Настройка учетных записей служб Windows
Изменения: 12 декабря 2006 г.
Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности операций SQL Server с помощью Microsoft Windows. В этом разделе представлена конфигурация по умолчанию для служб этой версии SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server.
Примечание безопасности. Всегда запускайте службы SQL Server от имени пользователя с минимально возможными правами.
В зависимости от выбранных при установке компонентов Microsoft SQL Server 2005 программа установки SQL Server 2005 устанавливает следующие службы.
- Службы SQL Server Database Services — службы реляционной базы данных компонента SQL Server Database Engine.
- Агент SQL Server — cлужит для выполнения заданий, контроля за SQL Server, предупреждения о нештатных ситуациях, а также позволяет автоматизировать некоторые задачи по администрированию.
.gif "ms143504.note(ru-ru,SQL.90).gif")
Примечание.Для запуска SQL Server и агента SQL Server в качестве служб Windows SQL Server и агенту SQL Server должна быть назначена учетная запись пользователя Windows. Чаще всего службе SQL Server и агенту SQL Server назначается одна и та же учетная запись — либо пользователя локальной системы, либо пользователя домена. Однако параметры каждой службы можно настроить в процессе установки. Дополнительные сведения о настройке данных учетной записи для каждой службы см. в разделе Учетная запись службы. - Службы Analysis Services — предоставляют средства интерактивной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики.
- Службы Reporting Services — cлужат для управления отчетами, их выполнения (в том числе по расписанию), подготовки и доставки.
- Службы Notification Services — представляют собой платформу для разработки и развертывания приложений, формирующих и отправляющих уведомления.
- Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Integration Services.
- Компонент Full-Text Search — позволяет быстро создавать полнотекстовые индексы содержимого и свойств структурированных и частично структурированных данных для обеспечения быстрого лингвистического поиска в этих данных.
- Обозреватель SQL Server — служба разрешения имен, поставляющая данные соединения с SQL Server для клиентских компьютеров.
- Модуль поддержки Active Directory сервера SQL Server — обеспечивает публикацию и управление службами SQL Server в Active Directory.
- Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS).
Оставшаяся часть этого раздела состоит из следующих подразделов:
- Настройка служб, доступных в программе установки SQL Server
- Использование стартовых учетных записей для запуска служб SQL Server
- Идентификация зависимых и независимых от экземпляра служб
- Обзор прав доступа и привилегий NT, предоставляемых учетным записям служб SQL Server
- Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server
- Обзор разрешений Windows для служб SQL Server
- Обзор дополнительных вопросов
- Локализованные имена служб
Настройка служб, доступных в программе установки SQL Server
Во время выполнения программы установки SQL Server можно настроить некоторые службы SQL Server, указав стартовую учетную запись и определив автозапуск службы. В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно использовать параметры в файле установки или командной строке.
| Имя службы SQL Server | Настраивается ли в мастере установки | Параметры для автоматической установки1 |
|---|---|---|
MSSQLSERVER |
Да |
SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART |
SQLServerAgent |
Да |
AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART |
MSSQLServerOLAPService |
Да |
ASACCOUNT, ASPASSWORD, ASAUTOSTART |
ReportServer |
Да |
RSACCOUNT, RSPASSWORD, RSAUTOSTART |
SQLBrowser |
Да |
SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2 |
1Дополнительные сведения и примеры синтаксиса для удаленной автоматической установки см. в разделе Как установить SQL Server 2005 из командной строки.
2Параметр SQLBROWSERAUTOSTART можно задать, даже если обозреватель SQL Server уже установлен.
Следующие службы не могут быть настроены в ходе установки. Они устанавливаются с настройками по умолчанию:
- Notification Services
- Integration Services
- Компонент Full-Text Search
- Модуль поддержки Active Directory
- Модуль записи SQL
Использование стартовых учетных записей для запуска служб SQL Server
Для запуска каждой службы в SQL Server 2005 ей должна быть назначена учетная запись пользователя. Учетные записи могут быть встроенными в систему либо учетными записями пользователей домена.
Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.
- Отключено Служба установлена, но в данный момент не запущена.
- Вручную Служба установлена, но будет запущена только в случае, когда другая служба или приложение затребует ее функциональность.
- Авто Служба запускается операционной системой после загрузки драйверов устройств во время загрузки системы.
В следующей таблице показаны установленные по умолчанию и дополнительные учетные записи для каждой из служб SQL Server, а также типы запуска для каждой службы.
| Имя службы SQL Server | Учетная запись по умолчанию | Дополнительные учетные записи | Тип запуска | Состояние после установки по умолчанию |
|---|---|---|---|---|
SQL Server |
SQL Server Express Edition в Windows 2000: локальная система SQL Server Express Edition во всех других поддерживаемых операционных системах: сетевая служба Все другие выпуски во всех поддерживаемых операционных системах: пользователь домена1 |
SQL Server Express Edition: пользователь домена, локальная система, сетевая служба1. Все другие выпуски: пользователь домена, локальная система, сетевая служба1. |
Авто2 |
Работает Остановлена, если пользователь отменил автозапуск. |
Агент SQL Server |
Пользователь домена3 |
пользователь домена, локальная система, сетевая служба1,6 |
Отключено Авто, если пользователь выбрал автозапуск |
Остановлена Работает, если пользователь выбрал автозапуск |
Analysis Services |
Пользователь домена3 |
Пользователь домена, локальная система, сетевая служба, локальная служба |
Авто |
Работает Остановлена, если пользователь отменил автозапуск |
Reporting Services |
Пользователь домена3. |
Пользователь домена, локальная система, сетевая служба, локальная служба. |
Авто |
Работает Остановлена, если пользователь отменил автозапуск. |
Notification Services4 |
Н/Д |
Н/Д |
Н/Д |
Н/Д |
Integration Services |
Windows 2000: локальная система Все другие поддерживаемые операционные системы: сетевая служба |
Пользователь домена, локальная система, сетевая служба, локальная служба |
Авто |
Работает Остановлена, если пользователь отменил автозапуск. |
Компонент Full-Text Search |
Та же учетная запись, что и для SQL Server |
Пользователь домена, локальная система, сетевая служба, локальная служба |
Вручную |
Остановлена Работает, если пользователь выбрал автозапуск. |
Обозреватель SQL Server |
SQL Server Express Edition в Windows 2000: Локальная система SQL Server Express Edition во всех других поддерживаемых операционных системах: локальная служба Все другие выпуски во всех поддерживаемых операционных системах: пользователь домена1,3 |
Пользователь домена, локальная система, сетевая служба, локальная служба |
Отключен5 Авто, если пользователь выбрал автозапуск. |
Остановлена5 Работает, если пользователь выбрал автозапуск. |
Модуль поддержки Active Directory в службах SQL Server |
Сетевая служба |
Локальная система, сетевая служба |
Отключен |
Остановлена |
Модуль записи SQL |
Локальная система |
Локальная система |
Авто |
Работает |
1Важно Корпорация Microsoft не рекомендует использовать учетную запись «Сетевая служба» для SQL Server и служб агента SQL Server. Для этих служб SQL Server больше подходят учетные записи «Локальный пользователь» или «Пользователь домена».
2В конфигурациях с отказоустойчивым кластером следует устанавливать тип «Вручную».
3При автоматической установке это свойство является необходимым. Если не задано, в программе установки произойдет сбой. Учетную запись «Локальная система» можно задать с помощью выражения SQLAccount=LocalSystem или ASAccount=LocalSystem. Дополнительные сведения и примеры синтаксиса для удаленной и автоматической установки см. в разделе Как установить SQL Server 2005 из командной строки.
44Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.
5При конфигурации с отказоустойчивым кластером обозреватель SQL Server настраивается на автоматический запуск и запускается по умолчанию после завершения программы установки.
6Дополнительные сведения о поддерживаемых учетных записях Windows для агента SQL Server см. в разделе Поддерживаемые типы учетных записей Windows, которые могут быть использованы для запуска службы агента SQL Server в SQL Server 2005.
| Важно! |
|---|
| При конфигурации с отказоустойчивым кластером учетные записи локальной системы и сетевой службы для служб, поддерживающих работу в кластере, таких как SQL Server, агент SQL Server и служб SSAS, не поддерживаются. Дополнительные сведения см. в разделе Подготовка к установке отказоустойчивого кластера. Для установки SQL Server 2005 в параллельной конфигурации с ранними версиями SQL Server службы SQL Server 2005 должны использовать учетные записи только из глобальной группы доменов. Кроме того, учетные записи, которые используют службы SQL Server 2005, не должны присутствовать в локальной группе администраторов. Несоблюдение этих рекомендаций может привести к непредвиденным последствиям для безопасности. |
Использование учетной записи «Пользователь домена»
Учетную запись «Пользователь домена» рекомендуется использовать, если предусматривается взаимодействие службы с сетевыми службами. Многие операции взаимодействия сервера с сервером могут быть выполнены только с учетной записью пользователя домена, например:
- удаленные вызовы процедур;
- репликация;
- резервное копирование на сетевые диски;
- гетерогенные соединения, затрагивающие удаленные источники данных;
- функции работы с почтой агента SQL Server и службы SQL Mail. Данное ограничение действует только при использовании сервера Microsoft Exchange. Клиенты большинства других систем электронной почты, подобных службам SQL Server и агенту SQL Server, должны быть запущены под учетными записями с доступом к сети.
Использование учетной записи «Локальная служба»
«Локальная служба» — особая встроенная учетная запись, подобная учетной записи пользователя, прошедшего проверку подлинности. Учетная запись «Локальная служба» обладает таким же уровнем доступа к ресурсам и объектам, как и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае компрометации отдельных служб или процессов. Службы, запущенные с учетной записью «Локальная служба», получают доступ к сетевым ресурсам в форме неопределенного сеанса без учетных данных.
Использование учетной записи «Сетевая служба»
«Сетевая служба» — особая встроенная учетная запись, подобная учетной записи пользователя, прошедшего проверку подлинности. Учетная запись «Сетевая служба» обладает таким же уровнем доступа к ресурсам и объектам, что и члены группы «Пользователи». Службы, запущенные с учетной записью «Сетевая служба», получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера.
| Важно! |
|---|
| Корпорация Майкрософт не рекомендует использовать учетную запись «Сетевая служба» для служб SQL Server и агента SQL Server. Для этих SQL-служб больше подходят учетные записи «Локальный пользователь» или «Пользователь домена». |
Использование учетной записи «Локальная система»
«Локальная система» — учетная запись с широкими правами доступа; следует соблюдать осторожность при назначении разрешений учетной записи «Локальная система» учетным записям служб SQL Server.
.gif "ms143504.security(ru-ru,SQL.90).gif") Примечание безопасности. |
|---|
| Для повышения безопасности установленной копии SQL Server службы SQL Server следует запускать под локальной учетной записью Windows с минимально возможными правами доступа. |
Изменение учетных записей пользователей
Чтобы изменить пароль или другие свойства службы, связанной с SQL Server, используйте диспетчер конфигурации SQL Server. При изменении пароля входа в Windows не забудьте также обновить параметры служб SQL Server в Windows. Если включена служба Kerberos, не забудьте обновить свойство каталога Service Principal Name (SPN) для службы Active Directory.
Дополнительные сведения см. в разделе Изменение паролей и учетных записей пользователей. Сведения об использовании надстроек служб для изменения учетных записей служб SQL Server см. в разделе Как изменить учетные записи служб SQL Server и агента SQL Server, не используя программу SQL Enterprise Manager в SQL Server 2000 или диспетчер конфигурации SQL Server в SQL Server 2005.
Идентификация зависимых и не зависимых от экземпляра служб
Некоторые из служб SQL Server привязаны к экземпляру, в то время как другие не привязаны. Каждая служба, привязанная к экземпляру, соответствует конкретному экземпляру SQL Server, и ей назначается отдельный куст реестра. Можно установить несколько копий служб, привязанных к экземпляру, запуская программу установки SQL Server для каждого компонента или службы. Службы, не привязанные к экземпляру, совместно используются всеми установленными экземплярами SQL Server; они не связаны с конкретным экземпляром, устанавливаются только один раз и не могут быть установлены параллельно.
В службы, привязанные к экземпляру, в Microsoft SQL Server 2005 входят следующие:
- SQL Server
- Агент SQL Server.
- службы Analysis Services
- службы Reporting Services
- компонент Full-Text Search
В службы, не привязанные к экземпляру, в SQL Server 2005 входят следующие:
- службы Notification Services
- Integration Services
- обозреватель SQL Server;
- модуль поддержки Active Directory в SQL Server;
- модуль записи SQL.
Обзор прав доступа и привилегий, предоставляемых в Windows NT учетным записям служб SQL Server
Программа установки SQL Server создает группы пользователей для различных служб SQL Server и добавляет в них соответствующие учетные записи служб. Эти группы упрощают предоставление разрешений, необходимых для запуска служб SQL Server и других исполняемых файлов, и позволяют обеспечивать защиту файлов SQL Server. Обратите внимание, что уникальные имена групп файлов обязательны при установке SQL Server 2005 на контроллере домена.
Группам пользователей, созданным программой установки SQL Server, предоставляются следующие права доступа Windows NT.
| Служба SQL Server | Группа пользователей | Разрешения, предоставляемые по умолчанию программой установки SQL Server |
|---|---|---|
SQL Server |
Экземпляр по умолчанию: SQLServer2005MSSQLUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSSQLUser$ИмяКомпьютера$ИмяЭкземпляра |
Вход в систему в качестве службы (SeServiceLogonRight) Работа в качестве части операционной системы (SeTcbPrivilege) (только в Windows 2000) Вход в систему в качестве пакетного задания (SeBatchLogonRight) Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Разрешение на запуск модуля поддержки Active Directory в службах SQL Server Разрешение на запуск службы SQL Writer |
Агент SQL Server |
Экземпляр по умолчанию: SQLServer2005SQLAgentUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005SQLAgentUser$ИмяКомпьютера$ИмяЭкземпляра |
Вход в систему в качестве службы (SeServiceLogonRight) Работа в качестве части операционной системы (SeTcbPrivilege) (только в Windows 2000) Вход в систему в качестве пакетного задания (SeBatchLogonRight) Замена маркера уровня процесса (SeAssignPrimaryTokenPrivilege) Обход проходной проверки (SeChangeNotifyPrivilege) Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) |
Службы Analysis Services |
Экземпляр по умолчанию: SQLServer2005MSOLAPUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSOLAPUser$ИмяКомпьютера$ИмяЭкземпляра |
Вход в систему в качестве службы (SeServiceLogonRight) |
Службы Reporting Services1 |
Экземпляр по умолчанию: SQLServer2005ReportServerUser$ИмяКомпьютера$MSSQLSERVER и SQLServer2005ReportingServicesWebServiceUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005ReportServerUser$ИмяКомпьютера$ИмяЭкземпляра и SQLServer2005ReportingServicesWebServiceUser$ИмяКомпьютера$ИмяЭкземпляра |
Вход в систему в качестве службы (SeServiceLogonRight) |
Службы Notification Services2 |
Именованный или установленный по умолчанию экземпляр: SQLServer2005NotificationServicesUser$ИмяКомпьютера |
Н/Д |
Integration Services |
Именованный или установленный по умолчанию экземпляр: SQLServer2005DTSUser$ИмяКомпьютера |
Вход в систему в качестве службы (SeServiceLogonRight) Разрешение на запись в журнал событий приложения Обход проходной проверки (SeChangeNotifyPrivilege) Создание глобальных объектов (SeCreateGlobalPrivilege) Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege) |
Компонент Full-Text Search |
Экземпляр по умолчанию: SQLServer2005MSFTEUser$ИмяКомпьютера$MSSQLSERVER Именованный экземпляр: SQLServer2005MSFTEUser$ИмяКомпьютера$ИмяЭкземпляра |
Вход в систему в качестве службы (SeServiceLogonRight) |
Обозреватель SQL Server |
Именованный или установленный по умолчанию экземпляр: SQLServer2005SQLBrowserUser$ИмяКомпьютера |
Вход в систему в качестве службы (SeServiceLogonRight) |
Модуль поддержки Active Directory в службах SQL Server |
Именованный или установленный по умолчанию экземпляр: SQLServer2005MSSQLServerADHelperUser$ИмяКомпьютера |
Нет3 |
Модуль записи SQL |
Н/Д |
Нет3 |
1Для служб Reporting Services программа установки SQL Server должна также создать группы пользователей SQLServer2005ReportingServicesWebServiceUser$ИмяЭкземпляра и SQLServer2005ASP.NETUser и предоставить для них списки управления доступом (ACL). Дополнительные сведения см. в разделе ниже о списках управления доступом.
22Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.
3 Программа установки SQL Server не проверяет и не предоставляет разрешения для данной службы.
Обзор списков управления доступом, создаваемых для учетных записей служб SQL Server
Учетные записи служб SQL Server 2005 должны иметь доступ к ресурсам. Списки управления доступом (ACL) устанавливаются на уровне группы пользователей. В следующей таблице перечислены списки ACL, создаваемые программой установки SQL Server.
| Важно! |
|---|
| При конфигурации с отказоустойчивым кластером нельзя включать ресурсы на общих дисках ни в один список ACL в локальной группе пользователей. Вместо этого такие ресурсы можно включить в список ACL для локальной учетной записи. |
| Учетная запись службы | Файлы и папки | Доступ |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Полный доступ |
Instid\MSSQL\binn |
Чтение и выполнение |
|
Instid\MSSQL\data |
Полный доступ |
|
Instid\MSSQL\FTData |
Полный доступ |
|
Instid\MSSQL\Install |
Чтение и выполнение |
|
Instid\MSSQL\Log |
Полный доступ |
|
Instid\MSSQL\Repldata |
Полный доступ |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
90\com |
Чтение и выполнение |
|
Instid\MSSQL\Template Data (только для выпуска SQL Server Express) |
Чтение |
|
SQLServerAgent |
Instid\MSSQL\binn |
Полный доступ |
Instid\MSSQL\Log |
Полный доступ |
|
Instid\MSSQL\jobs |
Полный доступ |
|
90\com |
Чтение и выполнение |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
FTS |
Instid\MSSQL\FTData |
Полный доступ |
Instid\MSSQL\FTRef |
Чтение и выполнение |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
Instid\MSSQL\Install |
Чтение и выполнение |
|
MSSQLServerOLAPservice |
90\shared |
Чтение и выполнение |
90\shared\msmdlocal.ini |
Полный доступ |
|
Instid\OLAP |
Чтение и выполнение |
|
Instid\Olap\Data |
Полный доступ |
|
Instid\Olap\Log |
Чтение и запись |
|
90\shared\Errordumps |
Чтение и запись |
|
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
Чтение, запись и удаление |
Instid\Reporting Services\ReportServer |
Чтение и выполнение |
|
Instid\Reportingservices\Reportserver\global.asax |
Полный доступ |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Чтение и запись |
|
Instid\Reporting Services\reportManager |
Чтение и выполнение |
|
Instid\Reporting Services\RSTempfiles |
Чтение и запись |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
Чтение, запись и удаление |
Instid\Reporting Services\ReportServer |
Чтение и выполнение |
|
Instid\Reportingservices\Reportserver\global.asax |
Полный доступ |
|
InstID\Reporting Services\reportservice.asmx |
Полный доступ |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Чтение, запись и удаление |
|
Instid\Reporting Services\reportManager |
Чтение и выполнение |
|
Instid\Reporting Services\RSTempfiles |
Чтение и запись |
|
Instid\Reporting Services\reportManager\pages |
Чтение |
|
Instid\Reporting Services\reportManager\Styles |
Чтение |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
Чтение |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
Службы Notification Services |
90\Notification services |
Чтение и выполнение, список содержимого папки |
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
Чтение |
90\dts\binn |
Чтение и выполнение |
|
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
Обозреватель SQL Server |
90\shared\msmdlocal.ini |
Чтение |
90\shared |
Чтение и выполнение |
|
90\shared\Errordumps |
Чтение и запись |
|
MSADHekper |
N/A (Запускается в качестве встроенных учетных записей) |
|
SQLWriter |
N/A (Запускается с учетной записью Local System) |
|
Пользователь |
Instid\MSSQL\binn |
Чтение и выполнение |
Instid\Reporting Services\ReportServer |
Чтение и выполнение |
|
Instid\Reportingservices\Reportserver\global.asax |
Чтение |
|
InstID\Reporting Services\reportservice.asmx |
Чтение и выполнение |
|
Instid\Reporting Services\reportManager |
Чтение и выполнение |
|
Instid\Reporting Services\reportManager\pages |
Чтение |
|
Instid\Reporting Services\reportManager\Styles |
Чтение |
|
90\dts |
Чтение и выполнение |
|
90\tools |
Чтение и выполнение |
|
80\tools |
Чтение и выполнение |
|
90\sdk |
Чтение |
|
Microsoft SQL Server\90\Setup Bootstrap |
Чтение и выполнение |
Кроме стартовых учетных записей служб SQL Server могут потребоваться разрешения на доступ для встроенных учетных записей или других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки ACL, создаваемые программой установки SQL Server.
| Запрашивающий компонент | Учетная запись | Ресурс | Разрешения |
|---|---|---|---|
MSSQLServer |
Пользователи журнала производительности |
Instid\MSSQL\binn |
Просмотр содержимого папки |
Пользователи системного монитора |
Instid\MSSQL\binn |
Просмотр содержимого папки |
|
Пользователи журнала производительности |
Instid\MSSQL\binn\sqlctr90.dll |
Чтение и выполнение |
|
Пользователи системного монитора |
Instid\MSSQL\binn\sqlctr90.dll |
Чтение и выполнение |
|
Только администратор |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
Полный доступ |
|
Администраторы |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Полный доступ |
|
Система |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Полный доступ |
|
Пользователи |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Чтение и выполнение |
|
Службы Reporting Services |
<Учетная запись веб-службы сервера отчетов> |
<каталог установки>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Идентификатор пула приложений диспетчера отчетов |
<каталог установки>\Reporting Services\ReportManager |
Чтение |
|
Учетная запись ASP.NET |
<каталог установки>\Reporting Services\ReportManager |
Чтение |
|
Все |
<каталог установки>\Reporting Services\ReportManager |
Чтение |
|
Идентификатор пула приложений диспетчера отчетов |
<каталог_установки>\Reporting Services\ReportManager\Pages\*.* |
Чтение |
|
Учетная запись ASP.NET |
<каталог_установки>\Reporting Services\ReportManager\Pages\*.* |
Чтение |
|
Все |
<каталог_установки>\Reporting Services\ReportManager\Pages\*.* |
Чтение |
|
Идентификатор пула приложений диспетчера отчетов |
<каталог_установки>\Reporting Services\ReportManager\Styles\*.* |
Чтение |
|
Учетная запись ASP.NET |
<каталог_установки>\Reporting Services\ReportManager\Styles\*.* |
Чтение |
|
Все |
<каталог_установки>\Reporting Services\ReportManager\Styles\*.* |
Чтение |
|
Идентификатор пула приложений диспетчера отчетов |
<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Чтение |
|
Учетная запись ASP.NET |
<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Чтение |
|
Все |
<каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Чтение |
|
<Учетная запись веб-службы сервера отчетов> |
<каталог установки>\Reporting Services\ReportServer |
Чтение |
|
<Учетная запись веб-службы сервера отчетов> |
<каталог установки>\Reporting Services\ReportServer\global.asax |
Полные |
|
Все |
<каталог установки>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Сетевая служба |
<каталог установки>\Reporting Services\ReportServer\ReportService.asmx |
Полные |
|
Все |
<каталог установки>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Учетная запись службы Windows для сервера отчетов |
<каталог установки>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Все |
Разделы реестра сервера отчетов (куст Instid) |
Запрос значения Перечисление подразделов Уведомление Управление чтением |
|
Пользователь служб терминала |
Разделы реестра сервера отчетов (куст Instid) |
Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением |
|
Опытные пользователи |
Разделы реестра сервера отчетов (куст Instid) |
Запрос значения Установка значения Создание подраздела Перечисление подразделов Уведомление Удаление Управление чтением |
1Это пространство имен поставщика инструментария WMI.
Обзор разрешений Windows для служб SQL Server
В следующей таблице перечислены имена служб, термины, используемые для установленных по умолчанию и именованных экземпляров служб SQL Server, описания функций служб, а также минимальные требуемые разрешения.
Отображаемое имя
Имя службы
Описание
Требуемые разрешения
SQL Server (ИмяЭкземпляра)
Экземпляр по умолчанию: MSSQLSERVER
Именованный экземпляр: MSSQL$ИмяЭкземпляра
SQL Server Database Engine.
Путь к исполняемому файлу — \MSSQL\Binn\sqlservr.exe.
Рекомендуется локальный пользователь.
Минимальные разрешения
Функциональность
Учетная запись для запуска службы MSSQLServer
Эта учетная запись должна быть включена в список учетных записей, имеющих разрешения «Список содержимого папки» для корневой папки диска, где установлен SQL Server, а также корневой папки любого другого диска, где хранятся файлы SQL Server.
Примечание.
Разрешения «Список содержимого папки» для корневой папки диска не обязательно должны наследоваться вложенными папками.
Учетная запись для запуска службы MSSQLServerУчетная запись должна иметь разрешения «Полный доступ» для любых папок, где хранятся файлы данных или журналов (MDF, NDF, LDF).
Агент SQL Server (ИмяЭкземпляра)
Экземпляр по умолчанию: SQLServerAgent
Именованный экземпляр: SQLAgent$ИмяЭкземпляра
Служит для выполнения заданий, контроля за SQL Server, предупреждения о нештатных ситуациях, а также позволяет автоматизировать некоторые задачи по администрированию.
Путь к исполняемому файлу — \MSSQL\Binn\sqlagent90.exe.
Минимальные разрешения
Функциональность
Учетная запись должна быть членом фиксированной серверной роли sysadmin
Учетная запись должна иметь следующие разрешения Windows1Вход в систему в качестве службы. Вход в систему в качестве пакетного задания. Замена маркера уровня процесса. Назначение квот памяти процессам. Работа в качестве части операционной системы. Обход проходной проверки.
Службы Analysis Services (ИмяЭкземпляра)
Экземпляр по умолчанию: MSSQLServerOLAPService
Именованный экземпляр: MSOLAP$ИмяЭкземпляра
Служба, обеспечивающая интерактивную аналитическую обработку (OLAP) и интеллектуальный анализ данных для приложений бизнес-аналитики.
Путь к исполняемому файлу — \OLAP\Bin\msmdsrv.exe.
Сервер отчетов
Экземпляр по умолчанию: ReportServer
Именованный экземпляр: ReportServer$ИмяЭкземпляра
Служит для управления, выполнения, подготовки, ведения расписания и доставки отчетов.
Путь к исполняемому файлу — «\Reporting Services\ReportServer\Bin\ReportingServicesService.exe».
Notification Services
Службы Notification Services представляют собой платформу для разработки и развертывания приложений, формирующих и отправляющих уведомления. Программа установки SQL Server может установить службы Notification Services, но не поддерживает их настройку. Дополнительные сведения о включении служб Notification Services после завершения установки см. в разделе «Настройка служб Notification Services в Windows» в электронной документации по SQL Server 2005.
Integration Services
Именованный или установленный по умолчанию экземпляр: MSDTSServer
Обеспечивает поддержку управления хранением и выполнением пакетов службы Integration Services.
Путь к исполняемому файлу — \DTS\Binn\msdtssrvr.exe.
Обозреватель SQL Server
Именованный или установленный по умолчанию экземпляр: SQLBrowser
Служба разрешения имен, поставляющая сведения о соединениях SQL Server для клиентских компьютеров. Эта служба совместно используется множеством экземпляров SQL Server и служб SSIS.
Путь к исполняемому файлу — \90\shared\sqlbrowser.exe.
Компонент Microsoft FullText Search (MSFTESQL)
Экземпляр по умолчанию: MSFTESQL
Именованный экземпляр: MSFTESQL$ИмяЭкземпляра
Позволяет быстро создавать полнотекстовые индексы содержимого и свойств структурированных и частично структурированных данных для обеспечения быстрого лингвистического поиска в этих данных.
Путь к исполняемому файлу — \MSSQL\Binn\msftesql.exe.
Модуль поддержки Active Directory в службах SQL Server
Именованный или установленный по умолчанию экземпляр: MSSQLServerADHelper.
Осуществляет публикацию служб SQL Server и управление ими в службе каталогов Windows Active Directory.
Путь к исполняемому файлу — \90\Shared\sqladhelper.exe.
SQL Writer
SQLWriter
Служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS). Для всех экземпляров SQL Server на сервере используется один и тот же экземпляр службы SQL Writer.
Путь к исполняемому файлу — \90\Shared\sqlwriter.exe.
1Дополнительные сведения о способах проверки всех требуемых разрешений Windows см. в разделе Как проверить разрешения для служб SQL Server.
Обзор дополнительных вопросов
В следующей таблице перечислены разрешения, требуемые для расширения функциональности служб SQL Server.
| Служба или приложение | Функциональность | Требуемые разрешения |
|---|---|---|
SQL Server (MSSQLSERVER) |
Запись в почтовый канал с помощью xp_sendmail. |
Привилегии на запись по сети. |
SQL Server (MSSQLSERVER) |
Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server. |
Работа в качестве части операционной системы, а также замена маркера уровня процесса. |
Агент SQL Server (MSSQLSERVER) |
Использование функции автоматического перезапуска. |
Должен быть членом локальной группы Администраторы. |
Помощник по настройке ядра СУБД |
Позволяет настраивать базы данных для оптимальной производительности запросов. |
При первом использовании приложение должно быть инициализировано пользователем с правами системного администратора. После инициализации пользователи — владельцы таблиц (пользователи dbo) могут использовать помощник по настройке Database Engine для настройки только тех таблиц, владельцами которых они являются. Дополнительные сведения см. в разделе «Инициализация помощника по настройке ядра СУБД при первом запуске» электронной документации SQL Server 2005. |
| Важно! |
|---|
| Перед обновлением до SQL Server 2005 включите проверку подлинности Windows для агента SQL Server и убедитесь, что учетная запись службы агента SQL Server находится в группе SQL Server sysadmin. |
Локализованные имена служб
В следующей таблице показаны имена служб, используемые в локализованной версии Microsoft Windows.
| Язык | Имя локальной службы | Имя сетевой службы | Имя локальной системы | Имя группы администраторов |
|---|---|---|---|---|
Английский Китайский (упрощенное письмо) Традиционный китайский Корейский Японский |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Немецкий |
NT-AUTORITT\LOKALER DIENST |
NT-AUTORITT\NETZWERKDIENST |
NT-AUTORITT\SYSTEM |
VORDEFINIERT\Administratoren |
Французский |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RESEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Итальянский |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Испанский |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Русский |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
См. также
Справочник
Учетная запись службы
Учетные записи служб (кластеры)
Основные понятия
Анализ безопасности при установке SQL Server
Справка и поддержка
Получение помощи по SQL Server 2005
Журнал изменений
| Версия | Журнал |
|---|---|
12 декабря 2006 г. |
|
17 июля 2006 г. |
|
5 декабря 2005 г. |
|