cliente Distributed ReplayDistributed Replay Client <ToolsDir>\DReplayClient\Log|Leitura, Execução, Listar Conteúdos de Pasta<ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources|Leitura, Execução, Listar Conteúdos de Pasta<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (todos dlls)<ToolsDir>\DReplayClient\ (all dlls) Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Leitura, Execução, Listar Conteúdo de PastasRead, Execute, List Folder Contents
LaunchpadLaunchpad %binn%binn Leitura, ExecuçãoRead, Execute
ExtensiblilityDataExtensiblilityData Controle totalFull control
Log\ExtensibilityLogLog\ExtensibilityLog Controle totalFull control

*O serviço SQL ServerSQL Server Agent é desabilitado em instâncias do SQL Server ExpressSQL Server Express e do SQL Server ExpressSQL Server Express com Advanced Services.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder acesso ao SID por serviço para esse local.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Para obter mais informações sobre como conceder permissões para um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao mecanismo de banco de dados.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do WindowsFile System Permissions Granted to Other Windows User Accounts or Groups

Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou a outras contas do serviço SQL ServerSQL Server .Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. A tabela a seguir lista ACLs adicionais que são definidas pela Instalação do SQL ServerSQL Server .The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Componente solicitanteRequesting component ContaAccount RecursoResource PermissõesPermissions
MSSQLServerMSSQLServer Usuários do Log de DesempenhoPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Listar conteúdo da pastaList folder contents
Usuários do monitor de desempenhoPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Listar conteúdo da pastaList folder contents
Usuários do Log de Desempenho, Usuários do Monitor de DesempenhoPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll Leitura, ExecuçãoRead, Execute
Somente AdministradorAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<nome_da_instância_sql>*\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>* Controle totalFull control
Administradores, SistemaAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Controle totalFull control
UsuáriosUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Leitura, ExecuçãoRead, Execute
Reporting ServicesReporting Services Conta do serviço Servidor de Relatório do WindowsReport Server Windows Service Account <install> \Reporting Services\LogFiles<install> \Reporting Services\LogFiles Delete (excluir)DELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Conta do serviço Servidor de Relatório do WindowsReport Server Windows Service Account <install> \Reporting Services\ReportServer<install> \Reporting Services\ReportServer LerRead
Conta do serviço Servidor de Relatório do WindowsReport Server Windows Service Account <install> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax CompletoFull
Conta do serviço Servidor de Relatório do WindowsReport Server Windows Service Account <install> \Reporting Services\RSWebApp<install> \Reporting Services\RSWebApp Leitura, ExecuçãoRead, Execute
TodosEveryone <install> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Conta de Serviços do Windows do ReportServerReportServer Windows Services Account <install> \Reporting Services\ReportServer\rsreportserver.config<install> \Reporting Services\ReportServer\rsreportserver.config Delete (excluir)DELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
TodosEveryone Chaves do Servidor de Relatório (ramificação Instid)Report Server keys (Instid hive) Consultar ValorQuery Value

Enumerar SubchavesEnumerate SubKeys

NotificarNotify

Controle de LeituraRead Control
Usuários dos Serviços de TerminalTerminal Services User Chaves do Servidor de Relatório (ramificação Instid)Report Server keys (Instid hive) Consultar ValorQuery Value

Definir ValorSet Value

Criar SubchaveCreate SubKey

Enumerar SubchaveEnumerate SubKey

NotificarNotify

ExcluirDelete

Controle de LeituraRead Control
Usuários AvançadosPower Users Chaves do Servidor de Relatório (ramificação Instid)Report Server keys (Instid hive) Consultar ValorQuery Value

Definir ValorSet Value

Criar SubchaveCreate Subkey

Enumerar SubchavesEnumerate Subkeys

NotificarNotify

ExcluirDelete

Controle de LeituraRead Control

*Este é o namespace do provedor WMI.*This is the WMI provider namespace.

A unidade padrão de locais para instalação é systemdrive, normalmente a unidade C. Esta seção descreve considerações adicionais quando tempdb ou bancos de dados de usuários são instalados em locais não usuais.The default drive for locations for installation is systemdrive, normally drive C. This section describes additional considerations when tempdb or user databases are installed to unusual locations.

Unidade não padrãoNon-default drive

Quando instalado em uma unidade local que não seja a unidade padrão, o SID por serviço deve ter acesso ao local do arquivo.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. A instalação doSQL ServerSQL Server provisionará o acesso necessário.SQL ServerSQL Server Setup will provision the required access.

Compartilhamento de redeNetwork share

Quando bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e aos bancos de dados tempdb.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. A Instalação doSQL ServerSQL Server não pode provisionar o acesso a um compartilhamento de rede.SQL ServerSQL Server Setup cannot provision access to a network share. O usuário deve provisionar o acesso a um local de tempdb para a conta de serviço antes de executar a instalação.The user must provision access to a tempdb location for the service account before running setup. O usuário deve provisionar o acesso ao local do banco de dados de usuário antes de criar o banco de dados.The user must provision access to the user database location before creating the database.

Observação

Contas virtuais não podem ser autenticadas em um local remoto.Virtual accounts cannot be authenticated to a remote location. Todas as contas virtuais usam a permissão da conta de máquina.All virtual accounts use the permission of machine account. Provisione a conta do computador no formato <domain_name> \ <computer_name> $ .Provision the machine account in the format <domain_name>\<computer_name>$.

Revisando considerações adicionaisReviewing Additional Considerations

A tabela a seguir mostra as permissões necessárias para que os serviços do SQL ServerSQL Server forneçam funcionalidade adicional.The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Serviço/AplicativoService/Application FuncionalidadeFunctionality Permissão necessáriaRequired permission
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Gravar em um slot de email usando xp_sendmail.Write to a mail slot using xp_sendmail. Permissões de gravação de rede.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Executar xp_cmdshell para um usuário que não seja um administrador do SQL ServerSQL Server .Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Atuar como parte do sistema operacional e substituir um token de nível de processo.Act as part of operating system and replace a process-level token.
SQL ServerSQL Server Agent (MSSQLSERVER)Agent (MSSQLSERVER) Usar o recurso de reinicialização automática.Use the autorestart feature. Deve ser um membro do grupo local Administradores.Must be a member of the Administrators local group.
Mecanismo de Banco de DadosDatabase Engine Orientador de OtimizaçãoTuning Advisor Ajusta bancos de dados para desempenho ideal de consulta.Tunes databases for optimal query performance. No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo.On first use, a user who has system administrative credentials must initialize the application. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de DadosDatabase Engine para ajustar somente as tabelas que eles possuem.After initialization, dbo users can use the Mecanismo de Banco de DadosDatabase Engine Tuning Advisor to tune only those tables that they own. Para obter mais informações, consulte "Inicializando o Orientador de Otimização do Mecanismo de Banco de DadosDatabase Engine no primeiro uso" nos Manuais Online do SQL ServerSQL Server .For more information, see "Initializing Mecanismo de Banco de DadosDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Importante

Antes de atualizar o SQL ServerSQL Server, habilite o SQL Server Agent e verifique a configuração padrão exigida: se a conta de serviço do SQL ServerSQL Server Agent é um membro da função de servidor fixa SQL ServerSQL Server sysadmin.Before you upgrade SQL ServerSQL Server, enable SQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Server sysadmin fixed server role.

Permissões de RegistroRegistry Permissions

O hive de Registro é criado sob HKLM\Software\Microsoft\Microsoft SQL Server\ <Instance_ID> para componentes com reconhecimento de instância.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Por exemploFor example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

O registro também mantém um mapeamento do ID da instância para o nome da instância.The registry also maintains a mapping of instance ID to instance name. O mapeamento do ID da instância para o nome da instância é mantido como segue:Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMIWMI

O WMI (Instrumentação de Gerenciamento do Windows) deve poder se conectar ao Mecanismo de Banco de DadosDatabase Engine.Windows Management Instrumentation (WMI) must be able to connect to the Mecanismo de Banco de DadosDatabase Engine. Para dar suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt) é provisionado no Mecanismo de Banco de DadosDatabase Engine.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Mecanismo de Banco de DadosDatabase Engine.

O provedor WMI do SQL requer as seguintes permissões mínimas:The SQL WMI provider requires the following minimal permissions:

  • Associação nas funções de banco de dados fixas db_ddladmin ou db_owner no banco de dados msdb.Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • PermissãoCREATE DDL EVENT NOTIFICATION no servidor.CREATE DDL EVENT NOTIFICATION permission in the server.

  • PermissãoCREATE TRACE EVENT NOTIFICATION no Mecanismo de Banco de DadosDatabase Engine.CREATE TRACE EVENT NOTIFICATION permission in the Mecanismo de Banco de DadosDatabase Engine.

  • PermissãoVIEW ANY DATABASE no nível do servidor.VIEW ANY DATABASE server-level permission.

    A instalação doSQL ServerSQL Server cria um namespace do WMI do SQL e concede permissão de leitura ao SID do serviço SQL ServerSQL Server Agent.SQL ServerSQL Server setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Pipes nomeadosNamed Pipes

Em toda a instalação, a Instalação do SQL ServerSQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine via protocolo de memória compartilhada, que é um pipe nomeado local.In all installation, SQL ServerSQL Server Setup provides access to the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

ProvisionamentoProvisioning

Esta seção descreve como as contas são provisionadas em vários componentes do SQL ServerSQL Server .This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Provisionamento do Mecanismo de Banco de DadosDatabase Engine Provisioning

As contas a seguir são adicionadas como logons ao Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine.The following accounts are added as logins in the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine.

Entidades de segurança do WindowsWindows Principals

Durante a instalação, a Instalação do SQL ServerSQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin .During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

Conta sasa Account

A conta sa está sempre presente como um logon do Mecanismo de Banco de DadosDatabase Engine e é membro da função de servidor fixa sysadmin .The sa account is always present as a Mecanismo de Banco de DadosDatabase Engine login and is a member of the sysadmin fixed server role. Quando o Mecanismo de Banco de DadosDatabase Engine é instalado usando somente a Autenticação do Windows (ou seja, quando a Autenticação do SQL ServerSQL Server não está habilitada), o logon de sa ainda está presente, mas desabilitado, e a senha é complexa e aleatória.When the Mecanismo de Banco de DadosDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled and the password is complex and random. Para obter informações sobre como habilitar a conta sa , consulte Alterar modo de autenticação do servidor.For information about enabling the sa account, see Change Server Authentication Mode.

Logon e privilégios de SID por serviço do SQL ServerSQL Server Per-service SID Login and Privileges

O SID por serviço (às vezes também chamado de SID (entidade de segurança de serviço)) do SQL ServerSQL Server é provisionado como um logon de Mecanismo de Banco de DadosDatabase Engine.The per-service SID (somethimes also called service security principal (SID)) of the SQL ServerSQL Server service is provisioned as a Mecanismo de Banco de DadosDatabase Engine login. O logon do SID por serviço é membro da função de servidor fixa sysadmin .The per-service SID login is a member of the sysadmin fixed server role. Para obter informações sobre o SID por serviço, confira Usando SIDs de Serviço para conceder permissões para serviços no SQL Server.For information about per-service SID, see Using Service SIDs to grant permissions to services in SQL Server.

Logon e privilégios do SQL Server AgentSQL Server Agent Login and Privileges

O SID por serviço do serviço SQL ServerSQL Server Agent é provisionado como um logon do Mecanismo de Banco de DadosDatabase Engine .The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Mecanismo de Banco de DadosDatabase Engine login. O logon do SID por serviço é membro da função de servidor fixa sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Grupos de Disponibilidade AlwaysOnAlways On Availability Groups e privilégios e instância de cluster de failover do SQLGrupos de Disponibilidade AlwaysOnAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

Ao instalar o Mecanismo de Banco de DadosDatabase Engine como um Grupos de disponibilidade AlwaysOnAlways On availability groups ou SQL FCI (Instância de Cluster de Failover do SQL), LOCAL SYSTEM é provisionado no Mecanismo de Banco de DadosDatabase Engine.When installing the Mecanismo de Banco de DadosDatabase Engine as a Grupos de disponibilidade AlwaysOnAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Mecanismo de Banco de DadosDatabase Engine. O logon de LOCAL SYSTEM recebe a permissão ALTER ANY AVAILABILITY GROUP (para o Grupos de disponibilidade AlwaysOnAlways On availability groups) e a permissão VIEW SERVER STATE (para o SQL FCI).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Grupos de disponibilidade AlwaysOnAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

Gravador e privilégios do SQLSQL Writer and Privileges

O SID por serviço do serviço Gravador VSS do SQL ServerSQL Server é provisionado como um logon do Mecanismo de Banco de DadosDatabase Engine .The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Mecanismo de Banco de DadosDatabase Engine login. O logon do SID por serviço é membro da função de servidor fixa sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

WMI e privilégios do SQLSQL WMI and Privileges

A instalação doSQL ServerSQL Server provisiona a conta NT SERVICE\Winmgmt como um Mecanismo de Banco de DadosDatabase Engine logon e a adiciona à função de servidor fixa sysadmin .SQL ServerSQL Server Setup provisions the NT SERVICE\Winmgmt account as a Mecanismo de Banco de DadosDatabase Engine login and adds it to the sysadmin fixed server role.

Provisionamento SSRSSSRS Provisioning

A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole .The account specified during setup is provisioned as a member of the RSExecRole database role. Para obter mais informações, veja Configurar a conta de serviço do servidor de relatório (SSRS Configuration Manager).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Provisionamento SSASSSAS Provisioning

Os requisitos da conta do serviçoSSASSSAS variam, dependendo de como o servidor está implantado.SSASSSAS service account requirements vary depending on how you deploy the server. Se você estiver instalando o Power Pivot para SharePointPower Pivot for SharePoint, a Instalação do SQL ServerSQL Server requer a configuração do serviço Serviços de análiseAnalysis Services para a execução em uma conta de domínio.If you are installing Power Pivot para SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Serviços de análiseAnalysis Services service to run under a domain account. Contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada criada no SharePoint.Domain accounts are required to support the managed account facility that is built into SharePoint. Por essa razão, a Instalação do SQL ServerSQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do Power Pivot para SharePointPower Pivot for SharePoint .For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a Power Pivot para SharePointPower Pivot for SharePoint installation. Para obter mais informações sobre o provisionamento do Power PivotPower Pivot para SharePoint, consulte Configurar contas de serviço Power Pivot.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

Para todas as outras instalações autônomas do SSASSSAS , você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Para obter mais informações sobre o provisionamento de conta, consulte Configurar contas de serviço (Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Para instalações clusterizadas, especifique uma conta de domínio ou uma conta de sistema interna.For clustered installations, you must specify a domain account or a built-in system account. Não há suporte para contas gerenciadas nem contas virtuais em clusters de failover do SSASSSAS .Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

Todas as instalações do SSASSSAS requerem que você especifique um administrador do sistema da instância do Serviços de análiseAnalysis Services .All SSASSSAS installations require that you specify a system administrator of the Serviços de análiseAnalysis Services instance. São provisionados privilégios de administrador na função Servidor do Analysis Services.Administrator privileges are provisioned in the Analysis Services Server role.

Provisionamento SSRSSSRS Provisioning

A conta especificada durante a instalação é provisionada no Mecanismo de Banco de DadosDatabase Engine como membro da função de banco de dados RSExecRole .The account specified during setup is provisioned in the Mecanismo de Banco de DadosDatabase Engine as a member of the RSExecRole database role. Para obter mais informações, veja Configurar a conta de serviço do servidor de relatório (SSRS Configuration Manager).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Atualização de versões anterioresUpgrading From Previous Versions

Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL ServerSQL Server.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • OSQL Server 2019 (15.x)SQL Server 2019 (15.x) requer o Windows Server 2008Windows Server 2008 R2 SP1, o Windows Server 2012, o Windows 8.0, o Windows Server 2012 R2 ou o Windows 8.1.SQL Server 2019 (15.x)SQL Server 2019 (15.x) requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Qualquer versão anterior do SQL ServerSQL Server executada em uma versão inferior do sistema operacional deve ter o sistema operacional atualizado antes de atualizar o SQL ServerSQL Server.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Durante a atualização do SQL Server 2005 (9.x)SQL Server 2005 (9.x) para o SQL Server 2019 (15.x)SQL Server 2019 (15.x), a Instalação do SQL ServerSQL Server configura o SQL ServerSQL Server do modo a seguir.During upgrade of SQL Server 2005 (9.x)SQL Server 2005 (9.x) to SQL Server 2019 (15.x)SQL Server 2019 (15.x), SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • O Mecanismo de Banco de DadosDatabase Engine é executado com o contexto de segurança do SID por serviço.The Mecanismo de Banco de DadosDatabase Engine runs with the security context of the per-service SID. O SID por serviço recebe acesso às pastas de arquivos da instância do SQL ServerSQL Server (como DATA) e às chaves do Registro do SQL ServerSQL Server .The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.
    • O SID por serviço do Mecanismo de Banco de DadosDatabase Engine é provisionado no Mecanismo de Banco de DadosDatabase Engine como membro da função de servidor fixa sysadmin .The per-service SID of the Mecanismo de Banco de DadosDatabase Engine is provisioned in the Mecanismo de Banco de DadosDatabase Engine as a member of the sysadmin fixed server role.
    • Os SIDs por serviço são adicionados aos grupos locais do Windows do SQL ServerSQL Server, a menos que o SQL ServerSQL Server seja uma Instância de Cluster de Failover.The per-service SID's are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.
    • Os recursos do SQL ServerSQL Server permanecem provisionados nos grupos locais do Windows do SQL ServerSQL Server.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.
    • O grupo Windows local para serviços é renomeado de SQLServer2005MSSQLUser$ <computer_name> $ <instance_name> para SQLServerMSSQLUser$ <computer_name> $ <instance_name> .The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. Os locais de arquivos de bancos de dados migrados terão ACEs (Entradas de Controle de Acesso) para os grupos locais do Windows.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. Os locais de arquivos dos novos bancos de dados terão ACEs para o SID por serviço.The file locations for new databases will have ACE's for the per-service SID.
  • Durante a atualização do SQL Server 2008SQL Server 2008, a Instalação do SQL ServerSQL Server preserva as ACEs para o SID por serviço do SQL Server 2008SQL Server 2008.During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE's for the SQL Server 2008SQL Server 2008 per-service SID.

  • Para uma Instância de Cluster de Failover do SQL ServerSQL Server , a ACE da conta de domínio configurada para o serviço será retida.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

ApêndiceAppendix

Esta seção contém informações adicionais sobre os serviços do SQL ServerSQL Server .This section contains additional information about SQL ServerSQL Server services.

Descrição de contas de serviçoDescription of Service Accounts

A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine.The service account is the account used to start a Windows service, such as the Mecanismo de Banco de Dados do SQL ServerSQL Server Database Engine. Para executar o SQL Server, não é necessário adicionar a Conta de Serviço como um Logon ao SQL Server além do SID do Serviço, que está sempre presente e é um membro da função de servidor fixa sysamin.For running SQL Server, it is not required to add the Service Account as a Login to SQL Server in addition to the Service SID, which is always present and a member of the sysamin fixed server role.

Contas disponíveis com qualquer sistema operacionalAccounts Available With Any Operating System

Além da nova MSA, gMSA e das contas virtuais descritas anteriormente, as contas a seguir podem ser usadas.In addition to the new MSA, gMSA and virtual accounts described earlier, the following accounts can be used.

Conta de usuário do domínioDomain User Account

Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio, como os compartilhamentos de arquivos, ou usar conexões de servidor vinculado com outros computadores que estejam executando o SQL ServerSQL Server, você poderá usar uma conta de domínio com privilégios mínimos.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio.Many server-to-server activities can be performed only with a domain user account. Essa conta deve ser pré-criada pela administração do domínio do ambiente.This account should be pre-created by domain administration in your environment.

Observação

Se você configurar o SQL Server para usar uma conta de domínio, poderá isolar os privilégios do Serviço, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para gerenciar essas senhas.If you configure the SQL Server to use a domain account, you can isolate the privileges for the Service, but must manually manage passwords or create a custom solution for managing these passwords. Muitos aplicativos para servidores usam essa estratégia para aprimorar a segurança, mas essa estratégia requer administração adicional e complexidade.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. Nessas implantações, os administradores de serviço gastam um tempo considerável em tarefas de manutenção, como o gerenciamento de senhas de serviço e SPNs, que são necessários para a autenticação Kerberos.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. Além disso, essas tarefas de manutenção podem interromper serviço.In addition, these maintenance tasks can disrupt service.

Contas de usuário localLocal User Accounts

Se o computador não fizer parte de um domínio, é recomendável usar uma conta de usuário local sem permissões de administrador do Windows.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Conta de serviço localLocal Service Account

A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos.This limited access helps safeguard the system if individual services or processes are compromised. Os serviços que são executados como a conta Serviço Local acessam os recursos de rede em uma sessão nula, sem credenciais.Services that run as the Local Service account access network resources as a null session without credentials.

Observação

A conta de Serviço Local não tem suporte no SQL ServerSQL Server nem nos serviços do SQL ServerSQL Server Agent.The Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. O Serviço Local não tem suporte como a conta que executa esses serviços porque é um serviço compartilhado e qualquer outro serviço que é executado sob o serviço local teria acesso de administrador do sistema ao SQL ServerSQL Server.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. O nome real da conta é NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Conta de serviço de redeNetwork Service Account

A conta de Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Os serviços executados como conta de Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name> \ <computer_name> $ .Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. O nome real da conta é NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Conta de sistema localLocal System Account

A conta Sistema Local é uma conta interna com privilégios altos.Local System is a very high-privileged built-in account. Ela tem privilégios extensos no sistema local e funciona como o computador na rede.It has extensive privileges on the local system and acts as the computer on the network. O nome real da conta é NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Identificando serviços com e sem reconhecimento de instânciaIdentifying Instance-Aware and Instance-Unaware Services

Os serviços com reconhecimento de instância são associados a uma instância específica do SQL ServerSQL Servere têm suas próprias ramificações de registro.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL ServerSQL Server para cada componente ou serviço.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL ServerSQL Server .Instance-unaware services are shared among all installed SQL ServerSQL Server instances. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Os serviços com reconhecimento de instância no SQL ServerSQL Server incluem o seguinte:Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server AgentAgent

    Esteja ciente de que o serviço SQL ServerSQL Server Agent é desabilitado em instâncias do SQL Server ExpressSQL Server Express e do SQL Server ExpressSQL Server Express com Advanced Services.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Serviços de análiseAnalysis Services*

  • Reporting ServicesReporting Services

  • Pesquisa de texto completoFull-text search

    Os serviços sem reconhecimento de instância no SQL ServerSQL Server incluem o seguinte:Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server NavegadorBrowser

  • Gravador do SQLSQL Writer

*O Analysis Services no modo integrado do SharePoint é executado como 'Power PivotPower Pivot' como uma instância única, nomeada.*Analysis Services in SharePoint integrated mode runs as 'Power PivotPower Pivot' as a single, named instance. O nome da instância é fixo.The instance name is fixed. Não é possível especificar um nome diferente.You cannot specify a different name. Você pode instalar apenas uma instância do Analysis Services executada como 'Power PivotPower Pivot' em cada servidor físico.You can install only one instance of Analysis Services running as 'Power PivotPower Pivot' on each physical server.

Nomes de serviços localizadosLocalized Service Names

A tabela a seguir mostra nomes de serviços que são exibidos por versões localizadas do Windows.The following table shows service names that are displayed by localized versions of Windows.

LinguagemLanguage Nome do serviço localName for Local Service Nome do serviço de redeName for Network Service Nome do sistema localName for Local System Nome do grupo Admin.Name for Admin Group
InglêsEnglish

Chinês simplificadoSimplified Chinese

Chinês tradicionalTraditional Chinese

CoreanoKorean

JaponêsJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administrators
AlemãoGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FrancêsFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministradoresBUILTIN\Administrators
ItalianoItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administrators
EspanholSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RussoRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМАNT AUTHORITY\СИСТЕМА BUILTIN\АдминистраторыBUILTIN\Администраторы

Considerações sobre segurança para uma instalação do SQL ServerSecurity Considerations for a SQL Server Installation

Locais de arquivos para instâncias padrão e nomeadas do SQL ServerFile Locations for Default and Named Instances of SQL Server

Instalar o Master Data ServicesInstall Master Data Services