Selezionare un account per il servizio SQL Server Agent

Si applica a: SQL ServerIstanza gestita di SQL di Azure

Importante

In Istanza gestita di SQL di Azure sono attualmente supportate la maggior parte delle funzionalità di SQL Server Agent, ma non tutte. Per informazioni dettagliate, vedere Differenze T-SQL tra Istanza gestita di SQL di Azure e SQL Server.

L'account di avvio del servizio definisce l'account di Microsoft Windows in cui viene eseguito SQL Server Agent e le relative autorizzazioni di rete. SQL Server Agent viene eseguito con un account utente specificato. Per selezionare un account per il servizio SQL Server Agent, usare Gestione configurazione SQL Server, in cui è possibile scegliere tra le opzioni seguenti:

  • Account predefinito. è possibile scegliere da un elenco di account di servizio Windows predefiniti riportati di seguito:

    • Account disistema locale . il nome di questo account è NT AUTHORITY\System. Si tratta di un account potente con accesso illimitato a tutte le risorse del sistema locale. È un membro del gruppo Administrators di Windows nel computer locale.

    Importante

    L'opzione Account di sistema locale deve essere usata esclusivamente per garantire la compatibilità con le versioni precedenti. L'account di sistema locale dispone di autorizzazioni non necessarie per SQL Server Agent. Evitare di eseguire SQL Server Agent con l'account di sistema locale. Per migliorare la sicurezza, utilizzare un account di dominio di Windows con le autorizzazioni elencate nella sezione seguente, "Autorizzazioni dell'account di dominio di Windows".

  • Account seguente. Consente di specificare l'account di dominio di Windows usato per l'esecuzione del servizio SQL Server Agent. È consigliabile scegliere un account utente di Windows che non sia un membro del gruppo Administrators di Windows. Esistono tuttavia alcune limitazioni all'uso dell'amministrazione multiserver quando l'account del servizio SQL Server Agent non è membro del gruppo Administrators locale. Per ulteriori informazioni, vedere 'Tipi di account del servizio supportati' più avanti in questo articolo.

Autorizzazioni dell'account di dominio di Windows

Per migliorare la sicurezza, selezionare l'opzione Account seguenteche consente di specificare un account di dominio di Windows. L'account di dominio di Windows specificato deve disporre delle autorizzazioni seguenti:

  • In tutte le versioni di Windows è necessario disporre dell'autorizzazione per l'accesso come servizio (SeServiceLogonRight).

    Nota

    L'account del servizio SQL Server Agent deve essere membro del gruppo Accesso compatibile precedente a Windows 2000 nel controller di dominio. In caso contrario, i processi di proprietà di utenti di dominio che non sono membri del gruppo Administrators di Windows non verranno eseguiti.

  • Nei server Windows, l'account con cui viene eseguito il servizio SQL Server Agent richiede le autorizzazioni seguenti per supportare i proxy di SQL Server Agent.

    • Autorizzazione per ignorare il controllo di attraversamento (SeChangeNotifyPrivilege)
    • Autorizzazione per sostituire un token a livello di processo (SeAssignPrimaryTokenPrivilege)
    • Autorizzazione a modificare le quote di memoria per un processo (SeIncreaseQuotaPrivilege)
    • Autorizzazione per l'accesso a questo computer dalla rete (SeNetworkLogonRight)

Se l'account non dispone delle autorizzazioni necessarie per supportare i proxy, solo i membri del ruolo predefinito del server sysadmin possono creare i processi.

Per ricevere una notifica di avviso della Strumentazione gestione Windows (WMI), è necessario che l'account del servizio SQL Server Agent abbia ricevuto l'autorizzazione per lo spazio dei nomi che contiene gli eventi WMI e disponga dell'autorizzazione ALTER ANY EVENT NOTIFICATION.

Appartenenze ai ruoli di SQL Server

Per impostazione predefinita, l'account del servizio SQL Server Agent viene mappato al SID predefinito del servizio SQL Server Agent (NT SERVICE\SQLSERVERAGENT), membro del ruolo predefinito del server sysadmin. Per usare l'elaborazione dei processi multiserver, l'account deve essere un membro del ruolo del database msdb TargetServersRole nel server master. Tramite Configurazione guidata server master l'account del servizio viene automaticamente aggiunto a questo ruolo all'interno del processo di integrazione.

Tipi di account di servizio supportati

Nella tabella seguente sono elencati i tipi di account di Windows che è possibile usare per il servizio SQL Server Agent.

Tipo di account di servizio Server non cluster Server di cluster Controller di dominio (non cluster)
Account di dominio di Microsoft Windows (membro del gruppo Administrators di Windows) Supportato Supportato Supportato
Account di dominio di Windows (non amministrativo) Supportato

Vedere Limitazione 1 più avanti in questa sezione.
Supportato

Vedere Limitazione 1 più avanti in questa sezione.
Supportato

Vedere Limitazione 1 più avanti in questa sezione.
Account del servizio di rete (NT AUTHORITY\NetworkService) Supportato

Vedere Limitazione 1, 3 e 4 più avanti in questa sezione.
Non supportato Non supportato
Account Utente locale (non amministrativo) Supportato

Vedere Limitazione 1 più avanti in questa sezione.
Non supportato Non applicabile
Account di sistema locale (NT AUTHORITY\System) Supportato

Vedere Limitazione 2 più avanti in questa sezione.
Non supportato Supportato

Vedere Limitazione 2 più avanti in questa sezione.
Account del servizio locale (NT AUTHORITY\LocalService) Non supportato Non supportato Non supportato

Limitazione 1: uso di account non amministrativi per l'amministrazione multiserver

È possibile che l'integrazione nei server di destinazione non riesca e venga visualizzato il messaggio di errore The enlist operation failed.

Per risolvere questo errore, riavviare sia SQL Server che i servizi di SQL Server Agent. Per ulteriori informazioni, vedere Avviare, arrestare, sospendere, riprendere e riavviare i servizi SQL Server.

Limitazione 2: uso dell'account Sistema locale per l'amministrazione multiserver

Quando il servizio SQL Server Agent viene eseguito con l'account Sistema locale, l'amministrazione multiserver è supportata solo quando sia il server master che il server di destinazione risiedono nello stesso computer. Se si utilizza questa configurazione, quando si integrano i server di destinazione nel server master viene restituito il messaggio seguente:

Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.

Questo messaggio può essere ignorato. L'operazione di integrazione verrà completata correttamente. Per altre informazioni, vedere Creare un ambiente multiserver.

Limitazione 3: uso dell'account Servizio di rete quando è un utente di SQL Server

SQL Server Agent potrebbe non avviarsi correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete e a quest'ultimo è stato esplicitamente consentito l'accesso a un'istanza di SQL Server come utente di SQL Server.

Per risolvere il problema, riavviare il computer in cui SQL Server è in esecuzione. È necessario eseguire questa operazione una sola volta.

Limitazione 4: uso dell'account Servizio di rete quando SQL Server Reporting Services è in esecuzione nello stesso computer

SQL Server Agent potrebbe non avviarsi correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete nello stesso computer in cui è in esecuzione anche Reporting Services.

Per risolvere questo problema, riavviare il computer in cui è in esecuzione SQL Server e quindi riavviare sia SQL Server che i servizi di SQL Server Agent. È necessario eseguire questa operazione una sola volta.

Attività comuni

Usare Gestione configurazione SQL Server per specificare che SQL Server Agent deve essere avviato all'avvio del sistema operativo.