Windows 서비스 계정 설정

  • 아티클

업데이트: 2006년 12월 12일

SQL Server의 각 서비스는 Microsoft Windows를 사용하여 SQL Server 작업의 인증을 관리하는 프로세스 또는 프로세스 집합을 나타냅니다. 이 항목에서는 이 SQL Server 릴리스의 기본 서비스 구성과 SQL Server 설치 중에 설정할 수 있는 SQL Server 서비스 구성 옵션에 대해 설명합니다.

보안 정보 항상 가장 낮은 사용자 권한을 사용하여 SQL Server 서비스를 실행하십시오.

SQL Server 2005 설치 프로그램에서는 설치할 Microsoft SQL Server 2005 구성 요소에 따라 다음 서비스를 설치합니다.

  • SQL Server Database Services - SQL Server 관계형 데이터베이스 엔진을 위한 서비스입니다.

  • SQL Server 에이전트 - 작업을 실행하고 SQL Server를 모니터링하고 경고를 발생시키고 일부 관리 작업의 자동화를 지원합니다.

    [!참고] Windows에서 SQL Server 및 SQL Server 에이전트를 서비스로 실행하려면 SQL Server 및 SQL Server 에이전트에 Windows 사용자 계정을 할당해야 합니다. 일반적으로 SQL Server 및 SQL Server 에이전트에는 로컬 시스템 또는 도메인 사용자 계정 중 하나가 동일하게 할당됩니다. 그러나 설치 과정 중에 각 서비스에 대한 설정을 사용자 지정할 수 있습니다. 각 서비스에 대한 계정 정보를 사용자 지정하는 방법에 대한 자세한 내용은 서비스 계정을 참조하십시오.

  • Analysis Services - 비즈니스 인텔리전스 응용 프로그램을 위한 OLAP(Online Analytical Processing) 및 데이터 마이닝 기능을 제공합니다.

  • Reporting Services - 보고서를 관리, 실행, 렌더링, 예약 및 배달합니다.

  • Notification Services - 알림을 생성하고 보내는 응용 프로그램의 개발 및 배포에 사용되는 플랫폼입니다.

  • Integration Services - Integration Services 패키지 저장 및 실행을 위한 관리를 지원합니다.

  • 전체 텍스트 검색 - 구조화 또는 반구조화된 데이터의 내용 및 속성에 대한 전체 텍스트 인덱스를 생성하여 이 데이터에 대한 신속한 언어 검색을 지원합니다.

  • SQL Server Browser - 클라이언트 컴퓨터에 대한 SQL Server 연결 정보를 제공하는 이름 확인 서비스입니다.

  • SQL Server Active Directory Helper - Active Directory에서 SQL Server 서비스를 게시 및 관리합니다.

  • SQL 기록기 - 백업 및 복원 응용 프로그램이 VSS(볼륨 섀도 복사본 서비스) 프레임워크에서 작동할 수 있도록 합니다.

이 항목의 나머지 부분은 다음 섹션으로 이루어져 있습니다.

  • SQL Server 설치 프로그램에 제공된 서비스 구성
  • SQL Server 서비스에 시작 계정 사용
  • 인스턴스 인식형 및 인스턴스 비인식형 서비스 식별
  • SQL Server 서비스 계정에 부여된 Windows NT 권한 검토
  • SQL Server 서비스 계정용으로 생성된 액세스 제어 목록 검토
  • SQL Server 서비스에 대한 Windows 권한 검토
  • 추가 고려 사항 검토
  • 해당 언어 버전의 서비스 이름

SQL Server 설치 프로그램에 제공된 서비스 구성

SQL Server 설치 중에 일부 SQL Server 서비스의 시작 계정 및 자동 시작 여부를 구성할 수 있습니다. 다음 표에서는 설치 중에 구성할 수 있는 SQL Server 서비스를 보여 줍니다. 무인 설치의 경우 설치 파일 또는 명령 프롬프트에서 스위치를 사용할 수 있습니다.

SQL Server 서비스 이름 설치 마법사에서 구성 가능 여부 무인 설치용 스위치1

MSSQLSERVER

SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART

SQLServerAgent

AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART

MSSQLServerOLAPService

ASACCOUNT, ASPASSWORD, ASAUTOSTART

ReportServer

RSACCOUNT, RSPASSWORD, RSAUTOSTART

SQLBrowser

SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1원격 및 무인 설치에 대한 자세한 내용 및 예제 구문은 방법: 명령 프롬프트에서 SQL Server 2005 설치를 참조하십시오.

2SQL Server Browser가 이미 설치된 경우에도 SQLBROWSERAUTOSTART를 지정할 수 있습니다.

다음 서비스는 설치 시에 구성할 수 없습니다. 이러한 서비스는 기본 설정으로 설치됩니다.

  • Notification Services
  • Integration Services
  • 전체 텍스트 검색
  • Active Directory Helper
  • SQL 기록기

SQL Server 서비스에 시작 계정 사용

SQL Server 2005의 각 서비스에는 시작 및 실행하기 위한 사용자 계정이 필요합니다. 사용자 계정은 기본 제공 시스템 계정이거나 도메인 사용자 계정일 수 있습니다.

모든 서비스에는 사용자 계정 외에 다음과 같이 사용자가 제어할 수 있는 3가지 시작 상태가 있습니다.

  • 사용 안 함 서비스가 설치되어 있지만 현재 실행되지 않습니다.
  • 수동 서비스가 설치되어 있지만 다른 서비스 또는 응용 프로그램이 해당 기능을 필요로 하는 경우에만 시작합니다.
  • 자동 운영 체제에서 부팅 시에 장치 드라이버를 로드한 다음 서비스를 시작합니다.

다음 표에서는 각 SQL Server 서비스의 기본 및 선택적 계정을 각 서비스의 시작 상태와 함께 보여 줍니다.

SQL Server 서비스 이름 기본 계정 선택적 계정 시작 유형 설치 후의 기본 상태

SQL Server

Windows 2000의 SQL Server Express Edition: 로컬 시스템

지원되는 다른 모든 운영 체제에 있는 SQL Server Express Edition: 네트워크 서비스

지원되는 모든 운영 체제에 있는 다른 모든 버전: 도메인 사용자1

SQL Server Express Edition: 도메인 사용자, 로컬 시스템, 네트워크 서비스1

기타 모든 버전: 도메인 사용자, 로컬 시스템, 네트워크 서비스1

자동2

시작됨

자동 시작되지 않도록 선택한 경우에만 중지됩니다.

SQL Server 에이전트

도메인 사용자3

도메인 사용자, 로컬 시스템, 네트워크 서비스1,6

사용 안 함

자동 시작되도록 선택한 경우에만 자동으로 설정됩니다.

중지됨

자동 시작되도록 선택한 경우에만 시작됩니다.

Analysis Services

도메인 사용자3

도메인 사용자, 로컬 시스템, 네트워크 서비스, 로컬 서비스

자동

시작됨

자동 시작되지 않도록 선택한 경우에만 중지됩니다.

Reporting Services

도메인 사용자3

도메인 사용자, 로컬 시스템, 네트워크 서비스, 로컬 서비스

자동

시작됨

자동 시작되지 않도록 선택한 경우에만 중지됩니다.

Notification Services4

해당 없음

해당 없음

해당 없음

해당 없음

Integration Services

Windows 2000: 로컬 시스템

기타 지원되는 모든 운영 체제: 네트워크 서비스

도메인 사용자, 로컬 시스템, 네트워크 서비스, 로컬 서비스

자동

시작됨

자동 시작되지 않도록 선택한 경우에만 중지됩니다.

전체 텍스트 검색

SQL Server와 같은 계정

도메인 사용자, 로컬 시스템, 네트워크 서비스, 로컬 서비스

수동

중지됨

자동 시작되도록 선택한 경우에만 시작됩니다.

SQL Server Browser

Windows 2000의 SQL Server Express Edition: 로컬 시스템

지원되는 다른 모든 운영 체제에 있는 SQL Server Express Edition: 로컬 서비스

지원되는 모든 운영 체제에 있는 다른 모든 버전: 도메인 사용자1,3

도메인 사용자, 로컬 시스템, 네트워크 서비스, 로컬 서비스

사용 안 함5

자동 시작되도록 선택한 경우에만 자동으로 설정됩니다.

중지됨5

자동 시작되도록 선택한 경우에만 시작됩니다.

SQL Server Active Directory Helper

네트워크 서비스

로컬 시스템, 네트워크 서비스

사용 안 함

중지됨

SQL 기록기

로컬 시스템

로컬 시스템

자동

시작됨

1중요   SQL Server 또는 SQL Server 에이전트 서비스에는 네트워크 서비스 계정을 사용하지 않는 것이 좋습니다. 이러한 SQL Server 서비스에 대해서는 로컬 사용자 또는 도메인 사용자 계정이 더 적합합니다.

2장애 조치 클러스터 구성에서 수동으로 설정됩니다.

3무인 설치의 경우 이 속성은 필수입니다. 지정되지 않은 경우 설치가 실패합니다. 로컬 시스템을 지정하려면 SQLAccount=LocalSystem 또는 ASAccount=LocalSystem을 사용하십시오. 원격 및 무인 설치에 대한 자세한 내용 및 예제 구문은 방법: 명령 프롬프트에서 SQL Server 2005 설치를 참조하십시오.

4 SQL Server 설치 프로그램은 Notification Services를 설치할 수 있지만 구성하지는 않습니다. 설치 후에 Notification Services를 설정하는 방법은 SQL Server 2005 온라인 설명서의 "Notification Services Windows 서비스 구성" 항목을 참조하십시오.

5장애 조치 클러스터 설치의 경우 SQL Server Browser는 자동으로 시작하도록 설정되어 있으며 기본적으로 설치 후 시작됩니다.

6SQL Server 에이전트에 지원되는 Windows 계정에 대한 자세한 내용은 SQL Server 2005에서 SQL Server 에이전트 서비스를 실행하는 데 사용할 수 있는 지원되는 Windows 계정 유형(The supported Windows account types that you can use to run the SQL Server Agent service in SQL Server 2005)을 참조하십시오.

ms143504.note(ko-kr,SQL.90).gif중요:
장애 조치 클러스터 설치의 경우 SQL Server, SQL Server 에이전트 및 SSAS와 같은 클러스터형 서비스에는 로컬 시스템 및 로컬 서비스 계정을 사용할 수 없습니다. 자세한 내용은 장애 조치(Failover) 클러스터링을 설치하기 전에를 참조하십시오. 이전 버전의 SQL Server가 설치된 상태에서 side-by-side 구성으로 SQL Server 2005를 설치하는 경우 SQL Server 2005 서비스는 전역 도메인 그룹에만 있는 계정을 사용해야 합니다. 또한 SQL Server 2005 서비스에서 사용하는 계정은 로컬 Administrators 그룹에 나타나지 않아야 합니다. 이 지침을 따르지 않으면 예기치 않은 보안 동작이 발생할 수 있습니다.

도메인 사용자 계정 사용

서비스가 네트워크 서비스와 상호 작용해야 하는 경우 도메인 사용자 계정을 사용하는 것이 좋을 수 있습니다. 도메인 사용자 계정으로만 수행할 수 있는 서버 간 작업이 많습니다. 예를 들면 다음과 같습니다.

  • 원격 프로시저 호출
  • 복제
  • 네트워크 드라이브에 백업
  • 원격 데이터 원본을 포함하는 유형이 다른 조인
  • SQL Server 에이전트 메일 기능 및 SQL 메일. 이 제한은 Microsoft Exchange를 사용할 경우 적용됩니다. 또한 대부분의 다른 메일 시스템을 사용하기 위해서는 클라이언트(SQL Server 및 SQL Server 에이전트 서비스)가 네트워크 액세스 권한이 있는 계정에서 실행되어야 합니다.

로컬 서비스 계정 사용

로컬 서비스 계정은 인증된 사용자 계정과 비슷한 기본 제공된 특수 계정입니다. 로컬 서비스 계정은 리소스 및 개체에 대해 Users 그룹 멤버와 동일한 액세스 권한 수준을 가집니다. 이러한 액세스 제한을 통해 개별 서비스나 프로세스의 보안이 침해될 때 시스템을 보호할 수 있습니다. 로컬 서비스 계정으로 실행되는 서비스는 자격 증명이 없는 Null 세션으로 네트워크 리소스에 액세스합니다.

네트워크 서비스 계정 사용

네트워크 서비스 계정은 인증된 사용자 계정과 비슷한 기본 제공된 특수 계정입니다. 네트워크 서비스 계정은 리소스 및 개체에 대해 Users 그룹 멤버와 동일한 액세스 권한 수준을 갖습니다. 네트워크 서비스 계정으로 실행되는 서비스는 컴퓨터 계정의 자격 증명을 사용하여 네트워크 리소스에 액세스합니다.

ms143504.note(ko-kr,SQL.90).gif중요:
SQL Server 또는 SQL Server 에이전트 서비스에는 네트워크 서비스 계정을 사용하지 않는 것이 좋습니다. 이러한 SQL 서비스에 대해서는 로컬 사용자 또는 도메인 사용자 계정이 더 적합합니다.

로컬 시스템 계정 사용

로컬 시스템 계정은 높은 권한을 가진 계정이므로 로컬 시스템 권한을 SQL Server 서비스 계정에 할당할 때는 주의해야 합니다.

ms143504.security(ko-kr,SQL.90).gif보안 정보:
SQL Server 설치의 보안을 강화하려면 가능한 최소 권한을 가진 로컬 Windows 계정으로 SQL Server 서비스를 실행하십시오.

사용자 계정 변경

SQL Server 관련 서비스의 암호 또는 기타 속성을 변경하려면 SQL Server 구성 관리자를 사용하십시오. Windows 암호가 변경되면 Windows에서 SQL Server 서비스 설정도 업데이트해야 합니다. Kerberos를 활성화한 경우 Active Directory의 SPN(서비스 보안 주체 이름) 디렉터리 속성을 업데이트해야 합니다.

자세한 내용은 암호 및 사용자 계정 변경을 참조하십시오. Microsoft Windows의 서비스 추가 기능을 사용하여 SQL Server 서비스 계정을 변경하는 방법은 SQL Server 2000의 SQL 엔터프라이즈 관리자 또는 SQL Server 2005의 SQL Server 구성 관리자를 사용하지 않고 SQL Server 또는 SQL Server 에이전트 서비스 계정을 변경하는 방법(How to change the SQL Server or SQL Server Agent service account without using SQL Enterprise Manager in SQL Server 2000 or SQL Server Configuration Manager in SQL Server 2005)을 참조하십시오.

인스턴스 인식형 및 인스턴스 비인식형 서비스 식별

일부 SQL Server 서비스는 인스턴스 인식형이며 일부는 인스턴스 비인식형입니다. 각 인스턴스 인식형 서비스는 특정 SQL Server 인스턴스와 연결되며 고유의 레지스트리 하이브를 가집니다. 각 구성 요소 또는 서비스에 대해 SQL Server 설치 프로그램을 실행하여 여러 개의 인스턴스 인식형 서비스 복사본을 설치할 수 있습니다. 인스턴스 비인식형 서비스는 설치된 모든 SQL Server 인스턴스 사이에 공유되며 특정 인스턴스와 연결되지 않습니다. 또한 한 번만 설치되며 함께 작동하도록 설치할 수 없습니다.

Microsoft SQL Server 2005의 인스턴스 인식형 서비스는 다음과 같습니다.

  • SQL Server
  • SQL Server 에이전트
  • Analysis Services
  • Reporting Services
  • 전체 텍스트 검색

SQL Server 2005의 인스턴스 비인식형 서비스는 다음과 같습니다.

  • Notification Services
  • Integration Services
  • SQL Server Browser
  • SQL Server Active Directory Helper
  • SQL 기록기

SQL Server 서비스 계정에 부여된 Windows NT 권한 검토

SQL Server 설치 프로그램에서는 SQL Server 서비스별로 사용자 그룹을 만들고 여기에 적절하게 서비스 계정을 추가합니다. 이러한 그룹은 SQL Server 서비스 및 기타 실행 파일을 실행하는 데 필요한 권한 부여 작업을 단순화하고 SQL Server 파일의 보안을 유지하는 데 도움을 줍니다. 도메인 컨트롤러에 SQL Server 2005 설치 시에는 고유한 그룹 이름이 필요합니다.

SQL Server 설치 프로그램에서 만든 사용자 그룹에는 다음과 같은 Windows NT 권한이 부여됩니다.

SQL Server 서비스 사용자 그룹 SQL Server 설치 프로그램이 부여한 기본 권한

SQL Server

기본 인스턴스: SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER

명명된 인스턴스: SQLServer2005MSSQLUser$ComputerName$InstanceName

서비스로 로그온(SeServiceLogonRight)

운영 체제의 일부로 작동(SeTcbPrivilege)(Windows 2000에만 해당)

일괄 작업으로 로그온(SeBatchLogonRight)

프로세스 수준 토큰 바꾸기(SeAssignPrimaryTokenPrivilege)

트래버스 검사 무시(SeChangeNotifyPrivilege)

프로세스의 메모리 할당량 조정(SeIncreaseQuotaPrivilege)

SQL Server Active Directory Helper를 시작할 수 있는 권한

SQL 기록기를 시작할 수 있는 권한

SQL Server 에이전트

기본 인스턴스: SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER

명명된 인스턴스: SQLServer2005SQLAgentUser$ComputerName$InstanceName

서비스로 로그온(SeServiceLogonRight)

운영 체제의 일부로 작동(SeTcbPrivilege)(Windows 2000에만 해당)

일괄 작업으로 로그온(SeBatchLogonRight)

프로세스 수준 토큰 바꾸기(SeAssignPrimaryTokenPrivilege)

트래버스 검사 무시(SeChangeNotifyPrivilege)

프로세스의 메모리 할당량 조정(SeIncreaseQuotaPrivilege)

Analysis Services

기본 인스턴스: SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER

명명된 인스턴스: SQLServer2005MSOLAPUser$ComputerName$InstanceName

서비스로 로그온(SeServiceLogonRight)

Reporting Services1

기본 인스턴스: SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER 및 SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER

명명된 인스턴스: SQLServer2005ReportServerUser$ComputerName$InstanceName 및 SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName

서비스로 로그온(SeServiceLogonRight)

Notification Services2

기본 또는 명명된 인스턴스: SQLServer2005NotificationServicesUser$ComputerName

해당 없음

Integration Services

기본 또는 명명된 인스턴스: SQLServer2005DTSUser$ComputerName

서비스로 로그온(SeServiceLogonRight)

응용 프로그램 이벤트 로그에 기록할 수 있는 권한

트래버스 검사 무시(SeChangeNotifyPrivilege)

전역 개체 만들기(SeCreateGlobalPrivilege)

인증 후 클라이언트 가장(SeImpersonatePrivilege)

전체 텍스트 검색

기본 인스턴스: SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER

명명된 인스턴스: SQLServer2005MSFTEUser$ComputerName$InstanceName

서비스로 로그온(SeServiceLogonRight)

SQL Server Browser

기본 또는 명명된 인스턴스: SQLServer2005SQLBrowserUser$ComputerName

서비스로 로그온(SeServiceLogonRight)

SQL Server Active Directory Helper

기본 또는 명명된 인스턴스: SQLServer2005MSSQLServerADHelperUser$ComputerName

없음3

SQL 기록기

해당 없음

없음3

1Reporting Services의 경우에는 SQL Server 설치 프로그램에서 SQLServer2005ReportingServicesWebServiceUser$InstanceName 및 SQLServer2005ASP.NETUser 사용자 그룹을 만들고 이러한 그룹에 액세스 제어 목록(ACL)을 부여해야 합니다. 자세한 내용은 아래 섹션에서 액세스 제어 목록을 참조하십시오.

2 SQL Server 설치 프로그램은 Notification Services를 설치할 수 있지만 구성하지는 않습니다. 설치 후에 Notification Services를 설정하는 방법은 SQL Server 2005 온라인 설명서의 "Notification Services Windows 서비스 구성" 항목을 참조하십시오.

3 SQL Server 설치 프로그램에서는 이 서비스에 대한 권한을 확인 또는 부여하지 않습니다.

SQL Server 서비스 계정용으로 생성된 액세스 제어 목록 검토

SQL Server 2005 서비스 계정에 리소스에 대한 액세스 권한이 있어야 합니다. 액세스 제어 목록(ACL)은 사용자 그룹 수준에서 설정됩니다. 다음 표에서는 SQL Server 설치 프로그램에서 설정하는 ACL을 나열합니다.

ms143504.note(ko-kr,SQL.90).gif중요:
장애 조치 클러스터 설치의 경우 로컬 사용자 그룹의 ACL에 공유 디스크의 리소스를 설정할 수 없습니다. 대신 이러한 리소스는 로컬 계정의 ACL로 설정됩니다.
서비스 계정 대상 파일 및 폴더 액세스

MSSQLServer

Instid\MSSQL\backup

모든 권한

 

Instid\MSSQL\binn

읽기, 실행

 

Instid\MSSQL\data

모든 권한

 

Instid\MSSQL\FTData

모든 권한

 

Instid\MSSQL\Install

읽기, 실행

 

Instid\MSSQL\Log

모든 권한

 

Instid\MSSQL\Repldata

모든 권한

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

 

90\com

읽기, 실행

 

Instid\MSSQL\Template Data(SQL Server Express만 해당)

읽기

SQLServerAgent

Instid\MSSQL\binn

모든 권한

 

Instid\MSSQL\Log

모든 권한

 

Instid\MSSQL\jobs

모든 권한

 

90\com

읽기, 실행

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

FTS

Instid\MSSQL\FTData

모든 권한

 

Instid\MSSQL\FTRef

읽기, 실행

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

 

Instid\MSSQL\Install

읽기, 실행

MSSQLServerOLAPservice

90\shared

읽기, 실행

 

90\shared\msmdlocal.ini

모든 권한

 

Instid\OLAP

읽기, 실행

 

Instid\Olap\Data

모든 권한

 

Instid\Olap\Log

읽기, 쓰기

 

90\shared\Errordumps

읽기, 쓰기

SQLServer2005ReportServerUser

Instid\Reporting Services\Log Files

읽기, 쓰기, 삭제

 

Instid\Reporting Services\ReportServer

읽기, 실행

 

Instid\Reportingservices\Reportserver\global.asax

모든 권한

 

Instid\Reportingservices\Reportserver\Reportserver.config

읽기, 쓰기

 

Instid\Reporting Services\reportManager

읽기, 실행

 

Instid\Reporting Services\RSTempfiles

읽기, 쓰기

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

SQLServer2005ReportingServicesWebServiceUser

Instid\Reporting Services\Log Files

읽기, 쓰기, 삭제

 

Instid\Reporting Services\ReportServer

읽기, 실행

 

Instid\Reportingservices\Reportserver\global.asax

모든 권한

 

InstID\Reporting Services\reportservice.asmx

모든 권한

 

Instid\Reportingservices\Reportserver\Reportserver.config

읽기, 쓰기, 삭제

 

Instid\Reporting Services\reportManager

읽기, 실행

 

Instid\Reporting Services\RSTempfiles

읽기, 쓰기

 

Instid\Reporting Services\reportManager\pages

읽기

 

Instid\Reporting Services\reportManager\Styles

읽기

 

Instid\Reporting Services\reportManager\webctrl_client\1_0

읽기

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

Notification services

90\Notification services

읽기, 쓰기, 폴더 내용 보기

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

MSDTSServer

90\dts\binn\MsDtsSrvr.ini.xml

읽기

 

90\dts\binn

읽기, 실행

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

SQL Server Browser

90\shared\msmdlocal.ini

읽기

 

90\shared

읽기, 실행

 

90\shared\Errordumps

읽기, 쓰기

MSADHekper

해당 없음(기본 제공 계정으로 실행)

 

SQLWriter

해당 없음(로컬 시스템으로 실행)

 

User

Instid\MSSQL\binn

읽기, 실행

 

Instid\Reporting Services\ReportServer

읽기, 실행

 

Instid\Reportingservices\Reportserver\global.asax

읽기

 

InstID\Reporting Services\reportservice.asmx

읽기, 실행

 

Instid\Reporting Services\reportManager

읽기, 실행

 

Instid\Reporting Services\reportManager\pages

읽기

 

Instid\Reporting Services\reportManager\Styles

읽기

 

90\dts

읽기, 실행

 

90\tools

읽기, 실행

 

80\tools

읽기, 실행

 

90\sdk

읽기

 

Microsoft SQL Server\90\Setup Bootstrap

읽기, 실행

SQL Server 서비스 시작 계정 이외에 기본 제공 계정 또는 기타 SQL Server 서비스 계정에도 액세스 제어 권한을 부여해야 할 수 있습니다. 다음 표에서는 SQL Server 설치 프로그램에서 설정하는 추가 ACL을 나열합니다.

요구 구성 요소 계정 리소스 사용 권한

MSSQLServer

성능 로그 사용자

Instid\MSSQL\binn

폴더 내용 보기

 

성능 모니터 사용자

Instid\MSSQL\binn

폴더 내용 보기

 

성능 로그 사용자

Instid\MSSQL\binn\sqlctr90.dll

읽기, 실행

 

성능 모니터 사용자

Instid\MSSQL\binn\sqlctr90.dll

읽기, 실행

 

관리자 전용

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

모든 권한

 

관리자

\tools\binn\schemas\sqlserver\2003\03\showplan

모든 권한

 

시스템

\tools\binn\schemas\sqlserver\2003\03\showplan

모든 권한

 

사용자

\tools\binn\schemas\sqlserver\2003\03\showplan

읽기, 실행

Reporting Services

<보고서 서버 웹 서비스 계정>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

보고서 관리자 응용 프로그램 풀 ID

<install>\Reporting Services\ReportManager

읽기

 

ASP.NET 계정

<install>\Reporting Services\ReportManager

읽기

 

모든 사람

<install>\Reporting Services\ReportManager

읽기

 

보고서 관리자 응용 프로그램 풀 ID

<install>\Reporting Services\ReportManager\Pages\*.*

읽기

 

ASP.NET 계정

<install>\Reporting Services\ReportManager\Pages\*.*

읽기

 

모든 사람

<install>\Reporting Services\ReportManager\Pages\*.*

읽기

 

보고서 관리자 응용 프로그램 풀 ID

<install>\Reporting Services\ReportManager\Styles\*.*

읽기

 

ASP.NET 계정

<install>\Reporting Services\ReportManager\Styles\*.*

읽기

 

모든 사람

<install>\Reporting Services\ReportManager\Styles\*.*

읽기

 

보고서 관리자 응용 프로그램 풀 ID

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

읽기

 

ASP.NET 계정

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

읽기

 

모든 사람

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

읽기

 

<보고서 서버 웹 서비스 계정>

<install>\Reporting Services\ReportServer

읽기

 

<보고서 서버 웹 서비스 계정>

<install>\Reporting Services\ReportServer\global.asax

모든 권한

 

모든 사람

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

네트워크 서비스

<intsall>\Reporting Services\ReportServer\ReportService.asmx

모든 권한

 

모든 사람

<intsall>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

ReportServer Windows 서비스 계정

<Install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

모든 사람

보고서 서버 키(Instid 하이브)

값 쿼리

하위 키 열거

알림

읽기 제어

 

터미널 서비스 사용자

보고서 서버 키(Instid 하이브)

값 쿼리

값 설정

하위 키 만들기

하위 키 열거

알림

삭제

읽기 제어

 

고급 사용자

보고서 서버 키(Instid 하이브)

값 쿼리

값 설정

하위 키 만들기

하위 키 열거

알림

삭제

읽기 제어

1WMI 공급자 네임스페이스입니다.

SQL Server 서비스에 대한 Windows 권한 검토

다음 표에서는 서비스 이름, SQL Server 서비스의 기본 및 명명된 인스턴스를 참조하는 데 사용하는 용어, 서비스 기능에 대한 설명, 필요한 최소 권한을 보여 줍니다.

표시 이름

서비스 이름

설명

필수 사용 권한

SQL Server(InstanceName)

기본 인스턴스: MSSQLSERVER

명명된 인스턴스: MSSQL$InstanceName

SQL Server 데이터베이스 엔진.

실행 파일의 경로는 \MSSQL\Binn\sqlservr.exe입니다.

로컬 사용자가 권장됩니다.

최소 권한

기능

MSSQLServer 서비스 시작 계정

SQL Server가 설치된 루트 드라이브 및 SQL Server 파일이 저장된 기타 드라이브의 루트에 대한 "폴더 보기" 권한이 있는 계정 목록 안에 해당 계정이 있어야 합니다.

ms143504.note(ko-kr,SQL.90).gif참고:

루트 드라이브에 대한 "폴더 보기" 권한이 하위 폴더로 상속될 필요는 없습니다.

MSSQLServer 서비스 시작 계정이 계정에는 데이터 또는 로그 파일(.mdf, .ndf, .ldf)이 있는 모든 폴더에 대한 "모든 권한"이 필요합니다.

SQL Server 에이전트(InstanceName)

기본 인스턴스: SQLServerAgent

명명된 인스턴스: SQLAgent$InstanceName

작업을 실행하고 SQL Server를 모니터링하고 경고를 발생시키고 일부 관리 작업의 자동화를 지원합니다.

실행 파일의 경로는 \MSSQL\Binn\sqlagent90.exe입니다.

최소 권한

기능

계정은 sysadmin 고정 서버 역할의 멤버여야 합니다. 

이 계정에는 다음과 같은 Windows 권한이 필요합니다.1서비스로 로그온하는 권한 일괄 작업으로 로그온 프로세스 수준의 토큰 대체 프로세스의 메모리 할당량 조정 운영 체제의 일부로 작동 트래버스 검사 무시

Analysis Services 서비스(InstanceName)

기본 인스턴스: MSSQLServerOLAPService

명명된 인스턴스: MSOLAP$InstanceName

비즈니스 인텔리전스 응용 프로그램을 위한 OLAP(온라인 분석 처리) 및 데이터 마이닝 기능을 제공하는 서비스입니다.

실행 파일의 경로는 \OLAP\Bin\msmdsrv.exe입니다.

 

보고서 서버

기본 인스턴스: ReportServer

명명된 인스턴스: ReportServer$InstanceName

보고서를 관리, 실행, 렌더링, 예약 및 배달합니다.

실행 파일의 경로는 \Reporting Services\ReportServer\Bin\ReportingServicesService.exe입니다.

 

Notification Services

 

Notification Services는 알림을 생성하고 보내는 응용 프로그램의 개발 및 배포에 사용되는 플랫폼입니다. SQL Server 설치 프로그램은 Notification Services를 설치할 수 있지만 구성하지는 않습니다. 설치 후에 Notification Services를 설정하는 방법은 SQL Server 2005 온라인 설명서의 "Notification Services Windows 서비스 구성" 항목을 참조하십시오.

 

Integration Services

기본 또는 명명된 인스턴스: MSDTSServer

Integration Services 패키지 저장 및 실행을 위한 관리를 지원합니다.

실행 파일의 경로는 \DTS\Binn\msdtssrvr.exe입니다.

 

SQL Server Browser

기본 또는 명명된 인스턴스: SQLBrowser

클라이언트 컴퓨터에 대한 SQL Server 연결 정보를 제공하는 이름 확인 서비스입니다. 이 서비스는 여러 SQL Server 및 SSIS 인스턴스에서 공유됩니다.

실행 파일의 경로는 \90\shared\sqlbrowser.exe입니다.

 

Microsoft 전체 텍스트 검색(MSFTESQL)

기본 인스턴스: MSFTESQL

명명된 인스턴스: MSFTESQL$InstanceName

구조화 또는 반구조화된 데이터의 내용 및 속성에 대한 전체 텍스트 인덱스를 생성하여 이 데이터에 대한 신속한 언어 검색을 지원합니다.

실행 파일의 경로는 \MSSQL\Binn\msftesql.exe입니다.

 

SQL Server Active Directory Helper

기본 또는 명명된 인스턴스: MSSQLServerADHelper

Windows Active Directory에서 SQL Server 서비스를 게시 및 관리합니다.

실행 파일의 경로는 \90\Shared\sqladhelper.exe입니다.

 

SQL 기록기

SQLWriter

백업 및 복원 응용 프로그램이 VSS(볼륨 섀도 복사본 서비스) 프레임워크에서 작동할 수 있도록 합니다. 서버의 모든 SQL Server 인스턴스에 대한 SQL 기록기 서비스의 인스턴스는 단 한 개입니다.

실행 파일의 경로는 \90\Shared\sqlwriter.exe입니다.

 

1 필수적인 각각의 Windows 권한이 설정되었는지 확인하는 방법에 대한 자세한 내용은 방법: SQL Server 서비스에 대한 권한 확인을 참조하십시오.

추가 고려 사항 검토

다음 표에서는 SQL Server 서비스에서 추가 기능을 제공하기 위해 필요한 권한을 보여 줍니다.

서비스/응용 프로그램 기능 필요한 권한

SQL Server(MSSQLSERVER)

xp_sendmail을 사용하여 메일 슬롯에 씁니다.

네트워크 쓰기 권한

SQL Server(MSSQLSERVER)

SQL Server 관리자 이외의 사용자를 위해 xp_cmdshell을 실행합니다.

운영 체제의 일부로 작동하며 프로세스 수준의 토큰을 교체합니다.

SQL Server 에이전트(MSSQLSERVER)

자동 재시작 기능을 사용합니다.

Administrators 로컬 그룹의 멤버여야 합니다.

데이터베이스 엔진 튜닝 관리자

최적의 쿼리 성능을 위해 데이터베이스를 튜닝합니다.

처음 사용하는 경우 시스템 관리자 권한이 있는 사용자가 응용 프로그램을 초기화해야 합니다. 초기화한 다음에는 테이블(dbo 사용자)을 소유하는 사용자가 데이터베이스 엔진 튜닝 관리자를 사용하여 자신이 소유한 테이블을 튜닝할 수 있습니다. 자세한 내용은 SQL Server 2005 온라인 설명서의 "처음 사용할 때의 데이터베이스 엔진 튜닝 관리자 초기화"를 참조하십시오.
ms143504.note(ko-kr,SQL.90).gif중요:
SQL Server 2005로 업그레이드하기 전에 SQL Server 에이전트를 위해 Windows 인증을 활성화하고 SQL Server 에이전트 서비스 계정이 SQL Server sysadmin 그룹의 멤버인지 확인하십시오.

해당 언어 버전의 서비스 이름

다음 표에서는 해당 언어 버전의 Microsoft Windows에서 사용하는 서비스 이름을 보여 줍니다.

언어 로컬 서비스 이름 네트워크 서비스 이름 로컬 시스템 이름 관리자 그룹 이름

영어

중국어(간체)

중국어(번체)

한국어

일본어

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

독일어

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

프랑스어

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

이탈리아어

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

스페인어

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

러시아어

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Àäìèíèñòðàòîðû

참고 항목

참조

서비스 계정
서비스 계정(클러스터)

개념

SQL Server 설치에 대한 보안 고려 사항

도움말 및 정보

SQL Server 2005 지원 받기

변경 내역

릴리스 내역

2006년 12월 12일
변경된 내용
  • side-by-side 구성에서의 서비스 계정에 대한 보안 지침을 추가했습니다.
  • SQL Server 2005 SP2의 SQL 기록기 서비스에 대한 시작 유형과 기본 상태를 업데이트했습니다.

2006년 7월 17일
변경된 내용
  • 항목을 더 쉽게 읽을 수 있도록 내용 흐름 및 표시 형식을 수정했습니다.
  • 서비스 추가 기능을 사용하여 SQL Server 및 SQL Server 에이전트 서비스 계정을 변경하는 방법에 대한 기술 자료 문서 링크를 추가했습니다.
  • 러시아어 버전의 서비스 이름을 추가했습니다.

2005년 12월 5일
변경된 내용
  • SQL Server 에이전트에서 사용할 수 있는 계정 목록에서 LocalService를 제거했습니다.
  • SQL Server 설치 프로그램에서 만드는 사용자 그룹을 업데이트했습니다.