2024年1月8日发(作者:)
大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C盘安装Windows的情况下最新的四个版本的路径。
SQLServer2016 C:
SQLServer2014 C:
SQLServer2012 C:
SQLServer2008 C:
安装的服务SQLServer
根据您决定安装的组件,SQLServer安装程序将安装以下服务:
•SQLServerDatabaseServices-用于SQLServer关系数据库引擎的服务。可执行文件为
•SQLServer代理-执行作业、监视SQLServer、激发警报以及允许自动执行某些管理任务。SQLServer代理服务在SQLServerExpress的实例上存在,但处于禁用状态。可执行文件为
•AnalysisServices-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。可执行文件为
•ReportingServices-管理、执行、创建、计划和传递报表。可执行文件为
•IntegrationServices-为IntegrationServices包的存储和执行提供管理支持。可执行文件的路径是
•SQLServerBrowser-向客户端计算机提供SQLServer连接信息的名称解析服务。可执行文件的路径为c:ProgramFiles(x86)
•全文搜索-对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQLServer提供文档筛选和断字功能。
•SQL编写器-允许备份和还原应用程序在卷影复制服务(VSS)框架中运行。
•SQLServer分布式重播控制器-跨多个分布式重播客户端计算机提供跟踪重播业务流程。
•SQLServerDistributedReplay客户端-与DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。
•SQLServer受信任的启动板-用于托管Microsoft提供的外部可执行文件的可信服务,例如作为RServices(In-database)的一部分安装的R运行时。附属进程可由启动板进程启动,但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行,特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。
服务属性和配置
用于启动和运行SQLServer的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。若要启动和运行SQLServer中的每项服务,这些服务都必须有一个在安装过程中配置的启动帐户。
默认服务帐户
下表列出了安装程序在安装所有组件时使用的默认服务帐户。列出的默认帐户是建议使用的帐户,但特殊注明的除外。
独立服务器或域控制器
组件
WindowsServer2008(可能为英文页面)
Windows7和WindowsServer2008(可能为英文页面)R2及更高版本
数据库引擎
NETWORK SERVICE
虚拟帐户*
SQLServer代理
NETWORK SERVICE
虚拟帐户*
SSAS
NETWORK SERVICE
虚拟帐户*
SSIS
NETWORK SERVICE
虚拟帐户*
SSRS
NETWORK SERVICE
虚拟帐户*
SQLServer分布式NETWORK SERVICE
虚拟帐户*
组件
WindowsServer2008(可能为英文页面)
Windows7和WindowsServer2008(可能为英文页面)R2及更高版本
重播控制器
SQLServer分布式重播客户端
NETWORK SERVICE
虚拟帐户*
FD启动器(全文搜索)
LOCAL SERVICE
虚拟帐户
SQLServerBrowser
LOCAL SERVICE
LOCAL SERVICE
SQLServerVSS编写器
LOCAL SYSTEM
LOCAL SYSTEM
高级分析扩展
NTSERVICEMSSQLLaunchpad
NTSERVICEMSSQLLaunchpad
*当需要SQLServer计算机外部的资源时,Microsoft建议使用配置了必需的最小特权的托管服务帐户(MSA)。
SQLServer故障转移群集实例
组件
WindowsServer2008(可能为英文页面)
WindowsServer2008(可能为英文页面)R2
数据库引擎
无。提供域用户帐户。
提供域用户帐户。
SQLServer代理
无。提供域用户帐户。
提供域用户帐户。
SSAS
无。提供域用户帐户。
提供域用户帐户。
SSIS
NETWORK SERVICE
虚拟帐户
SSRS
NETWORK SERVICE
虚拟帐户
FD启动器(全文搜索)
LOCAL SERVICE
虚拟帐户
SQLServerBrowser
LOCAL SERVICE
LOCAL SERVICE
组件
WindowsServer2008(可能为英文页面)
WindowsServer2008(可能为英文页面)R2
SQLServerVSS编写器
LOCAL SYSTEM
LOCAL SYSTEM
更改帐户属性
重要事项
•始终使用SQLServer工具(例如SQLServer配置管理器)来更改SQLServer数据库引擎或SQLServer代理服务使用的帐户,或更改帐户的密码。除了更改帐户名称以外,SQLServer配置管理器还可以执行其他配置,例如,更新保护数据库引擎的服务主密钥的Windows本地安全存储区。其他工具(例如Windows服务控制管理器)可以更改帐户名称,但不更改所有必需的设置。
•对于您在SharePoint场中部署的AnalysisServices实例,始终使用SharePoint管理中心为PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。使用管理中心时,关联的设置和权限将更新为使用新的帐户信息。
•若要更改ReportingServices选项,请使用ReportingServices配置工具。
托管服务帐户、组托管服务帐户和虚拟帐户
托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序(例如SQLServer)提供其自己帐户的隔离,同时使管理员无需手动管理这些帐户的服务主体名称(SPN)和凭据。这就使得管理服务帐户用户、密码和SPN的过程变得简单得多。
•托管服务帐户
托管服务帐户(MSA)是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用MSA登录到计算机,但计算机可以使用MSA来启动Windows服务。MSA可以向ActiveDirectory注册服务主体名称(SPN)。MSA的名称中有一个$后缀,例如DOMAINACCOUNTNAME$。在指定MSA时,请将密码留空。因为将MSA分配给单个计算机,它不能用于Windows群集的不同节点。
说明
域管理员必须先在ActiveDirectory中创建MSA,然后SQLServer安装程序才能将其用于SQLServer服务。
•组托管服务帐户
组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户。ActiveDirectory自动更新组托管服务帐户密码,而不重启服务。你可以配置SQLServer服务以使用组托管服务帐户主体。SQLServer2016对于独立实例、故障转移群集实例和可用性组,在WindowsServer2012R2和更高版本上支持组托管服务帐户。
若要使用SQLServer2016或更高版本的组托管服务帐户,操作系统必须是WindowsServer2012R2或更高版本。装有WindowsServer2012R2的服务器需要应用KB 2998082,以便服务可以在密码更改后立即登录而不中断。
有关详细信息,请参阅组托管服务帐户
说明
域管理员必须先在ActiveDirectory中创建组托管服务帐户,然后SQLServer安装程序才能将其用于SQLServer服务。
•虚拟帐户
WindowsServer2008R2和Windows7中的虚拟帐户是“托管的本地帐户”,此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的,并且虚拟帐户可以访问域环境中的网络。如果在WindowsServer2008R2或Windows7上安装SQLServer时对服务帐户使用默认值,则将使用将实例名称用作服务名称的虚拟帐户,格式为NTSERVICE
说明
虚拟帐户不能用于SQLServer故障转移群集实例,因为虚拟帐户在群集
的每个节点不会有相同SID。
下表列出了虚拟帐户名称的示例。
服务
虚拟帐户名称
数据库引擎服务的默认实例
NTSERVICEMSSQLSERVER
名为数据库引擎的的服务的命名实例
NTSERVICEMSSQL$PAYROLL
SQLServer代理服务,位于以下默认实例上:SQLServer
NTSERVICESQLSERVERAGENT
SQLServer的SQLServer的的
NTSERVICESQLAGENT$PAYROLL
安全说明始终用尽可能低的用户权限运行SQLServer服务。就会使用MSA或virtual account。当无法使用MSA和虚拟帐户时,将使用特定的低特权用户帐户或域帐户,而不将共享帐户用于SQLServer服务。对不同的SQLServer服务使用单独的帐户。不要向SQLServer服务帐户或服务组授予其他权限。在支持服务SID的情况下,将通过组成员身份或直接将权限授予服务SID。
防火墙端口
在大多数情况下,首次安装时,可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。SQLServer安装程序不会在
Windows防火墙中打开端口。在将数据库引擎配置为侦听TCP端口,并且在Windows防火墙中打开适当的端口进行连接之前,将无法从其他计算机建立连接。
配置Windows服务帐户和权限
SQLServer2016
其他版本
适用于:SQLServer2016
SQLServer中的每个服务表示一个进程或一组进程,用于通过Windows管理SQLServer操作的身份验证。本主题介绍此SQLServer版本中服务的默认配置,以及可以在SQLServer安装过程中以及安装之后设置的SQLServer服务的配置选项。本主题将帮助高级用户了解服务帐户的详细信息。
大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C盘安装Windows的情况下最新的四个版本的路径。
SQLServer2016
C:
SQLServer2014
C:
SQLServer2012
C:
SQLServer2008
C:
安装的服务SQLServer
根据您决定安装的组件,SQLServer安装程序将安装以下服务:
•SQLServerDatabaseServices-用于SQLServer关系数据库引擎的服务。可执行文件为
•SQLServer代理-执行作业、监视SQLServer、激发警报以及允许自动执行某些管理任务。SQLServer代理服务在SQLServerExpress的实例上存在,但处于禁用状态。可执行文件为
•AnalysisServices-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。可执行文件为
•ReportingServices-管理、执行、创建、计划和传递报表。可执行文件为
•IntegrationServices-为IntegrationServices包的存储和执行提供管理支持。可执行文件的路径是
•SQLServerBrowser-向客户端计算机提供SQLServer连接信息的名称解析服务。可执行文件的路径为c:ProgramFiles(x86)
•全文搜索-对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQLServer提供文档筛选和断字功能。
•SQL编写器-允许备份和还原应用程序在卷影复制服务(VSS)框架中运行。
•SQLServer分布式重播控制器-跨多个分布式重播客户端计算机提供跟踪重播业务流程。
•SQLServerDistributedReplay客户端-与DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。
•SQLServer受信任的启动板-用于托管Microsoft提供的外部可执行文件的可信服务,例如作为RServices(In-database)的一部分安装的R运行时。附属进程可由启动板进程启动,但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行,特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。
服务属性和配置
用于启动和运行SQLServer的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。若要启动和运行SQLServer中的每项服务,这些服务都必须有一个在安装过程中配置的启动帐户。
此部分介绍可配置为启动SQLServer服务的帐户、SQLServer安装程序使用的默认值、Per-serviceSID的概念、启动选项以及配置防火墙。
•默认服务帐户
•自动启动
•配置服务启动类型
•防火墙端口
默认服务帐户
下表列出了安装程序在安装所有组件时使用的默认服务帐户。列出的默认帐户是建议使用的帐户,但特殊注明的除外。
独立服务器或域控制器
组件
WindowsServer2008(可能为英文页面)
Windows7和WindowsServer2008(可能为英文页面)R2及更高版本
数据库引擎
NETWORK SERVICE
虚拟帐户*
SQLServer代理
NETWORK SERVICE
虚拟帐户*
SSAS
NETWORK SERVICE
虚拟帐户*
SSIS
NETWORK SERVICE
虚拟帐户*
SSRS
NETWORK SERVICE
虚拟帐户*
SQLServer分布式重播控制器
NETWORK SERVICE
虚拟帐户*
SQLServer分布式重播客户端
NETWORK SERVICE
虚拟帐户*
组件
WindowsServer2008(可能为英文页面)
Windows7和WindowsServer2008(可能为英文页面)R2及更高版本
FD启动器(全文搜索)
LOCAL SERVICE
虚拟帐户
SQLServerBrowser
LOCAL SERVICE
LOCAL SERVICE
SQLServerVSS编写器
LOCAL SYSTEM
LOCAL SYSTEM
高级分析扩展
NTSERVICEMSSQLLaunchpad
NTSERVICEMSSQLLaunchpad
*当需要SQLServer计算机外部的资源时,Microsoft建议使用配置了必需的最小特权的托管服务帐户(MSA)。
SQLServer故障转移群集实例
组件
WindowsServer2008(可能为英文页面)
WindowsServer2008(可能为英文页面)R2
数据库引擎
无。提供域用户帐户。
提供域用户帐户。
SQLServer代理
无。提供域用户帐户。
提供域用户帐户。
SSAS
无。提供域用户帐户。
提供域用户帐户。
SSIS
NETWORK SERVICE
虚拟帐户
SSRS
NETWORK SERVICE
虚拟帐户
FD启动器(全文搜索)
LOCAL SERVICE
虚拟帐户
SQLServerBrowser
LOCAL SERVICE
LOCAL SERVICE
SQLServerVSS编写LOCAL SYSTEM
LOCAL SYSTEM
组件
WindowsServer2008(可能为英文页面)
WindowsServer2008(可能为英文页面)R2
器
更改帐户属性
重要事项
•始终使用SQLServer工具(例如SQLServer配置管理器)来更改SQLServer数据库引擎或SQLServer代理服务使用的帐户,或更改帐户的密码。除了更改帐户名称以外,SQLServer配置管理器还可以执行其他配置,例如,更新保护数据库引擎的服务主密钥的Windows本地安全存储区。其他工具(例如Windows服务控制管理器)可以更改帐户名称,但不更改所有必需的设置。
•对于您在SharePoint场中部署的AnalysisServices实例,始终使用SharePoint管理中心为PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。使用管理中心时,关联的设置和权限将更新为使用新的帐户信息。
•若要更改ReportingServices选项,请使用ReportingServices配置工具。
托管服务帐户、组托管服务帐户和虚拟帐户
托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序(例如SQLServer)提供其自己帐户的隔离,同时使管理员无需手动管理这些帐户的服务主体名称(SPN)和凭据。这就使得管理服务帐户用户、密码和SPN的过程变得简单得多。
•托管服务帐户
托管服务帐户(MSA)是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用MSA登录到计算机,但计算机可以使用MSA来启动Windows服务。MSA可以向ActiveDirectory注册服务主体名称(SPN)。MSA的名称中有一个$后缀,例如DOMAINACCOUNTNAME$。在指定MSA时,请将密码留空。因为将MSA分配给单个计算机,它不能用于Windows群集的不同节点。
说明
域管理员必须先在ActiveDirectory中创建MSA,然后SQLServer安装程序才能将其用于SQLServer服务。
•组托管服务帐户
组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户。ActiveDirectory自动更新组托管服务帐户密码,而不重启服务。你可以配置SQLServer服务以使用组托管服务帐户主体。SQLServer2016对于独立实例、故障转移群集实例和可用性组,在WindowsServer2012R2和更高版本上支持组托管服务帐户。
若要使用SQLServer2016或更高版本的组托管服务帐户,操作系统必须是WindowsServer2012R2或更高版本。装有WindowsServer2012R2的服务器需要应用KB 2998082,以便服务可以在密码更改后立即登录而不中断。
有关详细信息,请参阅组托管服务帐户
说明
域管理员必须先在ActiveDirectory中创建组托管服务帐户,然后SQLServer安装程序才能将其用于SQLServer服务。
•虚拟帐户
WindowsServer2008R2和Windows7中的虚拟帐户是“托管的本地帐户”,此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的,并且虚拟帐户可以访问域环境中的网络。如果在WindowsServer2008R2或Windows7上安装SQLServer时对服务帐户使用默认值,则将使用将实例名称用作服务名称的虚拟帐户,格式为NTSERVICE
说明
虚拟帐户不能用于SQLServer故障转移群集实例,因为虚拟帐户在群集的每个节点不会有相同SID。
下表列出了虚拟帐户名称的示例。
服务
虚拟帐户名称
服务
虚拟帐户名称
数据库引擎服务的默认实例
NTSERVICEMSSQLSERVER
名为数据库引擎的的服务的命名实例
NTSERVICEMSSQL$PAYROLL
SQLServer代理服务,位于以下默认实例上:SQLServer
NTSERVICESQLSERVERAGENT
SQLServer的SQLServer的的
NTSERVICESQLAGENT$PAYROLL
有关托管服务帐户和虚拟帐户的详细信息,请参阅服务帐户分步指南的托管服务和虚拟帐户概念部分以及托管服务帐户常见问题解答 (FAQ)。
安全说明始终用尽可能低的用户权限运行SQLServer服务。就会使用MSA或virtual account。当无法使用MSA和虚拟帐户时,将使用特定的低特权用户帐户或域帐户,而不将共享帐户用于SQLServer服务。对不同的SQLServer服务使用单独的帐户。不要向SQLServer服务帐户或服务组授予其他权限。在支持服务SID的情况下,将通过组成员身份或直接将权限授予服务SID。
自动启动
除了具有用户帐户外,每项服务还有用户可控制的三种可能的启动状态:
•已禁用服务已安装但当前未运行。
•手动服务已安装,但仅当另一个服务或应用程序需要该服务的功能时才启动。
•自动服务由操作系统自动启动。
在安装过程中,启动状态处于选中状态。当安装命名实例时,SQLServerBrowser服务应设置为自动启动。
在无人参与的安装过程中配置服务
下表显示了可以在安装过程中配置的SQLServer服务。对于无人参与的安装,可以在配置文件中或在命令提示符下使用开关。
SQLServer服务名称
无人参与安装的开关*
MSSQLSERVER
SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPE
SQLServerAgent**
AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPE
MSSQLServerOLAPService
ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPE
ReportServer
RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPE
IntegrationServices
ISSVCACCOUNT、ISSVCPASSWORD、
SQLServer服务名称
无人参与安装的开关*
ISSVCSTARTUPTYPE
SQLServerDistributedReplay控制器
DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRUSERS
CTLRSTARTUPTYPE、SQLServerDistributedReplay客户端
DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、CLTRESULTDIR
RServices(In-database)
EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS
*有关无人参与安装的详细信息和示例语法,请参阅从命令提示符安装 SQL Server 2016。
**SQLServer代理服务在SQLServerExpress实例和具有高级服务的SQLServerExpress实例上处于禁用状态。
防火墙端口
在大多数情况下,首次安装时,可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。SQLServer安装程序不会在Windows防火墙中打开端口。在将数据库引擎配置为侦听TCP端口,并且在Windows防火墙
中打开适当的端口进行连接之前,将无法从其他计算机建立连接。有关详细信息,请参阅配置
Windows 防火墙以允许 SQL Server 访问。
服务权限
服务配置和访问控制
SQLServer2016会为它的每项服务启用Per-serviceSID,以提供深层服务隔离与防御。Per-serviceSID从服务名称派生得到,对该服务是唯一的。例如,数据库引擎服务的服务SID名称可能是NTServiceMSSQL$
说明:在Windows7和WindowsServer2008(可能为英文页面)R2上,Per-serviceSID可以是服务使用的虚拟帐户。
Windows特权和权限
为启动服务分配的帐户需要对于服务的启动、停止和暂停权限。SQLServer安装程序将自动分配此权限。首先,安装远程服务器管理工具(RSAT)
下表说明SQLServer安装程序为SQLServer组件使用的Per-serviceSID或本地Windows组请求的权限。
SQLServer服务
SQLServer安装程序授予的权限
SQLServer数据库引擎设置用户帐户: 以服务身份登录(SeServiceLogonRight)
(所有权限都将授予Per-serviceSID。默认实例:NTSERVICEMSSQLSERVER。命名实例:替换进程级别标记
SQLServer服务
SQLServer安装程序授予的权限
NTSERVICEMSSQL$InstanceName。)
(SeAssignPrimaryTokenPrivilege)
跳过遍历检查(SeChangeNotifyPrivilege)
调整进程的内存配额(SeIncreaseQuotaPrivilege)
启动SQL编写器的权限
读取事件日志服务的权限
读取远程过程调用服务的权限
SQLServer代理:* 以服务身份登录(SeServiceLogonRight)
(所有权限都将授予Per-serviceSID。默认实例:NTServiceSQLSERVERAGENT。命名实例:NTServiceSQLAGENT$InstanceName。)
替换进程级别标记(SeAssignPrimaryTokenPrivilege)
跳过遍历检查
SQLServer服务
SQLServer安装程序授予的权限
(SeChangeNotifyPrivilege)
调整进程的内存配额(SeIncreaseQuotaPrivilege)
SSAS设置用户帐户: 以服务身份登录(SeServiceLogonRight)
(所有权限都授予本地Windows组。默认实例:SQLServerMSASUser$ComputerName$MSSQLSERVER。命名实例:增加进程工作集仅适用于表格:
SQLServerMSASUser$ComputerName$InstanceName。PowerPivotforSharePoint实例:(SeIncreaseWorkingSetPrivilege)
SQLServerMSASUser$ComputerName$PowerPivot。)
调整进程的内存配额(SeIncreaseQuotaSizePrivilege)
锁定内存中的页(SeLockMemoryPrivilege)-仅当完全关闭分页时才需要。
SQLServer服务
SQLServer安装程序授予的权限
仅适用于故障转移群集安装:
提高计划优先级(SeIncreaseBasePriorityPrivilege)
SSRS设置用户帐户: 以服务身份登录(SeServiceLogonRight)
(所有权限都将授予Per-serviceSID。默认实例:NTSERVICEReportServer。命名实例:NTSERVICE$InstanceName。)
SSIS设置用户帐户: 以服务身份登录(SeServiceLogonRight)
(所有权限都将授予Per-serviceSID。默认实例和命名实例:NTSERVICEMsDtsServer130。应用程序事件日志的写入权限。
IntegrationServices没有针对命名实例的单独进程。)
跳过遍历检查(SeChangeNotifyPrivilege)
身份验证后模拟客户端
SQLServer服务
SQLServer安装程序授予的权限
(SeImpersonatePrivilege)
全文搜索: 以服务身份登录(SeServiceLogonRight)
(所有权限都将授予Per-serviceSID。默认实例:NTServiceMSSQLFDLauncher。命名实例:NTServiceMSSQLFDLauncher$InstanceName。)
调整进程的内存配额(SeIncreaseQuotaPrivilege)
跳过遍历检查(SeChangeNotifyPrivilege)
SQLServerBrowser: 以服务身份登录(SeServiceLogonRight)
(所有权限都授予本地Windows组。默认实例或命名实例:SQLServer2005SQLBrowserUser$ComputerName。SQLServerBrowser没有针对命名实例的单独进程。)
SQLServerVSS编写器: SQLWriter服务在具有所需的所有权限的LOCALSYSTEM帐(所有权限都将授予Per-serviceSID。默认实例或命名实
SQLServer服务
SQLServer安装程序授予的权限
例:NTServiceSQLWriter。SQLServerVSS编写器没有针对命名实例的单独进程。)
户下运行。SQLServer安装程序不检查此服务或为其授予权限。
SQLServer分布式重播控制器:
以服务身份登录(SeServiceLogonRight)
SQLServer分布式重播客户端:
以服务身份登录(SeServiceLogonRight)
启动板:
以服务身份登录(SeServiceLogonRight)
替换进程级别标记(SeAssignPrimaryTokenPrivilege)
跳过遍历检查(SeChangeNotifyPrivilege)
调整进程的内存配额
SQLServer服务
SQLServer安装程序授予的权限
(SeIncreaseQuotaPrivilege)
*SQLServer代理服务在SQLServerExpress的实例上处于禁用状态。
授予SQLServerPer-serviceSID或本地Windows组的文件系统权限
SQLServer服务帐户必须具有对资源的访问权限。为Per-serviceSID或本地Windows组设置了访问控制列表。
重要事项
对于故障转移群集安装,必须为本地帐户的ACL设置共享磁盘上的资源。
下表显示了SQLServer安装程序设置的ACL:
服务帐户针对 文件和文件夹
访问
MSSQLServer InstidMSSQLbackup 完
服务帐户针对 文件和文件夹
访问
全控制
InstidMSSQLbinn 读取和执行
InstidMSSQLdata 完全控制
InstidMSSQLFTData 完全
服务帐户针对 文件和文件夹
访问
控制
InstidMSSQLInstall 读取和执行
InstidMSSQLLog 完全控制
InstidMSSQLRepldata 完全控
服务帐户针对 文件和文件夹
访问
制
130shared 读取和执行
InstidMSSQLTemplateData(仅限SQLServerExpress)
读取
SQLServerAgent* InstidMSSQLbinn 完全控制
服务帐户针对 文件和文件夹
访问
InstidMSSQLbinn 完全控制
InstidMSSQLLog 读取、写入、删除和执行
130com 读取
服务帐户针对 文件和文件夹
访问
和执行
130shared 读取和执行
130sharedErrordumps 读取和写入
服务帐户针对 文件和文件夹
访问
ServerNameEventLog 完全控制
FTS InstidMSSQLFTData 完全控制
InstidMSSQLFTRef 读取和执行
服务帐户针对 文件和文件夹
访问
130shared 读取和执行
130sharedErrordumps 读取和写入
InstidMSSQLInstall 读取和执
服务帐户针对 文件和文件夹
访问
行
InstidMSSQLjobs 读取和写入
MSSQLServerOLAPservice
130sharedASConfig 完全控制
InstidOLAP 读取和执
服务帐户针对 文件和文件夹
访问
行
InstidOlapData 完全控制
InstidOlapLog 读取和写入
InstidOLAPBackup 读取和写
服务帐户针对 文件和文件夹
访问
入
InstidOLAPTemp 读取和写入
130sharedErrordumps 读取和写入
SQLServerReportServerUser
InstidReportingServicesLogFiles 读取、写
服务帐户针对 文件和文件夹
访问
入、删除
InstidReportingServicesReportServer 读取和执行
完全控制
InstidReportingservicesReportserverRep读
服务帐户针对 文件和文件夹
访问
取
InstidReportingServicesreportManager 读取和执行
InstidReportingServicesRSTempfiles 读取、写入、执行、删除
服务帐户针对 文件和文件夹
访问
130shared 读取和执行
130sharedErrordumps 读取和写入
MSDTSServer100 读取
130dtsbinn 读
服务帐户针对 文件和文件夹
访问
取和执行
130shared 读取和执行
130sharedErrordumps 读取和写入
服务帐户针对 文件和文件夹
访问
SQLServer浏览者 130sharedASConfig 读取
130shared 读取和执行
130sharedErrordumps 读取和写入
SQLWriter 不适用(以LocalSystem身份运行)
服务帐户针对 文件和文件夹
访问
用户 InstidMSSQLbinn 读取和执行
InstidReportingServicesReportServer 读取、执行和列出文件夹内
服务帐户针对 文件和文件夹
访问
容
读取
InstidReportingServicesReportManager 读取和执行
InstidReportingServicesReportManagerpages
读取
InstidReportingServicesReportManagerStyles
读取
服务帐户针对 文件和文件夹
访问
130dts 读取和执行
130tools 读取和执行
100tools 读取和执
服务帐户针对 文件和文件夹
访问
行
90tools 读取和执行
80tools 读取和执行
130sdk 读取
服务帐户针对 文件和文件夹
访问
MicrosoftSQLServer130SetupBootstrap 读取和执行
SQLServerDistributedReplay控制器
读取、执行和列出文件夹内
服务帐户针对 文件和文件夹
访问
容
读取、执行和列出文件夹内容
发布评论