Выбор учетной записи для службы агента SQL Server

Применимо к: даSQL Server (все поддерживаемые версии) ДаУправляемый экземпляр SQL Azure

Важно!

В Управляемом экземпляре Azure SQL в настоящее время поддерживается большинство функций агента SQL Server (но не все). Подробные сведения см. в статье Различия в T-SQL между Управляемым экземпляром SQL Azure и SQL Server.

Стартовая учетная запись службы определяет учетную запись Microsoft Windows, с которой запускается агент SQL Server , а также его сетевые разрешения. SQL Server выполняется как заданная учетная запись пользователя. Диспетчер конфигурации SQL Server позволяет выбрать учетную запись службы агента SQL Server из следующих вариантов:

  • Встроенная учетная запись. Может быть выбрана из списка следующих встроенных учетных записей Windows:

    • Учетная запись Локальная система . Имя этой учетной записи — NT AUTHORITY\System. Эта учетная запись имеет неограниченный доступ ко всем локальным системным ресурсам. Она входит в группу Администраторы на локальном компьютере Windows и поэтому является членом предопределенной роли сервера SQL Server sysadmin.

      Важно!

      Параметр С системной учетной записью поддерживается для обратной совместимости. Локальная системная учетная запись обладает разрешениями, которые не нужны для работы агента SQL Server . Старайтесь не запускать агент SQL Server от имени учетной записи локальной системы. В целях безопасности рекомендуется пользоваться учетной записью домена Windows с разрешениями, перечисленными в подразделе «Разрешения учетной записи домена Windows» ниже в этом разделе.

  • Указанная учетная запись. Позволяет задать учетную запись домена Windows, с которой выполняется служба агента SQL Server . Рекомендуется выбирать учетную запись пользователя Windows, не входящего в группу Администраторы . Однако существуют ограничения при администрировании нескольких серверов, когда учетная запись службы агента SQL Server не входит в локальную группу Администраторы . Дополнительные сведения см. в подразделе «Поддерживаемые типы учетных записей» далее в этом разделе.

Разрешения учетной записи домена Windows

В целях повышения безопасности выбирайте пункт Указанная учетная запись, соответствующий учетной записи домена Windows. Заданная учетная запись домена Windows должна обладать следующими разрешениями:

  • Разрешение на вход в систему в качестве службы во всех версиях Windows (SeServiceLogonRight)

Примечание

Служба агента SQL Server должна быть членом группы «Доступ, совместимый с версиями Windows до 2000» контроллера домена. В противном случае задания, принадлежащие пользователям домена, которые не являются администраторами Windows, выполняться не будут.

  • На серверах Windows учетной записи, с которой выполняется служба агента SQL Server , для поддержки посредников агента SQL Server необходимы следующие разрешения:

    • Разрешение на обход перекрестной проверки (SeChangeNotifyPrivilege)

    • Разрешение на замену токена уровня процесса (SeAssignPrimaryTokenPrivilege)

    • Разрешение на выделение процессам квот памяти (SeIncreaseQuotaPrivilege)

    • Разрешение на доступ к этому компьютеру из сети (SeNetworkLogonRight)

Примечание

Если учетная запись не обладает разрешениями на поддержку посредников, то создавать задания могут только члены предопределенной роли сервера sysadmin .

Примечание

Чтобы получать уведомление о предупреждении инструментария WMI, учетной записи службы агента SQL Server должно быть предоставлено разрешение на пространство имен, содержащее события WMI и ALTER ANY EVENT NOTIFICATION.

Членство в ролях SQL Server

Учетная запись, от которой запускается служба агента SQL Server , должна быть членом следующих ролей SQL Server :

  • Учетная запись должна быть членом предопределенной роли сервера sysadmin .

  • Чтобы использовать обработку заданий в многосерверной среде, учетная запись должна быть членом роли базы данных msdb****TargetServersRole на главном сервере.

Поддерживаемые типы учетных записей

В следующей таблице перечислены типы учетных записей Windows, которые могут быть использованы для службы агента SQL Server .

Тип учетной записи Некластеризованный сервер Кластеризованный сервер Контроллер домена (некластеризованный)
Microsoft Учетная запись Windows (член группы "Администраторы" Windows) Поддерживается Поддерживается Поддерживается
Неадминистративная учетная запись домена Windows Поддерживается

См. ограничение № 1 ниже.
Поддерживается

См. ограничение № 1 ниже.
Поддерживается

См. ограничение № 1 ниже.
Учетная запись сетевой службы (NT AUTHORITY\NetworkService) Поддерживается

См. ограничения № 1, 2 и 4 ниже.
Не поддерживается Не поддерживается
Неадминистративная учетная запись локального пользователя Поддерживается

См. ограничение № 1 ниже.
Не поддерживается Неприменимо
Учетная запись Local System (NT AUTHORITY\System) Поддерживается

См. ограничение № 2 ниже.
Не поддерживается Поддерживается

См. ограничение № 2 ниже.
Учетная запись локальной службы (NT AUTHORITY\NetworkService) Не поддерживается Не поддерживается Не поддерживается

Ограничение 1. Использование неадминистративных учетных записей для администрирования нескольких серверов

Прикрепление целевого сервера к главному серверу может завершиться ошибкой, после чего появляется следующее сообщение: "Не удалось выполнить операцию прикрепления".

Чтобы устранить эту ошибку, перезапустите SQL Server и службы агента SQL Server . Дополнительные сведения см. в статье Iniciar, parar, pausar, retomar e reiniciar os serviços SQL Server.

Ограничение 2. Использование учетной записи Local System для администрирования нескольких серверов

Администрирование нескольких серверов поддерживается при выполнении службы агента SQL Server под учетной записью Local System только в том случае, если целевой и главный серверы расположены на одном и том же компьютере. При использовании этой конфигурации, при прикреплении целевого сервера к главному серверу, возвращается следующее сообщение:

"Убедитесь, что стартовая учетная запись агента для <имя_компьютера_целевого_сервера> имеет права для входа на сервер targetServer".

Данное сообщение можно пропустить. Операция прикрепления должна быть завершена успешно. Дополнительные сведения см. в статье Создание многосерверной среды.

Ограничение 3. Использование учетной записи сетевой службы, которая является учетной записью SQL Server

SQL Server При запуске агента SQL Server может произойти сбой, если он запускается под учетной записью сетевой службы, которая уже явным образом получила доступ к экземпляру SQL Server в качестве пользователя SQL Server .

Для решения этой проблемы перезагрузите компьютер, на котором работает SQL Server . Это действие необходимо выполнить однократно.

Ограничение 4. Использование учетной записи сетевой службы при выполнении служб SQL Server Reporting Services на том же самом компьютере

SQL Server Агент не может быть запущен, если служба агента SQL Server выполняется под учетной записью сетевой службы, а службы Службы Reporting Services запущены на этом же самом компьютере.

Для решения этой проблемы перезагрузите компьютер, на котором работает SQL Server , а затем перезапустите службу SQL Server и службу агента SQL Server . Это действие необходимо выполнить однократно.

Общие задачи

Указание стартовой учетной записи службы агента SQL Server

Указание профиля электронной почты агента SQL Server

Примечание

Запуск агента SQL Server во время старта операционной системы задается с помощью диспетчера конфигурации SQL Server .

См. также:

Настройка учетных записей служб Windows
Управление службами с помощью SQL Computer Manager
Обеспечение безопасности агента SQL Server