Настройка учетных записей службы Windows и разрешенийConfigure Windows Service Accounts and Permissions

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server нетБаза данных SQL AzureнетХранилище данных SQL AzureнетParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

Каждая служба в SQL ServerSQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL ServerSQL Server в операционной системе Windows.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. В этом разделе описана конфигурация по умолчанию служб данного выпуска SQL ServerSQL Server, а также параметры конфигурации служб SQL ServerSQL Server , которые можно настроить во время и после установки SQL ServerSQL Server .This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. Этот раздел дает возможность опытным пользователям детальнее ознакомиться с учетными записями служб.This topic helps advanced users understand the details of the service accounts.

Большинство служб и их свойств можно настроить с помощью диспетчера конфигурации SQL ServerSQL Server .Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Ниже приведены расположения последних четырех версий этого диспетчера при установке Windows на диск C.Here are the paths to the last four versions when Windows is installed on the C drive.

SQL Server 2017SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.mscC:\Windows\SysWOW64\SQLServerManager14.msc
SQL ServerSQL Server 20162016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 (12.x)SQL Server 2014 (12.x) C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 (11.x)SQL Server 2012 (11.x) C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

Службы, устанавливаемые с SQL ServerSQL ServerServices Installed by SQL ServerSQL Server

В зависимости от компонентов, которые выбраны для установки, программа установки SQL ServerSQL Server устанавливает следующие службы.Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server Database Services — служба реляционного компонента SQL ServerSQL Server в Компонент Database EngineDatabase Engine.SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Компонент Database EngineDatabase Engine. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • Агент SQL ServerSQL Server — предназначен для выполнения заданий, наблюдения за SQL ServerSQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию.SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. Служба агента SQL ServerSQL Server присутствует, но отключена на экземплярах SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Службы Analysis ServicesAnalysis Services — предоставляют средства аналитической обработки в сети (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики.Службы Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. Путь к исполняемому файлу: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Службы Reporting ServicesReporting Services — предназначены для создания, выполнения, создания, планирования, доставки отчетов и управления ими.Службы Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. Путь к исполняемому файлу: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Службы Integration ServicesIntegration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Службы Integration ServicesIntegration Services .Службы Integration ServicesIntegration Services - Provides management support for Службы Integration ServicesIntegration Services package storage and execution. Путь к исполняемому файлу: <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exeThe executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • Браузер SQL ServerSQL Server — служба разрешения имен, которая предоставляет сведения о соединении с SQL ServerSQL Server клиентским компьютерам.SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. Путь к исполняемому файлу: c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exeThe executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Полнотекстовый поиск — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL ServerSQL Server.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • Контроллер распределенного воспроизведения SQL ServerSQL Server  — обеспечивает согласование воспроизведения трассировки по нескольким клиентским компьютерам распределенного воспроизведения.SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • Клиент распределенного воспроизведения SQL ServerSQL Server  — один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре Компонент SQL Server Database EngineSQL Server Database Engine.SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Компонент SQL Server Database EngineSQL Server Database Engine.

  • Панель запуска SQL ServerSQL Server Launchpad  — доверенная служба, в которой находятся внешние исполняемые файлы, предоставляемые корпорацией Майкрософт, такие как среда выполнения R или Python, установленная как часть служб R Services или служб машинного обучения.Панель запуска SQL ServerSQL Server Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R or Python runtimes installed as part of R Services or Machine Learning Services. Вспомогательные процессы могут запускаться при работе панели запуска, однако они регулируются ресурсами в зависимости от конфигурации отдельного экземпляра.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. Служба панели запуска выполняется с использованием собственной учетной записи, и каждому вспомогательному процессу для конкретной зарегистрированной среды выполнения присваивается учетная запись пользователя панели запуска.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. Вспомогательные процессы создаются и удаляются по запросу во время выполнения.Satellite processes are created and destroyed on demand during execution time.

    Панель запуска не может создавать используемые ею учетные записи, если вы установили SQL Server на компьютере, который используется в качестве контроллера домена.Launchpad cannot create the accounts it uses if you install SQL Server on a computer that is also used as a domain controller. Таким образом, программа установки служб R Services (в базе данных) или служб машинного обучения (в базе данных) завершается сбоем на контроллере домена.Hence, setup of R Services (In-Database) or Machine Learning Services (In-Database) fails on a domain controller.

  • SQL Server PolyBase Engine — позволяет применять распределенные запросы к внешним источникам данных.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

  • Служба перемещения данных SQL Server PolyBase — позволяет перемешать данные между SQL Server и внешними источниками данных, а также между узлами SQL в группах горизонтального масштабирования PolyBase.SQL Server PolyBase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

Свойства и настройка службService Properties and Configuration

В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL ServerSQL Server , могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записиили встроенные системные учетные записи.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Для запуска и выполнения каждая служба SQL ServerSQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL ServerSQL Server, значения, используемые при установке SQL ServerSQL Server по умолчанию, понятие удостоверений безопасности служб, параметры запуска и настройка брандмауэра.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID's, the startup options, and configuring the firewall.

Учетные записи служб по умолчаниюDefault Service Accounts

В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов.The following table lists the default service accounts used by setup when installing all components. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.The default accounts listed are the recommended accounts, except as noted.

Изолированный сервер или контроллер доменаStand-alone Server or Domain Controller

КомпонентComponent Windows Server 2008Windows Server 2008 Windows 7 и Windows Server 2008Windows Server 2008 R2 и вышеWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Компонент Database EngineDatabase Engine СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
АгентSQL ServerSQL ServerSQL ServerSQL Server Agent СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
Службы SSASSSAS СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись* **Virtual Account* **
Службы SSISSSIS СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
Службы SSRSSSRS СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
Контроллер распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Controller СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
Клиент распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Client СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная запись*Virtual Account*
Средство запуска FD (полнотекстовый поиск)FD Launcher (Full-text Search) ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE Виртуальная учетная записьVirtual Account
БраузерSQL ServerSQL ServerSQL ServerSQL Server Browser ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE
службы синхронизации контроля версийSQL ServerSQL Server ;SQL ServerSQL Server VSS Writer ЛОКАЛЬНАЯ СИСТЕМАLOCAL SYSTEM ЛОКАЛЬНАЯ СИСТЕМАLOCAL SYSTEM
Расширения углубленной аналитикиAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
Ядро PolyBasePolyBase Engine СЕТЕВАЯ СЛУЖБАNETWORK SERVICE СЕТЕВАЯ СЛУЖБАNETWORK SERVICE
Служба перемещения данных PolyBasePolyBase Data Movement Service СЕТЕВАЯ СЛУЖБАNETWORK SERVICE СЕТЕВАЯ СЛУЖБАNETWORK SERVICE

* Если требуются ресурсы за пределами компьютера SQL ServerSQL Server, MicrosoftMicrosoft рекомендует использовать управляемую учетную запись службы (MSA), которой предоставлены следующие необходимые разрешения.*When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.
** При установке на контроллере домена виртуальная учетная запись не поддерживается как учетная запись службы.** When installed on a Domain Controller, a virtual account as the service account is not supported.

Экземпляр отказоустойчивого кластера SQL ServerSQL Server Failover Cluster Instance

КомпонентComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2R2
Компонент Database EngineDatabase Engine Нет.None. Укажите учетную запись пользователя домена .Provide a domain user account. Укажите учетную запись пользователя домена .Provide a domain user account.
АгентSQL ServerSQL ServerSQL ServerSQL Server Agent Нет.None. Укажите учетную запись пользователя домена .Provide a domain user account. Укажите учетную запись пользователя домена .Provide a domain user account.
Службы SSASSSAS Нет.None. Укажите учетную запись пользователя домена .Provide a domain user account. Укажите учетную запись пользователя домена .Provide a domain user account.
Службы SSISSSIS СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная записьVirtual Account
Службы SSRSSSRS СЕТЕВАЯ СЛУЖБАNETWORK SERVICE Виртуальная учетная записьVirtual Account
Средство запуска FD (полнотекстовый поиск)FD Launcher (Full-text Search) ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE Виртуальная учетная записьVirtual Account
БраузерSQL ServerSQL ServerSQL ServerSQL Server Browser ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE ЛОКАЛЬНАЯ СЛУЖБАLOCAL SERVICE
службы синхронизации контроля версийSQL ServerSQL Server ;SQL ServerSQL Server VSS Writer ЛОКАЛЬНАЯ СИСТЕМАLOCAL SYSTEM ЛОКАЛЬНАЯ СИСТЕМАLOCAL SYSTEM

Изменение свойств учетной записиChanging Account Properties

Важно!

  • Всегда используйте такие средства SQL ServerSQL Server , как диспетчер конфигурации SQL ServerSQL Server , для изменения учетной записи, используемой службами Компонент SQL Server Database EngineSQL Server Database Engine или агентом SQL ServerSQL Server , либо для изменения пароля учетной записи.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the Компонент SQL Server Database EngineSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. В дополнение к изменению имени учетной записи диспетчер конфигурации SQL ServerSQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для компонента Компонент Database EngineDatabase Engine.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Компонент Database EngineDatabase Engine. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
  • Для экземпляров служб Службы Analysis ServicesAnalysis Services , развертываемых на ферме SharePoint, изменение учетных записей сервера для приложений Служба Power PivotPower Pivot service и Службы Analysis ServicesAnalysis Services serviceследует всегда выполнять с помощью центра администрирования SharePoint.For Службы Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Служба Power PivotPower Pivot service applications and the Службы Analysis ServicesAnalysis Services service. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.Associated settings and permissions are updated to use the new account information when you use Central Administration.
  • Чтобы изменить параметры служб Службы Reporting ServicesReporting Services , используйте средство настройки служб Reporting Services.To change Службы Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записиManaged Service Accounts, Group Managed Service Accounts, and Virtual Accounts

Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL ServerSQL Server , с изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service AccountsManaged Service Accounts

    Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Она назначается отдельному компьютеру-участнику для использования при запуске службы.It is assigned to a single member computer for use running a service. Управление паролем осуществляет автоматически контроллер домена.The password is managed automatically by the domain controller. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. MSA имеет возможность зарегистрировать имя участника-службы (SPN) в Active Directory при наличии разрешений на чтение и запись servicePrincipalName.An MSA has the ability to register a Service Principal Name (SPN) within Active Directory when given read and write servicePrincipalName permissions. MSA присваивается имя с суффиксом $ , например DOMAIN\ACCOUNTNAME$ .A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. При указании MSA следует оставить поле пароля пустым.When specifying a MSA, leave the password blank. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Примечание

    Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL ServerSQL Server для служб SQL ServerSQL Server .The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Групповые управляемые учетные записи службGroup Managed Service Accounts

    Групповая управляемая учетная запись службы — это управляемая учетная запись службы для нескольких серверов.A Group Managed Service Account is an MSA for multiple servers. Windows управляет такой учетной записью для служб, работающих на группе серверов.Windows manages a service account for services running on a group of servers. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы.Active Directory automatically updates the group managed service account password without restarting services. Службы SQL Server можно настроить на использование основного экземпляра групповой управляемой учетной записи службы.You can configure SQL Server services to use a group managed service account principal. Начиная с версии SQL Server 2014, решение поддерживает групповые управляемые учетные записи службы для изолированных экземпляров, а с версии SQL Server 2016 — для экземпляров отказоустойчивого кластера и для групп доступности.Beginning with SQL Server 2014, SQL Server supports group managed service accounts for standalone instances, and SQL Server 2016 and later for failover cluster instances, and availability groups.

    Для работы с групповыми управляемыми учетными записями служб в SQL Server 2014 и более поздних версий требуется операционная система Windows Server 2012 R2 или более поздней версии.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Серверам с Windows Server 2012 R2 должно быть выделено 2998082 КБ , чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Дополнительные сведения см. в разделе Групповые управляемые учетные записи службFor more information, see Group Managed Service Accounts

    Примечание

    Прежде чем программа установки SQL ServerSQL Server сможет использовать групповую управляемую учетную запись службы для служб SQL ServerSQL Server , администратор домена должен создать такую учетную запись в Active Directory.The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Если установка SQL ServerSQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате NT SERVICE\ <ИМЯ_СЛУЖБЫ> .If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Службы, запускаемые от имени виртуальных учетных записей, получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена> \ <имя_компьютера> $ .Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. При указании виртуальной учетной записи для запуска SQL ServerSQL Server оставьте поле пароля пустым.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos.For more information on registering a SPN manually, see Manual SPN Registration.

    Примечание

    Виртуальные учетные записи не могут использоваться для экземпляра отказоустойчивого кластера SQL ServerSQL Server , так как у виртуальной учетной записи будет отличаться идентификатор безопасности на каждом узле кластера.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    В следующей таблице перечислены примеры имен виртуальных учетных записей.The following table lists examples of virtual account names.

    СлужбаService Имя виртуальной учетной записиVirtual Account Name
    Экземпляр по умолчанию службы компонента Компонент Database EngineDatabase EngineDefault instance of the Компонент Database EngineDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    Именованный экземпляр службы компонента Компонент Database EngineDatabase Engine с именем PAYROLLNamed instance of a Компонент Database EngineDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    Служба агентаSQL ServerSQL Server на экземпляре SQL ServerSQL Serverпо умолчаниюSQL ServerSQL Server Agent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server на экземпляре SQL ServerSQL Server с именем PAYROLLAgent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записей Пошагового руководства по учетным записям служб , а также в документе Вопросы и ответы по управляемым учетным записям служб.For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

Примечание по безопасности. Всегда запускайте службы SQL Server с наименьшими пользовательскими правами.Always run SQL Server services by using the lowest possible user rights. По возможности используйте управляемую учетную запись службы или виртуальную учетную запись.Security Note: Всегда запускайте службы SQL Server с наименьшими пользовательскими правами.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. Если использование управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL ServerSQL Server .When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. Используйте отдельные учетные записи для разных служб SQL ServerSQL Server .Use separate accounts for different SQL ServerSQL Server services. Не предоставляйте дополнительные разрешения учетной записи службы SQL ServerSQL Server или группам службы.Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Автоматический запускAutomatic startup

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.In addition to having user accounts, every service has three possible startup states that users can control:

  • Отключено . Служба установлена, но в данный момент не запущена.Disabled The service is installed but not currently running.

  • Вручную . Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.Manual The service is installed, but will start only when another service or application needs its functionality.

  • Автоматически . Служба автоматически запускается операционной системой.Automatic The service is automatically started by the operating system.

Тип запуска выбирается во время установки.The startup state is selected during setup. При установке именованного экземпляра службу браузера SQL ServerSQL Server следует настроить на автоматический запуск.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Настройка служб во время автоматической установкиConfiguring services during unattended installation

В таблице ниже приведены службы SQL ServerSQL Server , которые могут быть настроены в ходе установки.The following table shows the SQL ServerSQL Server services that can be configured during installation. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Имя службы SQL ServerSQL Server service name Параметры для автоматической установки*Switches for unattended installations*
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent**SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Службы Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
Контроллер распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
Клиент распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services или службы машинного обучения (Майкрософт)R Services or Machine Learning Services EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***
Ядро PolyBasePolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

* Дополнительные сведения и примеры синтаксиса для автоматической установки см. в руководстве по установке SQL Server 2016 из командной строки.*For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

* *Служба агента SQL ServerSQL Server отключена на экземплярах SQL Server ExpressSQL Server Express и SQL Server ExpressSQL Server Express с дополнительными службами.**The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

*** Настройка учетной записи для панели запуска с помощью одних только параметров сейчас не поддерживается.***Setting the account for Launchpad through the switches alone is not currently supported. Используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись и другие параметры службы.Use SQL Server Configuration Manager to change the account and other service settings.

Порт брандмауэраFirewall Port

Обычно при начальной установке компонента Компонент Database EngineDatabase Engine к нему можно подключаться с помощью таких средств, как среда SQL Server Management StudioSQL Server Management Studio , установленных на том же компьютере, что и SQL ServerSQL Server.In most cases, when initially installed, the Компонент Database EngineDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. Программа установкиSQL ServerSQL Server не открывает порты брандмауэра Windows.SQL ServerSQL Server Setup does not open ports in the Windows firewall. Соединение с другими компьютерами может оказаться невозможным, пока компонент Компонент Database EngineDatabase Engine будет настроен для прослушивания TCP-порта, закрытого для соединений в брандмауэре Windows.Connections from other computers may not be possible until the Компонент Database EngineDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Разрешения службыService Permissions

В этом разделе описаны разрешения, которые настраивает программа установки SQL ServerSQL Server для удостоверений безопасности служб SQL ServerSQL Server.This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID's of the SQL ServerSQL Server services.

Настройка служб и управление доступомService Configuration and Access Control

SQL Server 2017SQL Server 2017 позволяет обеспечить изоляцию и всестороннюю защиту идентификатора безопасности каждой службы.enables per-service SID for each of its services to provide service isolation and defense in depth. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы.The per-service SID is derived from the service name and is unique to that service. Например, именем идентификатора безопасности службы для службы Компонент Database EngineDatabase Engine может быть NT Service\MSSQL$ <InstanceName> .For example, a service SID name for the Компонент Database EngineDatabase Engine service might be NT Service\MSSQL$<InstanceName>. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Используя запись управления доступом, содержащую удостоверение безопасности службы, служба SQL ServerSQL Server может ограничить доступ к своим ресурсам.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Примечание

В Windows 7 и Windows Server 2008Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Для большинства компонентов SQL ServerSQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

При установке служб Службы SSASSSASсоздается удостоверение безопасности для службы Службы Analysis ServicesAnalysis Services .When installing Службы SSASSSAS, a per-service SID for the Службы Analysis ServicesAnalysis Services service is created. Создается локальная группа Windows с именем в формате SQLServerMSASUser$ имя_компьютера $ _имя_экземпляра*.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$_instance_name*. Удостоверению безопасности службы NT SERVICE\MSSQLServerOLAPService предоставляется членство в локальной группе Windows, а локальной группе Windows — соответствующие разрешения в списке управления доступом.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. В случае изменения учетной записи, используемой для запуска службы Службы Analysis ServicesAnalysis Services , диспетчер конфигурации SQL ServerSQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как удостоверение безопасности службы не было изменено.If the account used to start the Службы Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Этот метод позволяет переименовывать службу Службы Analysis ServicesAnalysis Services во время обновлений.This method allows the Службы Analysis ServicesAnalysis Services service to be renamed during upgrades.

Во время установки SQL ServerSQL Server программа установки SQL ServerSQL Server создает локальные группы Windows для службы Службы SSASSSAS и службы браузера SQL ServerSQL Server .During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for Службы SSASSSAS and the SQL ServerSQL Server Browser service. Для этих служб SQL ServerSQL Server настраивает список управления доступом к локальным группам Windows.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Права доступа и права WindowsWindows Privileges and Rights

Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы.The account assigned to start a service needs the Start, stop and pause permission for the service. Они автоматически назначаются программой установки SQL ServerSQL Server .The SQL ServerSQL Server Setup program automatically assigns this. Сначала установите средства администрирования удаленного сервера (RSAT).First install Remote Server Administration Tools (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 7.See Remote Server Administration Tools for Windows 7.

В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL ServerSQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL ServerSQL Server .The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

СлужбаSQL ServerSQL ServerSQL ServerSQL Server Service Разрешения, предоставляемые программой установки SQL ServerSQL ServerPermissions granted by SQL ServerSQL Server Setup
Компонент SQL Server Database EngineSQL Server Database Engine:Компонент SQL Server Database EngineSQL Server Database Engine:

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Экземпляр по умолчанию: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Именованный экземпляр: NT SERVICE\MSSQL$ имя_экземпляра.)Named instance: NT SERVICE\MSSQL$ InstanceName.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Разрешение на запуск модуля записи SQL WriterPermission to start SQL Writer

Разрешение на чтение службы журнала событийPermission to read the Event Log service

Разрешение на чтение службы удаленного вызова процедур (RPC)Permission to read the Remote Procedure Call service
SQL ServerSQL Server : *SQL ServerSQL Server Agent: *

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Экземпляр по умолчанию: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$ имя_экземпляра .)Named instance: NT Service\SQLAGENT$InstanceName.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Службы SSASSSAS:Службы SSASSSAS:

(Все права предоставляются локальной группе Windows.(All rights are granted to a local Windows group. Экземпляр по умолчанию: SQLServerMSASUser$ имя_компьютера $MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Именованный экземпляр: SQLServerMSASUser$ имя_компьютера $ имя_экземпляра .Named instance: SQLServerMSASUser$ComputerName$InstanceName. Экземпляр Power Pivot для SharePointPower Pivot for SharePoint: SQLServerMSASUser$ имя_компьютера $ PowerPivot .)Power Pivot для SharePointPower Pivot for SharePoint instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Только для табличного режима:For tabular only:

Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам.Lock pages in memory (SeLockMemoryPrivilege) - this is needed only when paging is turned off entirely.

Только для установок отказоустойчивого кластера:For failover cluster installations only:

Увеличение приоритета планирования (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
Службы SSRSSSRS:Службы SSRSSSRS:

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Экземпляр по умолчанию: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Именованный экземпляр: NT SERVICE\ReportServer$ имя_экземпляра .)Named instance: NT SERVICE\ReportServer$InstanceName.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Службы SSISSSIS:Службы SSISSSIS:

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Экземпляр по умолчанию и именованный экземпляр: NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. У службСлужбы Integration ServicesIntegration Services нет отдельного процесса для именованного экземпляра.)Службы Integration ServicesIntegration Services does not have a separate process for a named instance.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Разрешение на запись в журнал событий приложенийPermission to write to application event log.

Обход проходной проверки (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Полнотекстовый поиск:Full-text search:

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Экземпляр по умолчанию: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Именованный экземпляр: NT Service\ MSSQLFDLauncher$ имя_экземпляра .)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server :SQL ServerSQL Server Browser:

(Все права предоставляются локальной группе Windows.(All rights are granted to a local Windows group. Именованный экземпляр или экземпляр по умолчанию: SQLServer2005SQLBrowserUser $имя_компьютера .Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. В браузереSQL ServerSQL Server нет отдельного процесса для именованного экземпляра.)SQL ServerSQL Server Browser does not have a separate process for a named instance.)
Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server :SQL ServerSQL Server VSS Writer:

(Все права предоставляются удостоверению безопасности службы.(All rights are granted to the per-service SID. Именованный экземпляр или экземпляр по умолчанию: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. Модуль записи VSSSQL ServerSQL Server не имеет отдельного процесса для именованного экземпляра.)SQL ServerSQL Server VSS Writer does not have a separate process for a named instance.)
Служба SQLWriter запускается под учетной записью LOCAL SYSTEM, которая имеет все необходимые разрешения.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. Программа установкиSQL ServerSQL Server не проверяет и не предоставляет разрешения для данной службы.SQL ServerSQL Server setup does not check or grant permissions for this service.
SQL ServerSQL Server :SQL ServerSQL Server Distributed Replay Controller: Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server :SQL ServerSQL Server Distributed Replay Client: Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Ядро PolyBase и DMSPolyBase Engine and DMS Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Панель запуска:Launchpad: Вход в систему в качестве службы (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R Services или службы машинного обучения (Майкрософт): SQLRUserGroup (SQL 2016 и 2017)R Services/Machine Learning Services: SQLRUserGroup (SQL 2016 and 2017) Не имеют разрешения Локальный вход в систему по умолчанию.Does not have the Allow Log on locally permission by default
Службы машинного обучения: все пакеты приложений [AppContainer] (SQL 2019)Machine Learning Services 'All Application Packages' [AppContainer] (SQL 2019) Разрешения READ и EXECUTE для каталогов Binn, R_Services и PYTHON_Services SQL ServerRead and execute permissions to the SQL Server 'Binn', R_Services, and PYTHON_Services directories

* Служба агента SQL ServerSQL Server отключена на экземплярах SQL Server ExpressSQL Server Express.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам WindowsFile System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

Учетные записи службSQL ServerSQL Server должны иметь доступ к ресурсам.SQL ServerSQL Server service accounts must have access to resources. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.Access control lists are set for the per-service SID or the local Windows group.

Важно!

В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL ServerSQL Server .The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Учетная запись службы дляService account for Файлы и папкиFiles and folders ДоступAccess
MSSQLServerMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup Полный доступFull control
Instid\MSSQL\binnInstid\MSSQL\binn Чтение и выполнениеRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data Полный доступFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData Полный доступFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Чтение и выполнениеRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log Полный доступFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata Полный доступFull control
130\shared130\shared Чтение и выполнениеRead, Execute
Instid\MSSQL\Template Data (толькоSQL Server ExpressSQL Server Express )Instid\MSSQL\Template Data (SQL Server ExpressSQL Server Express only) ЧтениеRead
SQLServerAgent*SQLServerAgent* Instid\MSSQL\binnInstid\MSSQL\binn Полный доступFull control
Instid\MSSQL\binnInstid\MSSQL\binn Полный доступFull control
Instid\MSSQL\LogInstid\MSSQL\Log Чтение, запись, удаление и выполнениеRead, Write, Delete, Execute
130\com130\com Чтение и выполнениеRead, Execute
130\shared130\shared Чтение и выполнениеRead, Execute
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
ServerName\EventLogServerName\EventLog Полный доступFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData Полный доступFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Чтение и выполнениеRead, Execute
130\shared130\shared Чтение и выполнениеRead, Execute
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Чтение и выполнениеRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Чтение и записьRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig Полный доступFull control
Instid\OLAPInstid\OLAP Чтение и выполнениеRead, Execute
Instid\Olap\DataInstid\Olap\Data Полный доступFull control
Instid\Olap\LogInstid\Olap\Log Чтение и записьRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Чтение и записьRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Чтение и записьRead, Write
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Чтение, запись и удалениеRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Чтение и выполнениеRead, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax Полный доступFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config ЧтениеRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager Чтение и выполнениеRead, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Чтение, запись, выполнение и удалениеRead, Write, Execute, Delete
130\shared130\shared Чтение и выполнениеRead, Execute
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml ЧтениеRead
130\dts\binn130\dts\binn Чтение и выполнениеRead, Execute
130\shared130\shared Чтение и выполнениеRead, Execute
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
БраузерSQL ServerSQL ServerSQL ServerSQL Server Browser 130\shared\ASConfig130\shared\ASConfig ЧтениеRead
130\shared130\shared Чтение и выполнениеRead, Execute
130\shared\Errordumps130\shared\Errordumps Чтение и записьRead, Write
SQLWriterSQLWriter н/д (запускается с учетной записью локальной системы)N/A (Runs as local system)
ПользовательUser Instid\MSSQL\binnInstid\MSSQL\binn Чтение и выполнениеRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax ЧтениеRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager Чтение и выполнениеRead, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages ЧтениеRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles ЧтениеRead
130\dts130\dts Чтение и выполнениеRead, Execute
130\tools130\tools Чтение и выполнениеRead, Execute
100\tools100\tools Чтение и выполнениеRead, Execute
90\tools90\tools Чтение и выполнениеRead, Execute
80\tools80\tools Чтение и выполнениеRead, Execute
130\sdk130\sdk ЧтениеRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap Чтение и выполнениеRead, Execute
Контроллер распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Controller <ToolsDir>\DReplayController\Log\ (пустой каталог)<ToolsDir>\DReplayController\Log\ (empty directory) Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{все DLL-библиотеки}<ToolsDir>\DReplayController\{all dlls} Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
Клиент распределенного воспроизведенияSQL ServerSQL ServerSQL ServerSQL Server Distributed Replay Client <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки<ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (все DLL-библиотеки)<ToolsDir>\DReplayClient\ (all dlls) Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Чтение и выполнение, список содержимого папкиRead, Execute, List Folder Contents
Панель запускаLaunchpad %binn%binn Чтение и выполнениеRead, Execute
ExtensiblilityDataExtensiblilityData Полный доступFull control
Log\ExtensibiltityLogLog\ExtensibiltityLog Полный доступFull control

* Служба агента SQL ServerSQL Server отключена на экземплярах SQL Server ExpressSQL Server Express и SQL Server ExpressSQL Server Express с дополнительными службами.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Разрешения файловой системы, предоставляемые другим учетным записям или группам WindowsFile System Permissions Granted to Other Windows User Accounts or Groups

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL ServerSQL Server .Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL ServerSQL Server .The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Запрашивающий компонентRequesting component Учетная записьAccount РесурсResource РазрешенияPermissions
MSSQLServerMSSQLServer Пользователи журнала производительностиPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Просмотр содержимого папкиList folder contents
Пользователи системного монитораPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Просмотр содержимого папкиList folder contents
Пользователи журнала производительности, пользователи системного монитораPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll Чтение и выполнениеRead, Execute
Только администраторAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<имя_экземпляра_SQL>*\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>* Полный доступFull control
Администраторы, системаAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Полный доступFull control
ПользователиUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Чтение и выполнениеRead, Execute
Службы Reporting ServicesReporting Services <Учетная запись веб-службы сервера отчетов><Report Server Web Service Account> <установка> \Reporting Services\LogFiles<install> \Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Удостоверение пула приложений диспетчера отчетов, учетная запись ASP.NETASP.NET , всеReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <папка установки> \Reporting Services\ReportManager, <папка установки> \Reporting Services\ReportManager\Pages\*.*, <папка установки> \Reporting Services\ReportManager\Styles\*.*, <папка установки> \Reporting Services\ReportManager\webctrl_client\1_0\.*<install>* \Reporting Services\ReportManager, <install> \Reporting Services\ReportManager\Pages\*.*, <install> \Reporting Services\ReportManager\Styles\*.*, <install> \Reporting Services\ReportManager\webctrl_client\1_0\*.* ЧтениеRead
Удостоверение пула приложений диспетчера отчетовReport Manager Application pool identity <установка> \Reporting Services\ReportManager\Pages\.*<install>* \Reporting Services\ReportManager\Pages\*.* ЧтениеRead
<Учетная запись веб-службы сервера отчетов><Report Server Web Service Account> <установка> \Reporting Services\ReportServer<install> \Reporting Services\ReportServer ЧтениеRead
<Учетная запись веб-службы сервера отчетов><Report Server Web Service Account> <установка> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax ПолноеFull
ВсеEveryone <установка> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
СЕТЕВАЯ СЛУЖБАNetwork service <установка> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx ПолноеFull
ВсеEveryone <установка> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Учетная запись службы Windows для сервера отчетовReportServer Windows Services Account <установка> \Reporting Services\ReportServer\RSReportServer.config<install> \Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
ВсеEveryone Разделы реестра сервера отчетов (куст Instid)Report Server keys (Instid hive) Запрос значенияQuery Value

Перечисление подразделовEnumerate SubKeys

УведомлениеNotify

Управление чтениемRead Control
Пользователь служб терминалаTerminal Services User Разделы реестра сервера отчетов (куст Instid)Report Server keys (Instid hive) Запрос значенияQuery Value

Установка значенияSet Value

Создание подразделаCreate SubKey

Перечисление подразделовEnumerate SubKey

УведомлениеNotify

DELETEDelete

Управление чтениемRead Control
Опытные пользователиPower Users Разделы реестра сервера отчетов (куст Instid)Report Server keys (Instid hive) Запрос значенияQuery Value

Установка значенияSet Value

Создание подразделаCreate Subkey

Перечисление подразделовEnumerate Subkeys

УведомлениеNotify

DELETEDelete

Управление чтениемRead Control

* Это пространство имен поставщика WMI.*This is the WMI provider namespace.

Разрешения файловой системы, связанные с нестандартными дисковыми расположениямиFile System Permissions Related to Unusual Disk Locations

Диском по умолчанию для установки является systemdrive, обычно это диск C. Этот раздел содержит дополнительные рекомендации, относящиеся к установке базы данных tempdb или пользовательских баз данных в необычных расположениях.The default drive for locations for installation is systemdrive, normally drive C. This section describes additional considerations when tempdb or user databases are installed to unusual locations.

Диск не по умолчаниюNon-default drive

При установке на локальный диск, который не является диском по умолчанию, удостоверение безопасности службы должно иметь доступ к расположению файлов.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. Программа установкиSQL ServerSQL Server предоставит необходимый доступ.SQL ServerSQL Server Setup will provision the required access.

Общая сетевая папкаNetwork share

При установке баз данных в общую сетевую папку учетная запись службы должна иметь доступ к расположению файлов пользовательских баз данных и базы данных tempdb.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. Программа установкиSQL ServerSQL Server не может предоставить доступ к общей сетевой папке.SQL ServerSQL Server Setup cannot provision access to a network share. Пользователь должен предоставлять учетной записи службы доступ к расположению базы данных tempdb до выполнения установки.The user must provision access to a tempdb location for the service account before running setup. Пользователь должен предоставить доступ к расположению пользовательской базы данных перед созданием базы данных.The user must provision access to the user database location before creating the database.

Примечание

Виртуальные учетные записи не могут проходить проверку подлинности в удаленном расположении.Virtual accounts cannot be authenticated to a remote location. Все виртуальные учетные записи используют разрешение локальной учетной записи.All virtual accounts use the permission of machine account. Укажите учетную запись компьютера в формате <имя_домена> \ <имя_компьютера> $ .Provision the machine account in the format <domain_name>\<computer_name>$.

Обзор дополнительных вопросовReviewing Additional Considerations

В следующей таблице перечислены разрешения, которые необходимы службам SQL ServerSQL Server для поддержки дополнительных функций.The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Служба или приложениеService/Application ФункциональностьFunctionality Требуемое разрешениеRequired permission
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Запись в почтовый слот с помощью xp_sendmail.Write to a mail slot using xp_sendmail. Разрешения на запись по сети.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Запуск xp_cmdshell пользователем, не являющимся администратором SQL ServerSQL Server .Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Работа в качестве части операционной системы, а также замена токена уровня процесса.Act as part of operating system and replace a process-level token.
АгентSQL ServerSQL Server (MSSQLSERVER)SQL ServerSQL Server Agent (MSSQLSERVER) Использование функции автоматического перезапуска.Use the autorestart feature. Должен быть членом локальной группы «Администраторы».Must be a member of the Administrators local group.
Помощник по настройкеКомпонент Database EngineDatabase EngineКомпонент Database EngineDatabase Engine Tuning Advisor Позволяет настраивать базы данных для оптимальной производительности запросов.Tunes databases for optimal query performance. При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора.On first use, a user who has system administrative credentials must initialize the application. После этого пользователи dbo могут при использовании помощника по настройке компонента Компонент Database EngineDatabase Engine настраивать только те таблицы, владельцами которых они являются.After initialization, dbo users can use the Компонент Database EngineDatabase Engine Tuning Advisor to tune only those tables that they own. Дополнительные сведения см. в статье "Инициализация помощника по настройке Компонент Database EngineDatabase Engine при первом использовании" в электронной документации по SQL ServerSQL Server .For more information, see "Initializing Компонент Database EngineDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Важно!

Перед обновлением SQL ServerSQL Serverвключите проверку подлинности Windows для агента SQL ServerSQL Server и проверьте необходимые настройки конфигурации по умолчанию: является ли учетная запись службы агента SQL ServerSQL Server членом группы SQL ServerSQL Serversysadmin.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

Разрешения для реестраRegistry Permissions

В разделе HKLM\Software\Microsoft\Microsoft SQL Server\ <ИД_экземпляра> создается куст реестра для компонентов, привязанных к экземпляру.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Например.For example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

В реестре также хранится сопоставление идентификаторов экземпляров с именами экземпляров.The registry also maintains a mapping of instance ID to instance name. Сопоставление идентификатора экземпляра с именем экземпляра осуществляется следующим образом:Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMIWMI

Инструментарий управления Windows (WMI) должен иметь возможность подключиться к компоненту Компонент Database EngineDatabase Engine.Windows Management Instrumentation (WMI) must be able to connect to the Компонент Database EngineDatabase Engine. Для этого компонентпредоставляет удостоверение безопасности службы поставщика WMI ( NT SERVICE\winmgmt Компонент Database EngineDatabase Engine).To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Компонент Database EngineDatabase Engine.

Поставщику SQL WMI необходимы следующие разрешения:The SQL WMI provider requires the following permissions:

  • Членство в предопределенных ролях db_ddladmin или db_owner базы данных msdb.Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • РазрешениеCREATE DDL EVENT NOTIFICATION на сервере.CREATE DDL EVENT NOTIFICATION permission in the server.

  • РазрешениеCREATE TRACE EVENT NOTIFICATION компонента Компонент Database EngineDatabase Engine.CREATE TRACE EVENT NOTIFICATION permission in the Компонент Database EngineDatabase Engine.

  • Разрешение уровня сервераVIEW ANY DATABASE .VIEW ANY DATABASE server-level permission.

    Программа установкиSQL ServerSQL Server создает пространство имен SQL WMI и предоставляет разрешение на чтение удостоверению безопасности службы агента SQL ServerSQL Server .SQL ServerSQL Server setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Именованные каналыNamed Pipes

Во всех видах установки программа установки SQL ServerSQL Server предоставляет доступ к компоненту Компонент SQL Server Database EngineSQL Server Database Engine через протокол общей памяти, который является локальным именованным каналом.In all installation, SQL ServerSQL Server Setup provides access to the Компонент SQL Server Database EngineSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

ПодготовкаProvisioning

В этом разделе описывается, как учетные записи подготавливаются к работе в разных компонентах SQL ServerSQL Server .This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Подготовка ядра СУБД к работеDatabase Engine Provisioning

Следующие учетные записи добавляются в качестве имен входа в компонент Компонент SQL Server Database EngineSQL Server Database Engine.The following accounts are added as logins in the Компонент SQL Server Database EngineSQL Server Database Engine.

Участники WindowsWindows Principals

Во время установки программе установки SQL ServerSQL Server требуется наличие как минимум одной учетной записи пользователя, являющейся членом предопределенной роли сервера sysadmin .During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

Учетная запись sasa Account

Учетная запись sa всегда присутствует в качестве имени входа в компонент Компонент Database EngineDatabase Engine и является членом предопределенной роли сервера sysadmin .The sa account is always present as a Компонент Database EngineDatabase Engine login and is a member of the sysadmin fixed server role. Если компонент Компонент Database EngineDatabase Engine установлен с использованием только проверки подлинности Windows (то есть проверка подлинности SQL ServerSQL Server не включена), имя входа sa все равно будет присутствовать, но будет отключено.When the Компонент Database EngineDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. Дополнительные сведения о включении учетной записи sa см. в статье Изменение режима проверки подлинности сервера.For information about enabling the sa account, see Change Server Authentication Mode.

Вход на SQL Server и права доступа для удостоверений безопасности службSQL Server Per-service SID Login and Privileges

Удостоверение безопасности службы SQL ServerSQL Server предоставляется в качестве имени входа в компонент Компонент Database EngineDatabase Engine .The per-service SID of the SQL ServerSQL Server service is provisioned as a Компонент Database EngineDatabase Engine login. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Вход и права доступа агента SQL ServerSQL Server Agent Login and Privileges

Удостоверение безопасности службы агента SQL ServerSQL Server предоставляется в качестве имени входа в компонент Компонент Database EngineDatabase Engine .The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Компонент Database EngineDatabase Engine login. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Группы доступности AlwaysOnAlways On Availability Groups и отказоустойчивого кластера SQLГруппы доступности AlwaysOnAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

При установке компонента Компонент Database EngineDatabase Engine в качестве Группы доступности AlwaysOnAlways On availability groups или отказоустойчивого кластера SQL (SQL FCI) учетная запись LOCAL SYSTEM предоставляется компоненту Компонент Database EngineDatabase Engine.When installing the Компонент Database EngineDatabase Engine as a Группы доступности AlwaysOnAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Компонент Database EngineDatabase Engine. Имени входа LOCAL SYSTEM предоставляется разрешение ALTER ANY AVAILABILITY GROUP (для Группы доступности AlwaysOnAlways On availability groups) и разрешение VIEW SERVER STATE (для SQL FCI).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Группы доступности AlwaysOnAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

Модуль записи SQL и права доступаSQL Writer and Privileges

Удостоверение безопасности службы модуля записи VSS в SQL ServerSQL Server предоставляется в качестве имени входа в экземпляр Компонент Database EngineDatabase Engine .The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Компонент Database EngineDatabase Engine login. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

SQL WMI и права доступаSQL WMI and Privileges

Программа установкиSQL ServerSQL Server подготавливает учетную запись NT SERVICE\Winmgmt как имя входа Компонент Database EngineDatabase Engine и добавляет ее к фиксированной роли сервера sysadmin .SQL ServerSQL Server Setup provisions the NT SERVICE\Winmgmt account as a Компонент Database EngineDatabase Engine login and adds it to the sysadmin fixed server role.

Подготовка служб SSRSSSRS Provisioning

Учетная запись, указанная во время установки, предоставляется в качестве члена роли базы данных RSExecRole .The account specified during setup is provisioned as a member of the RSExecRole database role. Дополнительные сведения см. в разделе Настройка учетной записи службы сервера отчетов (диспетчер конфигурации служб SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Подготовка служб SSASSSAS Provisioning

Требования к учетной записи службыСлужбы SSASSSAS различаются в зависимости от способа развертывания сервера.Службы SSASSSAS service account requirements vary depending on how you deploy the server. При установке Power Pivot для SharePointPower Pivot for SharePointпрограмме установки SQL ServerSQL Server требуется, чтобы служба Службы Analysis ServicesAnalysis Services запускалась под учетной записью домена.If you are installing Power Pivot для SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Службы Analysis ServicesAnalysis Services service to run under a domain account. Учетные записи домена необходимы для поддержки механизма управляемых учетных записей, встроенного в SharePoint.Domain accounts are required to support the managed account facility that is built into SharePoint. По этой причине программа установки SQL ServerSQL Server не предоставляет учетную запись службы по умолчанию, например виртуальную учетную запись, для установки Power Pivot для SharePointPower Pivot for SharePoint .For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a Power Pivot для SharePointPower Pivot for SharePoint installation. Дополнительные сведения о подготовке Power PivotPower Pivot для SharePoint см. в статье Настройка учетных записей служб Power Pivot.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

Для всех других случаев автономной установки служб Службы SSASSSAS можно предоставить службу для запуска под учетной записью домена, встроенной системной учетной записью, управляемой или виртуальной учетной записью.For all other standalone Службы SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Дополнительные сведения о подготовке учетных записей см. в статье Настройка учетных записей службы (службы Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Для кластерной установки необходимо указать учетную запись домена или встроенную системную учетную запись.For clustered installations, you must specify a domain account or a built-in system account. Ни управляемые, ни виртуальные учетные записи не поддерживаются для отказоустойчивых кластеров служб Службы SSASSSAS .Neither managed accounts nor virtual accounts are supported for Службы SSASSSAS failover clusters.

Для установки служб Службы SSASSSAS необходимо указать системного администратора экземпляра Службы Analysis ServicesAnalysis Services .All Службы SSASSSAS installations require that you specify a system administrator of the Службы Analysis ServicesAnalysis Services instance. Права администратора предоставляются роли Сервер служб Analysis Services.Administrator privileges are provisioned in the Analysis Services Server role.

Подготовка служб SSRSSSRS Provisioning

Учетная запись, указанная во время установки, предоставляется компоненту Компонент Database EngineDatabase Engine в качестве члена роли базы данных RSExecRole .The account specified during setup is provisioned in the Компонент Database EngineDatabase Engine as a member of the RSExecRole database role. Дополнительные сведения см. в разделе Настройка учетной записи службы сервера отчетов (диспетчер конфигурации служб SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Обновление с предыдущих версийUpgrading From Previous Versions

В этом разделе описаны изменения, внесенные во время обновления предыдущей версии SQL ServerSQL Server.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 требуется Windows Server 2008Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012, Windows 8.0 и Windows Server 2012 R2 или Windows 8.1.requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Для предыдущих версий SQL ServerSQL Server , работающих в более низкой версии операционной системы, необходимо обновить операционную систему, прежде чем обновлять службы SQL ServerSQL Server.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Во время обновления SQL Server 2005 (9.x)SQL Server 2005 (9.x) до SQL Server 2017SQL Server 2017программа установки SQL ServerSQL Server настроит SQL ServerSQL Server следующим образом.During upgrade of SQL Server 2005 (9.x)SQL Server 2005 (9.x) to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • Компонент Компонент Database EngineDatabase Engine запускается в контексте безопасности удостоверения безопасности службы.The Компонент Database EngineDatabase Engine runs with the security context of the per-service SID. Удостоверению безопасности службы предоставляется доступ к папкам с файлами экземпляра SQL ServerSQL Server (например, DATA), а также к разделам реестра SQL ServerSQL Server .The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • Удостоверение безопасности службы компонента Компонент Database EngineDatabase Engine предоставляется компоненту Компонент Database EngineDatabase Engine в качестве члена предопределенной роли сервера sysadmin .The per-service SID of the Компонент Database EngineDatabase Engine is provisioned in the Компонент Database EngineDatabase Engine as a member of the sysadmin fixed server role.

    • Удостоверение безопасности службы добавляется к локальным группам Windows для SQL ServerSQL Server, если SQL ServerSQL Server не является экземпляром отказоустойчивого кластера.The per-service SID's are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • Ресурсы SQL ServerSQL Server остаются предоставленными локальным группам Windows для SQL ServerSQL Server.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • Локальная группа Windows для служб переименовывается с SQLServer2005MSSQLUser$ <имя_компьютера> $ <имя_экземпляра> на SQLServerMSSQLUser$ <имя_компьютера> $ <имя_экземпляра> .The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. Расположения файлов перенесенных баз данных будут иметь записи управления доступом (ACE) для локальных групп Windows.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. Расположения файлов для новых баз данных будут иметь записи ACE для удостоверения безопасности службы.The file locations for new databases will have ACE's for the per-service SID.

  • Во время обновления с SQL Server 2008SQL Server 2008 программа установки SQL ServerSQL Server сохранит записи ACE для удостоверения безопасности службы SQL Server 2008SQL Server 2008.During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE's for the SQL Server 2008SQL Server 2008 per-service SID.

  • Для экземпляра отказоустойчивого кластера SQL ServerSQL Server запись ACE учетной записи домена, настроенной для службы, будет сохранена.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

ПриложениеAppendix

В данном разделе содержатся дополнительные сведения о службах SQL ServerSQL Server .This section contains additional information about SQL ServerSQL Server services.

Описание учетных записей службDescription of Service Accounts

Учетной записью службы является учетная запись, используемая для запуска службы Windows, например Компонент SQL Server Database EngineSQL Server Database Engine.The service account is the account used to start a Windows service, such as the Компонент SQL Server Database EngineSQL Server Database Engine.

Учетные записи, доступные в любой операционной системеAccounts Available With Any Operating System

В дополнение к новым управляемым учетным записям служб и виртуальным учетным записям , описанным выше, могут использоваться следующие учетные записи.In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

Учетная запись пользователя доменаDomain User Account

Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL ServerSQL Server, используйте учетную запись домена с минимальными правами доступа.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена.Many server-to-server activities can be performed only with a domain user account. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.This account should be pre-created by domain administration in your environment.

Примечание

При настройке приложения на использование учетной записи домена можно изолировать права доступа для приложения, при этом придется управлять паролями вручную или создать пользовательское решение для управления паролями.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. Эта стратегия помогает повысить безопасность многих серверных приложений, но повышает сложность и требует дополнительного администрирования.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. В этих случаях развертывания администраторы служб тратят значительное количество времени на выполнение задач обслуживания, таких как управление паролями служб и именами участников-служб (SPN), необходимыми для проверки подлинности Kerberos.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. Кроме того, задачи обслуживания могут нарушить работу службы.In addition, these maintenance tasks can disrupt service.

Local User AccountsLocal User Accounts

Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Учетная запись локальной службыLocal Service Account

Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи».The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов.This limited access helps safeguard the system if individual services or processes are compromised. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных.Services that run as the Local Service account access network resources as a null session without credentials. Помните, что учетная запись локальной службы не поддерживается службами SQL ServerSQL Server или агента SQL ServerSQL Server .Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. Локальная служба не поддерживается в качестве учетной записи для запуска этих служб, так как это общая служба, а любые другие службы, работающие под учетной записью локальной службы, получили бы доступ с правами администратора к SQL ServerSQL Server.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. Фактическое имя этой учетной записи — NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Учетная запись сетевой службыNetwork Service Account

Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи».The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Службы, запущенные из-под учетной записи сетевой службы, производят доступ к сетевым ресурсам с помощью данных учетной записи компьютера в формате <имя_домена> \ <имя_компьютера> $ .Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Фактическое имя этой учетной записи — NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Учетная запись локальной системыLocal System Account

Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа.Local System is a very high-privileged built-in account. Она имеет обширные права и выступает в качестве компьютера сети.It has extensive privileges on the local system and acts as the computer on the network. Фактическое имя этой учетной записи — NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Идентификация зависимых и не зависимых от экземпляра службIdentifying Instance-Aware and Instance-Unaware Services

Служба, связанная с экземпляром, относится к конкретному экземпляру SQL ServerSQL Server, и ей выделяется отдельный куст реестра.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. Программа установки SQL ServerSQL Server позволяет для каждого компонента или службы установить несколько копий служб, привязанных к разным экземплярам.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL ServerSQL Server .Instance-unaware services are shared among all installed SQL ServerSQL Server instances. Они устанавливаются всего один раз, их параллельная установка не допускается.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

С экземпляром связаны следующие службы SQL ServerSQL Server .Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • АгентSQL ServerSQL ServerSQL ServerSQL Server Agent

    Необходимо помнить, что служба агента SQL ServerSQL Server отключена в экземплярах SQL Server ExpressSQL Server Express и SQL Server ExpressSQL Server Express with Advanced Services.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Службы Analysis ServicesAnalysis Services*

  • Службы Reporting ServicesReporting Services

  • Полнотекстовый поискFull-text search

В число служб SQL ServerSQL Server , не связываемых с экземпляром, входят следующие.Instance-unaware services in SQL ServerSQL Server include the following:

  • Службы Integration ServicesIntegration Services

  • БраузерSQL ServerSQL ServerSQL ServerSQL Server Browser

  • Модуль записи SQLSQL Writer

* Службы Analysis Services в режиме интеграции с SharePoint работают в виде единичного именованного экземпляра Power PivotPower Pivot.*Analysis Services in SharePoint integrated mode runs as 'Power PivotPower Pivot' as a single, named instance. Имя экземпляра фиксировано.The instance name is fixed. Другое имя указать нельзя.You cannot specify a different name. На каждом физическом сервере можно установить только один экземпляр служб Analysis Services, работающих какPower PivotPower Pivot.You can install only one instance of Analysis Services running as 'Power PivotPower Pivot' on each physical server.

Локализованные имена службLocalized Service Names

В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.The following table shows service names that are displayed by localized versions of Windows.

ЯзыкLanguage Имя для Local ServiceName for Local Service Имя сетевой службыName for Network Service Имя Local SystemName for Local System Имя группы администраторовName for Admin Group
АнглийскийEnglish

Китайский (упрощенный)Simplified Chinese

Китайский (традиционный)Traditional Chinese

КорейскийKorean

ЯпонскийJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
НемецкийGerman NT-AUTORITДT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITДT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITДT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
ФранцузскийFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RЙSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ИтальянскийItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ИспанскийSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
РусскийRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМАNT AUTHORITY\СИСТЕМА BUILTIN\АдминистраторыBUILTIN\Администраторы

Вопросы безопасности при установке SQL ServerSecurity Considerations for a SQL Server Installation

Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL ServerFile Locations for Default and Named Instances of SQL Server

Установка служб Master Data ServicesInstall Master Data Services