Настройка учетных записей служб Windows

Изменения: 12 декабря 2006 г.

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности операций SQL Server с помощью Microsoft Windows. В этом разделе представлена конфигурация по умолчанию для служб этой версии SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server.

Примечание безопасности. Всегда запускайте службы SQL Server от имени пользователя с минимально возможными правами.

В зависимости от выбранных при установке компонентов Microsoft SQL Server 2005 программа установки SQL Server 2005 устанавливает следующие службы.

• Службы SQL Server Database Services — службы реляционной базы данных компонента SQL Server Database Engine.
• Агент SQL Server — cлужит для выполнения заданий, контроля за SQL Server, предупреждения о нештатных ситуациях, а также позволяет автоматизировать некоторые задачи по администрированию.

  Примечание.

  Для запуска SQL Server и агента SQL Server в качестве служб Windows SQL Server и агенту SQL Server должна быть назначена учетная запись пользователя Windows. Чаще всего службе SQL Server и агенту SQL Server назначается одна и та же учетная запись — либо пользователя локальной системы, либо пользователя домена. Однако параметры каждой службы можно настроить в процессе установки. Дополнительные сведения о настройке данных учетной записи для каждой службы см. в разделе Учетная запись службы.

• Службы Analysis Services — предоставляют средства интерактивной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики.
• Службы Reporting Services — cлужат для управления отчетами, их выполнения (в том числе по расписанию), подготовки и доставки.
• Службы Notification Services — представляют собой платформу для разработки и развертывания приложений, формирующих и отправляющих уведомления.
• Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Integration Services.
• Компонент Full-Text Search — позволяет быстро создавать полнотекстовые индексы содержимого и свойств структурированных и частично структурированных данных для обеспечения быстрого лингвистического поиска в этих данных.
• Обозреватель SQL Server — служба разрешения имен, поставляющая данные соединения с SQL Server для клиентских компьютеров.
• Модуль поддержки Active Directory сервера SQL Server — обеспечивает публикацию и управление службами SQL Server в Active Directory.
• Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS).

Оставшаяся часть этого раздела состоит из следующих подразделов:

• Настройка служб, доступных в программе установки SQL Server
• Использование стартовых учетных записей для запуска служб SQL Server
• Идентификация зависимых и независимых от экземпляра служб
• Обзор прав доступа и привилегий NT, предоставляемых учетным записям служб SQL Server
• Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server
• Обзор разрешений Windows для служб SQL Server
• Обзор дополнительных вопросов
• Локализованные имена служб

Настройка служб, доступных в программе установки SQL Server

Во время выполнения программы установки SQL Server можно настроить некоторые службы SQL Server, указав стартовую учетную запись и определив автозапуск службы. В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно использовать параметры в файле установки или командной строке.

Имя службы SQL Server	Настраивается ли в мастере установки	Параметры для автоматической установки1
MSSQLSERVER	Да	SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART
SQLServerAgent	Да	AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART
MSSQLServerOLAPService	Да	ASACCOUNT, ASPASSWORD, ASAUTOSTART
ReportServer	Да	RSACCOUNT, RSPASSWORD, RSAUTOSTART
SQLBrowser	Да	SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Дополнительные сведения и примеры синтаксиса для удаленной автоматической установки см. в разделе Как установить SQL Server 2005 из командной строки.

2Параметр SQLBROWSERAUTOSTART можно задать, даже если обозреватель SQL Server уже установлен.

Следующие службы не могут быть настроены в ходе установки. Они устанавливаются с настройками по умолчанию:

• Notification Services
• Integration Services
• Компонент Full-Text Search
• Модуль поддержки Active Directory
• Модуль записи SQL

Использование стартовых учетных записей для запуска служб SQL Server

Для запуска каждой службы в SQL Server 2005 ей должна быть назначена учетная запись пользователя. Учетные записи могут быть встроенными в систему либо учетными записями пользователей домена.

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

• Отключено   Служба установлена, но в данный момент не запущена.
• Вручную   Служба установлена, но будет запущена только в случае, когда другая служба или приложение затребует ее функциональность.
• Авто   Служба запускается операционной системой после загрузки драйверов устройств во время загрузки системы.

В следующей таблице показаны установленные по умолчанию и дополнительные учетные записи для каждой из служб SQL Server, а также типы запуска для каждой службы.

Имя службы SQL Server	Учетная запись по умолчанию	Дополнительные учетные записи	Тип запуска	Состояние после установки по умолчанию
SQL Server	SQL Server Express Edition в Windows 2000: локальная система SQL Server Express Edition во всех других поддерживаемых операционных системах: сетевая служба Все другие выпуски во всех поддерживаемых операционных системах: пользователь домена1	SQL Server Express Edition: пользователь домена, локальная система, сетевая служба1. Все другие выпуски: пользователь домена, локальная система, сетевая служба1.	Авто2	Работает Остановлена, если пользователь отменил автозапуск.
Агент SQL Server	Пользователь домена3	пользователь домена, локальная система, сетевая служба1,6	Отключено Авто, если пользователь выбрал автозапуск	Остановлена Работает, если пользователь выбрал автозапуск
Analysis Services	Пользователь домена3	Пользователь домена, локальная система, сетевая служба, локальная служба	Авто	Работает Остановлена, если пользователь отменил автозапуск
Reporting Services	Пользователь домена3.	Пользователь домена, локальная система, сетевая служба, локальная служба.	Авто	Работает Остановлена, если пользователь отменил автозапуск.
Notification Services4	Н/Д	Н/Д	Н/Д	Н/Д
Integration Services	Windows 2000: локальная система Все другие поддерживаемые операционные системы: сетевая служба	Пользователь домена, локальная система, сетевая служба, локальная служба	Авто	Работает Остановлена, если пользователь отменил автозапуск.
Компонент Full-Text Search	Та же учетная запись, что и для SQL Server	Пользователь домена, локальная система, сетевая служба, локальная служба	Вручную	Остановлена Работает, если пользователь выбрал автозапуск.
Обозреватель SQL Server	SQL Server Express Edition в Windows 2000: Локальная система SQL Server Express Edition во всех других поддерживаемых операционных системах: локальная служба Все другие выпуски во всех поддерживаемых операционных системах: пользователь домена1,3	Пользователь домена, локальная система, сетевая служба, локальная служба	Отключен5 Авто, если пользователь выбрал автозапуск.	Остановлена5 Работает, если пользователь выбрал автозапуск.
Модуль поддержки Active Directory в службах SQL Server	Сетевая служба	Локальная система, сетевая служба	Отключен	Остановлена
Модуль записи SQL	Локальная система	Локальная система	Авто	Работает

1Важно   Корпорация Microsoft не рекомендует использовать учетную запись «Сетевая служба» для SQL Server и служб агента SQL Server. Для этих служб SQL Server больше подходят учетные записи «Локальный пользователь» или «Пользователь домена».

2В конфигурациях с отказоустойчивым кластером следует устанавливать тип «Вручную».

3При автоматической установке это свойство является необходимым. Если не задано, в программе установки произойдет сбой. Учетную запись «Локальная система» можно задать с помощью выражения SQLAccount=LocalSystem или ASAccount=LocalSystem. Дополнительные сведения и примеры синтаксиса для удаленной и автоматической установки см. в разделе Как установить SQL Server 2005 из командной строки.

44Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.

5При конфигурации с отказоустойчивым кластером обозреватель SQL Server настраивается на автоматический запуск и запускается по умолчанию после завершения программы установки.

6Дополнительные сведения о поддерживаемых учетных записях Windows для агента SQL Server см. в разделе Поддерживаемые типы учетных записей Windows, которые могут быть использованы для запуска службы агента SQL Server в SQL Server 2005.

Важно!

При конфигурации с отказоустойчивым кластером учетные записи локальной системы и сетевой службы для служб, поддерживающих работу в кластере, таких как SQL Server, агент SQL Server и служб SSAS, не поддерживаются. Дополнительные сведения см. в разделе Подготовка к установке отказоустойчивого кластера. Для установки SQL Server 2005 в параллельной конфигурации с ранними версиями SQL Server службы SQL Server 2005 должны использовать учетные записи только из глобальной группы доменов. Кроме того, учетные записи, которые используют службы SQL Server 2005, не должны присутствовать в локальной группе администраторов. Несоблюдение этих рекомендаций может привести к непредвиденным последствиям для безопасности.

Использование учетной записи «Пользователь домена»

Учетную запись «Пользователь домена» рекомендуется использовать, если предусматривается взаимодействие службы с сетевыми службами. Многие операции взаимодействия сервера с сервером могут быть выполнены только с учетной записью пользователя домена, например:

• удаленные вызовы процедур;
• репликация;
• резервное копирование на сетевые диски;
• гетерогенные соединения, затрагивающие удаленные источники данных;
• функции работы с почтой агента SQL Server и службы SQL Mail. Данное ограничение действует только при использовании сервера Microsoft Exchange. Клиенты большинства других систем электронной почты, подобных службам SQL Server и агенту SQL Server, должны быть запущены под учетными записями с доступом к сети.

Использование учетной записи «Локальная служба»

«Локальная служба» — особая встроенная учетная запись, подобная учетной записи пользователя, прошедшего проверку подлинности. Учетная запись «Локальная служба» обладает таким же уровнем доступа к ресурсам и объектам, как и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае компрометации отдельных служб или процессов. Службы, запущенные с учетной записью «Локальная служба», получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных.

Использование учетной записи «Сетевая служба»

«Сетевая служба» — особая встроенная учетная запись, подобная учетной записи пользователя, прошедшего проверку подлинности. Учетная запись «Сетевая служба» обладает таким же уровнем доступа к ресурсам и объектам, что и члены группы «Пользователи». Службы, запущенные с учетной записью «Сетевая служба», получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера.

Важно!
Корпорация Майкрософт не рекомендует использовать учетную запись «Сетевая служба» для служб SQL Server и агента SQL Server. Для этих SQL-служб больше подходят учетные записи «Локальный пользователь» или «Пользователь домена».

Использование учетной записи «Локальная система»

«Локальная система» — учетная запись с широкими правами доступа; следует соблюдать осторожность при назначении разрешений учетной записи «Локальная система» учетным записям служб SQL Server.

Примечание безопасности.
Для повышения безопасности установленной копии SQL Server службы SQL Server следует запускать под локальной учетной записью Windows с минимально возможными правами доступа.

Изменение учетных записей пользователей

Чтобы изменить пароль или другие свойства службы, связанной с SQL Server, используйте диспетчер конфигурации SQL Server. При изменении пароля входа в Windows не забудьте также обновить параметры служб SQL Server в Windows. Если включена служба Kerberos, не забудьте обновить свойство каталога Service Principal Name (SPN) для службы Active Directory.

Дополнительные сведения см. в разделе Изменение паролей и учетных записей пользователей. Сведения об использовании надстроек служб для изменения учетных записей служб SQL Server см. в разделе Как изменить учетные записи служб SQL Server и агента SQL Server, не используя программу SQL Enterprise Manager в SQL Server 2000 или диспетчер конфигурации SQL Server в SQL Server 2005.

Идентификация зависимых и не зависимых от экземпляра служб

Некоторые из служб SQL Server привязаны к экземпляру, в то время как другие не привязаны. Каждая служба, привязанная к экземпляру, соответствует конкретному экземпляру SQL Server, и ей назначается отдельный куст реестра. Можно установить несколько копий служб, привязанных к экземпляру, запуская программу установки SQL Server для каждого компонента или службы. Службы, не привязанные к экземпляру, совместно используются всеми установленными экземплярами SQL Server; они не связаны с конкретным экземпляром, устанавливаются только один раз и не могут быть установлены параллельно.

В службы, привязанные к экземпляру, в Microsoft SQL Server 2005 входят следующие:

• SQL Server
• Агент SQL Server.
• службы Analysis Services
• службы Reporting Services
• компонент Full-Text Search

В службы, не привязанные к экземпляру, в SQL Server 2005 входят следующие:

• службы Notification Services
• Integration Services
• обозреватель SQL Server;
• модуль поддержки Active Directory в SQL Server;
• модуль записи SQL.

Обзор прав доступа и привилегий, предоставляемых в Windows NT учетным записям служб SQL Server

Программа установки SQL Server создает группы пользователей для различных служб SQL Server и добавляет в них соответствующие учетные записи служб. Эти группы упрощают предоставление разрешений, необходимых для запуска служб SQL Server и других исполняемых файлов, и позволяют обеспечивать защиту файлов SQL Server. Обратите внимание, что уникальные имена групп файлов обязательны при установке SQL Server 2005 на контроллере домена.

Группам пользователей, созданным программой установки SQL Server, предоставляются следующие права доступа Windows NT.

Служба SQL Server	Группа пользователей	Разрешения, предоставляемые по умолчанию программой установки SQL Server
SQL Server	Экземпляр по умолчанию: SQLServer2005MSSQLUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSSQLUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight) Работа в качестве части операционной системы (SeTcbPrivilege) (только в Windows 2000) Вход в систему в качестве пакетного задания (SeBatchLogonRight) Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Разрешение на запуск модуля поддержки Active Directory в службах SQL Server Разрешение на запуск службы SQL Writer
Агент SQL Server	Экземпляр по умолчанию: SQLServer2005SQLAgentUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005SQLAgentUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight) Работа в качестве части операционной системы (SeTcbPrivilege) (только в Windows 2000) Вход в систему в качестве пакетного задания (SeBatchLogonRight) Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)
Службы Analysis Services	Экземпляр по умолчанию: SQLServer2005MSOLAPUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSOLAPUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight)
Службы Reporting Services1	Экземпляр по умолчанию: SQLServer2005ReportServerUser$ИмяКомпьютера$MSSQLSERVER и SQLServer2005ReportingServicesWebServiceUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005ReportServerUser$ИмяКомпьютера$ИмяЭкземпляра и SQLServer2005ReportingServicesWebServiceUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight)
Службы Notification Services2	Именованный или установленный по умолчанию экземпляр: SQLServer2005NotificationServicesUser$ИмяКомпьютера	Н/Д
Integration Services	Именованный или установленный по умолчанию экземпляр: SQLServer2005DTSUser$ИмяКомпьютера	Вход в систему в качестве службы (SeServiceLogonRight) Разрешение на запись в журнал событий приложения Обход проходной проверки (SeChangeNotifyPrivilege) Создание глобальных объектов (SeCreateGlobalPrivilege) Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)
Компонент Full-Text Search	Экземпляр по умолчанию: SQLServer2005MSFTEUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSFTEUser$ИмяКомпьютера$ИмяЭкземпляра	Вход в систему в качестве службы (SeServiceLogonRight)
Обозреватель SQL Server	Именованный или установленный по умолчанию экземпляр: SQLServer2005SQLBrowserUser$ИмяКомпьютера	Вход в систему в качестве службы (SeServiceLogonRight)
Модуль поддержки Active Directory в службах SQL Server	Именованный или установленный по умолчанию экземпляр: SQLServer2005MSSQLServerADHelperUser$ИмяКомпьютера	Нет3
Модуль записи SQL	Н/Д	Нет3

1Для служб Reporting Services программа установки SQL Server должна также создать группы пользователей SQLServer2005ReportingServicesWebServiceUser$ИмяЭкземпляра и SQLServer2005ASP.NETUser и предоставить для них списки управления доступом (ACL). Дополнительные сведения см. в разделе ниже о списках управления доступом.

22Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.

3 Программа установки SQL Server не проверяет и не предоставляет разрешения для данной службы.

Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server

Учетные записи служб SQL Server 2005 должны иметь доступ к ресурсам. Списки управления доступом (ACL) устанавливаются на уровне группы пользователей. В следующей таблице перечислены списки ACL, создаваемые программой установки SQL Server.

Важно!
При конфигурации с отказоустойчивым кластером нельзя включать ресурсы на общих дисках ни в один список ACL в локальной группе пользователей. Вместо этого такие ресурсы можно включить в список ACL для локальной учетной записи.

Учетная запись службы	Файлы и папки	Доступ
MSSQLServer	Instid\MSSQL\backup	Полный доступ
	Instid\MSSQL\binn	Чтение и выполнение
	Instid\MSSQL\data	Полный доступ
	Instid\MSSQL\FTData	Полный доступ
	Instid\MSSQL\Install	Чтение и выполнение
	Instid\MSSQL\Log	Полный доступ
	Instid\MSSQL\Repldata	Полный доступ
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
	90\com	Чтение и выполнение
	Instid\MSSQL\Template Data (только для выпуска SQL Server Express)	Чтение
SQLServerAgent	Instid\MSSQL\binn	Полный доступ
	Instid\MSSQL\Log	Полный доступ
	Instid\MSSQL\jobs	Полный доступ
	90\com	Чтение и выполнение
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
FTS	Instid\MSSQL\FTData	Полный доступ
	Instid\MSSQL\FTRef	Чтение и выполнение
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
	Instid\MSSQL\Install	Чтение и выполнение
MSSQLServerOLAPservice	90\shared	Чтение и выполнение
	90\shared\msmdlocal.ini	Полный доступ
	Instid\OLAP	Чтение и выполнение
	Instid\Olap\Data	Полный доступ
	Instid\Olap\Log	Чтение и запись
	90\shared\Errordumps	Чтение и запись
SQLServer2005ReportServerUser	Instid\Reporting Services\Log Files	Чтение, запись и удаление
	Instid\Reporting Services\ReportServer	Чтение и выполнение
	Instid\Reportingservices\Reportserver\global.asax	Полный доступ
	Instid\Reportingservices\Reportserver\Reportserver.config	Чтение и запись
	Instid\Reporting Services\reportManager	Чтение и выполнение
	Instid\Reporting Services\RSTempfiles	Чтение и запись
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
SQLServer2005ReportingServicesWebServiceUser	Instid\Reporting Services\Log Files	Чтение, запись и удаление
	Instid\Reporting Services\ReportServer	Чтение и выполнение
	Instid\Reportingservices\Reportserver\global.asax	Полный доступ
	InstID\Reporting Services\reportservice.asmx	Полный доступ
	Instid\Reportingservices\Reportserver\Reportserver.config	Чтение, запись и удаление
	Instid\Reporting Services\reportManager	Чтение и выполнение
	Instid\Reporting Services\RSTempfiles	Чтение и запись
	Instid\Reporting Services\reportManager\pages	Чтение
	Instid\Reporting Services\reportManager\Styles	Чтение
	Instid\Reporting Services\reportManager\webctrl_client\1_0	Чтение
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
Службы Notification Services	90\Notification services	Чтение и выполнение, список содержимого папки
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
MSDTSServer	90\dts\binn\MsDtsSrvr.ini.xml	Чтение
	90\dts\binn	Чтение и выполнение
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
Обозреватель SQL Server	90\shared\msmdlocal.ini	Чтение
	90\shared	Чтение и выполнение
	90\shared\Errordumps	Чтение и запись
MSADHekper	N/A (Запускается в качестве встроенных учетных записей)
SQLWriter	N/A (Запускается с учетной записью Local System)
Пользователь	Instid\MSSQL\binn	Чтение и выполнение
	Instid\Reporting Services\ReportServer	Чтение и выполнение
	Instid\Reportingservices\Reportserver\global.asax	Чтение
	InstID\Reporting Services\reportservice.asmx	Чтение и выполнение
	Instid\Reporting Services\reportManager	Чтение и выполнение
	Instid\Reporting Services\reportManager\pages	Чтение
	Instid\Reporting Services\reportManager\Styles	Чтение
	90\dts	Чтение и выполнение
	90\tools	Чтение и выполнение
	80\tools	Чтение и выполнение
	90\sdk	Чтение
	Microsoft SQL Server\90\Setup Bootstrap	Чтение и выполнение

Кроме стартовых учетных записей служб SQL Server могут потребоваться разрешения на доступ для встроенных учетных записей или других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки ACL, создаваемые программой установки SQL Server.

Запрашивающий компонент	Учетная запись	Ресурс	Разрешения
MSSQLServer	Пользователи журнала производительности	Instid\MSSQL\binn	Просмотр содержимого папки
	Пользователи системного монитора	Instid\MSSQL\binn	Просмотр содержимого папки
	Пользователи журнала производительности	Instid\MSSQL\binn\sqlctr90.dll	Чтение и выполнение
	Пользователи системного монитора	Instid\MSSQL\binn\sqlctr90.dll	Чтение и выполнение
	Только администратор	\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Полный доступ
	Администраторы	\tools\binn\schemas\sqlserver\2003\03\showplan	Полный доступ
	Система	\tools\binn\schemas\sqlserver\2003\03\showplan	Полный доступ
	Пользователи	\tools\binn\schemas\sqlserver\2003\03\showplan	Чтение и выполнение
Службы Reporting Services	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Идентификатор пула приложений диспетчера отчетов	<каталог установки>\Reporting Services\ReportManager	Чтение
	Учетная запись ASP.NET	<каталог установки>\Reporting Services\ReportManager	Чтение
	Все	<каталог установки>\Reporting Services\ReportManager	Чтение
	Идентификатор пула приложений диспетчера отчетов	<каталог_установки>\Reporting Services\ReportManager\Pages\*.*	Чтение
	Учетная запись ASP.NET	<каталог_установки>\Reporting Services\ReportManager\Pages\*.*	Чтение
	Все	<каталог_установки>\Reporting Services\ReportManager\Pages\*.*	Чтение
	Идентификатор пула приложений диспетчера отчетов	<каталог_установки>\Reporting Services\ReportManager\Styles\*.*	Чтение
	Учетная запись ASP.NET	<каталог_установки>\Reporting Services\ReportManager\Styles\*.*	Чтение
	Все	<каталог_установки>\Reporting Services\ReportManager\Styles\*.*	Чтение
	Идентификатор пула приложений диспетчера отчетов	<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Чтение
	Учетная запись ASP.NET	<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Чтение
	Все	<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Чтение
	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\ReportServer	Чтение
	<Учетная запись веб-службы сервера отчетов>	<каталог установки>\Reporting Services\ReportServer\global.asax	Полные
	Все	<каталог установки>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Сетевая служба	<каталог установки>\Reporting Services\ReportServer\ReportService.asmx	Полные
	Все	<каталог установки>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Учетная запись службы Windows для сервера отчетов	<каталог установки>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Все	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Перечисление подразделов Уведомление Управление чтением
	Пользователь служб терминала	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением
	Опытные пользователи	Разделы реестра сервера отчетов (куст Instid)	Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением

1Это пространство имен поставщика инструментария WMI.

Обзор разрешений Windows для служб SQL Server

В следующей таблице перечислены имена служб, термины, используемые для установленных по умолчанию и именованных экземпляров служб SQL Server, описания функций служб, а также минимальные требуемые разрешения.

Отображаемое имя

Имя службы

Описание

Требуемые разрешения

SQL Server (ИмяЭкземпляра)

Экземпляр по умолчанию: MSSQLSERVER

Именованный экземпляр: MSSQL$ИмяЭкземпляра

SQL Server Database Engine.

Путь к исполняемому файлу — \MSSQL\Binn\sqlservr.exe.

Рекомендуется локальный пользователь.

Минимальные разрешения

Функциональность

Учетная запись для запуска службы MSSQLServer

Эта учетная запись должна быть включена в список учетных записей, имеющих разрешения «Список содержимого папки» для корневой папки диска, где установлен SQL Server, а также корневой папки любого другого диска, где хранятся файлы SQL Server.

Примечание.

Разрешения «Список содержимого папки» для корневой папки диска не обязательно должны наследоваться вложенными папками.

Учетная запись для запуска службы MSSQLServerУчетная запись должна иметь разрешения «Полный доступ» для любых папок, где хранятся файлы данных или журналов (MDF, NDF, LDF).

Агент SQL Server (ИмяЭкземпляра)

Экземпляр по умолчанию: SQLServerAgent

Именованный экземпляр: SQLAgent$ИмяЭкземпляра

Служит для выполнения заданий, контроля за SQL Server, предупреждения о нештатных ситуациях, а также позволяет автоматизировать некоторые задачи по администрированию.

Путь к исполняемому файлу — \MSSQL\Binn\sqlagent90.exe.

Минимальные разрешения

Функциональность

Учетная запись должна быть членом фиксированной серверной роли sysadmin

Учетная запись должна иметь следующие разрешения Windows1Вход в систему в качестве службы. Вход в систему в качестве пакетного задания. Замена маркера уровня процесса. Назначение квот памяти процессам. Работа в качестве части операционной системы. Обход проходной проверки.

Службы Analysis Services (ИмяЭкземпляра)

Экземпляр по умолчанию: MSSQLServerOLAPService

Именованный экземпляр: MSOLAP$ИмяЭкземпляра

Служба, обеспечивающая интерактивную аналитическую обработку (OLAP) и интеллектуальный анализ данных для приложений бизнес-аналитики.

Путь к исполняемому файлу — \OLAP\Bin\msmdsrv.exe.

Сервер отчетов

Экземпляр по умолчанию: ReportServer

Именованный экземпляр: ReportServer$ИмяЭкземпляра

Служит для управления, выполнения, подготовки, ведения расписания и доставки отчетов.

Путь к исполняемому файлу — «\Reporting Services\ReportServer\Bin\ReportingServicesService.exe».

Notification Services

Службы Notification Services представляют собой платформу для разработки и развертывания приложений, формирующих и отправляющих уведомления. Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.

Integration Services

Именованный или установленный по умолчанию экземпляр: MSDTSServer

Обеспечивает поддержку управления хранением и выполнением пакетов службы Integration Services.

Путь к исполняемому файлу — \DTS\Binn\msdtssrvr.exe.

Обозреватель SQL Server

Именованный или установленный по умолчанию экземпляр: SQLBrowser

Служба разрешения имен, поставляющая сведения о соединениях SQL Server для клиентских компьютеров. Эта служба совместно используется множеством экземпляров SQL Server и служб SSIS.

Путь к исполняемому файлу — \90\shared\sqlbrowser.exe.

Компонент Microsoft FullText Search (MSFTESQL)

Экземпляр по умолчанию: MSFTESQL

Именованный экземпляр: MSFTESQL$ИмяЭкземпляра

Позволяет быстро создавать полнотекстовые индексы содержимого и свойств структурированных и частично структурированных данных для обеспечения быстрого лингвистического поиска в этих данных.

Путь к исполняемому файлу — \MSSQL\Binn\msftesql.exe.

Модуль поддержки Active Directory в службах SQL Server

Именованный или установленный по умолчанию экземпляр: MSSQLServerADHelper.

Осуществляет публикацию служб SQL Server и управление ими в службе каталогов Windows Active Directory.

Путь к исполняемому файлу — \90\Shared\sqladhelper.exe.

SQL Writer

SQLWriter

Служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS). Для всех экземпляров SQL Server на сервере используется один и тот же экземпляр службы SQL Writer.

Путь к исполняемому файлу — \90\Shared\sqlwriter.exe.

1Дополнительные сведения о способах проверки всех требуемых разрешений Windows см. в разделе Как проверить разрешения для служб SQL Server.

Обзор дополнительных вопросов

В следующей таблице перечислены разрешения, требуемые для расширения функциональности служб SQL Server.

Служба или приложение	Функциональность	Требуемые разрешения
SQL Server (MSSQLSERVER)	Запись в почтовый канал с помощью xp_sendmail.	Привилегии на запись по сети.
SQL Server (MSSQLSERVER)	Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server.	Работа в качестве части операционной системы, а также замена маркера уровня процесса.
Агент SQL Server (MSSQLSERVER)	Использование функции автоматического перезапуска.	Должен быть членом локальной группы Администраторы.
Помощник по настройке ядра СУБД	Позволяет настраивать базы данных для оптимальной производительности запросов.	При первом использовании приложение должно быть инициализировано пользователем с правами системного администратора. После инициализации пользователи — владельцы таблиц (пользователи dbo) могут использовать помощник по настройке Database Engine для настройки только тех таблиц, владельцами которых они являются. Дополнительные сведения см. в разделе «Инициализация помощника по настройке ядра СУБД при первом запуске» электронной документации SQL Server 2005.

Важно!
Перед обновлением до SQL Server 2005 включите проверку подлинности Windows для агента SQL Server и убедитесь, что учетная запись службы агента SQL Server находится в группе SQL Server sysadmin.

Локализованные имена служб

В следующей таблице показаны имена служб, используемые в локализованной версии Microsoft Windows.

Язык	Имя локальной службы	Имя сетевой службы	Имя локальной системы	Имя группы администраторов
Английский Китайский (упрощенное письмо) Традиционный китайский Корейский Японский	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Немецкий	NT-AUTORITT\LOKALER DIENST	NT-AUTORITT\NETZWERKDIENST	NT-AUTORITT\SYSTEM	VORDEFINIERT\Administratoren
Французский	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RESEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Итальянский	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Испанский	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Русский	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

См. также

Справочник

Учетная запись службы
Учетные записи служб (кластеры)

Основные понятия

Анализ безопасности при установке SQL Server

Справка и поддержка

Получение помощи по SQL Server 2005

Журнал изменений

Версия	Журнал
12 декабря 2006 г.	Измененное содержимое Добавлены рекомендации по безопасности для учетных записей в параллельных конфигурациях. Обновлены сведения о типе запуска и состоянии по умолчанию модуля записи SQL в SQL Server 2005 с пакетом обновления 2 (SP2).
17 июля 2006 г.	Измененное содержимое Изменен порядок и способ подачи материала с целью сделать раздел более удобочитаемым. Добавлена ссылка на статью базы знаний Microsoft об использовании надстройки служб для изменения учетных записей служб SQL Server и агента SQL Server. Добавлены локализованные имена служб (на русском языке).
5 декабря 2005 г.	Измененное содержимое Из списка учетных записей, которыми может пользоваться агент SQL Server, удалена LocalService. Обновлены группы пользователей, создаваемые программой установки SQL Server.