sql server 服务账户和权限管理配置文档格式.docx

sql server 服务账户和权限管理配置文档格式.docx

《sql server 服务账户和权限管理配置文档格式.docx》由会员分享，可在线阅读，更多相关《sql server 服务账户和权限管理配置文档格式.docx（31页珍藏版）》请在冰点文库上搜索。

可执行文件为<

MSSQLPATH>

\MSSQL\Binn\sqlservr.exe。

SQLServer代理 

-执行作业、监视SQLServer、激发警报以及允许自动执行某些管理任务。

SQLServer代理服务在SQLServerExpress的实例上存在，但处于禁用状态。

\MSSQL\Binn\sqlagent.exe。

AnalysisServices 

-为商业智能应用程序提供联机分析处理（OLAP）和数据挖掘功能。

\OLAP\Bin\msmdsrv.exe。

ReportingServices 

-管理、执行、创建、计划和传递报表。

\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。

IntegrationServices 

-为IntegrationServices包的存储和执行提供管理支持。

可执行文件的路径是<

\130\DTS\Binn\MsDtsSrvr.exe

SQLServerBrowser 

-向客户端计算机提供SQLServer连接信息的名称解析服务。

可执行文件的路径为c:

\ProgramFiles（x86）\MicrosoftSQLServer\90\Shared\sqlbrowser.exe

全文搜索 

-对结构化和半结构化数据的内容和属性快速创建全文索引，从而为SQLServer提供文档筛选和断字功能。

SQL编写器 

-允许备份和还原应用程序在卷影复制服务（VSS）框架中运行。

SQLServer分布式重播控制器 

-跨多个分布式重播客户端计算机提供跟踪重播业务流程。

SQLServerDistributedReplay客户端 

-与DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。

SQLServer受信任的启动板 

-用于托管Microsoft提供的外部可执行文件的可信服务，例如作为RServices（In-database）的一部分安装的R运行时。

附属进程可由启动板进程启动，但将根据单个实例的配置进行资源调控。

启动板服务在其自己的用户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。

附属进程将在执行过程中按需创建和销毁。

服务属性和配置

用于启动和运行SQLServer的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。

若要启动和运行SQLServer中的每项服务，这些服务都必须有一个在安装过程中配置的启动帐户。

默认服务帐户

下表列出了安装程序在安装所有组件时使用的默认服务帐户。

列出的默认帐户是建议使用的帐户，但特殊注明的除外。

独立服务器或域控制器

组件

WindowsServer2008（可能为英文页面）

Windows7和WindowsServer2008（可能为英文页面）R2及更高版本

数据库引擎

NETWORKSERVICE

虚拟帐户*

SQLServer代理

SSAS

SSIS

SSRS

SQLServer分布式重播控制器

SQLServer分布式重播客户端

FD启动器（全文搜索）

LOCALSERVICE

虚拟帐户

SQLServerBrowser

SQLServerVSS编写器

LOCALSYSTEM

高级分析扩展

NTSERVICE\MSSQLLaunchpad

*当需要SQLServer计算机外部的资源时，Microsoft建议使用配置了必需的最小特权的托管服务帐户（MSA）。

SQLServer故障转移群集实例

WindowsServer2008（可能为英文页面）R2

无。

提供 

域用户 

帐户。

提供 

更改帐户属性

重要事项

始终使用SQLServer工具（例如SQLServer配置管理器）来更改SQLServer数据库引擎或SQLServer代理服务使用的帐户，或更改帐户的密码。

除了更改帐户名称以外，SQLServer配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的Windows本地安全存储区。

其他工具（例如Windows服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。

对于您在SharePoint场中部署的AnalysisServices实例，始终使用SharePoint管理中心为PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。

使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。

若要更改ReportingServices选项，请使用ReportingServices配置工具。

托管服务帐户、组托管服务帐户和虚拟帐户

托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如SQLServer）提供其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称（SPN）和凭据。

这就使得管理服务帐户用户、密码和SPN的过程变得简单得多。

托管服务帐户

托管服务帐户（MSA）是一种由域控制器创建和管理的域帐户。

它分配给单个成员计算机以用于运行服务。

域控制器将自动管理密码。

您不能使用MSA登录到计算机，但计算机可以使用MSA来启动Windows服务。

MSA可以向ActiveDirectory注册服务主体名称（SPN）。

MSA的名称中有一个 

$ 

后缀，例如DOMAIN\ACCOUNTNAME$。

在指定MSA时，请将密码留空。

因为将MSA分配给单个计算机，它不能用于Windows群集的不同节点。

说明

域管理员必须先在ActiveDirectory中创建MSA，然后SQLServer安装程序才能将其用于SQLServer服务。

组托管服务帐户

组托管服务帐户是针对多个服务器的MSA。

Windows为在一组服务器上运行的服务管理服务帐户。

ActiveDirectory自动更新组托管服务帐户密码，而不重启服务。

你可以配置SQLServer服务以使用组托管服务帐户主体。

SQLServer2016对于独立实例、故障转移群集实例和可用性组，在WindowsServer2012R2和更高版本上支持组托管服务帐户。

若要使用SQLServer2016或更高版本的组托管服务帐户，操作系统必须是WindowsServer2012R2或更高版本。

装有WindowsServer2012R2的服务器需要应用 

KB2998082，以便服务可以在密码更改后立即登录而不中断。

有关详细信息，请参阅组托管服务帐户

域管理员必须先在ActiveDirectory中创建组托管服务帐户，然后SQLServer安装程序才能将其用于SQLServer服务。

虚拟帐户

WindowsServer2008R2和Windows7中的虚拟帐户是“托管的本地帐户”，此类帐户提供以下功能以简化服务管理。

虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。

如果在WindowsServer2008R2或Windows7上安装SQLServer时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为 

NTSERVICE\<

SERVICENAME>

。

以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为 

<

domain_name>

\<

computer_name>

$）访问网络资源。

当指定一个虚拟帐户以启动SQLServer时，应将密码留空。

如果虚拟帐户无法注册服务主体名称（SPN），则手动注册该SPN。

有关手动注册SPN的详细信息，请参阅 

手动注册SPN。

虚拟帐户不能用于SQLServer故障转移群集实例，因为虚拟帐户在群集的每个节点不会有相同SID。

下表列出了虚拟帐户名称的示例。

服务

虚拟帐户名称

数据库引擎服务的默认实例

NTSERVICE\MSSQLSERVER

名为数据库引擎的 

的服务的命名实例

NTSERVICE\MSSQL$PAYROLL

SQLServer代理服务，位于以下默认实例上：

SQLServer

NTSERVICE\SQLSERVERAGENT

SQLServer的SQLServer的 

的

NTSERVICE\SQLAGENT$PAYROLL

安全说明 

始终用尽可能低的用户权限运行SQLServer服务。

就会使用 

MSA 

或 

virtualaccount 

当无法使用MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于SQLServer服务。

对不同的SQLServer服务使用单独的帐户。

不要向SQLServer服务帐户或服务组授予其他权限。

在支持服务SID的情况下，将通过组成员身份或直接将权限授予服务SID。

防火墙端口

在大多数情况下，首次安装时，可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。

SQLServer安装程序不会在Windows防火墙中打开端口。

在将数据库引擎配置为侦听TCP端口，并且在Windows防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。

配置Windows服务帐户和权限

其他版本

适用于：

SQLServer2016

SQLServer中的每个服务表示一个进程或一组进程，用于通过Windows管理SQLServer操作的身份验证。

本主题介绍此SQLServer版本中服务的默认配置，以及可以在SQLServer安装过程中以及安装之后设置的SQLServer服务的配置选项。

本主题将帮助高级用户了解服务帐户的详细信息。

此部分介绍可配置为启动SQLServer服务的帐户、SQLServer安装程序使用的默认值、Per-serviceSID的概念、启动选项以及配置防火墙。

默认服务帐户

自动启动

配置服务启动类型

防火墙端口

后缀，例如 

DOMAIN\ACCOUNTNAME$。

如果在WindowsServer2008R2或Wi