配置 Windows 服务帐户和权限.docx

1、配置 Windows 服务帐户和权限QL Server 中的每个服务表示一个进程或一组进程，用于通过 Windows 管理 SQL Server 操作的身份验证。本主题介绍此 SQL Server 版本中服务的默认配置，以及可以在 SQL Server 安装过程中以及安装之后设置的 SQL Server 服务的配置选项。内容本主题分为以下几个部分： SQL Server 安装的服务 服务属性和配置o 默认服务帐户 更改帐户属性o 可用于 Windows 7 和 Windows Server 2008 R2 的新帐户类型o 自动启动o 在无人参与的安装过程中配置服务o 防火墙端口 服务权限o 服

2、务配置和访控制o Windows 特权和权限o 授予 SQL Server Per-service SID 或本地 Windows 组的文件系统权限o 授予其他 Windows 用户帐户或组的文件系统权限o 与非寻常磁盘位置相关的文件系统权限o 查看其他注意事项o 注册表权限o WMIo 命名管道 设置o 数据库引擎设置 Windows 主体 sa 帐户 SQL Server Per-service SID 登录名和特权 SQL Server 代理程序登录名和特权 HADRON 和 SQL 故障转移群集实例和特权 SQL 编写器和特权 SQL WMI 和特权o SSAS 设置o SSRS 设置

3、 从早期版本升级 附录o 服务帐户的描述o 辨别识别实例的服务和不识别实例的服务o 本地化的服务名称SQL Server 安装的服务根据您决定安装的组件，SQL Server 安装程序将安装以下服务： SQL Server Database Services- 用于 SQL Server 关系数据库引擎的服务。可执行文件为 MSSQLBinnsqlservr.exe。 SQL Server 代理- 执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。SQL Server 代理服务在 SQL Server Express 的实例上存在，但处于禁用状态。可执行文件为 MSS

4、QLBinnsqlagent.exe。 Analysis Services- 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能。可执行文件为 OLAPBinmsmdsrv.exe。 Reporting Services- 管理、执行、创建、计划和传递报表。可执行文件为 Reporting ServicesReportServerBinReportingServicesService.exe。 Integration Services- 为 Integration Services 包的存储和执行提供管理支持。可执行文件路径为 120DTSBinnMsDtsSrvr.exe SQ

5、L Server Browser- 向客户端计算机提供 SQL Server 连接信息的名称解析服务。可执行文件的路径为 c:Program Files (x86)Microsoft SQL Server90Sharedsqlbrowser.exe 全文搜索- 对结构化和半结构化数据的内容和属性快速创建全文索引，从而为 SQL Server 提供文档筛选和断字功能。 SQL 编写器- 允许备份和还原应用程序在 Volume Shadow Copy Service (VSS) 框架中运行。 SQL Server 分布式重播控制器- 跨多个分布式重播客户端计算机提供跟踪重播业务流程。 SQL Se

6、rver 分布式重播客户端- 与分布式重播控制器一起来模拟针对 SQL Server 数据库引擎实例的并发工作负荷的一台或多台分布式重播客户端计算机。顶部服务属性和配置用于启动和运行 SQL Server 的启动帐户可以是域用户帐户、本地用户帐户、或内置系统帐户。309b9dac-0b3a-4617-85ef-c4519ce9d014#VA309b9dac-0b3a-4617-85ef-c4519ce9d014#MSA若要启动和运行 SQL Server 中的每项服务，这些服务都必须有一个在安装过程中配置的启动帐户。此部分介绍可配置为启动 SQL Server 服务的帐户、SQL Server

7、 安装程序使用的默认值、Per-service SID 的概念、启动选项以及配置防火墙。 默认服务帐户 自动启动 配置服务启动类型 防火墙端口默认服务帐户下表列出了安装程序在安装所有组件时使用的默认服务帐户。列出的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或域控制器组件Windows Server 2008Windows 7 和 Windows Server 2008 R2 及更高版本数据库引擎NETWORK SERVICE虚拟帐户*SQL Server 代理NETWORK SERVICE虚拟帐户*SSASNETWORK SERVICE虚拟帐户*SSISNETWORK SERVIC

8、E虚拟帐户*SSRSNETWORK SERVICE虚拟帐户*SQL Server Distributed Replay 控制器NETWORK SERVICE虚拟帐户*SQL Server Distributed Replay 客户端NETWORK SERVICE虚拟帐户*FD 启动器（全文搜索）LOCAL SERVICE虚拟帐户SQL Server BrowserLOCAL SERVICELOCAL SERVICESQL Server VSS 编写器LOCAL SYSTEMLOCAL SYSTEM*当需要 SQL Server 计算机外部的资源时，Microsoft 建议使用配置了必需的最小特

9、权的托管服务帐户 (MSA)。SQL Server 故障转移群集实例组件Windows Server 2008Windows Server 2008 R2数据库引擎无。提供域用户帐户。提供域用户帐户。SQL Server 代理无。提供域用户帐户。提供域用户帐户。SSAS无。提供域用户帐户。提供域用户帐户。SSISNETWORK SERVICE虚拟帐户SSRSNETWORK SERVICE虚拟帐户FD 启动器（全文搜索）LOCAL SERVICE虚拟帐户SQL Server BrowserLOCAL SERVICELOCAL SERVICESQL Server VSS 编写器LOCAL SYST

10、EMLOCAL SYSTEM顶部更改帐户属性重要事项 始终使用 SQL Server 工具（例如 SQL Server 配置管理器）来更改 SQL Server 数据库引擎 或 SQL Server 代理服务使用的帐户，或更改帐户的密码。除了更改帐户名称以外，SQL Server 配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的 Windows 本地安全存储区。其他工具（例如 Windows 服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。 对于您在 SharePoint 场中部署的 Analysis Services 实例，始终使用 SharePoint 管理中

11、心为 PowerPivot 服务应用程序和 Analysis Services 服务更改服务器帐户。使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。 若要更改 Reporting Services 选项，请使用 Reporting Services 配置工具。顶部可用于 Windows 7 和 Windows Server 2008 R2 的新帐户类型Windows 7 和 Windows Server 2008 R2 有两种新型的服务帐户，即托管服务帐户 (MSA) 和虚拟帐户。托管服务帐户和虚拟帐户设计用于向关键应用程序（例如 SQL Server）提供其自己帐户的隔离，同时使管

12、理员无需手动管理这些帐户的服务主体名称 (SPN) 和凭据。这就使得管理服务帐户用户、密码和 SPN 的过程变得简单得多。 托管服务帐户托管服务帐户 (MSA) 是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用 MSA 登录到计算机，但计算机可以使用 MSA 来启动 Windows 服务。MSA 可以向 Active Directory 注册服务主体名称 (SPN)。MSA 的名称中有一个$后缀，例如DOMAINACCOUNTNAME$。在指定 MSA 时，请将密码留空。因为将 MSA 分配给单个计算机，它不能用于 Windows 群

13、集的不同节点。注意域管理员必须先在 Active Directory 中创建 MSA，然后 SQL Server 安装程序才能将其用于 SQL Server 服务。注意当前不支持组托管服务帐户。 虚拟帐户Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是“托管的本地帐户”，此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。如果在 Windows Server 2008 R2 或 Windows 7 上安装 SQL Server 时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为NT SERVIC

14、E。以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为$）访问网络资源。当指定一个虚拟帐户以启动 SQL Server 时，应将密码留空。如果虚拟帐户无法注册服务主体名称 (SPN)，则手动注册该 SPN。有关手动注册 SPN 的详细信息，请参阅手动注册 SPN。注意虚拟帐户不能用于 SQL Server 故障转移群集实例，因为虚拟帐户在群集的每个节点不会有相同 SID。下表列出了虚拟帐户名称的示例。服务虚拟帐户名称数据库引擎服务的默认实例NT SERVICEMSSQLSERVER名为PAYROLL的数据库引擎服务的命名实例NT SERVICEMSSQL$PAYROLLSQL Serve

15、r 代理服务，位于 SQL Server 的默认实例上NT SERVICESQLSERVERAGENT名为 PAYROLLSQL Server 的 SQL Server 实例上的 代理服务NT SERVICESQLAGENT$PAYROLL有关托管服务帐户和虚拟帐户的详细信息，请参阅的 托管服务和虚拟帐户概念托管服务帐户常见问题解答 (FAQ)。安全说明：始终用尽可能低的用户权限运行 SQL Server 服务。只要可能，就会使用 或。309b9dac-0b3a-4617-85ef-c4519ce9d014#VA309b9dac-0b3a-4617-85ef-c4519ce9d014#MSA当

16、无法使用 MSA 和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于 SQL Server 服务。对不同的 SQL Server 服务使用单独的帐户。不要向 SQL Server 服务帐户或服务组授予其他权限。在支持服务 SID 的情况下，将通过组成员身份或直接将权限授予服务 SID。自动启动除了具有用户帐户外，每项服务还有用户可控制的三种可能的启动状态： 已禁用服务已安装但当前未运行。 手动服务已安装，但仅当另一个服务或应用程序需要该服务的功能时才启动。 自动服务由操作系统自动启动。在安装过程中，启动状态处于选中状态。当安装命名实例时，SQL Server Browser

17、服务应设置为自动启动。在无人参与的安装过程中配置服务下表显示了可以在安装过程中配置的 SQL Server 服务。对于无人参与的安装，可以在配置文件中或在命令提示符下使用开关。SQL Server 服务名称无人参与安装的开关1MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent2AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPERepo

18、rtServerRSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegration ServicesISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPESQL Server Distributed Replay 控制器DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSSQL Server Distributed Replay 客户端DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLT

19、CTLRNAME、CLTWORKINGDIR、CLTRESULTDIR1有关无人参与安装的详细信息和示例语法，请参阅从命令提示符安装 SQL Server 2014。2在 SQL Server 实例和 SQL Server Express with Advanced Services 实例上，SQL Server Express 代理服务已禁用。防火墙端口在大多数情况下，首次安装时，可以通过与 数据库引擎 安装在相同计算机上的 SQL Server Management Studio 等此类工具连接SQL Server。SQL Server 安装程序不会在 Windows 防火墙中打开端口。在

20、将数据库引擎配置为侦听 TCP 端口，并且在 Windows 防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。有关详细信息，请参阅配置 Windows 防火墙以允许 SQL Server 访问。顶部服务权限此部分介绍 SQL Server 安装程序为 SQL Server 服务的 Per-service SID 配置的权限。 服务配置和访控制 Windows 特权和权限 授予 SQL Server Per-service SID 或 SQL Server 本地 Windows 组的文件系统权限 授予其他 Windows 用户帐户或组的文件系统权限 与非寻常磁盘位置相关的文件系统

21、权限 查看其他注意事项 注册表权限 WMI 命名管道服务配置和访控制SQL Server 2014 会为它的每项服务启用 Per-service SID，以提供深层服务隔离与防御。Per-service SID 从服务名称派生得到，对该服务是唯一的。例如，数据库引擎 服务的服务 SID 名称可能是NT ServiceMSSQL$。通过服务隔离，可直接访问特定的对象，而无需运行高特权帐户，也不会削弱为对象提供的安全保护水平。通过使用包含服务 SID 的访问控制项，SQL Server 服务可限制对其资源的访问。注意在 Windows 7 和 Windows Server 2008R2 上，Per

22、-service SID 可以是服务使用的虚拟帐户。对于大多数组件，SQL Server 直接为 Per-service 帐户配置 ACL，因此，无需重复资源 ACL 过程即可更改此服务帐户。当安装 SSAS 时，将创建 Analysis Services 服务的 Per-service SID。将创建本地 Windows 组，其名称格式为SQLServerMSASUser$computer_name$instance_name。Per-service SIDNT SERVICEMSSQLServerOLAPService已被授予本地 Windows 组中的成员资格，而本地 Windows 组

23、在 ACL 中被授予了适当的权限。如果更改了用来启动 Analysis Services 服务的帐户，SQL Server 配置管理器必须更改某些 Windows 权限（如作为服务登录的权限），但分配给本地 Windows 组的权限将仍可用且没有任何更新，因为 Per-service SID 没发生变化。此方法允许在升级过程中重命名 Analysis Services 服务。在 SQL Server 安装过程中，SQL Server 安装程序为 SSAS 和 SQL Server Browser 服务创建一个本地 Windows 组。对于这些服务，SQL Server 将为此本地 Window

24、s 组配置 ACL。在安装或升级期间，系统可能会将服务或服务 SID 的服务帐户添加为服务组的成员，具体取决于服务配置。Windows 特权和权限为启动服务分配的帐户需要对于服务的启动、停止和暂停权限。SQL Server 安装程序将自动分配此权限。首先，安装远程服务器管理工具 (RSAT)。请参阅Remote Server Administration Tools for Windows 7（Windows 7 的远程服务器管理工具）。下表说明 SQL Server 安装程序为 SQL Server 组件使用的 Per-service SID 或本地 Windows 组请求的权限。SQL S

25、erver 服务SQL Server 安装程序授予的权限SQL Server 数据库引擎：（所有权限都将授予 Per-service SID。默认实例：NT SERVICEMSSQLSERVER。命名实例：NT SERVICEMSSQL$InstanceName。）以服务身份登录(SeServiceLogonRight)替换进程级别标记(SeAssignPrimaryTokenPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)调整进程的内存配额(SeIncreaseQuotaPrivilege)启动 SQL 编写器的权限读取事件日志服务的权限读取远程过程调用服务

26、的权限SQL Server 代理：1（所有权限都将授予 Per-service SID。默认实例：NT ServiceSQLSERVERAGENT。命名实例：NT ServiceSQLAGENT$InstanceName。）以服务身份登录(SeServiceLogonRight)替换进程级别标记(SeAssignPrimaryTokenPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)调整进程的内存配额(SeIncreaseQuotaPrivilege)SSAS：（所有权限都授予本地 Windows 组。默认实例：SQLServerMSASUser$Comput

27、erName$MSSQLSERVER。命名实例：SQLServerMSASUser$ComputerName$InstanceName。PowerPivot for SharePoint 实例：SQLServerMSASUser$ComputerName$PowerPivot。）以服务身份登录(SeServiceLogonRight)仅适用于表格：增加进程工作集(SeIncreaseWorkingSetPrivilege)调整进程的内存配额(SeIncreaseQuotaSizePrivilege)锁定内存中的页(SeLockMemoryPrivilege) - 仅当完全关闭分页时才需要。仅适

28、用于故障转移群集安装：提高计划优先级(SeIncreaseBasePriorityPrivilege)SSRS：（所有权限都将授予 Per-service SID。默认实例：NT SERVICEReportServer。命名实例：NT SERVICE$InstanceName。）以服务身份登录(SeServiceLogonRight)SSIS：（所有权限都将授予 Per-service SID。默认实例和命名实例：NT SERVICEMsDtsServer120。Integration Services 没有针对命名实例的单独进程。）以服务身份登录(SeServiceLogonRight)应用

29、程序事件日志的写入权限。跳过遍历检查(SeChangeNotifyPrivilege)身份验证后模拟客户端(SeImpersonatePrivilege)全文搜索：（所有权限都将授予 Per-service SID。默认实例：NT ServiceMSSQLFDLauncher。命名实例：NT Service MSSQLFDLauncher$InstanceName。）以服务身份登录(SeServiceLogonRight)调整进程的内存配额(SeIncreaseQuotaPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)SQL Server Browser：（所

30、有权限都授予本地 Windows 组。默认实例或命名实例：SQLServer2005SQLBrowserUser$ComputerName。SQL Server Browser 没有针对命名实例的单独进程。）以服务身份登录(SeServiceLogonRight)SQL Server VSS 编写器：（所有权限都将授予 Per-service SID。默认实例或命名实例：NT ServiceSQLWriter。SQL Server VSS 编写器没有针对命名实例的单独进程。）SQLWriter 服务在具有所需的所有权限的 LOCAL SYSTEM 帐户下运行。SQL Server 安装程序不检查此服务或为其授予权限。SQL Server 分布式重播控制器：以服务身份登录(SeServiceLogonRight)SQL Server 分布式重播客户端：以服务身份登录(SeServiceLogonRight)1SQL Server 代理服务在 SQL Server Express 的实例