Экспорт (0) Печать
Развернуть все

Настройка учетных записей служб Windows

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этом разделе описана конфигурация, устанавливаемая по умолчанию для служб данной версии SQL Server, а также параметры настройки служб, которые могут быть заданы во время установки SQL Server.

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.

  • Службы SQL Server Database Services — службы реляционной базы данных компонента SQL Server Database Engine.

  • Агент SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию.

    ПримечаниеПримечание

    Для запуска SQL Server и агента SQL Server в качестве служб Windows SQL Server и агенту SQL Server должна быть назначена учетная запись пользователя Windows. Дополнительные сведения о настройке данных учетной записи для каждой службы см. в разделе Как установить SQL Server 2008 R2 (программа установки).

  • Службы Службы Analysis Services — предоставляют средства аналитической обработки в сети (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики.

  • Службы Службы Reporting Services — предназначены для создания, выполнения, создания, планирования, доставки отчетов и управления ими.

  • Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Integration Services.

  • Браузер SQL Server — служба разрешения имен, поставляющая данные соединения с SQL Server для клиентских компьютеров.

  • Компонент Full-text Search — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.

  • Модуль поддержки Active Directory сервера SQL Server — обеспечивает публикацию и управление службами SQL Server в Active Directory.

  • Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе службы теневого копирования томов (VSS).

    Важное примечаниеВажно!

    Всегда используйте такие средства SQL Server, как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой службами SQL Server или агентом SQL Server, либо для изменения пароля учетной записи. Диспетчер конфигурации SQL Server не только изменяет имя учетной записи, но и выполняет дополнительную настройку, например установку разрешений в реестре Windows, чтобы новая учетная запись могла считывать настройки SQL Server. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют соответствующие параметры. Если служба не может получить доступ к разделу реестра SQL Server, она может запуститься неправильно.

Важное примечаниеВажно!

Для экземпляров служб Analysis Services, развертываемых на ферме SharePoint, изменение учетных записей сервера для служебных приложений Служба PowerPivot и Служба Analysis Services следует выполнять только с помощью центра администрирования SharePoint. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.

Оставшаяся часть этого раздела состоит из следующих подразделов:

В процессе работы программы установки SQL Server для некоторых служб SQL Server можно настраивать тип запуска: отключено, вручную или автоматически. В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.

Имя службы SQL Server

Настраивается ли в мастере установки

Параметры для автоматической установки1

MSSQLSERVER

Да

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

Да

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

Да

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

Да

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

Да

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Дополнительные сведения и образцы синтаксиса для автоматической установки см. в разделе Как установить SQL Server 2008 R2 из командной строки.

2Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Для запуска и выполнения каждая служба SQL Server должна иметь учетную запись пользователя, настраиваемую во время установки. Стартовые учетные записи, используемые для запуска и выполнения SQL Server, могут быть встроенными системными учетными записями, учетными записями локальных пользователей или учетными записями пользователей домена.

Учетная запись пользователя домена

Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.

Учетная запись локального пользователя

Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.

Учетная запись локальной службы

Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных. Помните, что учетная запись локальной службы не поддерживается службами SQL Server или агента SQL Server. Фактическое имя этой учетной записи — «NT AUTHORITY\LOCAL SERVICE».

Учетная запись сетевой службы

Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, запущенные от учетной записи сетевой службы, производят доступ к сетевым ресурсам от учетной записи компьютера. Фактическое имя этой учетной записи — «NT AUTHORITY\NETWORK SERVICE».

Учетная запись локальной системы

Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — «NT AUTHORITY\SYSTEM».

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

  • Отключено. Служба установлена, но в данный момент не запущена.

  • Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.

  • Авто. Служба автоматически запускается операционной системой.

В следующей таблице показаны дополнительные учетные записи для каждой из служб SQL Server, а также типы запуска для каждой службы.

Имя службы SQL Server

Дополнительные учетные записи

Тип запуска

Состояние по умолчанию после установки

SQL Server

SQL Server Express: Пользователь домена, локальная система, сетевая служба

Все другие выпуски: пользователь домена, локальная система, сетевая служба1.

Автоматически1

Работает.

Остановлена, если пользователь отменил автозапуск.

Агент SQL Server

Пользователь домена, локальная система, сетевая служба1.

Вручную1,2

Авто, если пользователь выбрал автозапуск.

Остановлена.

Работает, если пользователь выбрал автозапуск.

Службы Analysis Services

Пользователь домена, сетевая служба, локальная служба, локальная система1 4

Автоматически1

Работает.

Остановлена, если пользователь отменил автозапуск.

Службы Reporting Services

Пользователь домена, локальная система, сетевая служба, локальная служба.

Авто

Работает.

Остановлена, если пользователь отменил автозапуск.

Integration Services 

Пользователь домена, локальная система, сетевая служба, локальная служба.

Авто

Работает.

Остановлена, если пользователь отменил автозапуск.

Full-text Search

Используйте учетную запись, отличающуюся от учетной записи для службы SQL Server.

В операционных системах Windows Server 2008 и Windows Vista учетной записью по умолчанию является локальная служба.

Авто

Работает.

Остановлена, если учетная запись не указана в Windows Server 2003 или Windows XP.

Браузер служб SQL Server

Локальная служба.

Отключено3

Авто, если пользователь выбрал автозапуск.

Остановлена.

Работает, если пользователь выбрал автозапуск.

Модуль поддержки Active Directory в службах SQL Server

Локальная система, сетевая служба

Отключено

Остановлена.

Модуль записи SQL

Локальная система

Авто

Работает.

Важно!   

1Для конфигураций с отказоустойчивым кластером следует использовать учетную запись пользователя домена и устанавливать тип запуска «Вручную».

2Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

3В конфигурации с отказоустойчивым кластером и именованными экземплярами браузер SQL Server после завершения программы установки настраивается на автоматический запуск.

4Экземпляры служб Analysis Services, развертываемые в режиме интеграции с SharePoint, необходимо запускать с учетной записью пользователя домена. При выборе встроенной учетной записи, такой как сетевая служба, программа установки заблокирует возможность установки. Встроенные учетные записи не поддерживаются для общих служб в ферме.

Примечание по безопасности. Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. Используйте конкретную учетную запись пользователя или домена с ограниченными правами доступа вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.

Поддерживаемые конфигурации служб

SQL Server использует группу безопасности, чтобы задать списки управления доступом к ресурсу, вместо непосредственного использования учетной записи службы, поэтому учетную запись службы можно изменить без необходимости повторения обработки списка управления доступом к ресурсу. Группа безопасности может представлять собой локальную группу безопасности, группу безопасности домена или идентификатор безопасности службы.

Во время установки SQL Server программа установки SQL Server создает группу служб для каждого компонента SQL Server. Эти группы упрощают предоставление разрешений, необходимых для запуска служб SQL Server и других исполняемых файлов, и позволяют обеспечить защиту файлов.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.

SQL Server предоставляет идентификатор безопасности для всех служб в операционных системах Windows Server 2008 или Windows Vista в SQL Server 2008 R2, что позволяет обеспечить изоляцию служб и углубленную защиту. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, именем идентификатора безопасности службы для службы SQL Server может быть «NT Service\MSSQL$<InstanceName>». Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую идентификатор безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.

В следующей таблице показаны конфигурации служб новых и обновленных установок на операционные системы Windows Server 2008 или Windows Vista.

Новая установка

Обновление

  • Изолированный экземпляр — группа служб с идентификатором безопасности службы

  • Экземпляр отказоустойчивого кластера — идентификатор безопасности службы

  • Экземпляр отказоустойчивого кластера — группа служб домена

  • Контроллер домена — идентификатор безопасности службы

  • Контроллер домена — группа служб с учетной записью службы

  • Изолированный экземпляр — группа служб домена с идентификатором безопасности службы

  • Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы

В следующей таблице показаны конфигурации служб новых и обновленных установок на операционные системы Windows Server 2003 или Windows XP.

Новая установка

Обновление

  • Изолированный экземпляр — группа служб с учетной записью службы.

  • Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы

  • Контроллер домена — группа служб с учетной записью службы

  • Изолированный экземпляр — группа служб домена с учетной записью службы

  • Экземпляр отказоустойчивого кластера — группа служб домена с учетной записью службы

Для изолированных экземпляров SQL Server в операционных системах Windows Vista и Windows Server 2008 идентификаторы безопасности служб добавляются к группе служб, а идентификатор безопасности службы для ядра SQL Server и агента SQL Server добавляется как имя входа к роли сервера Sysadmin.

Для экземпляров отказоустойчивого кластера SQL Server в операционных системах Windows Vista и Windows Server 2008 программа установки SQL Server по умолчанию использует идентификатор безопасности службы и задает списки управления доступом к ресурсам SQL Server и операционной системы равными идентификатору безопасности службы.

ПримечаниеПримечание

Чтобы можно было использовать группы домена в отказоустойчивом кластере SQL Server, они должны быть созданы перед запуском программы установки. Рекомендуется использовать уникальные группы домена при установке служб SQL Server в отказоустойчивом кластере SQL Server.

Изменение свойств учетной записи

Чтобы изменить учетные записи службы, пароль, тип запуска службы или другие свойства службы, связанной с SQL Server, используйте диспетчер конфигурации SQL Server. Для служб Reporting Services используйте средство настройки служб Reporting Services. Для служб Analysis Services на ферме используйте центр администрирования SharePoint. Обратите внимание, что переименование экземпляра SQL Server не переименовывает группы безопасности SQL Server. После операции переименования группы безопасности продолжат работу со старыми именами.

Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Программа установки SQL Server позволяет для каждого компонента или службы установить несколько копий служб, привязанных к разным экземплярам. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.

С экземпляром связаны следующие службы SQL Server.

  • SQL Server

  • Агент SQL Server

    Необходимо помнить, что служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

  • Службы Analysis Services 1

  • Службы Reporting Services

  • Компонент Full-text search

В число служб SQL Server, не связываемых с экземпляром, входят следующие.

  • Integration Services

  • Браузер служб SQL Server

  • Модуль поддержки Active Directory в службах SQL Server

  • Модуль записи SQL

1Службы Analysis Services в режиме интеграции с SharePoint запускаются как единичный именованный экземпляр PowerPivot. Имя экземпляра фиксировано. Другое имя указать нельзя. На каждом физическом сервере может быть установлен только один экземпляр служб Analysis Services, запускаемый под именем PowerPivot.

В следующей таблице перечислены создаваемые программой установки SQL Server группы пользователей, которым предоставляются определенные права пользователей Windows NT.

Служба SQL Server

Группа пользователей

Разрешения, предоставляемые по умолчанию программой установки SQL Server

SQL Server

Экземпляр по умолчанию: SQLServerMSSQLUser$ComputerName$MSSQLSERVER

Именованный экземпляр: SQLServerMSSQLUser$ComputerName$InstanceName

Вход в систему в качестве службы (SeServiceLogonRight)1

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Разрешение на запуск модуля поддержки Active Directory в службах SQL Server

Разрешение на запуск службы SQL Writer

Разрешение на чтение службы журнала событий

Разрешение на чтение службы удаленного вызова процедур (RPC)

Важное примечаниеВажно!
Что касается экземпляров SQL Server в Windows Vista и более поздних версиях, такие права пользователя процесса, как «Вход в систему в качестве службы», «Замена маркера уровня процесса», «Обход проходной проверки» и «Назначение квот памяти процессам», предоставляются идентификатору безопасности службы SQL Server.

SQL Server Агент3

Экземпляр по умолчанию: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER

Именованный экземпляр: SQLServerSQLAgentUser$ComputerName$InstanceName

Вход в систему в качестве службы (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Службы Analysis Services

Экземпляр по умолчанию: SQLServerMSASUser$ComputerName$MSSQLSERVER

Именованный экземпляр: SQLServerMSASUser$ComputerName$InstanceName

Экземпляр PowerPivot для SharePoint: SQLServerMSASUser$ComputerName$PowerPivot

Вход в систему в качестве службы (SeServiceLogonRight)

Службы SSRS

Экземпляр по умолчанию: SQLServerReportServerUser$ComputerName$MSRS10_50.MSSQLSERVER

Именованный экземпляр: SQLServerReportServerUser$ComputerName$MSRS10_50.InstanceName

Вход в систему в качестве службы (SeServiceLogonRight)

Integration Services 

Именованный или установленный по умолчанию экземпляр: SQLServerDTSUser$ComputerName

Вход в систему в качестве службы (SeServiceLogonRight)

Разрешение на запись в журнал событий приложений

Обход проходной проверки (SeChangeNotifyPrivilege)

Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)

Разрешение на создание глобальных объектов (SeCreateGlobalPrivilege)

Компонент Full-text search

Экземпляр по умолчанию: SQLServerFDHostUser$ ComputerName$MSSQL10_50.MSSQLSERVER

Именованный экземпляр: SQLServerFDHostUser$ComputerName$MSSQL10_50.InstanceName

Вход в систему в качестве службы (SeServiceLogonRight)

Важное примечаниеВажно!
Что касается экземпляров SQL Server в Windows Vista и более поздних версиях, то право «Вход в систему в качестве службы» предоставляется идентификатору безопасности службы средства запуска FD.

Браузер служб SQL Server

Именованный или установленный по умолчанию экземпляр: SQLServerSQLBrowserUser$ComputerName

Вход в систему в качестве службы (SeServiceLogonRight)

Модуль поддержки Active Directory в службах SQL Server

Именованный или установленный по умолчанию экземпляр: SQLServerMSSQLServerADHelperUser$ComputerName

Нет2

Модуль записи SQL

Неприменимо

Нет2

1Данное разрешение предоставляется всем службам SQL Server по умолчанию.

Программа установки 2SQL Server не проверяет и не предоставляет разрешения для данной службы.

3Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом (ACL) устанавливаются на уровне группы пользователей.

Важное примечаниеВажно!

В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.

Учетная запись службы1 для

Файлы и папки

Доступ

MSSQLServer

Instid\MSSQL\backup

Полный доступ

 

Instid\MSSQL\binn

Чтение и выполнение

 

Instid\MSSQL\data

Полный доступ

 

Instid\MSSQL\FTData

Полный доступ

 

Instid\MSSQL\Install

Чтение и выполнение

 

Instid\MSSQL\Log

Полный доступ

 

Instid\MSSQL\Repldata

Полный доступ

 

100\shared

Чтение и выполнение

 

Instid\MSSQL\Template Data (только SQL Server Express)

Чтение

SQLServerAgent2

Instid\MSSQL\binn

Полный доступ

 

Instid\MSSQL\binn

Полный доступ

 

Instid\MSSQL\Log

Чтение, запись, удаление и выполнение

 

100\com

Чтение и выполнение

 

100\shared

Чтение и выполнение

 

100\shared\Errordumps

Чтение и запись

ServerName\EventLog

Полный доступ

FTS

Instid\MSSQL\FTData

Полный доступ

 

Instid\MSSQL\FTRef

Чтение и выполнение

 

100\shared

Чтение и выполнение

 

100\shared\Errordumps

Чтение и запись

 

Instid\MSSQL\Install

Чтение и выполнение

Instid\MSSQL\jobs

Чтение и запись

MSSQLServerOLAPservice

100\shared\ASConfig

Полный доступ

 

Instid\OLAP

Чтение и выполнение

 

Instid\Olap\Data

Полный доступ

 

Instid\Olap\Log

Чтение и запись

 

Instid\OLAP\Backup

Чтение и запись

 

Instid\OLAP\Temp

Чтение и запись

 

100\shared\Errordumps

Чтение и запись

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Чтение, запись и удаление

 

Instid\Reporting Services\ReportServer

Чтение и выполнение

 

Instid\Reportingservices\Reportserver\global.asax

Полный доступ

 

Instid\Reportingservices\Reportserver\Reportserver.config

Чтение

 

Instid\Reporting Services\reportManager

Чтение и выполнение

 

Instid\Reporting Services\RSTempfiles

Чтение, запись, выполнение и удаление

 

100\shared

Чтение и выполнение

 

100\shared\Errordumps

Чтение и запись

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

Чтение

 

100\dts\binn

Чтение и выполнение

 

100\shared

Чтение и выполнение

 

100\shared\Errordumps

Чтение и запись

Браузер служб SQL Server

100\shared\ASConfig

Чтение

 

100\shared

Чтение и выполнение

 

100\shared\Errordumps

Чтение и запись

MSADHelper

н/д (запускается с учетной записью сетевой службы)

 

SQLWriter

н/д (запускается с учетной записью локальной системы)

 

Пользователь

Instid\MSSQL\binn

Чтение и выполнение

 

Instid\Reporting Services\ReportServer

Чтение и выполнение, список содержимого папки

 

Instid\Reportingservices\Reportserver\global.asax

Чтение

 

Instid\Reporting Services\ReportManager

Чтение и выполнение

 

Instid\Reporting Services\ReportManager\pages

Чтение

 

Instid\Reporting Services\ReportManager\Styles

Чтение

 

100\dts

Чтение и выполнение

 

100\tools

Чтение и выполнение

 

90\tools

Чтение и выполнение

 

80\tools

Чтение и выполнение

 

100\sdk

Чтение

 

Microsoft SQL Server\100\Setup Bootstrap

Чтение и выполнение

1 Что касается установки отказоустойчивого кластера SQL Server или установки SQL Server на контроллере домена, списки управления доступом будут заданы для идентификатора безопасности службы SQL Server, а не для группы служб SQL Server в операционных системах Windows Vista и Windows Server 2008.

2Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.

Запрашивающий компонент

Учетная запись

Ресурс

Разрешения

MSSQLServer

Пользователи журнала производительности

Instid\MSSQL\binn

Просмотр содержимого папки

 

Пользователи системного монитора

Instid\MSSQL\binn

Просмотр содержимого папки

 

Пользователи журнала производительности, пользователи системного монитора

\WINNT\system32\sqlctr100.dll

Чтение и выполнение

 

Только администратор

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Полный доступ

 

Администраторы, система

\tools\binn\schemas\sqlserver\2004\07\showplan

Полный доступ

 

Пользователи

\tools\binn\schemas\sqlserver\2004\07\showplan

Чтение и выполнение

Службы Reporting Services

<Учетная запись веб-службы сервера отчетов>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Удостоверение пула приложений диспетчера отчетов, учетная запись ASP.NET, Все

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Чтение

 

Удостоверение пула приложений диспетчера отчетов

<install>\Reporting Services\ReportManager\Pages\*.*

Чтение

 

<Учетная запись веб-службы сервера отчетов>

<install>\Reporting Services\ReportServer

Чтение

 

<Учетная запись веб-службы сервера отчетов>

<install>\Reporting Services\ReportServer\global.asax

Полный

 

Все

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Сетевая служба

<install>\Reporting Services\ReportServer\ReportService.asmx

Полный

 

Все

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Учетная запись службы Windows для сервера отчетов

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Все

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Перечисление подразделов

Уведомление

Управление чтением

 

Пользователь служб терминала

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Установка значения

Создание подраздела

Перечисление подразделов

Уведомление

Удаление

Управление чтением

 

Опытные пользователи

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Установка значения

Создание подраздела

Перечисление подразделов

Уведомление

Удаление

Управление чтением

1Это пространство имен поставщика инструментария WMI.

В следующей таблице перечислены имена служб и термины, используемые для экземпляров по умолчанию и именованных экземпляров служб SQL Server, описания функций служб, а также минимальные необходимые разрешения.

Отображаемое имя

Имя службы

Описание

Требуемые разрешения

SQL Server (InstanceName)

Экземпляр по умолчанию: MSSQLSERVER

Именованный экземпляр: MSSQL$InstanceName

SQL Server Database Engine.

Путь к исполняемому файлу: \MSSQL\Binn\sqlservr.exe.

Рекомендуется локальная учетная запись или учетная запись домена.

Вход в систему в качестве службы (SeServiceLogonRight).1

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege).

Обход перекрестной проверки (SeChangeNotifyPrivilege).

Настройка квот памяти для процесса (SeIncreaseQuotaPrivilege).

Разрешение на запуск службы поддержки SQL Server Active Directory.

Разрешение на запуск модуля записи SQL.

Разрешение на чтение службы журнала событий.

Разрешение на чтение службы удаленного вызова процедур (RPC).

Минимальные разрешенияФункциональность
Учетная запись для запуска службы MSSQLServer
Эта учетная запись должна быть включена в список учетных записей, имеющих разрешение на просмотр содержимого корневой папки диска, где установлен SQL Server. Это разрешение также должно распространяться на корневую папку любого другого диска, где хранятся файлы SQL Server.
ПримечаниеПримечание
Разрешения «Список содержимого папки» для корневой папки диска не обязательно должны наследоваться вложенными папками.
Учетная запись для запуска службы MSSQLServerУчетная запись должна иметь разрешения «Полный доступ» на все папки, где хранятся файлы данных или журналов (MDF, NDF, LDF).

SQL Server Агент (InstanceName)1

Экземпляр по умолчанию: SQLServerAgent

Именованный экземпляр: SQLAgent$InstanceName

Служит для выполнения заданий, наблюдения за SQL Server и активации предупреждений, а также позволяет автоматизировать некоторые задачи по администрированию.

Путь к исполняемому файлу: \MSSQL\Binn\sqlagent.exe.

Минимальные разрешенияФункциональность
Учетная запись должна быть членом предопределенной роли сервера sysadmin 
Эта учетная запись должна иметь следующие разрешения Windows.Вход в систему в качестве службы.Замена токена уровня процесса.Назначение квот памяти процессам.Обход проходной проверки.

Службы Analysis Services Службы (InstanceName)

Экземпляр по умолчанию: MSSQLServerOLAPService

Именованный экземпляр: MSOLAP$InstanceName

Служба, обеспечивающая аналитическую обработку в сети (OLAP) и интеллектуальный анализ данных для приложений бизнес-аналитики.

Путь к исполняемому файлу: \OLAP\Bin\msmdsrv.exe.

 

Службы Reporting Services

Экземпляр по умолчанию: ReportServer

Именованный экземпляр: ReportServer$InstanceName

Служит для создания, выполнения, планирования, доставки отчетов и управления ими.

Путь к исполняемому файлу: \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Integration Services

Именованный или установленный по умолчанию экземпляр: MSDTSServer

Обеспечивает поддержку управления хранением и выполнением пакетов службы Integration Services.

Путь к исполняемому файлу: \DTS\Binn\msdtssrvr.exe.

 

Компонент Full-text Search

Именованный или установленный по умолчанию экземпляр: средство запуска управляющей программы полнотекстовой фильтрации SQL

Служба запустит процесс управляющей программы полнотекстовой фильтрации для проведения фильтрации документов и разбиения по словам для компонента SQL Server Full-Text Search.

 

Браузер служб SQL Server

Именованный или установленный по умолчанию экземпляр: SQLBrowser

Служба разрешения имен, поставляющая сведения о соединениях SQL Server для клиентских компьютеров. Эта служба совместно используется множеством экземпляров SQL Server и служб SSIS.

Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe.

 

Модуль поддержки Active Directory в службах SQL Server

Именованный или установленный по умолчанию экземпляр: MSSQLServerADHelper

Осуществляет публикацию служб SQL Server и управление ими в службе каталогов Windows Active Directory.

Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe.

 

Модуль записи SQL

SQLWriter

Позволяет приложениям для резервного копирования и восстановления работать в составе службы теневого копирования томов. Для всех экземпляров SQL Server на сервере используется один и тот же экземпляр модуля записи SQL.

Путь к исполняемому файлу: <диск>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe.

 

1Служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.

Служба или приложение

Функциональность

Требуемое разрешение

SQL Server (MSSQLSERVER)

Запись в почтовый слот с помощью xp_sendmail.

Разрешения на запись по сети.

SQL Server (MSSQLSERVER)

Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server.

Работа в качестве части операционной системы, а также замена токена уровня процесса.

Агент SQL Server (MSSQLSERVER)

Использование функции автоматического перезапуска.

Должен быть членом локальной группы Administrators.

Помощник по настройке компонента Database Engine

Позволяет настраивать базы данных для оптимальной производительности запросов.

При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После инициализации пользователи dbo могут использовать помощник по настройке компонента Database Engine для настройки только тех таблиц, владельцами которых они являются. Дополнительные сведения см. в разделе «Инициализация помощника по настройке ядра компонента Database Engine при первом запуске» электронной документации по SQL Server.

Важное примечаниеВажно!

Перед началом обновления SQL Server включите проверку подлинности Windows для агента служб SQL Server и проверьте требуемую конфигурацию по умолчанию. Служба SQL Server агента должна быть членом группы SQL Serversysadmin.

В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.

Язык

Имя для Local Service

Имя сетевой службы

Имя Local System

Имя группы администраторов

Английский

Китайский (упрощенный)

Китайский (традиционный)

Корейский

Японский

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Немецкий язык

NT-AUTORITДT\LOKALER DIENST

NT-AUTORITДT\NETZWERKDIENST

NT-AUTORITДT\SYSTEM

VORDEFINIERT\Administratoren

Французский

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RЙSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

Italian

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Испанский

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Русский

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Была ли вам полезна эта информация?
(1500 символов осталось)
Спасибо за ваш отзыв

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2014 Microsoft