Выбор учетной записи для службы агента SQL ServerSelect an Account for the SQL Server Agent Service

ОБЛАСТЬ ПРИМЕНЕНИЯ: даSQL Server даБаза данных SQL Azure (только управляемый экземпляр)нетХранилище данных SQL AzureнетParallel Data WarehouseAPPLIES TO: yesSQL Server yesAzure SQL Database (Managed Instance only) noAzure SQL Data Warehouse noParallel Data Warehouse

Важно!

Сейчас в управляемом экземпляре базы данных SQL Azure поддерживается большинство функций агента SQL Server (но не все).On Azure SQL Database Managed Instance, most, but not all SQL Server Agent features are currently supported. Подробные сведения см. в статье Различия T-SQL между управляемым экземпляром базы данных SQL Azure и SQL Server.See Azure SQL Database Managed Instance T-SQL differences from SQL Server for details.

Стартовая учетная запись службы определяет учетную запись MicrosoftMicrosoft Windows, с которой запускается агент SQL ServerSQL Server , а также его сетевые разрешения.The service startup account defines the MicrosoftMicrosoft Windows account in which SQL ServerSQL Server Agent runs and its network permissions. SQL ServerSQL Server выполняется как заданная учетная запись пользователя.Agent runs as a specified user account. Диспетчер конфигурации SQL ServerSQL Server позволяет выбрать учетную запись службы агента SQL ServerSQL Server из следующих вариантов:You select an account for the SQL ServerSQL Server Agent service by using SQL ServerSQL Server Configuration Manager, where you can choose from the following options:

  • Встроенная учетная запись.Built-in account. Может быть выбрана из списка следующих встроенных учетных записей Windows:You can choose from a list of the following built-in Windows service accounts:

    • Учетная записьЛокальная система .Local System account. Имя этой учетной записи — NT AUTHORITY\System.The name of this account is NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам.It is a powerful account that has unrestricted access to all local system resources. Она входит в группу Администраторы локального компьютера и поэтому является членом предопределенной роли сервера SQL ServerSQL Server sysadmin .It is a member of the Windows Administrators group on the local computer, and is therefore a member of the SQL ServerSQL Server sysadmin fixed server role

      Важно!

      Параметр С системной учетной записью поддерживается для обратной совместимости.The Local System account option is provided for backward compatibility only. Локальная системная учетная запись обладает разрешениями, которые не нужны для работы агента SQL ServerSQL Server .The Local System account has permissions that SQL ServerSQL Server Agent does not require. Старайтесь не запускать агент SQL ServerSQL Server от имени учетной записи локальной системы.Avoid running SQL ServerSQL Server Agent as the Local System account. В целях безопасности рекомендуется пользоваться учетной записью домена Windows с разрешениями, перечисленными в подразделе «Разрешения учетной записи домена Windows» ниже в этом разделе.For improved security, use a Windows domain account with the permissions listed in the following section, "Windows Domain Account Permissions."

  • Указанная учетная запись.This account. Позволяет задать учетную запись домена Windows, с которой выполняется служба агента SQL ServerSQL Server .Lets you specify the Windows domain account in which the SQL ServerSQL Server Agent service runs. Рекомендуется выбирать учетную запись пользователя Windows, не входящего в группу Администраторы .We recommend choosing a Windows user account that is not a member of the Windows Administrators group. Однако существуют ограничения при администрировании нескольких серверов, когда учетная запись службы агента SQL ServerSQL Server не входит в локальную группу Администраторы .However, there are limitations for using multiserver administration when the SQL ServerSQL Server Agent service account is not a member of the local Administrators group. Дополнительные сведения см. в подразделе «Поддерживаемые типы учетных записей» далее в этом разделе.For more information, see 'Supported Service Account Types' that follows in this topic.

Разрешения учетной записи домена WindowsWindows Domain Account Permissions

В целях повышения безопасности выбирайте пункт Указанная учетная запись, соответствующий учетной записи домена Windows.For improved security, select This account, which specifies a Windows domain account. Заданная учетная запись домена Windows должна обладать следующими разрешениями:The Windows domain account that you specify must have the following permissions:

  • Разрешение на вход в систему в качестве службы во всех версиях Windows (SeServiceLogonRight)In all Windows versions, permission to log on as a service (SeServiceLogonRight)

Примечание

Служба агента SQL ServerSQL Server должна быть членом группы «Доступ, совместимый с версиями Windows до 2000» контроллера домена. В противном случае задания, принадлежащие пользователям домена, которые не являются администраторами Windows, выполняться не будут.The SQL ServerSQL Server Agent service account must be part of the Pre-Windows 2000 Compatible Access group on the domain controller, or jobs that are owned by domain users who are not members of the Windows Administrators group will fail.

  • На серверах Windows учетной записи, с которой выполняется служба агента SQL ServerSQL Server , для поддержки посредников агента SQL ServerSQL Server необходимы следующие разрешения:In Windows servers, the account that the SQL ServerSQL Server Agent Service runs as requires the following permissions to be able to support SQL ServerSQL Server Agent proxies.

    • Разрешение на обход перекрестной проверки (SeChangeNotifyPrivilege)Permission to bypass traverse checking (SeChangeNotifyPrivilege)

    • Разрешение на замену токена уровня процесса (SeAssignPrimaryTokenPrivilege)Permission to replace a process-level token (SeAssignPrimaryTokenPrivilege)

    • Разрешение на выделение процессам квот памяти (SeIncreaseQuotaPrivilege)Permission to adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

    • Разрешение на доступ к этому компьютеру из сети (SeNetworkLogonRight)Permission to access this computer from the network (SeNetworkLogonRight)

Примечание

Если учетная запись не обладает разрешениями на поддержку посредников, то создавать задания могут только члены предопределенной роли сервера sysadmin .If the account does not have the permissions required to support proxies, only members of the sysadmin fixed server role can create jobs.

Примечание

Чтобы получать уведомление о предупреждении инструментария WMI, учетной записи службы агента SQL ServerSQL Server должно быть предоставлено разрешение на пространство имен, содержащее события WMI и ALTER ANY EVENT NOTIFICATION.To receive WMI alert notification, the service account for SQL ServerSQL Server Agent must have been granted permission to the namespace that contains the WMI events, and ALTER ANY EVENT NOTIFICATION.

Членство в ролях SQL ServerSQL Server Role Membership

Учетная запись, от которой запускается служба агента SQL ServerSQL Server , должна быть членом следующих ролей SQL ServerSQL Server :The account that the SQL ServerSQL Server Agent service runs as must be a member of the following SQL ServerSQL Server roles:

  • Учетная запись должна быть членом предопределенной роли сервера sysadmin .The account must be a member of the sysadmin fixed server role.

  • Чтобы использовать обработку заданий в многосерверной среде, учетная запись должна быть членом роли базы данных msdb TargetServersRole на главном сервере.To use multiserver job processing, the account must be a member of the msdb database role TargetServersRole on the master server.

Поддерживаемые типы учетных записейSupported Service Account Types

В следующей таблице перечислены типы учетных записей Windows, которые могут быть использованы для службы агента SQL ServerSQL Server .The following table lists the Windows account types that can be used for the SQL ServerSQL Server Agent service.

Тип учетной записиService account type Некластеризованный серверNon-clustered Server Кластеризованный серверClustered server Контроллер домена (некластеризованный)Domain controller (non-clustered)
MicrosoftMicrosoft Учетная запись Windows (член группы "Администраторы" Windows)Windows domain account (member of Windows Administrators group) ПоддерживаетсяSupported ПоддерживаетсяSupported ПоддерживаетсяSupported
Неадминистративная учетная запись домена WindowsWindows domain account (non-administrative) ПоддерживаетсяSupported

См. ограничение № 1 ниже.See Limitation 1 below.
ПоддерживаетсяSupported

См. ограничение № 1 ниже.See Limitation 1 below.
ПоддерживаетсяSupported

См. ограничение № 1 ниже.See Limitation 1 below.
Учетная запись сетевой службы (NT AUTHORITY\NetworkService)Network Service account (NT AUTHORITY\NetworkService) ПоддерживаетсяSupported

См. ограничения № 1, 2 и 4 ниже.See Limitation 1, 3, and 4 below.
Не поддерживаетсяNot supported Не поддерживаетсяNot supported
Неадминистративная учетная запись локального пользователяLocal user account (non-administrative) ПоддерживаетсяSupported

См. ограничение № 1 ниже.See Limitation 1 below.
Не поддерживаетсяNot supported НеприменимоNot applicable
Учетная запись Local System (NT AUTHORITY\System)Local System account (NT AUTHORITY\System) ПоддерживаетсяSupported

См. ограничение № 2 ниже.See Limitation 2 below.
Не поддерживаетсяNot supported ПоддерживаетсяSupported

См. ограничение № 2 ниже.See Limitation 2 below.
Учетная запись локальной службы (NT AUTHORITY\NetworkService)Local Service account (NT AUTHORITY\LocalService) Не поддерживаетсяNot supported Не поддерживаетсяNot supported Не поддерживаетсяNot supported

Ограничение 1. Использование неадминистративных учетных записей для администрирования нескольких серверовLimitation 1: Using Non-administrative Accounts for Multiserver Administration

Прикрепление целевого сервера к главному серверу может завершиться ошибкой, после чего появляется следующее сообщение: "Не удалось выполнить операцию прикрепления".Enlisting target servers to a master server may fail with the following error message: "The enlist operation failed."

Чтобы устранить эту ошибку, перезапустите SQL ServerSQL Server и службы агента SQL ServerSQL Server .To resolve this error, restart both the SQL ServerSQL Server and the SQL ServerSQL Server Agent services. Дополнительные сведения см. в статье Iniciar, parar, pausar, retomar e reiniciar os serviços SQL Server.For more information, see Start, Stop, Pause, Resume, Restart the Database Engine, SQL Server Agent, or SQL Server Browser Service.

Ограничение 2. Использование учетной записи Local System для администрирования нескольких серверовLimitation 2: Using the Local System Account for Multiserver Administration

Администрирование нескольких серверов поддерживается при выполнении службы агента SQL ServerSQL Server под учетной записью Local System только в том случае, если целевой и главный серверы расположены на одном и том же компьютере.Multiserver administration is supported when the SQL ServerSQL Server Agent service is run under the Local System account only when both the master server and the target server reside on the same computer. При использовании этой конфигурации, при прикреплении целевого сервера к главному серверу, возвращается следующее сообщение:If you use this configuration, the following message is returned when you enlist target servers to the master server:

"Убедитесь, что стартовая учетная запись агента для <имя_компьютера_целевого_сервера> имеет права для входа на сервер targetServer"."Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer."

Данное сообщение можно пропустить.You can ignore this informational message. Операция прикрепления должна быть завершена успешно.The enlistment operation should complete successfully. Дополнительные сведения см. в статье Создание многосерверной среды.For more information, see Create a Multiserver Environment.

Ограничение 3. Использование учетной записи сетевой службы, которая является учетной записью SQL ServerLimitation 3: Using the Network Service Account When It Is a SQL Server User

SQL ServerSQL Server При запуске агента SQL ServerSQL Server может произойти сбой, если он запускается под учетной записью сетевой службы, которая уже явным образом получила доступ к экземпляру SQL ServerSQL Server в качестве пользователя SQL ServerSQL Server .Agent may fail to start if you run the SQL ServerSQL Server Agent service under the Network Service account, and the Network Service account has been explicitly granted access to log into a SQL ServerSQL Server instance as a SQL ServerSQL Server user.

Для решения этой проблемы перезагрузите компьютер, на котором работает SQL ServerSQL Server .To resolve this, reboot the computer where SQL ServerSQL Server is running. Это действие необходимо выполнить однократно.This only needs to be done once.

Ограничение 4. Использование учетной записи сетевой службы при выполнении служб SQL Server Reporting Services на том же самом компьютереLimitation 4: Using the Network Service Account When SQL Server Reporting Services Is Running on the Same Computer

SQL ServerSQL Server Агент не может быть запущен, если служба агента SQL ServerSQL Server выполняется под учетной записью сетевой службы, а службы Службы Reporting ServicesReporting Services запущены на этом же самом компьютере.Agent may fail to start if you run the SQL ServerSQL Server Agent service under the Network Service account and Службы Reporting ServicesReporting Services is also running on the same computer.

Для решения этой проблемы перезагрузите компьютер, на котором работает SQL ServerSQL Server , а затем перезапустите службу SQL ServerSQL Server и службу агента SQL ServerSQL Server .To resolve this, reboot the computer where SQL ServerSQL Server is running, and then restart both the SQL ServerSQL Server and the SQL ServerSQL Server Agent services. Это действие необходимо выполнить однократно.This only needs to be done once.

Общие задачиCommon Tasks

Указание стартовой учетной записи службы агента SQL ServerTo specify the startup account for the SQL Server Agent service

Указание профиля электронной почты агента SQL ServerTo specify the mail profile for SQL Server Agent

Примечание

Запуск агента SQL ServerSQL Server во время старта операционной системы задается с помощью диспетчера конфигурации SQL ServerSQL Server .Use SQL ServerSQL Server Configuration Manager to specify that SQL ServerSQL Server Agent must start up when the operating system starts.

См. также:See Also

Настройка учетных записей служб WindowsSetting Up Windows Service Accounts
Управление службами с помощью SQL Computer ManagerManaging Services Using SQL Computer Manager
Обеспечение безопасности агента SQL ServerImplement SQL Server Agent Security