Selezionare un account per il servizio SQL Server Agent
L'account di avvio del servizio definisce l'account di Microsoft Windows in cui viene eseguito SQL Server Agent, nonché le relative autorizzazioni di rete. SQL Server Agent viene eseguito con un account utente specificato. Selezionare un account per il servizio SQL Server Agent tramite Gestione configurazione SQL Server, in cui è possibile scegliere tra le opzioni seguenti:
Account predefinito: è possibile scegliere da un elenco di account di servizio Windows predefiniti riportati di seguito:
Account di sistema locale: il nome di questo account è NT AUTHORITY\System. Si tratta di un account potente con accesso illimitato a tutte le risorse del sistema locale. Tale account è membro del gruppo Administrators di Windows nel computer locale e, di conseguenza, anche del ruolo predefinito del server sysadmin di SQL Server.
Nota sulla sicurezza L'opzione Account di sistema locale deve essere utilizzata esclusivamente per garantire la compatibilità con le versioni precedenti. L'account di sistema locale dispone di autorizzazioni non necessarie per SQL Server Agent. Evitare di eseguire SQL Server Agent con l'account di sistema locale. Per migliorare la sicurezza, utilizzare un account di dominio di Windows con le autorizzazioni elencate nella sezione seguente, "Autorizzazioni dell'account di dominio di Windows".
Account seguente. Consente di specificare l'account di dominio di Windows utilizzato per l'esecuzione del servizio SQL Server Agent. È consigliabile scegliere un account utente di Windows che non sia un membro del gruppo Administrators di Windows. Esistono tuttavia alcune limitazioni all'utilizzo dell'amministrazione multiserver quando l'account del servizio SQL Server Agent non è un membro del gruppo Administrators locale. Per ulteriori informazioni, vedere 'Tipi di account del servizio supportati' più avanti in questo argomento.
Autorizzazioni dell'account di dominio di Windows
Per migliorare la sicurezza, selezionare l'opzione Account seguente che consente di specificare un account di dominio di Windows. L'account di dominio di Windows specificato deve disporre delle autorizzazioni seguenti:
- In tutte le versioni di Windows è necessario disporre dell'autorizzazione per l'accesso come servizio (SeServiceLogonRight).
[!NOTA]
L'account del servizio SQL Server Agent deve essere membro del gruppo Accesso compatibile precedente a Windows 2000 nel controller di dominio. In caso contrario, i processi di proprietà di utenti di dominio che non sono membri del gruppo Administrators di Windows non verranno eseguiti.
Nei server Windows, l'account con cui viene eseguito il servizio SQL Server richiede le autorizzazioni seguenti per supportare i proxy di SQL Server Agent:
Autorizzazione a ignorare i controlli di attraversamento (SeChangeNotifyPrivilege)
Autorizzazione a sostituire un token a livello di processo (SeAssignPrimaryTokenPrivilege)
Autorizzazione a modificare le quote di memoria per un processo (SeIncreaseQuotaPrivilege)
Autorizzazione ad accedere tramite il tipo di accesso batch (SeBatchLogonRight)
[!NOTA]
Se l'account non dispone delle autorizzazioni necessarie per supportare i proxy, solo i membri del ruolo predefinito del server sysadmin possono creare i processi.
[!NOTA]
Per ricevere una notifica di avviso WMI, è necessario che l'account del servizio SQL Server Agent abbia ricevuto l'autorizzazione per lo spazio dei nomi che contiene gli eventi WMI e disponga dell'autorizzazione ALTER ANY EVENT NOTIFICATION.
Appartenenze ai ruoli di SQL Server
L'account utilizzato per l'esecuzione del servizio SQL Server Agent deve essere un membro dei seguenti ruoli di SQL Server:
L'account deve essere membro del ruolo predefinito del server sysadmin.
Per utilizzare l'elaborazione dei processi multiserver, l'account deve essere un membro del ruolo TargetServersRole del database msdb nel server master.
Tipi di account di servizio supportati
Nella tabella seguente vengono elencati i tipi di account di Windows che possono essere utilizzati per il servizio SQL Server Agent.
Tipo di account di servizio |
Server non di cluster |
Server di cluster |
Controller di dominio (non di cluster) |
---|---|---|---|
Account di dominio di Microsoft Windows (membro del gruppo Administrators di Windows) |
Supportato |
Supportato |
Supportato |
Account di dominio di Windows (non amministrativo) |
Supportato1 |
Supportato1 |
Supportato1 |
Account Servizio di rete (NT AUTHORITY\NetworkService) |
Supportato1, 3, 4 |
Non supportato |
Non supportato |
Account Utente locale (non amministrativo) |
Supportato1 |
Non supportato |
Non applicabile |
Account Sistema locale (NT AUTHORITY\System) |
Supportato2 |
Non supportato |
Supportato2 |
Account Servizio locale (NT AUTHORITY\NetworkService) |
Non supportato |
Non supportato |
Non supportato |
1 Vedere Limitazione 1 di seguito.
2 Vedere Limitazione 2 di seguito.
3 Vedere Limitazione 3 di seguito.
4 Vedere Limitazione 4 di seguito.
Limitazione 1: utilizzo di account non amministrativi per l'amministrazione multiserver
È possibile che l'integrazione nei server di destinazione non riesca e venga visualizzato il messaggio di errore "Operazione di integrazione non riuscita".
Per risolvere il problema, riavviare i servizi di SQL Server e di SQL Server Agent. Per ulteriori informazioni, vedere Avviare, arrestare, sospendere, riprendere, riavviare il motore di database, SQL Server Agent o SQL Server Browser.
Limitazione 2: utilizzo dell'account Sistema locale per l'amministrazione multiserver
Quando il servizio SQL Server Agent viene eseguito con l'account Sistema locale, l'amministrazione multiserver è supportata solo quando sia il server master che il server di destinazione risiedono sullo stesso computer. Se si utilizza questa configurazione, quando si integrano i server di destinazione nel server master viene restituito il messaggio seguente:
"Verifica che l'account di avvio dell'agente per <target_server_computer_name> disponga dei diritti per l'accesso come server di destinazione".
Questo messaggio può essere ignorato. L'operazione di integrazione verrà completata correttamente. Per ulteriori informazioni, vedere Creazione di un ambiente multiserver.
Limitazione 3: utilizzo dell'account Servizio di rete quando è un utente di SQL Server
È possibile che SQL Server Agent non venga avviato correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete e a quest'ultimo è stato esplicitamente consentito l'accesso a un'istanza di SQL Server come utente di SQL Server.
Per risolvere il problema, riavviare il computer in cui SQL Server è in esecuzione. È necessario eseguire questa operazione una sola volta.
Limitazione 4: utilizzo dell'account Servizio di rete quando SQL Server Reporting Services è in esecuzione sullo stesso computer
È possibile che SQL Server Agent non venga avviato correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete sullo stesso computer in cui viene eseguito anche Reporting Services.
Per risolvere il problema, riavviare il computer in cui SQL Server è in esecuzione, quindi riavviare sia il servizio SQL Server che il servizio SQL Server Agent. È necessario eseguire questa operazione una sola volta.
Attività comuni
Per specificare l'account di avvio del servizio SQL Server Agent
Per specificare il profilo di posta di SQL Server Agent
[!NOTA]
Gestione configurazione SQL Server consente di specificare che SQL Server Agent deve essere avviato all'avvio del sistema operativo.
Vedere anche
Riferimento
Configurare account di servizio e autorizzazioni di Windows
Concetti
Implementazione della sicurezza di SQL Server Agent
Altre risorse
Procedure per la gestione dei servizi (Gestione configurazione SQL Server)