Share via

  • 發行項

設定 Windows 服務帳戶

SQL Server 中的每項服務代表一個或一組處理序,用以管理 SQL Server 作業對 Windows 的驗證。本主題描述此 SQL Server 版本的預設服務組態,以及可以在 SQL Server 安裝期間設定的 SQL Server 服務組態選項。

依據您決定安裝的元件而定,SQL Server 安裝程式會安裝下列服務:

  • SQL Server Database Services - SQL Server 關聯式 Database Engine 的服務。

  • SQL Server Agent - 執行作業、監視 SQL Server、引發警示,並允許將某些管理工作自動化。

    [!附註]

    若要使 SQL Server 和 SQL Server Agent 以 Windows 服務的身分執行,必須指派 Windows 使用者帳戶給 SQL Server 和 SQL Server Agent。如需有關如何自訂每項服務之帳戶資訊的詳細資訊,請參閱<如何:安裝 SQL Server 2008 (安裝程式)>。

  • Analysis Services - 有提供商務智慧應用程式的線上分析處理 (OLAP) 和資料採礦功能。

  • Reporting Services - 管理、執行、建立、排程和傳遞報表。

  • Integration Services - 提供 Integration Services 封裝儲存體和執行的管理支援。

  • SQL Server Browser - 提供 SQL Server 連接資訊給用戶端電腦的名稱解析服務。

  • 全文檢索搜尋 - 可以快速地在結構化和半結構化資料的內容與屬性上建立全文檢索索引,以針對 SQL Server 提供文件篩選和斷詞。

  • SQL Server Active Directory Helper - 發行及管理 Active Directory 中的 SQL Server 服務。

  • SQL 寫入器 - 允許備份與還原應用程式在磁碟區陰影複製服務 (VSS) 架構中操作。

    重要注意事項重要事項

    請一律使用 SQL Server 工具 (如 SQL Server 組態管理員) 來變更 SQL Server 或 SQL Server Agent 服務所用的帳戶,或是變更帳戶的密碼。除了變更帳戶名稱之外,SQL Server 組態管理員也會執行其他組態,例如,設定 Windows 登錄中的權限,使新的帳戶能夠讀取 SQL Server 設定。其他工具 (如 Windows 服務控制管理員) 可以變更帳戶名稱,但無法變更相關設定。如果此服務無法存取登錄的 SQL Server 部分,則表示此服務可能無法適當地啟動。

本主題其餘內容分成以下各節:

  • 設定服務啟動類型

  • 使用 SQL Server 服務的啟動帳戶

  • 使用 SQL Server 服務的服務 SID

  • 識別執行個體感知和執行個體非感知服務

  • 檢閱授與 SQL Server 服務帳戶的 NT 權利和權限

  • 檢閱為 SQL Server 服務帳戶建立的存取控制清單

  • 檢閱 SQL Server 服務的 Windows 權限

  • 檢閱其他考量

  • 當地語系化服務名稱

設定服務啟動類型

在 SQL Server 安裝期間,您可以針對某些 SQL Server 服務設定啟動類型:已停用、手動或自動。下表顯示可以在安裝期間設定的 SQL Server 服務。若為自動安裝,您可以在組態檔案中或從命令提示字元使用這些參數。

SQL Server 服務名稱

是否可在安裝精靈中設定?

自動安裝的參數1

MSSQLSERVER

SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPE

1如需自動安裝的詳細資訊和範例語法,請參閱<如何:從命令提示字元安裝 SQL Server 2008>。

2在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

使用 SQL Server 服務的啟動帳戶

若要啟動並執行,SQL Server 中的每個服務都必須擁有在安裝期間設定的帳戶。用來啟動並執行 SQL Server 的啟動帳戶可以是內建的系統帳戶、本機使用者帳戶或網域使用者帳戶。

網域使用者帳戶

如果此服務必須與網路服務互動,請存取檔案共用等網域資源。如果它使用執行 SQL Server 之其他電腦的連結的伺服器連接,您可能會使用最低權限的網域帳戶。許多伺服器對伺服器的活動只能以網域使用者帳戶執行。這個帳戶應該由環境中的網域管理所預先建立。

本機使用者帳戶

如果電腦不屬於網域的一部分,建議您使用不含 Windows 管理員權限的本機使用者帳戶。

本機服務帳戶

本機服務帳戶是一個內建帳戶,它對於資源和物件的存取層級與使用者群組的成員相同。如果個別服務或處理序受到危害時,這種有限的存取權可協助保護系統的安全。以本機服務帳戶執行的服務是以不含認證的 Null 工作階段來存取網路資源。請注意,SQL Server 或 SQL Server Agent 服務不支援本機服務帳戶。此帳戶的實際名稱是 "NT AUTHORITY\LOCAL SERVICE"。

網路服務帳戶

網路服務帳戶是一個內建帳戶,它對於資源和物件所擁有的存取權高於使用者群組的成員。以網路服務帳戶執行的服務是使用電腦帳戶的認證來存取網路資源。此帳戶的實際名稱是 "NT AUTHORITY\NETWORK SERVICE"。

本機系統帳戶

本機系統是權限非常高的內建帳戶。它在本機系統上具有延伸的權限,並可運作為網路上的電腦。此帳戶的實際名稱是 "NT AUTHORITY\SYSTEM"。

除了具有使用者帳戶之外,每項服務有三個可能的啟動狀態供使用者控制:

  • 已停用:已安裝服務但目前未執行。

  • 手動:已安裝此服務,但只有另一項服務或應用程式需要它的功能時才會啟動。

  • 自動:服務會由作業系統自動啟動。

下表顯示每項 SQL Server 服務的選擇性帳戶,以及每項服務的啟動狀態。

SQL Server 服務名稱

選用帳戶

啟動類型

安裝之後的預設狀態

SQL Server

SQL Server Express:網域使用者、本機系統、網路服務

所有其他版本:網域使用者、本機系統、網路服務1

自動1

已啟動

只有當使用者選擇不自動啟動時才停止。

SQL Server Agent

網域使用者、本機系統、網路服務1

手動1,2

只有當使用者選擇自動啟動時才自動執行

已停止

只有當使用者選擇自動啟動時才啟動。

Analysis Services

網域使用者、網路服務、本機服務、本機系統1

自動1

已啟動

只有當使用者選擇不自動啟動時才停止。

Reporting Services

網域使用者、本機系統、網路服務、本機服務

自動

已啟動

只有當使用者選擇不自動啟動時才停止。

Integration Services 

網域使用者、本機系統、網路服務、本機服務

自動

已啟動

只有當使用者選擇不自動啟動時才停止。

全文檢索搜尋

使用不同於針對 SQL Server 服務所使用的帳戶。

在 Windows Server 2008 和 Windows Vista 上,此帳戶將預設為本機服務。

自動

已啟動

只有未在 Windows Server 2003 或 Windows XP 上指定帳戶時才會停止。

SQL Server Browser

本機服務

已停用3

只有當使用者選擇自動啟動時才自動執行。

已停止

只有當使用者選擇自動啟動時才啟動。

SQL Server Active Directory Helper

本機系統、網路服務

已停用

已停止

SQL 寫入器

本機系統

自動

已啟動

重要事項   

1如果是容錯移轉叢集組態,請使用網域使用者帳戶,並將啟動類型設定為手動。

2在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

3根據預設,若為容錯移轉叢集安裝和具名執行個體,SQL Server Browser 會設為在安裝程式完成之後自動啟動。

安全性注意事項:永遠使用可能的最低使用者權限來執行 SQL Server 服務。請使用特定低權限的使用者帳戶或網域帳戶來取代 SQL Server 服務的共用帳戶。針對不同的 SQL Server 服務使用個別的帳戶。請勿將其他權限授與 SQL Server 服務帳戶或服務群組。權限將透過群組成員資格授與,或直接授與服務 SID (如果支援服務 SID 的話)。

支援的服務組態

SQL Server 使用安全性群組設定資源 ACL,而不是直接使用服務帳戶,因此不需重複資源 ACL 程序即可變更服務帳戶。安全性群組可以是本機安全性群組、網域安全性群組或服務 SID。

在 SQL Server 安裝期間,SQL Server 安裝程式會為每個 SQL Server 元件建立服務群組。這些群組不僅可簡化授與執行 SQL Server 服務與其他可執行檔所需之權限的過程,也有助於保護 SQL Server 檔案。

根據服務組態,在安裝或升級期間服務帳戶或服務 SID 會加入做為服務群組成員。

SQL Server 會對 SQL Server 2008 的 Windows Server 2008 或 Windows Vista 作業系統中它的每個服務啟用個別服務 SID,以提供服務隔離和深度防禦。 每個服務 SID 都是衍生自服務名稱,而且是該服務專用的。例如,SQL Server 服務的服務 SID 可能是 NT Service\MSSQL$<InstanceName>。服務隔離可讓服務存取特定物件,而不需要以高權限帳戶執行或降低物件的安全性保護。SQL Server 服務可以透過使用包含服務 SID 的存取控制項目,來限制其資源的存取權。

下表顯示在 Windows Server 2008 或 Windows Vista 上進行全新安裝和升級安裝的支援服務組態。

新安裝

升級

  • 獨立執行個體 - 含有服務 SID 的服務群組

  • 容錯移轉叢集執行個體 - 服務 SID

  • 容錯移轉叢集執行個體 - 網域服務群組

  • 網域控制站 - 服務 SID

  • 網域控制站 - 含有服務帳戶的服務群組

  • 獨立執行個體 - 含有服務 SID 的網域服務群組

  • 容錯移轉叢集執行個體 - 含有服務帳戶的網域服務群組

下表顯示 Windows Server 2003 或 Windows XP 上的新安裝和升級安裝的服務組態。

新安裝

升級

  • 獨立執行個體 - 含有服務帳戶的服務群組

  • 容錯移轉叢集執行個體 - 含有服務帳戶的網域服務群組

  • 網域控制站 - 含有服務帳戶的服務群組

  • 獨立執行個體 - 含有服務帳戶的網域服務群組

  • 容錯移轉叢集執行個體 - 含有服務帳戶的網域服務群組

如果是 Windows Vista 和 Windows Server 2008 作業系統上的 SQL Server 獨立執行個體,則服務 SID 會加入至服務群組,而且 SQL Server 引擎和 SQL Server Agent 的服務 SID 會加入做為 Sysadmin 伺服器角色的登入。

如果是 Windows Vista 和 Windows Server 2008 作業系統上的 SQL Server 容錯移轉叢集執行個體,則 SQL Server 安裝程式預設會使用服務 SID 並將 SQL Server 作業系統資源 ACL 設為此服務 SID。

[!附註]

若要使用 SQL Server 容錯移轉叢集的網域群組,您必須在執行安裝程式之前預先建立這些群組。建議您在 SQL Server 容錯移轉叢集上安裝 SQL Server 服務時,使用唯一的網域群組。

變更帳戶屬性

若要變更任何 SQL Server 相關服務的服務帳戶、密碼、服務啟動類型或其他屬性,請使用 SQL Server 組態管理員。若為 Reporting Services,請使用 Reporting Services 組態工具。請注意,重新命名 SQL Server 執行個體並不會重新命名 SQL Server 安全性群組。重新命名作業之後,安全性群組將繼續使用舊名稱運作。

識別執行個體感知和執行個體非感知服務

執行個體感知服務會與特定的 SQL Server 執行個體產生關聯,而且會有自己的登錄區。您可以針對每一個元件或服務執行 SQL Server 安裝程式,以安裝執行個體感知服務的多個複本。執行個體非感知服務會在所有安裝的 SQL Server 執行個體之間共用。它們與特定執行個體沒有關聯,只能安裝一次,且不能並存安裝。

SQL Server 中的執行個體感知服務包含以下項目:

  • SQL Server

  • SQL Server Agent

    請注意,在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

  • Analysis Services

  • Reporting Services

  • 全文檢索搜尋

SQL Server 中的執行個體非感知服務包含以下項目:

  • Integration Services

  • SQL Server Browser

  • SQL Server Active Directory Helper

  • SQL 寫入器

檢閱授與 SQL Server 服務帳戶的 Windows NT 權利和權限

下表顯示 SQL Server 安裝程式建立並授與特定 Windows NT 使用者權限的使用者群組。

SQL Server 服務

使用者群組

SQL Server 安裝程式授與的預設權限

SQL Server

預設執行個體:SQLServerMSSQLUser$<ComputerName>$MSSQLSERVER

具名執行個體:SQLServerMSSQLUser$<ComputerName>$<InstanceName>

以服務登入 (SeServiceLogonRight)1

取代處理序層級 Token (SeAssignPrimaryTokenPrivilege)

略過跨越檢查 (SeChangeNotifyPrivilege)

調整處理序的記憶體配額 (SeIncreaseQuotaPrivilege)

啟動 SQL Server Active Directory Helper 的權限

啟動 SQL 寫入器的權限

讀取事件記錄檔服務的權限。

讀取遠端程序呼叫服務的權限。

重要注意事項重要事項
如果是 Windows Vista 和更高版本上的 SQL Server 執行個體,則會授與 SQL Server 服務 SID 以服務登入、取代處理序層級 Token、略過周遊檢查和調整處理序的記憶體配額等使用者權限。

SQL Server Agent3

預設執行個體:SQLServerSQLAgentUser$<ComputerName>$MSSQLSERVER

具名執行個體:SQLServerSQLAgentUser$<ComputerName>$<InstanceName>

以服務登入 (SeServiceLogonRight)

取代處理序層級 Token (SeAssignPrimaryTokenPrivilege)

略過跨越檢查 (SeChangeNotifyPrivilege)

調整處理序的記憶體配額 (SeIncreaseQuotaPrivilege)

Analysis Services

預設執行個體:SQLServerMSASUser$ComputerName$MSSQLSERVER

具名執行個體:SQLServerMSASUser$ComputerName$InstanceName

以服務登入 (SeServiceLogonRight)

SSRS

預設執行個體:SQLServerReportServerUser$ComputerName$MSRS10.MSSQLSERVER

具名執行個體:SQLServerReportServerUser$ComputerName$MSRS10.InstanceName

以服務登入 (SeServiceLogonRight)

Integration Services 

預設或具名執行個體:SQLServerDTSUser$<ComputerName>

以服務登入 (SeServiceLogonRight)

寫入應用程式事件記錄檔的權限。

略過跨越檢查 (SeChangeNotifyPrivilege)

在驗證之後模擬用戶端 (SeImpersonatePrivilege)

全文檢索搜尋

預設執行個體:SQLServerFDHostUser$ ComputerName$MSSQL10.MSSQLSERVER

具名執行個體:SQLServerFDHostUser$ComputerName$MSSQL10.InstanceName

以服務登入 (SeServiceLogonRight)

重要注意事項重要事項
如果是 Windows Vista 和更高版本上的 SQL Server 執行個體,則會授與 FD 啟動器服務 SID 以服務登入的權限。

SQL Server Browser

預設或具名執行個體:SQLServerSQLBrowserUser<$ComputerName>

以服務登入 (SeServiceLogonRight)

SQL Server Active Directory Helper

預設或具名執行個體:SQLServerMSSQLServerADHelperUser<$ComputerName>

無2

SQL 寫入器

無2

1預設會將這個權限授與所有的 SQL Server 服務。

2SQL Server 安裝程式不會檢查或授與這項服務的權限。

3在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

檢閱為 SQL Server 服務帳戶建立的存取控制清單

SQL Server 服務帳戶必須有資源的存取權。存取控制清單設定在使用者群組層級。

重要注意事項重要事項

若為容錯移轉叢集安裝,則必須對本機帳戶的 ACL 設定共用磁碟上的資源。

下表顯示 SQL Server 安裝程式所設定的 ACL:

服務帳戶1

檔案和資料夾

存取

MSSQLServer

Instid\MSSQL\backup

完整控制

 

Instid\MSSQL\binn

讀取、執行

 

Instid\MSSQL\data

完整控制

 

Instid\MSSQL\FTData

完整控制

 

Instid\MSSQL\Install

讀取、執行

 

Instid\MSSQL\Log

完整控制

 

Instid\MSSQL\Repldata

完整控制

 

100\shared

讀取、執行

 

Instid\MSSQL\Template Data (僅限 SQL Server Express)

讀取

SQLServerAgent2

Instid\MSSQL\binn

完整控制

 

Instid\MSSQL\binn

完整控制

 

Instid\MSSQL\Log

讀取、寫入、刪除、執行

 

100\com

讀取、執行

 

100\shared

讀取、執行

 

100\shared\Errordumps

讀取、寫入

ServerName\EventLog

完整控制

FTS

Instid\MSSQL\FTData

完整控制

 

Instid\MSSQL\FTRef

讀取、執行

 

100\shared

讀取、執行

 

100\shared\Errordumps

讀取、寫入

 

Instid\MSSQL\Install

讀取、執行

Instid\MSSQL\jobs

讀取、寫入

MSSQLServerOLAPservice

100\shared\ASConfig

完整控制

 

Instid\OLAP

讀取、執行

 

Instid\Olap\Data

完整控制

 

Instid\Olap\Log

讀取、寫入

 

Instid\OLAP\Backup

讀取、寫入

 

Instid\OLAP\Temp

讀取、寫入

 

100\shared\Errordumps

讀取、寫入

SQLServerReportServerUser

Instid\Reporting Services\Log Files

讀取、寫入、刪除

 

Instid\Reporting Services\ReportServer

讀取、執行

 

Instid\Reportingservices\Reportserver\global.asax

完整控制

 

Instid\Reportingservices\Reportserver\Reportserver.config

讀取

 

Instid\Reporting Services\reportManager

讀取、執行

 

Instid\Reporting Services\RSTempfiles

讀取、寫入、執行、刪除

 

100\shared

讀取、執行

 

100\shared\Errordumps

讀取、寫入

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

讀取

 

100\dts\binn

讀取、執行

 

100\shared

讀取、執行

 

100\shared\Errordumps

讀取、寫入

SQL Server Browser

100\shared\ASConfig

讀取

 

100\shared

讀取、執行

 

100\shared\Errordumps

讀取、寫入

MSADHelper

N/A (在網路服務帳戶下執行)

 

SQLWriter

N/A (以本機系統執行)

 

User

Instid\MSSQL\binn

讀取、執行

 

Instid\Reporting Services\ReportServer

讀取、執行、列出資料夾內容

 

Instid\Reportingservices\Reportserver\global.asax

讀取

 

Instid\Reporting Services\ReportManager

讀取、執行

 

Instid\Reporting Services\ReportManager\pages

讀取

 

Instid\Reporting Services\ReportManager\Styles

讀取

 

100\dts

讀取、執行

 

100\tools

讀取、執行

 

90\tools

讀取、執行

 

80\tools

讀取、執行

 

100\sdk

讀取

 

Microsoft SQL Server\100\Setup Bootstrap

讀取、執行

1 在 Windows Vista 和 Windows Server 2008 和作業系統上,如果是在網域控制站上進行 SQL Server 容錯移轉叢集安裝或 SQL Server 安裝,就會針對 SQL Server 服務 SID 而不是針對 SQL Server 服務群組設定 ACL。

2 在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

某些存取控制權限可能必須授與給內建帳戶或其他 SQL Server 服務帳戶。下表列出 SQL Server 安裝程式所設定的其他 ACL。

要求元件

帳戶

資源

權限

MSSQLServer

效能記錄使用者

Instid\MSSQL\binn

列出資料夾內容

 

效能監視器使用者

Instid\MSSQL\binn

列出資料夾內容

 

效能記錄使用者、效能監視器使用者

\WINNT\system32\sqlctr100.dll

讀取、執行

 

僅限管理員

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

完整控制

 

管理員,系統

\tools\binn\schemas\sqlserver\2004\07\showplan

完整控制

 

使用者

\tools\binn\schemas\sqlserver\2004\07\showplan

讀取、執行

Reporting Services

<報表伺服器 Web 服務帳戶>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

報表管理員應用程式集區識別 ASP.NET 帳戶,Everyone

<install>\Reporting Services\ReportManager、<install>\Reporting Services\ReportManager\Pages\*.*、<install>\Reporting Services\ReportManager\Styles\*.*、<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

讀取

 

報表管理員應用程式集區識別

<install>\Reporting Services\ReportManager\Pages\*.*

讀取

 

<報表伺服器 Web 服務帳戶>

<install>\Reporting Services\ReportServer

讀取

 

<報表伺服器 Web 服務帳戶>

<install>\Reporting Services\ReportServer\global.asax

完整

 

Everyone

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

網路服務

<install>\Reporting Services\ReportServer\ReportService.asmx

完整

 

Everyone

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

報表伺服器 Windows 服務帳戶

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Everyone

報表伺服器索引鍵 (Instid 登錄區)

查詢值

列舉子機碼

通知

讀取控制

 

終端服務使用者

報表伺服器索引鍵 (Instid 登錄區)

查詢值

設定值

建立子機碼

列舉子機碼

通知

刪除

讀取控制

 

進階使用者

報表伺服器索引鍵 (Instid 登錄區)

查詢值

設定值

建立子機碼

列舉子機碼

通知

刪除

讀取控制

1這是 WMI 提供者命名空間。

檢閱 SQL Server 服務的 Windows 權限

下表顯示服務名稱、用來參考 SQL Server 服務之預設和具名執行個體的詞彙、服務功能的描述以及必要的最小權限。

顯示名稱

服務名稱

描述

必要權限

SQL Server (InstanceName)

預設執行個體:MSSQLSERVER

具名執行個體:MSSQL$InstanceName

SQL Server Database Engine.

可執行檔的路徑為 \MSSQL\Binn\sqlservr.exe。

建議使用本機使用者或網域使用者帳戶。

以服務登入 (SeServiceLogonRight)。1

取代處理序層級 Token (SeAssignPrimaryTokenPrivilege)。

略過跨越檢查 (SeChangeNotifyPrivilege)。

調整處理序的記憶體配額 (SeIncreaseQuotaPrivilege)。

啟動 SQL Server Active Directory Helper 的權限。

啟動 SQL 寫入器的權限。

讀取事件記錄檔服務的權限。

讀取遠端程序呼叫服務的權限。

最小權限功能
MSSQLServer 服務啟動帳戶
這個帳戶必須位於在安裝 SQL Server 之根磁碟機上具有「列出資料夾」權限的帳戶清單內。它也必須位於儲存 SQL Server 檔案之任何其他磁碟機的根目錄。
附註附註
對根磁碟機具有的「列出資料夾」權限不一定要由子資料夾繼承。
MSSQLServer 服務啟動帳戶這個帳戶必須對資料檔或記錄檔 (.mdf、.ndf、.ldf) 所在的任何資料夾具有「完整控制」權限。

SQL Server Agent (InstanceName)1

預設執行個體:SQLServerAgent

具名執行個體:SQLAgent$InstanceName

執行作業、監視 SQL Server、引發警示及允許某些管理工作自動化。

可執行檔的路徑為 \MSSQL\Binn\sqlagent.exe。
最小權限功能
這個帳戶必須是系統管理員 (sysadmin) 固定伺服器角色的成員。 
此帳戶必須擁有下列 Windows 權限:以服務登入。 取代處理序層級 Token。 調整處理序的記憶體配額。 略過跨越檢查。

Analysis Services 服務 (InstanceName)

預設執行個體:MSSQLServerOLAPService

具名執行個體:MSOLAP$InstanceName

對商務智慧應用程式提供線上分析處理 (OLAP) 和資料採礦功能的服務。

可執行檔的路徑為 \OLAP\Bin\msmdsrv.exe。

 

Reporting Services

預設執行個體:ReportServer

具名執行個體:ReportServer$InstanceName

管理、執行、建立、排程和傳遞報表。

可執行檔的路徑為 \Reporting Services\ReportServer\Bin\ReportingServicesService.exe。

 

Integration Services

預設或具名執行個體:MSDTSServer

提供 Integration Services 封裝儲存體和執行的管理支援。

可執行檔的路徑為 \DTS\Binn\msdtssrvr.exe。

 

全文檢索搜尋

預設或具名執行個體:SQL 全文檢索篩選器背景程式啟動程式

啟動全文檢索篩選器背景程式處理序的服務,以針對 SQL Server 全文檢索搜尋執行文件篩選及斷詞。

 

SQL Server Browser

預設或具名執行個體:SQLBrowser

提供 SQL Server 連接資訊給用戶端電腦的名稱解析服務。這項服務在多個 SQL Server 和 SSIS 執行個體之間共用。

可執行檔的路徑為 <磁碟機>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe。

 

SQL Server Active Directory Helper

預設或具名執行個體:MSSQLServerADHelper。

發行和管理 Windows Active Directory 中的 SQL Server 服務。

可執行檔的路徑為 <磁碟機>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe。

 

SQL 寫入器

SQLWriter

允許備份與還原應用程式在磁碟區陰影複製服務架構中操作。伺服器上的所有 SQL Server 執行個體都只有一個 SQL 寫入器服務執行個體。

可執行檔的路徑為 <磁碟機>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe。

 

1在 SQL Server Express 和 SQL Server Express with Advanced Services 的執行個體上會停用 SQL Server Agent 服務。

檢閱其他考量

下表顯示 SQL Server 服務提供其他功能所需的權限:

服務/應用程式

功能

必要權限

SQL Server (MSSQLSERVER)

使用 xp_sendmail 寫入郵件位置。

網路寫入權限。

SQL Server (MSSQLSERVER)

對 SQL Server 管理員以外的使用者執行 xp_cmdshell。

做為作業系統的一部分並取代處理序層級 Token。

SQL Server Agent (MSSQLSERVER)

使用自動重新啟動功能。

必須是 Administrators 本機群組的成員。

Database Engine Tuning Advisor

微調資料庫以達到最佳查詢效能。

第一次使用時,具有系統管理認證的使用者必須初始化應用程式。初始化之後,dbo 使用者就可以使用 Database Engine Tuning Advisor 來單獨微調他們擁有的資料表。如需詳細資訊,請參閱《SQL Server 線上叢書》中的<初始化 Database Engine Tuning Advisor>。
重要注意事項重要事項

在升級 SQL Server 之前,請對 SQL Server Agent 啟用 Windows 驗證,並確認必要的預設組態:SQL Server Agent 服務帳戶是 SQL Server 系統管理員 (sysadmin) 群組的成員。

當地語系化服務名稱

下表將顯示 Windows 當地語系化版本所顯示的服務名稱。

語言

本機服務的名稱

網路服務的名稱

本機系統的名稱

管理群組的名稱

英文

簡體中文

繁體中文

韓文

日文

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

德文

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

法文

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

義大利文

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

西班牙文

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

俄文

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

變更記錄

更新的內容

「簡介」一節中新增了有關用來設定或變更 SQL Server 2008 服務帳戶設定之工具的記事。

此外,也更新了「設定服務啟動類型」表格中的自動安裝參數。

在「檢閱授與 SQL Server 服務帳戶的 Windows NT 權利和權限」表格中已加入授與服務 SID 之權限的釐清警示。