Konfigurieren von Windows-Dienstkonten und -Berechtigungen

Jeder Dienst in SQL Server stellt einen Prozess oder eine Gruppe von Prozessen zum Verwalten der Authentifizierung von SQL Server-Vorgängen mit Windows dar. In diesem Thema werden die Standardkonfiguration von Diensten in dieser Version von SQL Server und die Konfigurationsoptionen für SQL Server-Dienste beschrieben, die Sie während und nach der SQL Server-Installation festlegen können.

Inhalt

Dieses Thema ist in folgende Abschnitte unterteilt:

  • Durch SQL Server installierte Dienste

  • Diensteigenschaften und -konfiguration

    • Standarddienstkonten

      • Ändern von Kontoeigenschaften
    • In Windows 7 und Windows Server 2008 R2 verfügbare neue Kontotypen

    • Automatischer Start

    • Konfigurieren von Diensten während der unbeaufsichtigten Installation

    • Firewallport

  • Dienstberechtigungen

    • Dienstkonfiguration und Zugriffssteuerung

    • Windows-Berechtigungen und Rechte

    • Pro-Dienst-SIDs für SQL Server oder lokalen Windows-Gruppen gewährte Dateisystemberechtigungen

    • Anderen Windows-Benutzerkonten oder -Gruppen gewährte Dateisystemberechtigung

    • Auf ungewöhnliche Speicherorte auf einem Datenträger bezogene Dateisystemberechtigungen

    • Überprüfen zusätzlicher Aspekte

    • Registrierungsberechtigungen

    • WMI

    • Named Pipes

  • Bereitstellung

    • Bereitstellung des Datenbankmoduls

      • Windows-Prinzipale

      • sa-Konto

      • Pro-Dienst-SID-Anmeldung für SQL Server und Berechtigungen

      • SQL Server-Agent-Anmeldung und Berechtigungen

      • HADRON- und SQL-Failoverclusterinstanz und Berechtigungen

      • SQL Writer und Berechtigungen

      • SQL WMI und Berechtigungen

    • SSAS-Bereitstellung

    • SSRS-Bereitstellung

  • Aktualisieren von früheren Versionen

  • Anhang

    • Beschreibung von Dienstkonten

    • Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

    • Lokalisierte Dienstnamen

Von SQL Server installierte Dienste

Je nach den Komponenten, die Sie installieren möchten, werden beim SQL Server-Setup die folgenden Dienste installiert:

  • SQL Server-Datenbankdienste – Der Dienst für das SQL Server-relationale Datenbankmodul. Ausführbare Datei: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe

  • SQL Server-Agent – Führt Aufträge aus, überwacht SQL Server, löst Warnungen aus und ermöglicht die Automatisierung bestimmter Verwaltungsaufgaben. Der SQL Server-Agent-Dienst ist vorhanden, aber in Instanzen von SQL Server Express deaktiviert. Ausführbare Datei: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe

  • Analysis Services – Bietet OLAP (Online Analytical Processing, Analytische Onlineverarbeitung)- und Data Mining-Funktionalität für Business Intelligence-Anwendungen. Ausführbare Datei: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe

  • Reporting Services – Wird zum Verwalten, Ausführen, Erstellen, Planen und Übermitteln von Berichten verwendet. Ausführbare Datei: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe

  • Integration Services – Stellt Verwaltungsunterstützung für das Speichern und Ausführen von Integration Services-Paketen bereit. Der Pfad der ausführbaren Datei lautet <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe.

  • SQL Server Browser – Der Namensauflösungsdienst, der SQL Server-Verbindungsinformationen für Clientcomputer bereitstellt. Der Pfad der ausführbaren Datei lautet c:\Programme (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.

  • Volltextsuche – Erstellt schnell Volltextindizes für den Inhalt und die Eigenschaften von strukturierten und semistrukturierten Daten, um eine Dokumentfilterung und Wörtertrennung für SQL Server zu ermöglichen.

  • SQL Writer – Ermöglicht das Ausführen von Sicherungs- und Wiederherstellungsanwendungen im VSS (Volume Shadow Copy Service)-Framework.

  • SQL Server Distributed Replay Controller – Stellt die Orchestrierung für die Wiedergabe der Ablaufverfolgung auf mehreren Distributed Replay Client-Computern zur Verfügung.

  • SQL Server Distributed Replay Client – Mindestens ein Distributed Replay Client-Computer, der mit einem Distributed Replay Controller zusammenarbeitet, um die gleichzeitige Arbeitsauslastungen für eine Instanz von SQL Server-Datenbankmodul zu simulieren.

Nach oben

Diensteigenschaften und -konfiguration

Zum Starten und Ausführen von SQL Server können Domänenbenutzerkonten, lokale Benutzerkonten, verwaltete Dienstkonten, virtuelle Konten oder integrierte Systemkonten als Startkonten verwendet werden. Zum Starten und Ausführen muss für jeden Dienst in SQL Server während der Installation ein Startkonto konfiguriert werden.

In diesem Abschnitt werden die Konten beschrieben, die zum Starten von SQL Server-Diensten konfiguriert werden können. Des Weiteren werden die beim SQL Server-Setup verwendeten Standardwerte, das Konzept der Pro-Dienst-SIDs, die Startoptionen und die Konfiguration der Firewall erläutert.

  • Standarddienstkonten

  • Automatischer Start

  • Konfigurieren des Starttyps für den Dienst

  • Firewallport

Standarddienstkonten

Die folgende Tabelle enthält die beim Setup bei der Installation aller Komponenten verwendeten Standarddienstkonten. Die aufgeführten Standardkonten sind die empfohlenen Konten, sofern nicht anders angegeben.

Eigenständiger Server oder Domänencontroller

Komponente

Windows Vista und Windows Server 2008

Windows 7 und Windows Server 2008 R2

Datenbankmodul

NETZWERKDIENST

Virtuelles Konto*

SQL Server-Agent

NETZWERKDIENST

Virtuelles Konto*

SSAS

NETZWERKDIENST

Virtuelles Konto*

SSIS

NETZWERKDIENST

Virtuelles Konto*

SSRS

NETZWERKDIENST

Virtuelles Konto*

SQL Server Distributed Replay Controller

NETZWERKDIENST

Virtuelles Konto*

SQL Server Distributed Replay Client

NETZWERKDIENST

Virtuelles Konto*

FD-Startprogramm (Volltextsuche)

LOKALER DIENST

Virtuelles Konto

SQL Server-Browser

LOKALER DIENST

LOKALER DIENST

SQL Server VSS Writer

LOKALES SYSTEM

LOKALES SYSTEM

* Wenn vom SQL Server-Computer externe Ressourcen benötigt werden, empfiehlt Microsoft die Verwendung eines verwalteten Dienstkontos (Managed Service Account, MSA), das mit den erforderlichen Mindestberechtigungen konfiguriert wurde.

SQL Server-Failoverclusterinstanz

Komponente

Windows Server 2008

Windows Server 2008 R2

Datenbankmodul

k. A. Geben Sie ein Domänenbenutzerkonto an.

Geben Sie ein Domänenbenutzerkonto an.

SQL Server-Agent

k. A. Geben Sie ein Domänenbenutzerkonto an.

Geben Sie ein Domänenbenutzerkonto an.

SSAS

k. A. Geben Sie ein Domänenbenutzerkonto an.

Geben Sie ein Domänenbenutzerkonto an.

SSIS

NETZWERKDIENST

Virtuelles Konto

SSRS

NETZWERKDIENST

Virtuelles Konto

FD-Startprogramm (Volltextsuche)

LOKALER DIENST

Virtuelles Konto

SQL Server-Browser

LOKALER DIENST

LOKALER DIENST

SQL Server VSS Writer

LOKALES SYSTEM

LOKALES SYSTEM

Nach oben

Ändern von Kontoeigenschaften

Wichtiger HinweisWichtig
  • Verwenden Sie immer SQL Server-Tools, z. B. den SQL Server-Konfigurations-Manager, um das von den SQL Server-Datenbankmodul- oder SQL Server-Agent-Diensten verwendete Konto oder das Kennwort für das Konto zu ändern. Zusätzlich zum Ändern des Kontonamens können Sie mithilfe vom SQL Server-Konfigurations-Manager weitere Konfigurationen vornehmen wie z. B. das Update der lokalen Windows-Sicherheitsspeicherung, die den Diensthauptschlüssel für Datenbankmodul schützt. Mit anderen Tools, z. B. dem Windows-Dienstkontroll-Manager, kann der Kontoname geändert werden, es können jedoch nicht alle erforderlichen Einstellungen vorgenommen werden.

  • Verwenden Sie für in einer SharePoint-Farm bereitgestellte Analysis Services-Instanzen immer die SharePoint-Zentraladministration, um die Serverkonten für PowerPivot-Dienst-Anwendungen und Analysis Services-Dienst zu ändern. Bei Verwendung der Zentraladministration werden zugehörige Einstellungen und Berechtigungen für die Verwendung der neuen Kontoinformationen aktualisiert.

  • Verwenden Sie zum Ändern der Reporting Services-Optionen das Reporting Services-Konfigurationstool.

Nach oben

In Windows 7 und Windows Server 2008 R2 verfügbare neue Kontotypen

In Windows 7 und Windows Server 2008 R2 sind zwei neue Dienstkontotypen verfügbar: verwaltete Dienstkonten (MSA) und virtuelle Konten. Verwaltete Dienstkonten und virtuelle Konten sollen für wichtige Anwendungen wie SQL Server ihre eigenen Konten zur Verfügung stellen, sodass ein Administrator den Dienstprinzipalnamen (Service Principal Name, SPN) und die Anmeldedaten für diese Konten nicht mehr manuell verwalten muss. Diese Konten vereinfachen erheblich die langfristige Verwaltung von Dienstkontobenutzern, Kennwörtern und SPNs.

  • Verwaltete Dienstkonten

    Bei einem verwalteten Dienstkonto (MSA) handelt es sich um eine vom Domänencontroller erstellte und verwaltete Art von Domänenkonto. Es wird einem Computer mit einem Mitglied für die Ausführung eines Diensts zugewiesen. Das Kennwort wird automatisch vom Domänencontroller verwaltet. Sie können sich nicht mithilfe eines MSA an einem Computer anmelden, aber ein Computer kann mithilfe eines MSA einen Windows-Dienst starten. Ein MSA kann Dienstprinzipalnamen (SPN) bei Active Directory registrieren. Ein MSA wird mit einem $-Suffix bezeichnet, z. B. DOMAIN\ACCOUNTNAME$. Wenn Sie ein MSA angeben, lassen Sie das Kennwort leer. Da ein MSA einem einzelnen Computer zugewiesen ist, kann es nicht für verschiedene Knoten eines Windows-Clusters verwendet werden.

    HinweisHinweis

    Das MSA muss in Active Directory vom Domänenadministrator erstellt werden, bevor es beim SQL Server-Setup für SQL Server-Dienste verwendet werden kann.

    HinweisHinweis

    Verwaltete Gruppendienstkonten werden zurzeit nicht unterstützt.

  • Virtuelle Konten

    Bei virtuellen Konten in Windows Server 2008 R2 und Windows 7 handelt es sich um verwaltete lokale Konten, die die folgenden Funktionen zur Vereinfachung der Dienstverwaltung bereitstellen: Das virtuelle Konto wird automatisch verwaltet und kann auf das Netzwerk in einer Domänenumgebung zugreifen. Wenn während des SQL Server-Setups unter Windows Server 2008 R2 oder Windows 7 der Standardwert für die Dienstkonten verwendet wird, wird ein virtuelles Konto mit dem Instanzname als Dienstname im Format NT SERVICE\<SERVICENAME> verwendet. Als virtuelle Konten ausgeführt Dienste greifen auf Netzwerkressourcen unter Verwendung der Anmeldeinformationen des Computerkontos im Format <domain_name>\<computer_name>$ zu. Wenn Sie zum Starten von SQL Server ein virtuelles Konto angeben, lassen Sie das Kennwort leer. Wenn das virtuelle Konto den Dienstprinzipalnamen (SPN) nicht registriert, registrieren Sie den SPN manuell. Weitere Informationen zur manuellen SPN-Registrierung finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.

    HinweisHinweis

    Virtuelle Konten können nicht für eine SQL Server-Failoverclusterinstanz verwendet werden, da das virtuelle Konto nicht dieselbe SID auf allen Knoten des Clusters besäße.

    In der folgenden Tabelle sind Beispiele für virtuelle Kontonamen aufgeführt:

    Dienst

    Name des virtuellen Kontos

    Standardinstanz des Datenbankmodul-Diensts

    NT SERVICE\MSSQLSERVER

    Benannte Instanz eines Datenbankmodul-Diensts mit dem Namen PAYROLL

    NT SERVICE\MSSQL$PAYROLL

    SQL Server Agent-Dienst auf der Standardinstanz von SQL Server

    NT SERVICE\SQLSERVERAGENT

    SQL Server-Agent-Dienst auf einer Instanz von SQL Server mit dem Namen PAYROLL

    NT SERVICE\SQLAGENT$PAYROLL

Weitere Informationen zu verwalteten Dienstkonten und virtuellen Konten finden Sie im Abschnitt Konzepte verwalteter Dienstkonten und virtueller Konten in der schrittweisen Anleitung für Dienstkonten und den häufig gestellten Fragen (FAQ) zu verwalteten Dienstkonten.

Sicherheitshinweis:  SQL Server-Dienste müssen immer mit den geringst möglichen Benutzerrechten ausgeführt werden. Verwenden Sie möglichst ein MSA oder virtuelles Konto. Wenn die Verwendung von verwalteten Dienstkonten und virtuellen Konten nicht möglich ist, verwenden Sie ein bestimmtes Benutzerkonto oder Domänenkonto mit niedrigen Berechtigungen anstelle eines freigegebenen Kontos für SQL Server-Dienste. Verwenden Sie separate Konten für andere SQL Server-Dienste. Gewähren Sie dem SQL Server-Dienstkonto oder den Dienstgruppen keine zusätzlichen Berechtigungen. Berechtigungen werden durch Gruppenmitgliedschaft oder direkt für eine Dienst-SID gewährt, sofern eine Dienst-SID unterstützt wird.

Automatischer Start

Neben Benutzerkonten verfügt jeder Dienst über drei mögliche Startstatuswerte, die von den Benutzern gesteuert werden können:

  • Deaktiviert Der Dienst ist installiert, wird jedoch zurzeit nicht ausgeführt.

  • Manuell – Der Dienst ist installiert, wird jedoch nur gestartet, wenn ein anderer Dienst oder eine andere Anwendung seine Funktionalität benötigt.

  • Automatisch   Der Dienst wird vom Betriebssystem automatisch gestartet.

Der Startstatus wird während des Setups ausgewählt. Beim installieren einer benannten Instanz sollte für den SQL Server Browser-Dienst der automatische Start festgelegt werden.

Konfigurieren von Diensten während der unbeaufsichtigten Installation

In der folgenden Tabelle sind die SQL Server-Dienste dargestellt, die während der Installation konfiguriert werden können. Für unbeaufsichtigte Installationen können Sie die Schalter in einer Konfigurationsdatei oder an einer Eingabeaufforderung verwenden.

Name des SQL Server-Diensts

Schalter für unbeaufsichtigte Installationen1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

SQL Server Distributed Replay Controller

DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS

SQL Server Distributed Replay Client

DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Weitere Informationen und eine Beispielsyntax zu unbeaufsichtigten Installationen finden Sie unter Installieren von SQL Server 2012 von der Eingabeaufforderung.

2Der SQL Server-Agent-Dienst ist auf Instanzen von SQL Server Express und SQL Server Express mit Advanced Services deaktiviert.

Firewallport

Bei der Erstinstallation kann in den meisten Fällen mithilfe von Tools wie SQL Server Management Studio, die auf demselben Computer wie SQL Server installiert sind, eine Verbindung mit Datenbankmodul hergestellt werden. Vom SQL Server-Setup werden keine Ports in der Windows-Firewall geöffnet. Verbindungen von anderen Computern sind möglicherweise nicht möglich, bis Datenbankmodul für das Warten auf einen TCP-Port konfiguriert und der entsprechende Port in der Windows-Firewall für Verbindungen geöffnet wird. Weitere Informationen finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.

Nach oben

Dienstberechtigungen

In diesem Abschnitt werden die Berechtigungen beschrieben, die beim SQL Server-Setup für die Pro-Dienst-SIDs der SQL Server-Dienste konfiguriert werden.

  • Dienstkonfiguration und Zugriffssteuerung

  • Windows-Berechtigungen und Rechte

  • Pro-Dienst-SIDs für SQL Server oder lokalen Windows-Gruppen gewährte Dateisystemberechtigungen

  • Anderen Windows-Benutzerkonten oder -Gruppen gewährte Dateisystemberechtigungen

  • Auf ungewöhnliche Speicherorte auf einem Datenträger bezogene Dateisystemberechtigungen

  • Überprüfen zusätzlicher Aspekte

  • Registrierungsberechtigungen

  • WMI

  • Named Pipes

Dienstkonfiguration und Zugriffssteuerung

SQL Server 2012 aktiviert die Pro-Dienst-SID für alle Dienste, um Dienstisolierung und gründlichen Schutz zu ermöglichen. Die Pro-Dienst-SID ergibt sich aus dem Dienstnamen und ist für diesen Dienst eindeutig. Ein Dienst-SID-Name für den Datenbankmodul-Dienst könnte beispielsweise NT Service\MSSQL$<InstanceName> lauten. Die Dienstisolierung ermöglicht den Zugriff auf bestimmte Objekte, ohne dass hierzu ein Konto mit umfangreichen Berechtigungen verwendet oder die Sicherheit des Objekts gefährdet werden muss. Durch die Verwendung eines Zugriffssteuerungseintrags mit einer Dienst-SID kann ein SQL Server-Dienst den Zugriff auf die eigenen Ressourcen einschränken.

HinweisHinweis

Unter Windows 7 und Windows Server 2008 R2 kann die Pro-Dienst-SID das virtuelle vom Dienst verwendete Konto sein.

Für die meisten Komponenten wird von SQL Server die ACL direkt für das Pro-Dienst-Konto konfiguriert, sodass das Dienstkonto geändert werden kann, ohne den Prozess für Ressourcen-ACLs zu wiederholen.

Bei der Installation von SSAS wird eine Pro-Dienst-SID für den Analysis Services-Dienst erstellt. Eine lokale Windows-Gruppe mit dem Format **SQLServerMSASUser$computer_name$**instance_name wird erstellt. Der Pro-Dienst-SID NT SERVICE\MSSQLServerOLAPService wird die Mitgliedschaft in der lokalen Windows-Gruppe gewährt, und die lokale Windows-Gruppe erhält die entsprechenden Berechtigungen in der ACL. Wird das für das Starten des Analysis Services-Diensts verwendete Konto geändert, müssen vom SQL Server-Konfigurations-Manager einige Windows-Berechtigungen (wie das Recht zum Anmelden als Dienst) geändert werden. Die der lokalen Windows-Gruppe zugewiesenen Berechtigungen stehen ohne Update weiterhin zur Verfügung, da die Pro-Dienst-SID nicht verändert wurde. Diese Methode ermöglicht die Umbenennung des Analysis Services-Diensts während der Upgrades.

Während der SQL Server-Installation werden vom SQL Server-Setup lokale Windows-Gruppen für den SSAS- und den SQL Server Browser-Dienst erstellt. Für diese Dienste wird von SQL Server die ACL für die lokalen Windows-Gruppen konfiguriert.

Je nach Dienstkonfiguration wird das Dienstkonto für einen Dienst oder eine Dienst-SID während der Installation oder eines Upgrades als Element der Dienstgruppe hinzugefügt.

Windows-Berechtigungen und Rechte

Für das zum Starten eines Diensts zugewiesene Konto ist die Berechtigung zum Starten, Beenden und Anhalten für den Dienst erforderlich. Das SQL Server-Setupprogramm weist diese automatisch zu. Installieren Sie zuerst Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT). Siehe Remoteserver-Verwaltungstools für Windows 7.

Die folgende Tabelle enthält Berechtigungen, die beim SQL Server-Setup für die von SQL Server-Komponenten verwendeten Pro-Dienst-SIDs oder lokalen Windows-Gruppen erforderlich sind.

SQL Server-Dienst

Vom SQL Server-Setup gewährte Berechtigungen

SQL Server-Datenbankmodul:

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz: NT SERVICE\MSSQLSERVER. Benannte Instanz: NT SERVICE\MSSQL$InstanceName.)

Anmelden als Dienst (SeServiceLogonRight)

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Berechtigung zum Starten von SQL Writer

Berechtigung zum Lesen des Ereignisprotokolldiensts

Berechtigung zum Lesen des Remoteprozeduraufruf-Diensts

SQL Server-Agent:1

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz: NT Service\SQLSERVERAGENT. Benannte Instanz: NT Service\SQLAGENT$InstanceName.)

Anmelden als Dienst (SeServiceLogonRight)

Ersetzen von Token auf Prozessebene (SeAssignPrimaryTokenPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

SSAS:

(Einer lokalen Windows-Gruppe werden alle Rechte gewährt. Standardinstanz: SQLServerMSASUser$ComputerName$MSSQLSERVER. Benannte Instanz: SQLServerMSASUser$ComputerName$Instanzename. PowerPivot für SharePoint-Instanz: SQLServerMSASUser$ComputerName$PowerPivot.)

Anmelden als Dienst (SeServiceLogonRight)

Nur tabellarisch:

Arbeitssatz eines Prozesses vergrößern (SeIncreaseWorkingSetPrivilege)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaSizePrivilege)

Sperren von Seiten im Speicher (SeLockMemoryPrivilege) – Dies ist nur erforderlich, wenn die Auslagerung komplett deaktiviert ist.

Nur Failoverclusterinstallationen:

Anheben der Zeitplanungspriorität (SeIncreaseBasePriorityPrivilege)

SSRS:

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz: NT SERVICE\ReportServer. Benannte Instanz: NT SERVICE\$InstanceName.)

Anmelden als Dienst (SeServiceLogonRight)

SSIS:

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz und benannte Instanz: NT SERVICE\MsDtsServer110. Integration Services verfügt über keinen separaten Prozess für eine benannte Instanz.)

Anmelden als Dienst (SeServiceLogonRight)

Berechtigung zum Schreiben in das Anwendungsereignisprotokoll

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

Annehmen der Identität eines Clients nach der Authentifizierung (SeImpersonatePrivilege)

Volltextsuche:

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz: NT Service\MSSQLFDLauncher. Benannte Instanz: NT Service\ MSSQLFDLauncher$InstanceName.)

Anmelden als Dienst (SeServiceLogonRight)

Anpassen des Arbeitsspeicherkontingents für einen Prozess (SeIncreaseQuotaPrivilege)

Umgehen von durchsuchenden Prüfungen (SeChangeNotifyPrivilege)

SQL Server Browser:

(Einer lokalen Windows-Gruppe werden alle Rechte gewährt. Standardinstanz oder benannte Instanz: SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser verfügt über keinen separaten Prozess für eine benannte Instanz.)

Anmelden als Dienst (SeServiceLogonRight)

SQL Server VSS Writer:

(Der Pro-Dienst-SID werden alle Rechte gewährt. Standardinstanz oder benannte Instanz: NT Service\SQLWriter. SQL Server VSS Writer verfügt über keinen separaten Prozess für eine benannte Instanz.)

Der SQLWriter-Dienst wird unter dem lokalen Systemkonto ausgeführt, das über alle erforderlichen Berechtigungen verfügt. SQL Server-Setup überprüft oder erteilt keine Berechtigungen für diesen Dienst.

SQL Server Distributed Replay Controller:

Anmelden als Dienst (SeServiceLogonRight)

SQL Server Distributed Replay Client:

Anmelden als Dienst (SeServiceLogonRight)

1 Der SQL Server-Agent-Dienst ist auf Instanzen von SQL Server Express deaktiviert.

Nach oben

Pro-Dienst-SIDs für SQL Server oder lokalen Windows-Gruppen gewährte Dateisystemberechtigungen

SQL Server-Dienstkonten müssen über einen Zugriff auf Ressourcen verfügen. Zugriffssteuerungslisten (Access Control Lists, ACLs) werden für die Pro-Dienst-SID oder die lokale Windows-Gruppe festgelegt.

Wichtiger HinweisWichtig

Für Failovercluster-Installationen müssen Ressourcen für freigegebene Datenträger auf eine Zugriffssteuerungsliste für ein lokales Konto festgelegt werden.

In der folgenden Tabelle werden die vom SQL Server-Setup festgelegten Zugriffssteuerungslisten aufgeführt.

Dienstkonto für

Dateien und Ordner

Zugriff

MSSQLServer

Instid\MSSQL\backup

Vollzugriff

 

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\MSSQL\data

Vollzugriff

 

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\Install

Lesen, Ausführen

 

Instid\MSSQL\Log

Vollzugriff

 

Instid\MSSQL\Repldata

Vollzugriff

 

110\shared

Lesen, Ausführen

 

Instid\MSSQL\Template-Daten (nur SQL Server Express)

Lesen

SQLServerAgent1

Instid\MSSQL\binn

Vollzugriff

 

Instid\MSSQL\binn

Vollzugriff

 

Instid\MSSQL\Log

Lesen, Schreiben, Löschen, Ausführen

 

110\com

Lesen, Ausführen

 

110\shared

Lesen, Ausführen

 

110\shared\Errordumps

Lesen, Schreiben

ServerName\EventLog

Vollzugriff

FTS

Instid\MSSQL\FTData

Vollzugriff

 

Instid\MSSQL\FTRef

Lesen, Ausführen

 

110\shared

Lesen, Ausführen

 

110\shared\Errordumps

Lesen, Schreiben

 

Instid\MSSQL\Install

Lesen, Ausführen

Instid\MSSQL\jobs

Lesen, Schreiben

MSSQLServerOLAPservice

110\shared\ASConfig

Vollzugriff

 

Instid\OLAP

Lesen, Ausführen

 

Instid\Olap\Data

Vollzugriff

 

Instid\Olap\Log

Lesen, Schreiben

 

Instid\OLAP\Backup

Lesen, Schreiben

 

Instid\OLAP\Temp

Lesen, Schreiben

 

110\shared\Errordumps

Lesen, Schreiben

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Lesen, Schreiben, Löschen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen

 

Instid\Reportingservices\Reportserver\global.asax

Vollzugriff

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lesen

 

Instid\Reporting Services\reportManager

Lesen, Ausführen

 

Instid\Reporting Services\RSTempfiles

Lesen, Schreiben, Ausführen, Löschen

 

110\shared

Lesen, Ausführen

 

110\shared\Errordumps

Lesen, Schreiben

MSDTSServer100

110\dts\binn\MsDtsSrvr.ini.xml

Lesen

 

110\dts\binn

Lesen, Ausführen

 

110\shared

Lesen, Ausführen

 

110\shared\Errordumps

Lesen, Schreiben

SQL Server-Browser

110\shared\ASConfig

Lesen

 

110\shared

Lesen, Ausführen

 

110\shared\Errordumps

Lesen, Schreiben

SQLWriter

N/V (wird als lokales System ausgeführt)

 

Benutzer

Instid\MSSQL\binn

Lesen, Ausführen

 

Instid\Reporting Services\ReportServer

Lesen, Ausführen, Ordnerinhalt auflisten

 

Instid\Reportingservices\Reportserver\global.asax

Lesen

 

Instid\Reporting Services\ReportManager

Lesen, Ausführen

 

Instid\Reporting Services\ReportManager\pages

Lesen

 

Instid\Reporting Services\ReportManager\Styles

Lesen

 

110\dts

Lesen, Ausführen

 

110\tools

Lesen, Ausführen

100\tools

Lesen, Ausführen

 

90\tools

Lesen, Ausführen

 

80\tools

Lesen, Ausführen

 

110\sdk

Lesen

 

Microsoft SQL Server\110\Setup Bootstrap

Lesen, Ausführen

SQL Server Distributed Replay Controller

<ToolsDir>\DReplayController\Log\ (leeres Verzeichnis)

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\DReplayController.exe

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\resources\

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\{alle DLLs}

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\DReplayController.config

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\IRTemplate.tdf

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayController\IRDefinition.xml

Lesen, Ausführen, Ordnerinhalt auflisten

SQL Server Distributed Replay Client

<ToolsDir>\DReplayClient\Log\

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\DReplayClient.exe

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\resources\

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\ (alle DLLs)

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\DReplayClient.config

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\IRTemplate.tdf

Lesen, Ausführen, Ordnerinhalt auflisten

<ToolsDir>\DReplayClient\IRDefinition.xml

Lesen, Ausführen, Ordnerinhalt auflisten

1Der SQL Server-Agent-Dienst ist auf Instanzen von SQL Server Express und SQL Server Express mit Advanced Services deaktiviert.

Wenn Datenbankdateien an einem benutzerdefinierten Ort gespeichert werden, muss Pro-Dienst-SID-Zugriff auf diesen Ort gewährt sein. Weitere Informationen zum Gewähren von Dateisystemberechtigungen an einen Pro-Dienst-SID finden Sie unter Konfigurieren von Dateisystemberechtigungen für den Datenbankmodulzugriff.

Nach oben

Anderen Windows-Benutzerkonten oder -Gruppen gewährte Dateisystemberechtigungen

Einige Zugriffssteuerungsberechtigungen müssen u. U. für integrierte Konten oder andere SQL Server-Dienstkonten erteilt werden. In der folgenden Tabelle werden weitere vom SQL Server-Setup festgelegte Zugriffssteuerungslisten aufgeführt.

Anfordernde Komponente

Konto

Ressource

Berechtigungen

MSSQLServer

Leistungsprotokollbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Systemmonitorbenutzer

Instid\MSSQL\binn

Ordnerinhalt auflisten

 

Leistungsprotokollbenutzer, Systemmonitorbenutzer

\WINNT\system32\sqlctr110.dll

Lesen, Ausführen

 

Nur Administrator

\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Vollzugriff

 

Administratoren, System

\tools\binn\schemas\sqlserver\2004\07\showplan

Vollzugriff

 

Benutzer

\tools\binn\schemas\sqlserver\2004\07\showplan

Lesen, Ausführen

Reporting Services

<Report Server-Webdienstkonto>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Berichts-Manager-Anwendungspoolidentität, ASP.NET-Konto, jeder

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lesen

 

Anwendungspoolidentität für Berichts-Manager

<install>\Reporting Services\ReportManager\Pages\*.*

Lesen

 

<Report Server-Webdienstkonto>

<install>\Reporting Services\ReportServer

Lesen

 

<Report Server-Webdienstkonto>

<install>\Reporting Services\ReportServer\global.asax

Vollständig

 

Jeder

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Netzwerkdienst

<install>\Reporting Services\ReportServer\ReportService.asmx

Vollständig

 

Jeder

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Report Server-Windows-Dienstkonto

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Jeder

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Unterschlüssel auflisten

Benachrichtigen

Lesezugriff

 

Terminaldienstebenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

 

Hauptbenutzer

Berichtsserverschlüssel (Instid-Struktur)

Wert abfragen

Wert festlegen

Unterschlüssel erstellen

Unterschlüssel auflisten

Benachrichtigen

Löschen

Lesezugriff

1Dies ist der Namespace des WMI-Anbieters.

Nach oben

Auf ungewöhnliche Speicherorte auf einem Datenträger bezogene Dateisystemberechtigungen

Das Standardlaufwerk für diese Pfade ist systemdrive, normalerweise Laufwerk C. Wenn tempdb oder Benutzerdatenbanken installiert sind

Nicht standardmäßiges Laufwerk

Bei der Installation auf einem lokalen Laufwerk, bei dem es sich nicht um das Standardlaufwerk handelt, muss die Pro-Dienst-SID Zugriff auf den Speicherort besitzen. Das SQL Server-Setup stellt den erforderlichen Zugriff bereit.

Netzwerkfreigabe

Wenn Datenbanken in einer Netzwerkfreigabe installiert werden, muss das Dienstkonto Zugriff auf den Speicherort des Benutzers und tempdb-Datenbanken haben. Das SQL Server-Setup kann keinen Zugriff auf eine Netzwerkfreigabe bereitstellen. Der Benutzer muss vor dem Ausführen des Setups Zugriff auf einen tempdb-Speicherort für das Dienstkonto bereitstellen. Der Benutzer muss vor dem Erstellen der Datenbank Zugriff auf den Speicherort der Benutzerdatenbank bereitstellen.

HinweisHinweis

Virtuelle Konten können nicht gegenüber einem Remotestandort authentifiziert werden. Alle virtuellen Konten verwenden die Berechtigung des Computerkontos. Stellen Sie das Computerkonto im Format <domain_name>\<computer_name>$ bereit.

Überprüfen zusätzlicher Aspekte

In der folgenden Tabelle werden die Berechtigungen angezeigt, die für SQL Server-Dienste erforderlich sind, damit sie zusätzliche Funktionen bereitstellen:

Dienst/Anwendung

Funktion

Erforderliche Berechtigung

SQL Server (MSSQLSERVER)

Schreiben in einen Mailslot mithilfe von xp_sendmail.

Netzwerkschreibberechtigungen.

SQL Server (MSSQLSERVER)

Ausführen von xp_cmdshell für einen Benutzer, der kein SQL Server-Administrator ist.

Einsetzen als Teil des Betriebssystems und Ersetzen von Token auf Prozessebene.

SQL Server-Agent (MSSQLSERVER)

Verwenden der Funktion für den automatischen Neustart.

Muss Mitglied der lokalen Administrators-Gruppe sein.

Optimierungsratgeber für Datenbankmodul

Optimiert Datenbanken für eine optimale Abfrageleistung.

Bei der ersten Verwendung muss ein Benutzer mit Anmeldeinformationen als Systemadministrator die Anwendung initialisieren. Nach der Initialisierung können dbo-Benutzer mithilfe des Optimierungsratgebers für Datenbankmodul nur diejenigen Tabellen optimieren, die sie besitzen. Weitere Informationen finden Sie unter "Initialisieren des Datenbankmodul-Optimierungsratgebers" in der SQL Server-Onlinedokumentation.

Wichtiger HinweisWichtig

Aktivieren Sie vor dem Upgrade von SQL Server die Windows-Authentifizierung für den SQL Server-Agent und vergewissern Sie, dass die erforderliche Standardkonfiguration vorliegt: dass nämlich das Dienstkonto des SQL Server-Agents ein Mitglied der Gruppe SQL Server sysadmin ist.

Nach oben

Registrierungsberechtigungen

Die Registrierungsstruktur für instanzabhängige Komponenten wird unter HKLM\Software\Microsoft\Microsoft SQL Server\<Instanz-ID> erstellt. Beispiel:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

Die Registrierung verwaltet auch eine Zuordnung der Instanz-ID zum Instanznamen. Die Zuordnung der Instanz-ID zum Instanznamen wird folgendermaßen verwaltet:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Windows-Verwaltungsinstrumentation (WMI) muss eine Verbindung mit Datenbankmodul herstellen können. Dazu wird die Pro-Dienst-SID des Windows-WMI-Anbieters (NT SERVICE\winmgmt) in Datenbankmodul bereitgestellt.

Der SQL-WMI-Anbieter erfordert die folgenden Berechtigungen:

  • Mitgliedschaft in der festen Datenbankrolle db_ddladmin oder db_owner in der msdb-Datenbank

  • CREATE DDL EVENT NOTIFICATION-Berechtigung auf dem Server

  • CREATE TRACE EVENT NOTIFICATION-Berechtigung für Datenbankmodul

  • VIEW ANY DATABASE-Berechtigung auf Serverebene

    Das SQL Server-Setup erstellt einen SQL-WMI-Namespace und gewährt der SQL Server-Agent-Dienst-SID die Leseberechtigung.

Nach oben

Named Pipes

Bei allen Installationen stellt das SQL Server-Setup über das Shared Memory-Protokoll Zugriff auf SQL Server-Datenbankmodul bereit. Dabei handelt es sich um eine Named Pipe.

Nach oben

Bereitstellung

In diesem Abschnitt wird beschrieben, wie Konten in den verschiedenen SQL Server-Komponenten bereitgestellt werden.

  • Bereitstellung des Datenbankmoduls

    • Windows-Prinzipale

    • sa-Konto

    • Pro-Dienst-SID-Anmeldung für SQL Server und Berechtigungen

    • SQL Server-Agent-Anmeldung und Berechtigungen

    • HADRON- und SQL-Failoverclusterinstanz und Berechtigungen

    • SQL Writer und Berechtigungen

    • SQL WMI und Berechtigungen

  • SSAS-Bereitstellung

  • SSRS-Bereitstellung

Bereitstellung des Datenbankmoduls

Die folgenden Konten werden als Anmeldungen in SQL Server-Datenbankmodul hinzugefügt.

Windows-Prinzipale

Während des Setups wird vom SQL Server-Setup mindestens ein Benutzerkonto gefordert, das als Mitglied der festen Serverrolle sysadmin genannt werden soll.

sa-Konto

Das sa-Konto ist immer als Datenbankmodul-Anmeldung vorhanden und ist Mitglied der festen Serverrolle sysadmin. Wenn Datenbankmodul nur mit der Windows-Authentifizierung installiert wird, wenn die SQL Server-Authentifizierung also nicht aktiviert ist, ist die sa-Anmeldung zwar vorhanden, aber deaktiviert. Informationen zum Aktivieren des sa-Kontos finden Sie unter Ändern des Serverauthentifizierungsmodus.

Pro-Dienst-SID-Anmeldung für SQL Server und Berechtigungen

Die Pro-Dienst-SID des SQL Server-Diensts wird als Datenbankmodul-Anmeldung bereitgestellt. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin.

SQL Server-Agent-Anmeldung und Berechtigungen

Die Pro-Dienst-SID des SQL Server-Agent-Diensts wird als Datenbankmodul-Anmeldung bereitgestellt. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin.

AlwaysOn-Verfügbarkeitsgruppen- und SQL-Failoverclusterinstanz und Berechtigungen

Bei der Installation von Datenbankmodul als AlwaysOn-Verfügbarkeitsgruppen- oder SQL-Failoverclusterinstanz (SQL FCI), wird LOCAL SYSTEM in Datenbankmodul bereitgestellt. Die LOCAL SYSTEM-Anmeldung erhält die Berechtigung ALTER ANY AVAILABILITY GROUP (für AlwaysOn-Verfügbarkeitsgruppen) und die Berechtigung VIEW SERVER STATE (für SQL FCI).

SQL Writer und Berechtigungen

Die Pro-Dienst-SID des SQL Server VSS Writer-Diensts wird als Datenbankmodul-Anmeldung bereitgestellt. Die Pro-Dienst-SID-Anmeldung ist Mitglied der festen Serverrolle sysadmin.

SQL WMI und Berechtigungen

Das SQL Server-Setup stellt das NT SERVICE\Winmgmt-Konto als Datenbankmodul-Anmeldung bereit und fügt es der festen Serverrolle sysadmin hinzu.

SSRS-Bereitstellung

Das während des Setups angegebene Konto wird als Mitglied der Datenbankrolle RSExecRole bereitgestellt. Weitere Informationen finden Sie unter Konfigurieren des Berichtsserver-Dienstkontos.

Nach oben

SSAS-Bereitstellung

SSAS-Dienstkontoanforderungen unterscheiden sich je nach Bereitstellung des Servers. Bei der Installation von PowerPivot für SharePoint fordert das SQL Server-Setup die Konfiguration des Analysis Services-Diensts zur Ausführung unter einem Domänenkonto. Domänenkonten sind erforderlich, um die in SharePoint integrierte Funktion für verwaltete Konten zu unterstützen. Aus diesem Grund wird beim SQL Server-Setup kein Standarddienstkonto, z. B. ein virtuelles Konto, für die PowerPivot für SharePoint-Installation bereitgestellt. Weitere Informationen zum Bereitstellen von PowerPivot für SharePoint finden Sie unter Konfigurieren von PowerPivot-Dienstkonten.

Für alle anderen eigenständigen SSAS-Installationen können Sie den Dienst zur Ausführung unter einem Domänenkonto, integriertem Systemkonto, verwaltetem Konto oder virtuellem Konto bereitstellen. Weitere Informationen zur Kontobereitstellung finden Sie unter Konfigurieren von Dienstkonten (Analysis Services).

Für gruppierte Installationen müssen Sie ein Domänenkonto oder integriertes Systemkonto angeben. Weder verwaltete noch virtuelle Konten werden für SSAS-Failovercluster unterstützt.

Für alle SSAS-Installationen ist die Angabe eines Systemadministrators der Analysis Services-Instanz erforderlich. Administratorberechtigungen werden in der Analysis Services-Rolle Server bereitgestellt.

SSRS-Bereitstellung

Das während des Setups angegebene Konto wird in Datenbankmodul als Mitglied der Datenbankrolle RSExecRole bereitgestellt. Weitere Informationen finden Sie unter Konfigurieren des Berichtsserver-Dienstkontos.

Nach oben

Aktualisieren von früheren Versionen

In diesem Abschnitt werden die während eines Upgrades von einer früheren Version von SQL Server vorgenommenen Änderungen beschrieben.

  • Für SQL Server 2012 ist Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 erforderlich. Bei unter Windows XP oder Windows Server 2003 ausgeführten früheren Versionen von SQL Server muss vor dem Upgrade von SQL Server zunächst das Betriebssystem aktualisiert werden.

  • Während des Upgrades von SQL Server 2005 auf SQL Server 2012 wird SQL Server vom SQL Server-Setup folgendermaßen konfiguriert:

    • Datenbankmodul wird mit dem Sicherheitskontext der Pro-Dienst-SID ausgeführt. Der Pro-Dienst-SID wird Zugriff auf die Dateiordner der SQL Server-Instanz (z. B. DATA) und die SQL Server-Registrierungsschlüssel gewährt.

    • Die Pro-Dienst-SID von Datenbankmodul wird in Datenbankmodul als Mitglied der festen Serverrolle sysadmin bereitgestellt.

    • Der Pro-Dienst-SID wird den lokalen SQL Server-Windows-Gruppen hinzugefügt, es sei denn, bei SQL Server handelt es sich um eine Failoverclusterinstanz.

    • Die SQL Server-Ressourcen werden weiterhin in den lokalen SQL Server-Windows-Gruppen bereitgestellt.

    • Die lokale Windows-Gruppe für Dienste wird von SQLServer2005MSSQLUser$<computer_name>$<instance_name> in SQLServerMSSQLUser$<computer_name>$<instance_name> umbenannt. Die Dateipfade für migrierte Datenbanken besitzen Zugriffssteuerungseinträge (Access Control Entries, ACE) für die lokalen Windows-Gruppen. Die Dateipfade für neue Datenbanken besitzen ACEs für die Pro-Dienst-SID.

  • Während des Upgrades von SQL Server 2008 werden vom SQL Server-Setup die ACEs für die Pro-Dienst-SID von SQL Server 2008 beibehalten.

  • Für eine SQL Server-Failoverclusterinstanz wird der für den Dienst konfigurierte ACE für das Domänenkonto beibehalten.

Nach oben

Anhang

Dieser Abschnitt enthält weitere Informationen zu SQL Server-Diensten.

  • Beschreibung von Dienstkonten

  • Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

  • Lokalisierte Dienstnamen

Beschreibung von Dienstkonten

Beim Dienstkonto handelt es sich um das Konto, das für das Starten eines Windows-Dienst verwendet wird, wie z. B. SQL Server-Datenbankmodul.

Mit einem beliebigen Betriebssystem verfügbare Konten

Neben den zuvor beschriebenen neuen MSAs und virtuellen Konten können folgende Konten verwendet werden:

Domänenbenutzerkonto

Wenn der Dienst mit Netzwerkdiensten interagieren und auf Domänenressourcen wie Dateifreigaben zugreifen muss oder verknüpfte Serververbindungen mit anderen Computern mit SQL Server verwendet, kann ein Domänenkonto mit minimalen Rechten verwendet werden. Viele Server-zu-Server-Aktivitäten können nur mit einem Domänenbenutzerkonto ausgeführt werden. Dieses Konto sollte in Ihrer Umgebung von der Domänenverwaltung vorab erstellt werden.

HinweisHinweis

Wenn Sie die Anwendung zur Verwendung eines Domänenkontos konfigurieren, können Sie zwar die Berechtigungen für die Anwendung isolieren, müssen aber Kennwörter manuell verwalten oder eine benutzerdefinierte Lösung für die Verwaltung dieser Kennwörter erstellen. Viele Serveranwendungen erhöhen die Sicherheit mithilfe dieser Strategie, aber diese Strategie erfordert zusätzliche Verwaltung und Komplexität. Bei diesem Bereitstellungen wenden Dienstadministratoren viel Zeit für Wartungstasks wie die Verwaltung von Dienstkennwörtern und Dienstprinzipalnamen (SPNs) auf, die für die Kerberos-Authentifizierung erforderlich sind. Außerdem können diese Wartungstasks den Dienst stören.

Lokale Benutzerkonten

Wenn der Computer nicht Teil einer Domäne ist, empfiehlt sich ein lokales Benutzerkonto ohne die Berechtigungen eines Windows-Administrators.

Lokales Dienstkonto

Das lokale Dienstkonto ist ein integriertes Konto, das dieselben Zugriffsrechte für Ressourcen und Objekte besitzt wie die Mitglieder der Gruppe Benutzer. Durch diesen beschränkten Zugriff wird das System bei Gefährdung einzelner Dienste oder Prozesse geschützt. Dienste, die unter dem lokalen Dienstkonto ausgeführt werden, greifen als NULL-Sitzung ohne Anmeldeinformationen auf Netzwerkressourcen zu. Beachten Sie, dass das lokale Dienstkonto nicht für den SQL Server- oder SQL Server-Agent-Dienst unterstützt wird. Der lokale Dienst wird nicht als das Konto unterstützt, unter dem diese Dienste ausgeführt werden, da es sich um einen freigegebenen Dienst handelt und alle anderen Dienste, die unter dem lokalen Dienst ausgeführt werden, Systemadministratorzugriff auf SQL Server hätten. Der tatsächliche Name des Kontos lautet NT AUTHORITY\LOCAL SERVICE.

Netzwerkdienstkonto

Das Netzwerkdienstkonto ist ein integriertes Konto, das mehr Zugriffsrechte für Ressourcen und Objekte besitzt als die Mitglieder der Gruppe „Benutzer“. Als Netzwerkdienstkonten ausgeführte Dienste greifen auf Netzwerkressourcen mithilfe der Anmeldedaten des Computerkontos zu. Dieses Konto besitzt das Format <domain_name>\<computer_name>$. Der tatsächliche Name des Kontos lautet NT AUTHORITY\NETWORK SERVICE.

Lokales Systemkonto

Das lokale Systemkonto ist ein integriertes Konto mit sehr hohen Privilegien. Es besitzt umfangreiche Berechtigungen auf dem lokalen System und repräsentiert den Computer im Netzwerk. Der tatsächliche Name des Kontos lautet NT AUTHORITY\SYSTEM.

Identifizieren von instanzabhängigen und nicht instanzabhängigen Diensten

Instanzabhängige Dienste werden mit einer bestimmten Instanz von SQL Server verknüpft und haben eine eigene Registrierungsstruktur. Sie können mehrere Kopien von instanzabhängigen Diensten installieren, indem Sie das SQL Server-Setup für die einzelnen Komponenten oder Dienste ausführen. Nicht instanzabhängige Dienste werden für alle installierten SQL Server-Instanzen freigegeben. Sie sind nicht mit einer bestimmten Instanz verknüpft, werden nur einmal installiert und können nicht parallel installiert werden.

Instanzabhängige Dienste in SQL Server umfassen Folgendes:

  • SQL Server

  • SQL Server-Agent

    Beachten Sie, dass der SQL Server-Agent-Dienst auf Instanzen von SQL Server Express und SQL Server Express with Advanced Services deaktiviert ist.

  • Analysis Services 1

  • Reporting Services

  • Volltextsuche

Nicht instanzabhängige Dienste in SQL Server umfassen Folgendes:

  • Integration Services

  • SQL Server-Browser

  • SQL Writer

1 Analysis Services wird im integrierten SharePoint-Modus als einzelne, benannte Instanz 'PowerPivot' ausgeführt. Der Instanzname ist unveränderlich. Sie können keinen anderen Namen angeben. Sie können nur eine Instanz von Analysis Services installieren, die auf jedem physischen Server als 'PowerPivot' ausgeführt wird.

Nach oben

Lokalisierte Dienstnamen

In der folgenden Tabelle werden Dienstnamen aufgeführt, die in lokalisierten Versionen von Windows angezeigt werden.

Sprache

Name für lokalen Dienst

Name für Netzwerkdienst

Name für lokales System

Name für Administratorgruppe

Englisch

Chinesisch (vereinfacht)

Chinesisch (traditionell)

Koreanisch

Japanisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Deutsch

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Französisch

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrators

Italienisch

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Spanisch

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russisch

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Nach oben

Verwandte Inhalte

Sicherheitsüberlegungen für eine SQL Server-Installation

Dateispeicherorte für Standard- und benannte Instanzen von SQL Server

Installieren von Master Data Services