Auswählen eines Kontos für den SQL Server-Agent-Dienst
Das Dienststartkonto definiert das Microsoft Windows-Konto, in dem der SQL Server-Agent ausgeführt wird, und legt dessen Netzwerkberechtigungen fest. Der SQL Server-Agent wird als angegebenes Benutzerkonto ausgeführt. Sie wählen ein Konto für den SQL Server-Agent-Dienst mithilfe des SQL Server-Konfigurations-Managers aus. Dort können Sie zwischen folgenden Optionen wählen:
Integriertes Konto. Sie können aus einer Liste der folgenden integrierten Windows-Dienstkonten auswählen:
Lokales Systemkonto . Der Name dieses Kontos lautet NT-AUTORITÄT\System. Hierbei handelt es sich um ein Konto mit weit reichenden Befugnissen, das über unbeschränkten Zugriff auf alle lokalen Systemressourcen verfügt. Sie ist Mitglied der Windows-Administratorengruppe auf dem lokalen Computer und daher Mitglied der festen Serverrolle SQL Server sysadmin.
Wichtig
Die Option Lokales Systemkonto wird nur aus Gründen der Abwärtskompatibilität bereitgestellt. Ein lokales Systemkonto verfügt über Berechtigungen, die für den SQL Server-Agent nicht erforderlich sind. Vermeiden Sie die Ausführung des SQL Server-Agents als lokales Systemkonto. Zur Verbesserung der Sicherheit sollten Sie ein Windows-Domänenkonto zusammen mit den im folgenden Abschnitt "Berechtigungen für Windows-Domänenkonten" aufgelisteten Berechtigungen verwenden.
Dieses Konto. Hier können Sie das Windows-Domänenkonto angeben, unter dem der SQL Server-Agent-Dienst ausgeführt wird. Das von Ihnen ausgewählte Windows-Benutzerkonto sollte kein Mitglied der Windows-Gruppe Administratoren sein. Es gibt jedoch Einschränkungen für die Verwendung der Multiserververwaltung, wenn das SQL Server-Agent-Dienstkonto kein Mitglied der lokalen Administratorgruppe ist. Weitere Informationen finden Sie unter "Unterstützte Dienstkontotypen" weiter unten in diesem Thema.
Berechtigungen für Windows-Domänenkonten
Zur Verbesserung der Sicherheit sollten Sie die Option Dieses Kontoauswählen, um ein Windows-Domänenkonto anzugeben. Das von Ihnen angegebene Windows-Domänenkonto muss folgende Berechtigungen haben:
- Berechtigung zum Anmelden als Dienst für alle Windows-Versionen (SeServiceLogonRight)
Hinweis
Das SQL Server-Agent-Dienstkonto muss Teil der Pre-Windows 2000-kompatiblen Zugriffsgruppe auf dem Domänencontroller sein, andernfalls schlagen Aufträge fehl, die domänenbenutzern gehören, die nicht Mitglied der Windows-Administratorengruppe sind.
Auf Windows-Servern benötigt das Konto, das vom SQL Server-Agent-Dienst ausgeführt wird, die folgenden Berechtigungen, um SQL Server-Agent Proxys unterstützen zu können.
Berechtigung zum Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)
Berechtigung zum Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)
Berechtigung zum Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)
Berechtigung zum Anmelden mithilfe der Batchanmeldung (SeBatchLogonRight)
Hinweis
Wenn das Konto nicht über die Berechtigungen verfügt, die zur Unterstützung von Proxys erforderlich sind, können Aufträge nur von Mitgliedern der festen Serverrolle sysadmin erstellt werden.
Hinweis
Um WMI-Warnbenachrichtigungen zu empfangen, muss das Dienstkonto des SQL Server-Agents über die Berechtigung für den Namespace verfügen, der die WMI-Ereignisse enthält. Außerdem muss es die Berechtigung ALTER ANY EVENT NOTIFICATION aufweisen.
SQL Server-Rollenmitgliedschaft
Das Konto, unter dem der SQL Server-Agent-Dienst ausgeführt wird, muss Mitglied der folgenden SQL Server-Rollen sein:
Das Konto muss ein Mitglied der festen Serverrolle sysadmin sein.
Um die Multiserver-Auftragsverarbeitung verwenden zu können, muss das Konto Mitglied der msdb -Datenbankrolle TargetServersRole auf dem Masterserver sein.
Unterstützte Dienstkontotypen
In der folgenden Tabelle werden die Windows-Kontotypen aufgelistet, die für den SQL Server-Agent-Dienst verwendet werden können.
| Dienstkontotyp | Nicht gruppierter Server | Gruppierter Server | Domänencontroller (nicht gruppiert) |
|---|---|---|---|
| Microsoft Windows-Domänenkonto (Mitglied der Windows-Administratorengruppe) | Unterstützt | Unterstützt | Unterstützt |
| Windows-Domänenkonto (kein Administratorkonto) | Unterstützt1 | Unterstützt1 | Unterstützt1 |
| Netzwerkdienstkonto (NT AUTHORITY\NetworkService) | Unterstützt1, 3, 4 | Nicht unterstützt | Nicht unterstützt |
| Lokales Benutzerkonto (kein Administratorkonto) | Unterstützt1 | Nicht unterstützt | Nicht zutreffend |
| Lokales Systemkonto (NT AUTHORITY\System) | Unterstützt2 | Nicht unterstützt | Unterstützt2 |
| Lokales Dienstkonto (NT AUTHORITY\LocalService) | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
1 Siehe Einschränkung 1 weiter unten.
2 Siehe Einschränkung 2 weiter unten.
3 Siehe Einschränkung 3 weiter unten.
4 Siehe Einschränkung 4 weiter unten.
Einschränkung 1: Verwenden von Nichtadministratorkonten für die Multiserververwaltung
Beim Eintragen von Zielservern auf einem Masterserver kann ein Fehler mit einer Fehlermeldung, die der folgenden ähnlich ist, auftreten: "Fehler beim Eintragen."
Um diesen Fehler zu beheben, starten Sie sowohl den SQL Server- als auch den SQL Server-Agent-Dienst neu. Weitere Informationen finden Sie unter Starten, Beenden, Anhalten, Fortsetzen und Neustarten von SQL Server-Diensten.
Einschränkung 2: Verwenden des lokalen Systemkontos für die Multiserververwaltung
Die Multiserververwaltung wird bei Ausführung des SQL Server-Agent-Diensts unter dem lokalen Systemkonto nur dann unterstützt, wenn sich der Masterserver und der Zielserver auf demselben Computer befinden. Wenn Sie diese Konfiguration verwenden, wird beim Eintragen der Zielserver auf dem Masterserver etwa die folgende Meldung zurückgegeben:
„Stellen Sie sicher, dass das Agent-Startkonto für den <Zielserver-Computername> die Berechtigung zur Anmeldung als Zielserver besitzt.“
Sie können diese zu Informationszwecken ausgegebene Meldung ignorieren. Der Eintragungsvorgang wird dennoch erfolgreich abgeschlossen. Weitere Informationen finden Sie unter Erstellen einer Multiserverumgebung.
Einschränkung 3: Verwenden des Netzwerkdienstkontos als SQL Server-Benutzer
Der SQL Server-Agent wird möglicherweise nicht gestartet, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und diesem Konto explizit der Zugriff auf eine SQL Server-Instanz als SQL Server-Benutzer erteilt wurde.
Um diesen Fehler zu beheben, führen Sie auf dem Computer, auf dem SQL Server ausgeführt wird, einen Neustart durch. Dies muss nur einmal erfolgen.
Einschränkung 4: Verwenden des Netzwerkdienstkontos bei Ausführung von SQL Server Reporting Services auf demselben Computer
Der SQL Server-Agent wird möglicherweise nicht gestartet, wenn Sie den SQL Server-Agent-Dienst unter dem Netzwerkdienstkonto ausführen und Reporting Services ebenfalls auf demselben Computer ausgeführt wird.
Um diesen Fehler zu beheben, führen Sie auf dem Computer, auf dem SQL Server ausgeführt wird, einen Neustart durch, und starten Sie dann sowohl den SQL Server- als auch den SQL Server-Agent-Dienst neu. Dies muss nur einmal erfolgen.
Allgemeine Aufgaben
So geben Sie das Startkonto für den SQL Server-Agent-Dienst an
So geben Sie das Mailprofil für den SQL Server-Agent an
Hinweis
Verwenden Sie den SQL Server-Konfigurations-Manager, um anzugeben, dass der SQL Server-Agent beim Start des Betriebssystems gestartet werden soll.
Weitere Informationen
Konfigurieren von Windows-Dienstkonten und -Berechtigungen
Verwalten von Diensten: Themen zur Vorgehensweise (SQL Server-Konfigurations-Manager)
Implementieren der SQL Server-Agent-Sicherheit