Configurare account di servizio e autorizzazioni di Windows

Articolo
11/10/2015

Ogni servizio in SQL Server rappresenta un processo o un set di processi destinato a gestire l'autenticazione delle operazioni di SQL Server con Windows. Nel presente argomento viene fornita la descrizione della configurazione predefinita dei servizi disponibili in questa versione di SQL Server e delle opzioni di configurazione per i servizi SQL Serverche è possibile impostare durante e dopo l'installazione di SQL Server.

Sommario

L'argomento è suddiviso nelle sezioni seguenti:

Servizi installati tramite SQL Server
Proprietà e configurazione dei servizi
- Account di servizio predefiniti
  - Modifica delle proprietà dell'account
- Nuovi tipi di account disponibili con Windows 7 e Windows Server 2008 R2
- Avvio automatico
- Configurazione dei servizi durante l'installazione automatica
- Porte del firewall
Autorizzazioni del servizio
- Configurazione e controllo di accesso del servizio
- Privilegi e diritti di Windows
- Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows
- Autorizzazione del file system concessa ad altri account utente o gruppi di Windows
- Autorizzazioni del file system correlate a percorsi su disco non comuni
- Considerazioni aggiuntive
- Autorizzazioni del Registro di sistema
- WMI
- Named Pipes
Provisioning
- Provisioning del motore di database
  - Entità di Windows
  - Account SA
  - Account di accesso del SID per servizio SQL Server e privilegi
  - Account di accesso di SQL Server Agent e privilegi
  - Istanza di HADRON e del cluster di failover di SQL e privilegi
  - Writer SQL e privilegi
  - WMI di SQL e privilegi
- Provisioning di SSAS
- Provisioning di SSRS
Aggiornamento da versioni precedenti
Appendice
- Descrizione degli account di servizio
- Identificazione dei servizi specifici, e non specifici, dell'istanza
- Nomi dei servizi localizzati

Servizi installati tramite SQL Server

A seconda dei componenti selezionati, durante l'installazione di SQL Server vengono installati i servizi seguenti:

Servizi di database SQL Server. Servizio per il Motore di database relazionale di SQL Server. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
SQL Server Agent. Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione. Il servizio SQL Server Agent è presente ma disabilitato nelle istanze di SQL Server Express. Il file eseguibile è <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Analysis Services. Fornisce funzionalità di elaborazione analitica in linea (OLAP) e di data mining per applicazioni di Business Intelligence. Il file eseguibile è <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Reporting Services. Consente la gestione, l'esecuzione, la creazione, la pianificazione e il recapito di report. Il file eseguibile è <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services. Fornisce supporto di gestione per l'archivio pacchetti e l'esecuzione di Integration Services. Il percorso dell'eseguibile è <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe.
SQL Server Browser. Servizio di risoluzione dei nomi che fornisce informazioni di connessione a SQL Server per i computer client. Il percorso dell'eseguibile è c:\Programmi (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
Ricerca full-text. Consente di creare rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per fornire le funzioni di filtro e word breaking dei documenti per SQL Server.
Writer SQL. Consente alle applicazioni di backup e ripristino di operare nel framework del servizio Copia Shadow del volume (VSS).
SQL Server Distributed Replay Controller. Fornisce l'orchestrazione della riproduzione della traccia tra più computer Distributed Replay Client.
SQL Server Distributed Replay Client. Uno o più computer Distributed Replay Client che interagiscono con un sistema Distributed Replay Controller per la simulazione di carichi di lavoro simultanei su un'istanza del Motore di database di SQL Server.

Inizio pagina

Proprietà e configurazione dei servizi

Gli account di avvio utilizzati per avviare ed eseguire SQL Server possono essere account utenti di dominio, account utenti locali, account dei servizi gestiti, account virtuali oppure account di sistema predefiniti. Per essere avviato ed eseguito, ogni servizio in SQL Server deve disporre di un account di avvio configurato durante l'installazione.

In questa sezione vengono descritti gli account che possono essere configurati per avviare servizi SQL Server, i valori predefiniti utilizzati dal programma di installazione di SQL Server, il concetto di SID per servizio, le opzioni di avvio e la configurazione del firewall.

Account di servizio predefiniti
Avvio automatico
Configurazione del tipo di avvio del servizio
Porte del firewall

Account di servizio predefiniti

Nella tabella seguente vengono elencati gli account di servizio predefiniti utilizzati dall'installazione quando si istallano tutti i componenti. Gli account predefiniti elencati sono gli account consigliati, ad eccezione dei casi indicati.

Server autonomo o controller di dominio

Componente	Windows Vista e Windows Server 2008	Windows 7 e Windows Server 2008 R2
Motore di database	NETWORK SERVICE	Account virtuale*
SQL Server Agent	NETWORK SERVICE	Account virtuale*
SSAS	NETWORK SERVICE	Account virtuale*
SSIS	NETWORK SERVICE	Account virtuale*
SSRS	NETWORK SERVICE	Account virtuale*
SQL Server Distributed Replay Controller	NETWORK SERVICE	Account virtuale*
SQL Server Distributed Replay Client	NETWORK SERVICE	Account virtuale*
Utilità di avvio FD (ricerca full-text)	LOCAL SERVICE	Account virtuale
SQL Server Browser	LOCAL SERVICE	LOCAL SERVICE
SQL Server VSS Writer	LOCAL SYSTEM	LOCAL SYSTEM

* Quando sono necessarie risorse esterne al computer SQL Server, Microsoft consiglia di utilizzare un account del servizio gestito, configurato con i privilegi minimi necessari.

Istanza del cluster di failover di SQL Server

Componente	Windows Server 2008	Windows Server 2008 R2
Motore di database	Nessuno. Fornire un account utente di dominio.	Fornire un account utente di dominio.
SQL Server Agent	Nessuno. Fornire un account utente di dominio.	Fornire un account utente di dominio.
SSAS	Nessuno. Fornire un account utente di dominio.	Fornire un account utente di dominio.
SSIS	NETWORK SERVICE	Account virtuale
SSRS	NETWORK SERVICE	Account virtuale
Utilità di avvio FD (ricerca full-text)	LOCAL SERVICE	Account virtuale
SQL Server Browser	LOCAL SERVICE	LOCAL SERVICE
SQL Server VSS Writer	LOCAL SYSTEM	LOCAL SYSTEM

Inizio pagina

Modifica delle proprietà dell'account

Importante
Utilizzare sempre strumenti SQL Server, ad esempio Gestione configurazione SQL Server, per modificare l'account utilizzato dai servizi Motore di database di SQL Server o SQL Server Agent oppure per modificare la password per l'account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL Server consente di eseguire operazioni di configurazione aggiuntive, quali l'aggiornamento dell'archivio di sicurezza locale di Windows, tramite cui viene protetta la chiave master del servizio per il Motore di database. Altri strumenti, ad esempio Gestione controllo servizi di Windows, consentono di modificare il nome dell'account, ma non tutte le impostazioni necessarie. Per le istanze di Analysis Services che vengono distribuite in una farm di SharePoint, utilizzare sempre Amministrazione centrale SharePoint per modificare gli account server per le applicazioni Servizio PowerPivot e il Servizio Analysis Services. Quando si utilizza Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'utilizzo delle nuove informazioni sull'account. Per modificare le opzioni di Reporting Services, utilizzare il relativo strumento di configurazione.

Utilizzare sempre strumenti SQL Server, ad esempio Gestione configurazione SQL Server, per modificare l'account utilizzato dai servizi Motore di database di SQL Server o SQL Server Agent oppure per modificare la password per l'account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL Server consente di eseguire operazioni di configurazione aggiuntive, quali l'aggiornamento dell'archivio di sicurezza locale di Windows, tramite cui viene protetta la chiave master del servizio per il Motore di database. Altri strumenti, ad esempio Gestione controllo servizi di Windows, consentono di modificare il nome dell'account, ma non tutte le impostazioni necessarie.
Per le istanze di Analysis Services che vengono distribuite in una farm di SharePoint, utilizzare sempre Amministrazione centrale SharePoint per modificare gli account server per le applicazioni Servizio PowerPivot e il Servizio Analysis Services. Quando si utilizza Amministrazione centrale, le impostazioni e le autorizzazioni associate vengono aggiornate per l'utilizzo delle nuove informazioni sull'account.
Per modificare le opzioni di Reporting Services, utilizzare il relativo strumento di configurazione.

Inizio pagina

Nuovi tipi di account disponibili con Windows 7 e Windows Server 2008 R2

Windows 7 e Windows Server 2008 R2 dispongono di due nuovi tipi di account di servizio denominati account dei servizi gestiti e account virtuali. Questi account sono progettati per offrire ad applicazioni importanti quali SQL Server, l'isolamento dei relativi account. In questo modo non è più necessario che un amministratore debba amministrare manualmente il nome dell'entità servizio (SPN) e le credenziali per tali account. Inoltre, grazie a questi account, la gestione a lungo termine di utenti di account di servizio, di password e di nomi SPN è più semplice.

Account dei servizi gestiti

Un account del servizio gestito è un tipo di account di dominio creato e gestito dal controller di dominio. Viene assegnato al computer di un singolo membro per l'esecuzione di un servizio e la password viene gestita automaticamente dal controller di dominio. Non è possibile utilizzare un account del servizio gestito per accedere a un computer, tuttavia tale account può essere utilizzato da un computer per l'avvio di un servizio Windows. Un account del servizio gestito consente di registrare un nome dell'entità servizio (SPN) con Active Directory ed è denominato con un suffisso $, ad esempio DOMAIN\ACCOUNTNAME$. Quando si specifica un account del servizio gestito, lasciare la password vuota. Dal momento che un account del servizio gestito viene assegnato a un singolo computer, non può essere utilizzato in nodi diversi di un cluster Windows.

[!NOTA]

Questo tipo di account deve essere creato in Active Directory dall'amministratore di dominio prima che possa essere utilizzato dal programma di installazione di SQL Server per i servizi SQL Server.

[!NOTA]

Gli account del servizio gestito di gruppo non sono attualmente supportati.

Account virtuali

Gli account virtuali in Windows Server 2008 R2 e Windows 7 sono account locali gestiti che forniscono le funzionalità seguenti per semplificare l'amministrazione dei servizi. L'account virtuale è gestito automaticamente e consente di accedere alla rete in un ambiente di dominio. Se durante l'installazione di SQL Server in Windows Server 2008 R2 o Windows 7 viene utilizzato il valore predefinito per gli account di servizio, verrà utilizzato un account virtuale con il nome dell'istanza come nome del servizio, nel formato NT SERVICE\<SERVICENAME>. I servizi eseguiti come account virtuali consentono di accedere alle risorse di rete utilizzando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>$. Quando si specifica un account virtuale per avviare SQL Server, lasciare vuoto il campo della password. Se tramite l'account virtuale non è possibile registrare il nome dell'entità servizio (SPN), registrarlo manualmente. Per ulteriori informazioni sulla registrazione manuale di un nome SPN, vedere Registrazione di un nome dell'entità servizio per le connessioni Kerberos.

[!NOTA]

Non è possibile utilizzare gli account virtuali per l'istanza del cluster di failover di SQL Server, poiché non dispongono dello stesso SID in ogni nodo del cluster.

Nella tabella seguente sono elencati esempi di nomi di account virtuali.

Servizio	Nome dell'account virtuale
Istanza predefinita del servizio Motore di database	NT SERVICE\MSSQLSERVER
Istanza denominata di un servizio Motore di database denominato PAYROLL	NT SERVICE\MSSQL$PAYROLL
SQL Server Agent nell'istanza predefinita di SQL Server	NT SERVICE\SQLSERVERAGENT
Servizio SQL Server Agent in un'istanza di SQL Server denominata PAYROLL	NT SERVICE\SQLAGENT$PAYROLL

Per ulteriori informazioni sugli account dei servizi gestiti e sugli account virtuali, vedere la sezione Concetti relativi agli account dei servizi gestiti e agli account virtuali nella pagina Guida dettagliata agli account di servizio e la pagina relativa alle domande frequenti sugli account dei servizi gestiti.

Nota sulla sicurezza: Eseguire sempre i servizi SQL Server utilizzando i diritti utente di livello più basso possibile. quando possibile, usare un account MSAdel servizio gestito o un account virtuale. In alternativa, utilizzare un account utente con privilegi limitati o un account di dominio specifico anziché un account condiviso per i servizi SQL Server, assegnando account distinti ai diversi servizi SQL Server. Non concedere autorizzazioni aggiuntive all'account del servizio oppure ai gruppi di servizi di SQL Server. Le autorizzazioni verranno concesse mediante l'appartenenza a un gruppo o direttamente a un SID del servizio, se quest'ultimo è supportato.

Avvio automatico

Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:

Disabilitato Il servizio è installato ma non è attualmente in esecuzione.
Manuale Il servizio è installato ma verrà avviato solo quando le relative funzionalità saranno necessarie per un altro servizio o un'altra applicazione.
Automatico Il servizio viene avviato automaticamente dal sistema operativo.

Lo stato di avvio viene selezionato durante l'installazione. Quando si installa un'istanza denominata, il servizio SQL Server Browser deve essere impostato per l'avvio automatico.

Configurazione dei servizi durante l'installazione automatica

Nella tabella seguente vengono indicati i servizi SQL Server configurabili durante l'installazione. Per le installazioni automatiche, è possibile utilizzare le opzioni in un file di configurazione o al prompt dei comandi.

Nome del servizio SQL Server	Opzioni per le installazioni automatiche1
MSSQLSERVER	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Distributed Replay Controller	DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL Server Distributed Replay Client	DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Per ulteriori informazioni e una sintassi di esempio per le installazioni automatiche, vedere Installare SQL Server 2012 dal prompt dei comandi.

2Il servizio SQL Server Agent viene disabilitato nelle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Porte del firewall

Nella maggior parte dei casi, al momento dell'installazione iniziale, è possibile connettersi al Motore di database mediante strumenti quali SQL Server Management Studio installati nello stesso computer di SQL Server. Il programma di installazione di SQL Server non consente di aprire porte in Windows Firewall. Connessioni da altri computer potrebbero non essere possibili finché il Motore di database non è configurato per essere in ascolto su una porta TCP e la porta appropriata non viene aperta per le connessioni in Windows Firewall. Per ulteriori informazioni, vedere Configurare Windows Firewall per consentire l'accesso a SQL Server.

Inizio pagina

Autorizzazioni del servizio

In questa sezione vengono descritte le autorizzazioni configurate dal programma di installazione di SQL Server per i SID per servizio dei servizi SQL Server.

Configurazione e controllo di accesso del servizio
Privilegi e diritti di Windows
Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows di SQL Server
Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows
Autorizzazioni del file system correlate a percorsi su disco non comuni
Considerazioni aggiuntive
Autorizzazioni del Registro di sistema
WMI
Named Pipes

Configurazione e controllo di accesso del servizio

SQL Server 2012 abilita SID per servizio per ognuno dei servizi in modo da fornire isolamento e protezione avanzata dei servizi. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio. Un nome di SID per un servizio Motore di database potrebbe ad esempio essere NT Service\MSSQL$<NomeIstanza>. Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la sicurezza dell'oggetto. Mediante una voce di controllo di accesso contenente un SID del servizio, un servizio SQL Server può limitare l'accesso alle proprie risorse.

[!NOTA]

In Windows 7 e Windows Server 2008 R2 il SID per servizio può essere l'account virtuale utilizzato dal servizio.

Per la maggior parte dei componenti, l'elenco di controllo di accesso (ACL) per l'account per servizio viene configurato direttamente da SQL Server, pertanto è possibile modificare l'account di servizio senza dover ripetere il processo ACL per le risorse.

Quando si installa SSAS, vengono creati un SID per servizio per il servizio Analysis Services e un gruppo locale di Windows, denominato nel formato **SQLServerMSAUser$nome_computer$**nome_istanza. Al nome SID per servizio NT SERVICE\MSSQLServerOLAPService viene concessa l'appartenenza al gruppo locale di Windows e a tale gruppo vengono concesse le autorizzazioni appropriate nell'elenco ACL. Se l'account utilizzato per avviare il servizio Analysis Services viene modificato, tramite Gestione configurazione SQL Server devono essere modificate alcune autorizzazioni di Windows, ad esempio il diritto di accedere come servizio. Le autorizzazioni assegnate al gruppo locale di Windows saranno tuttavia ancora disponibili senza alcun aggiornamento, perché il SID per servizio non è stato modificato. Questo metodo consente di rinominare il servizio Analysis Services durante gli aggiornamenti.

Durante l'installazione di SQL Server, SQL Server tramite il relativo programma di installazione vengono creati gruppi locali di Windows per SSAS e il servizio SQL Server Browser. Per tali servizi, in SQL Server viene configurato l'elenco ACL per i gruppi locali di Windows.

A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.

Privilegi e diritti di Windows

L'account assegnato per l'avvio di un servizio deve disporre delle autorizzazioni di avvio, arresto e pausa per il servizio, che verranno assegnate automaticamente dal programma di installazione di SQL Server. Installare innanzitutto gli strumenti di amministrazione remota del server (RSAT). Per informazioni vedere la pagina relativa agli strumenti di amministrazione remota del server per Windows 7.

Nella tabella seguente vengono mostrate le autorizzazioni richieste dal programma di installazione di SQL Server per i SID per servizio o per i gruppi locali di Windows utilizzati dai componenti di SQL Server.

Servizio SQL Server	Autorizzazioni concesse dal programma di installazione di SQL Server
Motore di database di SQL Server: Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\MSSQLSERVER. Istanza denominata: NT SERVICE\MSSQL$NomeIstanza).	Accesso come servizio (SeServiceLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege) Autorizzazione all'avvio del writer SQL Autorizzazione di lettura del servizio Registro eventi Autorizzazione di lettura del servizio RPC (Remote Procedure Call)
SQL Server Agent:1 Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$NomeIstanza).	Accesso come servizio (SeServiceLogonRight) Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege) Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege)
SSAS: Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita: SQLServerMSASUser$NomeComputer$MSSQLSERVER. Istanza denominata: SQLServerMSASUser$NomeComputer$NomeIstanzat. Istanza di PowerPivot per SharePoint: SQLServerMSASUser$NomeComputer$PowerPivot).	Accesso come servizio (SeServiceLogonRight) Solo per tabulare: Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege) Regolazione limite risorse memoria per un processo (SeIncreaseQuotaSizePrivilege) Blocco di pagine in memoria (SeLockMemoryPrivilege). Questo privilegio è necessario solo se il paging è completamente disattivato. Solo per installazioni di un cluster di failover: Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege)
SSRS: Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\ReportServer. Istanza denominata: NT SERVICE\$NomeIstanza).	Accesso come servizio (SeServiceLogonRight)
SSIS: Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer110. Integration Services non dispone di un processo separato per un'istanza denominata.	Accesso come servizio (SeServiceLogonRight) Autorizzazione di scrittura sul registro eventi applicazioni Ignorare controllo incrociato (SeChangeNotifyPrivilege) Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege)
Ricerca full-text: Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\MSSQLFDLauncher. Istanza denominata: NT Service\ MSSQLFDLauncher$NomeIstanza).	Accesso come servizio (SeServiceLogonRight) Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege) Ignorare controllo incrociato (SeChangeNotifyPrivilege)
SQL Server Browser: Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$NomeComputer. SQL Server Browser non dispone di un processo separato per un'istanza denominata.	Accesso come servizio (SeServiceLogonRight)
SQL Server VSS Writer: Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita o denominata: NT Service\SQLWriter. SQL Server VSS Writer non dispone di un processo separato per un'istanza denominata.	Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie. Il programma di installazione di SQL Server non controlla né concede le autorizzazioni per questo servizio.
SQL Server Distributed Replay Controller:	Accesso come servizio (SeServiceLogonRight)
SQL Server Distributed Replay Client:	Accesso come servizio (SeServiceLogonRight)

Motore di database di SQL Server:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\MSSQLSERVER. Istanza denominata: NT SERVICE\MSSQL$NomeIstanza).

Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege)

Autorizzazione all'avvio del writer SQL

Autorizzazione di lettura del servizio Registro eventi

Autorizzazione di lettura del servizio RPC (Remote Procedure Call)

SQL Server Agent:1

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\SQLSERVERAGENT. Istanza denominata: NT Service\SQLAGENT$NomeIstanza).

Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege)

SSAS:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita: SQLServerMSASUser$NomeComputer$MSSQLSERVER. Istanza denominata: SQLServerMSASUser$NomeComputer$NomeIstanzat. Istanza di PowerPivot per SharePoint: SQLServerMSASUser$NomeComputer$PowerPivot).

Accesso come servizio (SeServiceLogonRight)

Solo per tabulare:

Aumento di un working set di processo (SeIncreaseWorkingSetPrivilege)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaSizePrivilege)

Blocco di pagine in memoria (SeLockMemoryPrivilege). Questo privilegio è necessario solo se il paging è completamente disattivato.

Solo per installazioni di un cluster di failover:

Aumento della priorità di pianificazione (SeIncreaseBasePriorityPrivilege)

SSRS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT SERVICE\ReportServer. Istanza denominata: NT SERVICE\$NomeIstanza).

Accesso come servizio (SeServiceLogonRight)

SSIS:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita e istanza denominata: NT SERVICE\MsDtsServer110. Integration Services non dispone di un processo separato per un'istanza denominata.

Accesso come servizio (SeServiceLogonRight)

Autorizzazione di scrittura sul registro eventi applicazioni

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Rappresenta un client dopo l'autenticazione (SeImpersonatePrivilege)

Ricerca full-text:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita: NT Service\MSSQLFDLauncher. Istanza denominata: NT Service\ MSSQLFDLauncher$NomeIstanza).

Accesso come servizio (SeServiceLogonRight)

Regolazione limite risorse memoria per un processo (SeIncreaseQuotaPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

SQL Server Browser:

Tutti i diritti vengono concessi a un gruppo locale di Windows. Istanza predefinita o denominata: SQLServer2005SQLBrowserUser$NomeComputer. SQL Server Browser non dispone di un processo separato per un'istanza denominata.

Accesso come servizio (SeServiceLogonRight)

SQL Server VSS Writer:

Tutti i diritti vengono concessi al SID per servizio. Istanza predefinita o denominata: NT Service\SQLWriter. SQL Server VSS Writer non dispone di un processo separato per un'istanza denominata.

Il servizio SQLWriter è in esecuzione con l'account LOCAL SYSTEM che dispone di tutte le autorizzazioni necessarie. Il programma di installazione di SQL Server non controlla né concede le autorizzazioni per questo servizio.

SQL Server Distributed Replay Controller:

Accesso come servizio (SeServiceLogonRight)

SQL Server Distributed Replay Client:

Accesso come servizio (SeServiceLogonRight)

1Il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express.

Inizio pagina

Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows

Gli account del servizio SQL Server devono disporre dell'accesso alle risorse. Gli elenchi di controllo di accesso sono impostati per il SID per servizio o per il gruppo locale di Windows.

Importante
Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.

Nella tabella seguente vengono indicati gli elenchi di controllo di accesso impostati dal programma di installazione di SQL Server.

Account del servizio per	File e cartelle	Accesso
MSSQLServer	Instid\MSSQL\backup	Controllo completo
	Instid\MSSQL\binn	Lettura, Esecuzione
	Instid\MSSQL\data	Controllo completo
	Instid\MSSQL\FTData	Controllo completo
	Instid\MSSQL\Install	Lettura, Esecuzione
	Instid\MSSQL\Log	Controllo completo
	Instid\MSSQL\Repldata	Controllo completo
	110\shared	Lettura, Esecuzione
	Instid\MSSQL\Template Data (solo SQL Server Express)	Lettura
SQLServerAgent1	Instid\MSSQL\binn	Controllo completo
	Instid\MSSQL\binn	Controllo completo
	Instid\MSSQL\Log	Lettura, Scrittura, Eliminazione, Esecuzione
	110\com	Lettura, Esecuzione
	110\shared	Lettura, Esecuzione
	110\shared\Errordumps	Lettura, Scrittura
	ServerName\EventLog	Controllo completo
FTS	Instid\MSSQL\FTData	Controllo completo
	Instid\MSSQL\FTRef	Lettura, Esecuzione
	110\shared	Lettura, Esecuzione
	110\shared\Errordumps	Lettura, Scrittura
	Instid\MSSQL\Install	Lettura, Esecuzione
	Instid\MSSQL\jobs	Lettura, Scrittura
MSSQLServerOLAPservice	110\shared\ASConfig	Controllo completo
	Instid\OLAP	Lettura, Esecuzione
	Instid\Olap\Data	Controllo completo
	Instid\Olap\Log	Lettura, Scrittura
	Instid\OLAP\Backup	Lettura, Scrittura
	Instid\OLAP\Temp	Lettura, Scrittura
	110\shared\Errordumps	Lettura, Scrittura
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Lettura, Scrittura, Eliminazione
	Instid\Reporting Services\ReportServer	Lettura, Esecuzione
	Instid\Reportingservices\Reportserver\global.asax	Controllo completo
	Instid\Reportingservices\Reportserver\Reportserver.config	Lettura
	Instid\Reporting Services\reportManager	Lettura, Esecuzione
	Instid\Reporting Services\RSTempfiles	Lettura, Scrittura, Esecuzione, Eliminazione
	110\shared	Lettura, Esecuzione
	110\shared\Errordumps	Lettura, Scrittura
MSDTSServer100	110\dts\binn\MsDtsSrvr.ini.xml	Lettura
	110\dts\binn	Lettura, Esecuzione
	110\shared	Lettura, Esecuzione
	110\shared\Errordumps	Lettura, Scrittura
SQL Server Browser	110\shared\ASConfig	Lettura
	110\shared	Lettura, Esecuzione
	110\shared\Errordumps	Lettura, Scrittura
SQLWriter	N/D (eseguito come sistema locale)
Utente	Instid\MSSQL\binn	Lettura, Esecuzione
	Instid\Reporting Services\ReportServer	Lettura, Esecuzione, Visualizzazione contenuto cartella
	Instid\Reportingservices\Reportserver\global.asax	Lettura
	Instid\Reporting Services\ReportManager	Lettura, Esecuzione
	Instid\Reporting Services\ReportManager\pages	Lettura
	Instid\Reporting Services\ReportManager\Styles	Lettura
	110\dts	Lettura, Esecuzione
	110\tools	Lettura, Esecuzione
	100\tools	Lettura, Esecuzione
	90\tools	Lettura, Esecuzione
	80\tools	Lettura, Esecuzione
	110\sdk	Lettura
	Microsoft SQL Server\110\Setup Bootstrap	Lettura, Esecuzione
SQL Server Distributed Replay Controller	<ToolsDir>\DReplayController\Log\ (directory vuota)	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\DReplayController.exe	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\resources\	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\{all dlls}	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\DReplayController.config	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\IRTemplate.tdf	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayController\IRDefinition.xml	Lettura, Esecuzione, Visualizzazione contenuto cartella
SQL Server Distributed Replay Client	<ToolsDir>\DReplayClient\Log\	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\DReplayClient.exe	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\resources\	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\ (all dlls)	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\DReplayClient.config	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\IRTemplate.tdf	Lettura, Esecuzione, Visualizzazione contenuto cartella
	<ToolsDir>\DReplayClient\IRDefinition.xml	Lettura, Esecuzione, Visualizzazione contenuto cartella

1Il servizio SQL Server Agent viene disabilitato nelle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Se i file di database vengono archiviati in un percorso definito dall'utente, è necessario concedere l'accesso del SID per servizio al percorso in questione. Per ulteriori informazioni sulla concessione di autorizzazioni del file system a un SID per servizio, vedere Configurare le autorizzazioni del file system per l'accesso al motore di database.

Inizio pagina

Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows

Potrebbe essere necessario concedere alcune autorizzazioni relative al controllo dell'accesso ad account predefiniti o ad altri account del servizio SQL Server. Nella tabella seguente sono inclusi gli elenchi di controllo di accesso aggiuntivi impostati dal programma di installazione di SQL Server.

Componente richiedente	Account	Risorsa	Autorizzazioni
MSSQLServer	Performance Log Users	Instid\MSSQL\binn	Visualizzazione contenuto cartella
	Performance Monitor Users	Instid\MSSQL\binn	Visualizzazione contenuto cartella
	Utenti log delle prestazioni, Utenti di monitoraggio delle prestazioni	\WINNT\system32\sqlctr110.dll	Lettura, Esecuzione
	Solo Amministratore	\\. \root\Microsoft\SqlServer\ServerEvents\<nome_istanza_sql>1	Controllo completo
	Administrators, Sistema	\tools\binn\schemas\sqlserver\2004\07\showplan	Controllo completo
	Users	\tools\binn\schemas\sqlserver\2004\07\showplan	Lettura, Esecuzione
Reporting Services	<Account del servizio Web ReportServer>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identità pool di applicazioni per Gestione report, account di ASP.NET, Everyone	<installazione>\Reporting Services\ReportManager, <installazione>\Reporting Services\ReportManager\Pages\., <installazione>\Reporting Services\ReportManager\Styles\., <installazione>\Reporting Services\ReportManager\webctrl_client\1_0\.	Lettura
	Identità pool di applicazioni per Gestione report	<install>\Reporting Services\ReportManager\Pages\.	Lettura
	<Account del servizio Web ReportServer>	<install>\Reporting Services\ReportServer	Lettura
	<Account del servizio Web ReportServer>	<install>\Reporting Services\ReportServer\global.asax	Completo
	Tutti	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Servizio di rete	<installazione>\Reporting Services\ReportServer\ReportService.asmx	Completo
	Tutti	<installazione>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Account servizi Windows ReportServer	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Tutti	Chiavi del server di report (hive Instid)	Richiedi valore Enumera sottochiavi Notifica Controllo in lettura
	Utente di Servizi terminali	Chiavi del server di report (hive Instid)	Richiedi valore Imposta valore Creazione sottochiave Enumerazione sottochiavi Notifica Elimina Controllo in lettura
	Power Users	Chiavi del server di report (hive Instid)	Richiedi valore Imposta valore Crea sottochiave Enumera sottochiavi Notifica Elimina Controllo in lettura

1Si tratta dello spazio dei nomi del provider WMI.

Inizio pagina

Autorizzazioni del file system correlate a percorsi su disco non comuni

L'unità predefinita dei percorsi di installazione è systemdrive, in genere l'unità C quando vengono installati database tempdb o utente.

Unità non predefinita

In caso di installazione in un'unità locale diversa dall'unità predefinita, il SID per servizio deve disporre dell'accesso al percorso dei file. Il provisioning dell'accesso obbligatorio verrà effettuato dal programma di installazione di SQL Server.

Condivisione di rete

Quando i database vengono installati in una condivisione di rete, l'account del servizio deve disporre dell'accesso al percorso dei file dei database utente e tempdb. Il provisioning dell'accesso a una condivisione di rete viene effettuato tramite il programma di installazione di SQL Server. L'utente deve effettuare il provisioning dell'accesso a un percorso del database tempdb per l'account del servizio prima di eseguire l'installazione. Inoltre deve effettuare il provisioning dell'accesso al percorso del database utente prima della creazione del database.

[!NOTA]

Gli account virtuali non possono essere autenticati a un percorso remoto. Per tutti gli account virtuali viene utilizzata l'autorizzazione dell'account del computer. Effettuare il provisioning dell'account del computer nel formato <nome_dominio>\<nome_computer>$.

Considerazioni aggiuntive

Nella tabella seguente vengono indicate le autorizzazioni necessarie per disporre di funzionalità aggiuntive dei servizi SQL Server.

Servizio/Applicazione	Funzionalità	Autorizzazione necessaria
SQL Server (MSSQLSERVER)	Scrittura in uno slot di posta elettronica utilizzando xp_sendmail.	Autorizzazioni di scrittura in rete.
SQL Server (MSSQLSERVER)	Eseguire xp_cmdshell per un utente diverso dall'amministratore di SQL Server.	Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo.
SQL Server Agent (MSSQLSERVER)	Utilizzo della funzionalità di riavvio automatico.	È necessario essere membro del gruppo Administrators locale.
Ottimizzazione guidata Motore di database	Ottimizza i database per ottenere prestazioni ottimali delle query.	Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo. In seguito all'inizializzazione, gli utenti dbo possono utilizzare Ottimizzazione guidata Motore di database per ottimizzare solo le tabelle di loro proprietà. Per ulteriori informazioni, vedere l'argomento relativo all'inizializzazione dell'Ottimizzazione guidata Motore di database al primo utilizzo nella documentazione online di SQL Server.

Importante
Prima di aggiornare SQL Server, abilitare l'autenticazione di Windows per SQL Server Agent e verificare la configurazione predefinita necessaria, ovvero che l'account del servizio SQL Server Agent sia membro del gruppo SQL Server sysadmin.

Inizio pagina

Autorizzazioni del Registro di sistema

L'hive del Registro di sistema viene creato in HKLM\Software\Microsoft\Microsoft SQL Server\<ID_istanza> per i componenti specifici dell'istanza. Ad esempio:

HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.Istanza
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.Istanza
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

Nel Registro di sistema viene inoltre gestito un mapping degli ID istanza ai nomi delle istanze. Il mapping degli ID istanza in base ai nomi delle istanze viene gestito nel modo seguente:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"=""MSASSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Tramite Strumentazione gestione Windows (WMI) deve essere possibile eseguire la connessione al Motore di database. Per il supporto necessario, viene effettuato il provisioning del SID per servizio del provider WMI di Windows (NT SERVICE\winmgmt) nel Motore di database.

Per il provider WMI di SQL sono necessarie le autorizzazioni seguenti:

Appartenenza ai ruoli predefiniti dei database db_ddladmin o db_owner nel database msdb.
Autorizzazione CREATE DDL EVENT NOTIFICATION nel server.
Autorizzazione CREATE TRACE EVENT NOTIFICATION nel Motore di database.
Autorizzazione VIEW ANY DATABASE a livello di server.

Tramite il programma di installazione di SQL Server viene creato uno spazio dei nomi WMI di SQL e viene concessa l'autorizzazione di lettura al SID del servizio SQL Server Agent.

Inizio pagina

Named Pipes

In tutte le installazioni, il programma di installazione di SQL Server fornisce l'accesso al Motore di database di SQL Server tramite il protocollo Shared Memory, una named pipe locale.

Inizio pagina

Provisioning

In questa sezione viene descritto il provisioning degli account nei vari componenti di SQL Server.

Provisioning del motore di database
- Entità di Windows
- Account SA
- Account di accesso del SID per servizio SQL Server e privilegi
- Account di accesso di SQL Server Agent e privilegi
- Istanza di HADRON e del cluster di failover di SQL e privilegi
- Writer SQL e privilegi
- WMI di SQL e privilegi
Provisioning di SSAS
Provisioning di SSRS

Provisioning del motore di database

Gli account seguenti vengono aggiunti come account di accesso nel Motore di database di SQL Server.

Entità di Windows

Durante l'installazione, tramite il programma di installazione di SQL Server viene richiesta la denominazione di almeno un account utente come membro del ruolo predefinito del server sysadmin.

Account SA

L'account SA è sempre presente come account di accesso del Motore di database ed è un membro del ruolo predefinito del server sysadmin. Quando il Motore di database viene installato utilizzando solo l'autenticazione di Windows (ovvero quando l'autenticazione di SQL Server non è abilitata), l'account di accesso SA è presente ma è disabilitato. Per informazioni sull'abilitazione dell'account SA, vedere Modifica della modalità di autenticazione del server.

Account di accesso del SID per servizio SQL Server e privilegi

Il provisioning del SID per servizio del servizio SQL Server viene effettuato come account di accesso del Motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin.

Account di accesso di SQL Server Agent e privilegi

Il provisioning del SID per servizio del servizio SQL Server Agent viene effettuato come account di accesso del Motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin.

Istanza di Gruppi di disponibilità AlwaysOn, del cluster di failover di SQL e privilegi

Quando si installa il Motore di database come istanza di Gruppi di disponibilità AlwaysOn o del cluster di failover di SQL (FCI di SQL), viene effettuato il provisioning di LOCAL SYSTEM nel Motore di database. All'account di accesso LOCAL SYSTEM vengono concesse le autorizzazioni ALTER ANY AVAILABILITY (per Gruppi di disponibilità AlwaysOn) e VIEW SERVER STATE (per FCI di SQL).

Writer SQL e privilegi

Il provisioning del SID per servizio del servizio SQL Server VSS Writer viene effettuato come account di accesso del Motore di database. L'account di accesso del SID per servizio è un membro del ruolo predefinito del server sysadmin.

WMI di SQL e privilegi

Tramite il programma di installazione di SQL Server viene effettuato il provisioning dell'account NT SERVICE\Winmgmt come account di accesso del Motore di database e tale account viene aggiunto al ruolo predefinito del server sysadmin.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato come membro del ruolo del database RSExecRole. Per ulteriori informazioni, vedere Configurare l'account del servizio del server di report.

Inizio pagina

Provisioning di SSAS

I requisiti dell'account del servizio SSAS variano a seconda della modalità di distribuzione del server. Se si installa PowerPivot per SharePoint, tramite il programma di installazione di SQL Server verrà richiesto di configurare il servizio Analysis Services da eseguire con un account di dominio. Gli account di dominio sono necessari per supportare la funzionalità dell'account gestito compilato in SharePoint. Per questo motivo, il programma di installazione di SQL Server non fornisce un account del servizio predefinito, ad esempio un account virtuale, per un'installazione di PowerPivot per SharePoint. Per ulteriori informazioni sul provisioning di PowerPivot per SharePoint, vedere Configurare gli account del servizio PowerPivot.

Per tutte le altre installazioni autonome di SSAS, è possibile effettuare il provisioning del servizio da eseguire con un account di dominio, un account di sistema predefinito, un account gestito o un account virtuale. Per ulteriori informazioni sul provisioning account, vedere Configurare gli account del servizio (Analysis Services).

Per le installazioni cluster, è necessario specificare un account di dominio o un account di sistema predefinito. Per i cluster di failover di SSAS non sono supportati account gestiti, né account virtuali.

Per tutte le installazioni di SSAS è necessario specificare un amministratore di sistema dell'istanza di Analysis Services. Il provisioning dei privilegi di amministratore viene effettuato nel ruolo Server di Analysis Services.

Provisioning di SSRS

Il provisioning dell'account specificato durante l'installazione viene effettuato nel Motore di database come membro del ruolo del database RSExecRole. Per ulteriori informazioni, vedere Configurare l'account del servizio del server di report.

Inizio pagina

Aggiornamento da versioni precedenti

In questa sezione vengono descritte le modifiche apportate durante l'aggiornamento da una versione precedente di SQL Server.

Per SQL Server 2012 sono necessari Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2. Qualsiasi versione precedente di SQL Server in esecuzione su Windows XP o Windows Server 2003 deve disporre del sistema operativo aggiornato prima dell'aggiornamento a SQL Server.
Durante l'aggiornamento di SQL Server 2005 a SQL Server 2012, la configurazione di SQL Server verrà eseguita dal relativo programma di installazione nella modalità seguente.
- Il Motore di database viene eseguito con il contesto di sicurezza del SID per servizio. Al SID per servizio è concesso l'accesso alle cartelle file dell'istanza di SQL Server (ad esempio DATA) e alle chiavi del Registro di sistema di SQL Server.
- Il provisioning del SID per servizio del Motore di database viene effettuato in tale motore come membro del ruolo predefinito del server sysadmin.
- I SID per servizio vengono aggiunti ai gruppi locali di Windows di SQL Server, solo se SQL Server è un'istanza del cluster di failover.
- Le risorse di SQL Server continuano a essere sottoposte a provisioning ai gruppi locali di Windows di SQL Server.
- Il gruppo locale di Windows per i servizi viene rinominato da SQLServer2005MSSQLUser$<nome_computer>$<nome_istanza> a SQLServerMSSQLUser$<nome_computer>$<nome_istanza>. I percorsi dei file per database migrati disporranno di voci di controllo di accesso per i gruppi locali di Windows. I percorsi dei file di nuovi database disporranno di voci di controllo di accesso per il SID per servizio.
Durante l'aggiornamento da SQL Server 2008, tramite il programma di installazione di SQL Server verranno mantenute le voci di controllo di accesso per il SID per servizio SQL Server 2008.
Per un'istanza del cluster di failover di SQL Server, verrà mantenuta la voce di controllo di accesso per l'account di dominio configurato per il servizio.

Inizio pagina

Appendice

In questa sezione vengono fornite informazioni aggiuntive sui servizi SQL Server.

Descrizione degli account di servizio
Identificazione dei servizi specifici, e non specifici, dell'istanza
Nomi dei servizi localizzati

Descrizione degli account di servizio

L'account del servizio è l'account utilizzato per avviare un servizio Windows, ad esempio il Motore di database di SQL Server.

Account disponibili con qualsiasi sistema operativo

Oltre ai nuovi account del servizio gestito e account virtuali descritti precedentemente, è possibile utilizzare gli account seguenti.

Account utente di dominio

Se tramite il servizio si deve interagire con i servizi di rete, accedere a risorse di dominio come condivisioni di file o se vengono utilizzate connessioni server collegate ad altri computer che eseguono SQL Server, è possibile utilizzare un account di dominio con privilegi minimi. Molte attività tra server possono essere eseguite solo con un account utente di dominio. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.

[!NOTA]

Se si configura l'applicazione per utilizzare un account di dominio, è possibile isolare i privilegi per l'applicazione, ma è necessario gestire manualmente le password o creare una soluzione personalizzata per tale gestione. In molte applicazioni server viene utilizzata questa strategia per migliorare la sicurezza. Tuttavia, tale strategia richiede attività complesse e amministrazione aggiuntiva. In queste distribuzioni, gli amministratori dei servizi impiegano molto tempo in attività di manutenzione quale la gestione di password del servizio e di nomi dell'entità servizio, necessari per l'autenticazione Kerberos. Inoltre, queste attività di manutenzione possono interrompere il servizio.

Account utente locali

Se il computer non fa parte di un dominio, è consigliabile utilizzare un account utente locale senza le autorizzazioni di amministratore di Windows.

Local Service Account

L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users. Questo accesso limitato consente di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati. I servizi eseguiti come account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali. L'account Servizio locale non è supportato per i servizi SQL Server o SQL Server Agent. Servizio locale non è supportato come account che esegue tali servizi, dal momento che si tratta di un servizio condiviso e qualsiasi altro servizio in esecuzione nel servizio locale deve disporre dell'accesso a SQL Server come amministratore di sistema. Il nome effettivo dell'account è NT AUTHORITY\LOCAL SERVICE.

Account Servizio di rete

Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users. I servizi eseguiti come account Servizio di rete consentono di accedere alle risorse di rete utilizzando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>$. Il nome effettivo dell'account è NT AUTHORITY\NETWORK SERVICE.

Account di sistema locale

L'account di sistema locale è un account predefinito con privilegi molto elevati. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.

Identificazione dei servizi specifici, e non specifici, dell'istanza

I servizi specifici dell'istanza sono associati a un'istanza specifica di SQL Server e dispongono di hive del Registro di sistema propri. È possibile installare più copie di servizi specifici dell'istanza eseguendo il programma di installazione di SQL Server per ciascun componente o servizio. I servizi non specifici dell'istanza vengono condivisi tra tutte le istanze installate di SQL Server. Tali servizi non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere installati in modalità side-by-side.

Tra i servizi specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:

SQL Server
SQL Server Agent

Il servizio SQL Server Agent è disabilitato nelle istanze di SQL Server Express e SQL Server Express with Advanced Services.
Analysis Services 1
Reporting Services
Ricerca full-text

Tra i servizi non specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:

Integration Services
SQL Server Browser
Writer SQL

1Analysis Services in modalità integrata SharePoint viene eseguito come 'PowerPivot', come singola istanza denominata. Il nome dell'istanza è fisso. Non è possibile specificare un nome diverso. È possibile installare una sola istanza di Analysis Services in esecuzione come 'PowerPivot' in ciascun server fisico.

Inizio pagina

Nomi dei servizi localizzati

Nella tabella seguente vengono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.

Linguaggio	Nome del servizio locale	Nome del servizio di rete	Nome del sistema locale	Nome del gruppo amministrativo
Inglese Cinese semplificato Cinese tradizionale Coreano Giapponese	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Tedesco	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Francese	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrators
Italiano	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Spagnolo	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russo	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Inizio pagina

Contenuto correlato

Considerazioni sulla sicurezza per un'installazione di SQL Server

Percorsi dei file per le istanze predefinite e denominate di SQL Server

Installazione di Master Data Services

Condividi tramite

Configurare account di servizio e autorizzazioni di Windows

Sommario

Servizi installati tramite SQL Server

Proprietà e configurazione dei servizi

Account di servizio predefiniti

Modifica delle proprietà dell'account

Nuovi tipi di account disponibili con Windows 7 e Windows Server 2008 R2

Avvio automatico

Configurazione dei servizi durante l'installazione automatica

Porte del firewall

Autorizzazioni del servizio

Configurazione e controllo di accesso del servizio

Privilegi e diritti di Windows

Autorizzazioni del file system concesse ai SID per servizio SQL Server o a gruppi locali di Windows

Autorizzazioni del file system concesse ad altri account utente o gruppi di Windows

Autorizzazioni del file system correlate a percorsi su disco non comuni

Considerazioni aggiuntive

Autorizzazioni del Registro di sistema

WMI

Named Pipes

Provisioning

Provisioning del motore di database

Entità di Windows

Account SA

Account di accesso del SID per servizio SQL Server e privilegi

Account di accesso di SQL Server Agent e privilegi

Istanza di Gruppi di disponibilità AlwaysOn, del cluster di failover di SQL e privilegi

Writer SQL e privilegi

WMI di SQL e privilegi

Provisioning di SSRS

Provisioning di SSAS

Provisioning di SSRS

Aggiornamento da versioni precedenti

Appendice

Descrizione degli account di servizio

Account disponibili con qualsiasi sistema operativo

Identificazione dei servizi specifici, e non specifici, dell'istanza

Nomi dei servizi localizzati

Contenuto correlato

Risorse aggiuntive