• Articolo

Impostazione di account di servizio Windows

Ogni servizio in SQL Server rappresenta un processo o un set di processi destinato a gestire l'autenticazione delle operazioni di SQL Server con Windows. In questo argomento viene descritta la configurazione predefinita dei servizi di questa versione di SQL Server, nonché le opzioni di configurazione per i servizi SQL Server che è possibile impostare durante l'installazione di SQL Server.

A seconda dei componenti selezionati, durante l'installazione di SQL Server vengono installati i servizi seguenti:

  • Servizi di database SQL Server - Il servizio per Motore di database relazionale di SQL Server.

  • SQL Server Agent - Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività di amministrazione.

    [!NOTA]

    Perché SQL Server e SQL Server Agent possano essere eseguiti come servizi su Windows, è necessario assegnare loro un account utente di Windows. Per ulteriori informazioni sulla personalizzazione delle informazioni degli account per ogni servizio, vedere Procedura: Installazione di SQL Server 2008 (programma di installazione).

  • Analysis Services - Offre funzionalità di elaborazione analitica in linea (OLAP) e di data mining per applicazioni di Business Intelligence.

  • Reporting Services - Consente la gestione, l'esecuzione, la creazione, la pianificazione e il recapito di report.

  • Integration Services - Offre strumenti di supporto per la gestione dell'archiviazione e dell'esecuzione dei pacchetti Integration Services.

  • SQL Server Browser - Servizio di risoluzione dei nomi che offre informazioni di connessione a SQL Server per i computer client.

  • Ricerca full-text - Consente di creare rapidamente indici full-text del contenuto e delle proprietà dei dati strutturati e semistrutturati per fornire le funzioni di word breaking e filtro dei documenti per SQL Server.

  • SQL Server Active Directory Helper - Consente di pubblicare e gestire i servizi di SQL Server in Active Directory.

  • Writer SQL - Consente alle applicazioni di backup e di ripristino di operare nell'infrastruttura del Servizio Copia Shadow del volume (VSS).

    Nota importanteImportante

    Utilizzare sempre strumenti di SQL Server, ad esempio Gestione configurazione SQL Server, per modificare l'account utilizzato dal servizio SQL Server o SQL Server Agent oppure per modificare la password per l'account. Oltre alla modifica del nome dell'account, Gestione configurazione SQL Server consente di eseguire altre configurazioni, ad esempio l'impostazione delle autorizzazioni nel Registro di sistema di Windows in modo che il nuovo account sia in grado di leggere le impostazioni . Altri strumenti, ad esempio Gestione controllo servizi di Windows, consentono di modificare il nome dell'account ma non le impostazioni ad esso associate. Se non riesce ad accedere alla parte relativa a SQL Server del Registro di sistema, il servizio potrebbe non avviarsi correttamente.

Il resto di questo argomento è suddiviso nelle sezioni seguenti:

  • Configurazione del tipo di avvio del servizio

  • Utilizzo degli account di avvio per i servizi SQL Server

  • Utilizzo dei SID del servizio per i servizi SQL Server

  • Identificazione dei servizi che supportano le istanze e di quelli che non le supportano

  • Diritti e privilegi di NT concessi agli account dei servizi SQL Server

  • Elenchi di controllo di accesso creati per gli account del servizio SQL Server

  • Autorizzazioni di Windows per i servizi SQL Server

  • Considerazioni aggiuntive

  • Nomi dei servizi localizzati

Configurazione del tipo di avvio del servizio

Durante l'installazione di SQL Server è possibile configurare il tipo di avvio di alcuni servizi SQL Server, ovvero disabilitato, manuale o automatico. Nella tabella seguente vengono indicati i servizi di SQL Server configurabili durante l'installazione. Per le installazioni automatiche, è possibile utilizzare le opzioni in un file di configurazione o al prompt dei comandi.

Nome del servizio SQL Server

Configurabile nell'installazione guidata?

Opzioni per le installazioni automatiche1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Per ulteriori informazioni e una sintassi di esempio per le installazioni automatiche, vedere Procedura: Installazione di SQL Server 2008 dal prompt dei comandi.

2Il servizio SQL Server Agent viene disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Utilizzo degli account di avvio per i servizi SQL Server

Per essere avviato ed eseguito, ogni servizio SQL Server deve disporre di un account configurato durante l'installazione. Gli account di avvio utilizzati per avviare ed eseguire SQL Server possono essere account di sistema predefiniti oppure account utente locali o di dominio.

Account utente di dominio

Se il servizio deve interagire con i servizi di rete o accedere a risorse di dominio come condivisioni di file oppure se utilizza connessioni server collegate ad altri computer che eseguono SQL Server, è possibile utilizzare un account di dominio con privilegi minimi. Molte attività tra server possono essere eseguite solo con un account utente di dominio. Questo account deve essere creato in precedenza dall'amministrazione del dominio nell'ambiente.

Account utente locale

Se il computer non fa parte di un dominio, è consigliabile utilizzare un account utente locale senza le autorizzazioni di amministratore di Windows.

Account Servizio locale

L'account Servizio locale è un account predefinito che dispone dello stesso livello di accesso a risorse e oggetti dei membri del gruppo Users. Tale accesso limitato consente di proteggere il sistema nel caso in cui singoli servizi o processi risultino danneggiati. I servizi eseguiti come account Servizio locale possono accedere alle risorse di rete come sessione Null senza credenziali. L'account Servizio locale non è supportato per i servizi SQL Server o SQL Server Agent. Il nome effettivo dell'account è "NT AUTHORITY\LOCAL SERVICE".

Account Servizio di rete

Servizio di rete è un account predefinito che dispone di un livello di accesso più elevato a risorse e oggetti rispetto ai membri del gruppo Users. I servizi eseguiti con l'account Servizio di rete accedono alle risorse di rete utilizzando le credenziali dell'account del computer. Il nome effettivo dell'account è "NT AUTHORITY\NETWORK SERVICE".

Account di sistema locale

Sistema locale è un account predefinito con privilegi molto elevati. Dispone di privilegi estesi sul sistema locale e opera come il computer sulla rete. Il nome effettivo dell'account è "NT AUTHORITY\SYSTEM".

Oltre agli account utente, ogni servizio dispone di tre stati possibili di avvio controllabili dagli utenti:

  • Disattivato   Il servizio è installato ma non è attualmente in esecuzione.

  • Manuale   Il servizio è installato ma verrà avviato solo quando le relative funzionalità saranno necessarie per un altro servizio o un'altra applicazione.

  • Automatico   Il servizio viene avviato automaticamente dal sistema operativo.

Nella tabella seguente vengono descritti gli account facoltativi per ogni servizio di SQL Server, nonché gli stati di avvio di ciascuno di essi.

Nome del servizio SQL Server

Account facoltativi

Tipo di avvio

Stato predefinito successivo all'installazione

SQL Server

SQL Server Express: Utente di dominio, Sistema locale, Servizio di rete

Tutte le altre edizioni: Utente di dominio, Sistema locale, Servizio di rete1

Automatico1

Avviato

Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico

SQL Server Agent

Utente di dominio, Sistema locale, Servizio di rete1

Manuale1,2

Automatico solo se l'utente sceglie di eseguire l'avvio automatico

Interrotto

Avviato solo se l'utente sceglie di eseguire l'avvio automatico

Analysis Services

Utente di dominio, Servizio di rete, Servizio locale, Sistema locale1

Automatico1

Avviato

Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico

Reporting Services

Utente di dominio, Sistema locale, Servizio di rete, Servizio locale

Automatico

Avviato

Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico

Integration Services 

Utente di dominio, Sistema locale, Servizio di rete, Servizio locale

Automatico

Avviato

Interrotto solo se l'utente sceglie di non eseguire l'avvio automatico

Ricerca full-text

Utilizzare un account diverso rispetto a quello del servizio SQL Server.

L'impostazione predefinita dell'account sarà Servizio locale in Windows Server 2008 e Windows Vista.

Automatico

Avviato

Interrotto solo se non viene specificato un account in Windows Server 2003 o Windows XP.

SQL Server Browser

Servizio locale

Disattivato3

Automatico solo se l'utente sceglie di eseguire l'avvio automatico

Interrotto

Avviato solo se l'utente sceglie di eseguire l'avvio automatico

SQL Server Active Directory Helper

Sistema locale, Servizio di rete

Disabilitato

Interrotto

Writer SQL

Sistema locale

Automatico

Avviato

Importante   

1Per le configurazioni cluster di failover, utilizzare l'account utente di dominio. Il tipo di avvio è impostato su manuale.

2Il servizio SQL Server Agent viene disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

3Per impostazione predefinita, per le installazioni di cluster di failover e le istanza denominate SQL Server Browser viene impostato per l'avvio automatico al termine dell'installazione.

Nota sulla protezione   Eseguire sempre i servizi SQL Server utilizzando i diritti utente di livello più basso possibile. Utilizzare un account utente specifico o un account di dominio con privilegi non elevati anziché un account condiviso per i servizi SQL Server. assegnando account distinti ai diversi servizi SQL Server. Non concedere autorizzazioni aggiuntive all'account del servizio oppure ai gruppi di servizi di SQL Server. Le autorizzazioni verranno concesse mediante l'appartenenza a un gruppo o direttamente a un SID del servizio, se supportato.

Configurazioni dei servizi supportate

SQL Server utilizza un gruppo di protezione per impostare gli elenchi di controllo di accesso delle risorse anziché utilizzare direttamente l'account del servizio, in modo tale da poter modificare l'account del servizio senza dover ripetere il processo per gli elenchi di controllo di accesso delle risorse. Il gruppo di protezione può essere un gruppo di protezione locale, un gruppo di protezione di dominio o un SID del servizio.

Durante l'installazione di SQL Server, il programma di installazione di SQL Server crea un gruppo di servizi per ciascun componente di SQL Server. Questi gruppi semplificano la concessione delle autorizzazioni necessarie per eseguire i servizi SQL Server e altri file eseguibili e per proteggere i file di SQL Server.

A seconda della configurazione del servizio, l'account del servizio o il SID del servizio viene aggiunto come membro del gruppo di servizi durante l'installazione o l'aggiornamento.

SQL Server consente il SID per servizio per ognuno dei servizi nei sistemi operativi Windows Server 2008 o Windows Vista di SQL Server 2008 per fornire l'isolamento dei servizi e una difesa approfondita. Il SID per servizio deriva dal nome del servizio ed è univoco per il servizio. Il nome di un SID per il servizio SQL Server potrebbe essere, ad esempio, NT Service\MSSQL$<NomeIstanza>. Attraverso l'isolamento, è possibile accedere a oggetti specifici anche se non vengono eseguiti in un account con privilegi elevati e senza indebolire la protezione dell'oggetto. Mediante una voce di controllo di accesso che contiene un SID del servizio, un servizio SQL Server può limitare l'accesso alle proprie risorse.

Nella tabella seguente vengono indicate le configurazioni dei servizi supportate per le installazioni nuove e aggiornate in Windows Server 2008 o Windows Vista.

Nuova installazione

Aggiornamento

  • Istanza autonoma: gruppo di servizi con SID del servizio

  • Istanza del cluster di failover: SID del servizio

  • Istanza del cluster di failover: gruppo di servizi di dominio

  • Controller di dominio: SID del servizio

  • Controller di dominio: gruppo di servizi con account del servizio

  • Istanza autonoma: gruppo di servizi di dominio con SID del servizio

  • Istanza del cluster di failover: gruppo di servizi di dominio con account del servizio

Nella tabella seguente sono riportate le configurazioni dei servizi per le installazioni nuove e aggiornate in Windows Server 2003 o Windows XP.

Nuova installazione

Aggiornamento

  • Istanza autonoma: gruppo di servizi con account del servizio

  • Istanza del cluster di failover: gruppo di servizi di dominio con account del servizio

  • Controller di dominio: gruppo di servizi con account del servizio

  • Istanza autonoma: gruppo di servizi di dominio con account del servizio

  • Istanza del cluster di failover: gruppo di servizi di dominio con account del servizio

Per le istanze autonome di SQL Server nei sistemi operativi Windows Vista e Windows Server 2008, i SID del servizio vengono aggiunti al gruppo di servizi e il SID del servizio per SQL Server Engine e SQL Server Agent viene aggiunto come account di accesso al ruolo del server Sysadmin.

Per le istanze del cluster di failover di SQL Server nei sistemi operativi Windows Vista e Windows Server 2008, nel programma di installazione di SQL Server viene utilizzato il SID del servizio per impostazione predefinita e vengono impostati gli elenchi di controllo di accesso delle risorse di SQL Server e del sistema operativo sul SID del servizio.

[!NOTA]

Per utilizzare i gruppi di dominio in un cluster di failover di SQL Server, è necessario che essi vengano creati prima di eseguire il programma di installazione. È consigliabile utilizzare gruppi di dominio univoci quando si installano i servizi SQL Server in un cluster di failover di SQL Server.

Modifica delle proprietà dell'account

Per modificare gli account del servizio, la password, il tipo di avvio del servizio o altre proprietà di qualsiasi servizio correlato a SQL Server, utilizzare Gestione configurazione SQL Server. Per Reporting Services utilizzare lo strumento di configurazione di Reporting Services. Si osservi che rinominando l'istanza di SQL Server non vengono rinominati i gruppi di protezione di SQL Server. Dopo l'operazione di ridenominazione i gruppi di protezione continueranno a funzionare con i vecchi nomi.

Identificazione dei servizi che supportano le istanze e di quelli che non le supportano

I servizi specifici dell'istanza sono associati a un'istanza specifica di SQL Server e dispongono di hive del Registro di sistema propri. È possibile installare più copie di servizi specifici dell'istanza eseguendo il programma di installazione di SQL Server per ciascun componente o servizio. I servizi non specifici dell'istanza vengono condivisi tra tutte le istanze installate di SQL Server. Tali servizi non sono associati a un'istanza specifica, vengono installati solo una volta e non possono essere installati in modalità affiancata.

Tra i servizi specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:

  • SQL Server

  • SQL Server Agent

    Il servizio SQL Server Agent è disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

  • Analysis Services

  • Reporting Services

  • Ricerca full-text

Tra i servizi non specifici dell'istanza disponibili in SQL Server sono inclusi i seguenti:

  • Integration Services

  • SQL Server Browser

  • SQL Server Active Directory Helper

  • Writer SQL

Diritti e privilegi di Windows NT concessi agli account dei servizi SQL Server

Nella tabella seguente vengono illustrati i gruppi di utenti creati dal programma di installazione di SQL Server cui vengono concessi diritti utente di Windows NT specifici.

Servizio SQL Server

Gruppo utenti

Autorizzazioni predefinite concesse dal programma di installazione di SQL Server

SQL Server

Istanza predefinita: SQLServerMSSQLUser$NomeComputer$MSSQLSERVER

Istanza denominata: SQLServerMSSQLUser$NomeComputer$NomeIstanza

Accesso come servizio (SeServiceLogonRight)1

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Autorizzazione all'avvio di SQL Server Active Directory Helper

Autorizzazione all'avvio del writer SQL

Autorizzazione di lettura del log eventi

Autorizzazione di lettura del servizio RPC (Remote Procedure Call)

Nota importanteImportante
Per le istanze di SQL Server in Windows Vista e versioni successive i diritti utente Accesso come servizio, Sostituzione di token a livello di processo, Ignorare controllo incrociato e Regolazione quote di memoria per un processo vengono concessi al SID del servizio SQL Server.

SQL Server Agent3

Istanza predefinita: SQLServerSQLAgentUser$NomeComputer$MSSQLSERVER

Istanza denominata: SQLServerSQLAgentUser$NomeComputer$NomeIstanza

Accesso come servizio (SeServiceLogonRight)

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege)

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege)

Analysis Services

Istanza predefinita: SQLServerMSASUser$NomeComputer$MSSQLSERVER

Istanza denominata: SQLServerMSASUser$NomeComputer$NomeIstanza

Accesso come servizio (SeServiceLogonRight)

SSRS

Istanza predefinita: SQLServerReportServerUser$NomeComputer$MSRS10.MSSQLSERVER

Istanza denominata: SQLServerReportServerUser$NomeComputer$MSRS10.InstanceName

Accesso come servizio (SeServiceLogonRight)

Integration Services 

Istanza predefinita o denominata: SQLServerDTSUser$NomeComputer

Accesso come servizio (SeServiceLogonRight)

Autorizzazione di scrittura sul registro eventi applicazioni

Ignorare controllo incrociato (SeChangeNotifyPrivilege)

Rappresentazione di un client dopo l'autenticazione (SeImpersonatePrivilege)

Ricerca full-text

Istanza predefinita: SQLServerFDHostUser$NomeComputer$MSSQL10.MSSQLSERVER

Istanza denominata: SQLServerFDHostUser$NomeComputer$MSSQL10.NomeIstanza

Accesso come servizio (SeServiceLogonRight)

Nota importanteImportante
Per le istanze di SQL Server in Windows Vista e versioni successiva, l'autorizzazione Accedi come servizio viene concessa al SID del servizio dell'utilità di avvio di FD.

SQL Server Browser

Istanza predefinita o denominata: SQLServerSQLBrowserUser$NomeComputer

Accesso come servizio (SeServiceLogonRight)

SQL Server Active Directory Helper

Istanza predefinita o denominata: SQLServerMSSQLServerADHelperUser$NomeComputer

Nessuna2

Writer SQL

N/D

Nessuna2

1Questa autorizzazione è concessa per impostazione predefinita a tutti i servizi SQL Server.

2Il programma di installazione di SQL Server non controlla né concede le autorizzazioni per questo servizio.

3Il servizio SQL Server Agent viene disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Elenchi di controllo di accesso creati per gli account del servizio SQL Server

Gli account del servizio SQL Server devono disporre dell'accesso alle risorse. Gli elenchi di controllo di accesso vengono impostati a livello di gruppo di utenti.

Nota importanteImportante

Per le installazioni di cluster di failover, le risorse presenti in dischi condivisi devono essere impostate su un elenco di controllo di accesso per un account locale.

Nella tabella seguente vengono indicati gli elenchi di controllo di accesso impostati dal programma di installazione di SQL Server.

Account del servizio1 per

File e cartelle

Accesso

MSSQLServer

Instid\MSSQL\backup

Controllo completo

 

Instid\MSSQL\binn

Lettura, Esecuzione

 

Instid\MSSQL\data

Controllo completo

 

Instid\MSSQL\FTData

Controllo completo

 

Instid\MSSQL\Install

Lettura, Esecuzione

 

Instid\MSSQL\Log

Controllo completo

 

Instid\MSSQL\Repldata

Controllo completo

 

100\shared

Lettura, Esecuzione

 

Instid\MSSQL\Template Data (solo SQL Server Express)

Lettura

SQLServerAgent2

Instid\MSSQL\binn

Controllo completo

 

Instid\MSSQL\binn

Controllo completo

 

Instid\MSSQL\Log

Lettura, Scrittura, Eliminazione, Esecuzione

 

100\com

Lettura, Esecuzione

 

100\shared

Lettura, Esecuzione

 

100\shared\Errordumps

Lettura, Scrittura

ServerName\EventLog

Controllo completo

FTS

Instid\MSSQL\FTData

Controllo completo

 

Instid\MSSQL\FTRef

Lettura, Esecuzione

 

100\shared

Lettura, Esecuzione

 

100\shared\Errordumps

Lettura, Scrittura

 

Instid\MSSQL\Install

Lettura, Esecuzione

Instid\MSSQL\jobs

Lettura, Scrittura

MSSQLServerOLAPservice

100\shared\ASConfig

Controllo completo

 

Instid\OLAP

Lettura, Esecuzione

 

Instid\Olap\Data

Controllo completo

 

Instid\Olap\Log

Lettura, Scrittura

 

Instid\OLAP\Backup

Lettura, Scrittura

 

Instid\OLAP\Temp

Lettura, Scrittura

 

100\shared\Errordumps

Lettura, Scrittura

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Lettura, Scrittura, Eliminazione

 

Instid\Reporting Services\ReportServer

Lettura, Esecuzione

 

Instid\Reportingservices\Reportserver\global.asax

Controllo completo

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lettura

 

Instid\Reporting Services\reportManager

Lettura, Esecuzione

 

Instid\Reporting Services\RSTempfiles

Lettura, Scrittura, Esecuzione, Eliminazione

 

100\shared

Lettura, Esecuzione

 

100\shared\Errordumps

Lettura, Scrittura

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

Lettura

 

100\dts\binn

Lettura, Esecuzione

 

100\shared

Lettura, Esecuzione

 

100\shared\Errordumps

Lettura, Scrittura

SQL Server Browser

100\shared\ASConfig

Lettura

 

100\shared

Lettura, Esecuzione

 

100\shared\Errordumps

Lettura, Scrittura

MSADHelper

N/D (eseguito nell'account Servizio di rete)

 

SQLWriter

N/A (eseguito come sistema locale)

 

User

Instid\MSSQL\binn

Lettura, Esecuzione

 

Instid\Reporting Services\ReportServer

Lettura, Esecuzione, Visualizzazione contenuto cartella

 

Instid\Reportingservices\Reportserver\global.asax

Lettura

 

Instid\Reporting Services\ReportManager

Lettura, Esecuzione

 

Instid\Reporting Services\ReportManager\pages

Lettura

 

Instid\Reporting Services\ReportManager\Styles

Lettura

 

100\dts

Lettura, Esecuzione

 

100\tools

Lettura, Esecuzione

 

90\tools

Lettura, Esecuzione

 

80\tools

Lettura, Esecuzione

 

100\sdk

Lettura

 

Microsoft SQL Server\100\Setup Bootstrap

Lettura, Esecuzione

1Per l'installazione del clustering di failover di SQL Server o l'installazione di SQL Server in un controller di dominio, gli elenchi di controllo di accesso saranno impostati per il SID del servizio di SQL Server e non per il gruppo di servizi SQL Server, nei sistemi operativi Windows Vista e Windows Server 2008.

2Il servizio SQL Server Agent viene disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Potrebbe essere necessario concedere alcune autorizzazioni relative al controllo dell'accesso ad account predefiniti o ad altri account del servizio di SQL Server. Nella tabella seguente sono inclusi gli elenchi di controllo di accesso aggiuntivi impostati dal programma di installazione di SQL Server.

Componente richiedente

Account

Risorsa

Autorizzazioni

MSSQLServer

Performance Log Users

Instid\MSSQL\binn

Visualizzazione contenuto cartella

 

Performance Monitor Users

Instid\MSSQL\binn

Visualizzazione contenuto cartella

 

Performance Log Users, Performance Monitor Users

\WINNT\system32\sqlctr100.dll

Lettura, Esecuzione

 

Solo amministratore

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Controllo completo

 

Administrators, Sistema

\tools\binn\schemas\sqlserver\2004\07\showplan

Controllo completo

 

Utenti

\tools\binn\schemas\sqlserver\2004\07\showplan

Lettura, Esecuzione

Reporting Services

<Account del servizio Web ReportServer>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identità pool di applicazioni per Gestione report, account di ASP.NET, Everyone

<installazione>\Reporting Services\ReportManager, <installazione>\Reporting Services\ReportManager\Pages\*.*, <installazione>\Reporting Services\ReportManager\Styles\*.*, <installazione>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lettura

 

Identità pool di applicazioni per Gestione report

<install>\Reporting Services\ReportManager\Pages\*.*

Lettura

 

<Account del servizio Web ReportServer>

<install>\Reporting Services\ReportServer

Lettura

 

<Account del servizio Web ReportServer>

<install>\Reporting Services\ReportServer\global.asax

Completo

 

Tutti

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Servizio di rete

<installazione>\Reporting Services\ReportServer\ReportService.asmx

Completo

 

Tutti

<installazione>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Account servizi Windows ReportServer

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Tutti

Chiavi Server report (hive Instid)

Richiedi valore

Enumera sottochiavi

Notifica

Controllo in lettura

 

Utente di Servizi terminali

Chiavi Server report (hive Instid)

Richiedi valore

Imposta valore

Creazione sottochiave

Enumerazione sottochiavi

Notifica

Elimina

Controllo in lettura

 

Power Users

Chiavi Server report (hive Instid)

Richiedi valore

Imposta valore

Crea sottochiave

Enumera sottochiavi

Notifica

Elimina

Controllo in lettura

1È lo spazio dei nomi del provider WMI.

Autorizzazioni di Windows per i servizi SQL Server

Nella tabella seguente sono riportati i nomi dei servizi, il termine utilizzato per fare riferimento alle istanze predefinite e denominate dei servizi SQL Server, una descrizione della funzione del servizio e le autorizzazioni minime necessarie.

Nome visualizzato

Nome servizio

Descrizione

Autorizzazioni necessarie

SQL Server (InstanceName)

Istanza predefinita: MSSQLSERVER

Istanza denominata: MSSQL$NomeIstanza

Motore di database di SQL Server.

Il percorso del file eseguibile è \MSSQL\Binn\sqlservr.exe.

È consigliabile utilizzare l'account utente locale o l'account utente di dominio.

Accesso come servizio (SeServiceLogonRight).1

Sostituzione di token a livello di processo (SeAssignPrimaryTokenPrivilege).

Ignorare controllo incrociato (SeChangeNotifyPrivilege).

Regolazione quote di memoria per un processo (SeIncreaseQuotaPrivilege).

Autorizzazione all'avvio di SQL Server Active Directory Helper.

Autorizzazione all'avvio del writer SQL.

Autorizzazione di lettura del registro eventi.

Autorizzazione di lettura del servizio RPC (Remote Procedure Call).

Autorizzazioni minimeFunzionalità
Account di avvio del servizio MSSQLServer
L'account deve essere incluso nell'elenco di account che dispongono di autorizzazioni Visualizzazione contenuto cartella nell'unità radice in cui è installato SQL Server. L'account deve inoltre disporre di autorizzazioni per la radice di qualsiasi altra unità in cui sono archiviati i file di SQL Server.
NotaNota
Le autorizzazioni di tipo "Visualizzazione contenuto cartella" sull'unità radice non devono essere ereditate necessariamente dalle sottocartelle.
Account di avvio del servizio MSSQLServerL'account deve disporre di autorizzazioni Controllo completo per tutte le cartelle in cui sono archiviati i file di dati o di log (estensioni mdf, ndf e ldf).

SQL Server Agent (NomeIstanza)1

Istanza predefinita: SQLServerAgent

Istanza denominata: SQLAgent$NomeIstanza

Consente l'esecuzione di processi, il monitoraggio di SQL Server, la generazione di avvisi e l'esecuzione automatica di alcune attività amministrative.

Il percorso del file eseguibile è \MSSQL\Binn\sqlagent.exe.
Autorizzazioni minimeFunzionalità
L'account deve essere membro del ruolo predefinito del server sysadmin. 
L'account deve disporre delle autorizzazioni di Windows seguenti:Accesso come servizio. Sostituzione di token a livello di processo. Regolazione quote di memoria per un processo. Ignorare controllo incrociato.

Servizi Analysis Services (InstanceName)

Istanza predefinita: MSSQLServerOLAPService

Istanza denominata: MSOLAP$InstanceName

Servizio che offre funzionalità di elaborazione analitica in linea (OLAP) e di data mining per le applicazioni di Business Intelligence.

Il percorso del file eseguibile è \OLAP\Bin\msmdsrv.exe.

 

Reporting Services

Istanza predefinita: ReportServer

Istanza denominata: ReportServer$InstanceName

Consente di gestire, eseguire, creare, pianificare e recapitare report.

Il percorso del file eseguibile è \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Integration Services

Istanza predefinita o denominata: MSDTSServer

Offre strumenti di supporto per la gestione dell'archiviazione e dell'esecuzione dei pacchetti Integration Services.

Il percorso del file eseguibile è \DTS\Binn\msdtssrvr.exe.

 

Ricerca full-text

Istanza predefinita o denominata: Utilità di avvio del daemon filtri full-text di SQL

Servizio per avviare il processo del daemon filtri full-text per eseguire le funzioni di word breaking e filtro dei documenti per la ricerca full-text di SQL Server.

 

SQL Server Browser

Istanza predefinita o denominata: SQLBrowser

Servizio di risoluzione dei nomi che offre informazioni di connessione a SQL Server per i computer client. Questo servizio viene condiviso da più istanze di SQL Server e di SSIS.

Il percorso del file eseguibile è <unità>:\Programmi\Microsoft SQL Server\100\Shared\sqlbrowser.exe.

 

SQL Server Active Directory Helper

Istanza predefinita o denominata: MSSQLServerADHelper.

Pubblica e gestisce servizi SQL Server in Active Directory di Windows.

Il percorso del file eseguibile è <unità>:\Programmi\Microsoft SQL Server\100\Shared\sqladhelper.exe.

 

Writer SQL

SQLWriter

Consente l'esecuzione di applicazioni di backup e ripristino nel framework del Servizio Copia Shadow del volume. È presente una singola istanza del servizio writer SQL per tutte le istanze di SQL Server nel server.

Il percorso del file eseguibile è <unità>:\Programmi\Microsoft SQL Server\100\Shared\sqlwriter.exe.

 

1Il servizio SQL Server Agent viene disabilitato sulle istanze di SQL Server Express e SQL Server Express with Advanced Services.

Considerazioni aggiuntive

Nella tabella seguente vengono indicate le autorizzazioni necessarie per disporre di funzionalità aggiuntive dei servizi SQL Server.

Servizio/Applicazione

Funzionalità

Autorizzazione necessaria

SQL Server (MSSQLSERVER)

Scrittura in uno slot di posta elettronica utilizzando xp_sendmail.

Autorizzazioni di scrittura in rete.

SQL Server (MSSQLSERVER)

Eseguire xp_cmdshell per un utente diverso dall'amministratore di SQL Server.

Funzionamento come parte del sistema operativo e sostituzione di un token a livello di processo.

SQL Server Agent (MSSQLSERVER)

Utilizzo della caratteristica di riavvio automatico.

È necessario essere membro del gruppo Administrators locale.

Ottimizzazione guidata Motore di database

Ottimizza i database per ottenere prestazioni ottimali delle query.

Un utente che dispone di credenziali amministrative deve inizializzare l'applicazione al primo utilizzo. In seguito all'inizializzazione, gli utenti dbo possono utilizzare Ottimizzazione guidata Motore di database per ottimizzare solo le tabelle di loro proprietà. Per ulteriori informazioni, vedere l'argomento relativo all'inizializzazione dell'Ottimizzazione guidata Motore di database al primo utilizzo nella documentazione online di SQL Server.
Nota importanteImportante

Prima di aggiornare SQL Server, abilitare l'autenticazione di Windows per SQL Server Agent e verificare la configurazione predefinita richiesta, ovvero che l'account del servizio SQL Server Agent sia un membro del gruppo sysadmin di SQL Server.

Nomi dei servizi localizzati

Nella tabella seguente vengono illustrati i nomi dei servizi visualizzati dalle versioni localizzate di Windows.

Lingua

Nome del servizio locale

Nome del servizio di rete

Nome del sistema locale

Nome del gruppo amministrativo

Inglese

Cinese semplificato

Cinese tradizionale

Coreano

Giapponese

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Tedesco

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Francese

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

Italiano

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Spagnolo

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russo

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Cronologia modifiche

Contenuto aggiornato

Nella sezione Introduzione è stata aggiunta una nota relativa agli strumenti da utilizzare per configurare o modificare le impostazioni dell'account per i servizi SQL Server 2008.

Sono stati aggiornati i parametri per l'installazione automatica nella tabella Configurazione del tipo di avvio del servizio.

Alla tabella "Diritti e privilegi di Windows NT concessi agli account dei servizi SQL Server" sono stati aggiunti gli avvisi per un chiarimento sulle autorizzazioni concesse ai SID del servizio.