• Makale

Windows Hizmeti Hesaplarını Ayarlama

SQL Server içindeki her bir hizmet, Windows ile SQL Server işlemlerinin kimlik doğrulamasının yönetilmesine ilişkin bir işlemi veya işlem kümesini temsil eder.Bu konu, bu SQL Server sürümündeki hizmetlerin varsayılan yapılandırmasını ve SQL Server yüklemesi sırasında ayarlayabileceğiniz SQL Server hizmetlerine ilişkin yapılandırma seçeneklerini açıklar.

Yüklemeye karar verdiğiniz bileşenlere bağlı olarak SQL Server Kur programı aşağıdaki hizmetleri yükler:

  • SQL Server Veritabanı Hizmetleri - SQL Server ilişkisel Veritabanı Altyapısı için hizmet.

  • SQL Server Aracısı - İşleri yürütür, SQL Server uygulamasını izler, uyarı verir ve bazı yönetim görevlerinin otomasyonunu sağlar.

    Not

    SQL Server ve SQL Server Aracısı'nın Windows'da hizmetler olarak çalışması için, SQL Server ve SQL Server Aracısı'na bir Windows kullanıcı hesabı atanmış olmalıdır.Her bir hizmetin hesap bilgilerini özelleştirme hakkında daha fazla bilgi için, bkz. Nasıl yapılır: SQL Server 2008 R2'yi Yükleme (Kurulum).

  • Analysis Services - Karar destek uygulamaları için çevrimiçi analitik işleme (OLAP) ve veri araştırma işlevselliği sağlar.

  • Reporting Services - Raporları yönetir, yürütür, oluşturur, zamanlar ve teslim eder.

  • Integration Services - Integration Services paket depolaması ve yürütmesi için yönetim desteği sağlar.

  • SQL Server Tarayıcısı - İstemci bilgisayarlar için SQL Server bağlantı bilgileri sağlayan ad çözümlemesi hizmeti.

  • Tam metin arama - SQL Server için belge filtreleme ve sözcük bölünmesi sağlamak amacıyla hızlı şekilde yapılandırılmış ve yarı yapılandırılmış verilerin içerik ve özellikleriyle ilgili tam metin dizinleri oluşturur.

  • SQL Server Active Directory Yardımcısı - Active Directory'de SQL Server hizmetlerini yayımlar ve yönetir.

  • SQL Yazıcı - Yedekleme ve geri yükleme uygulamalarının Birim Gölge Kopyası Hizmeti (VSS) çerçevesinde çalışmasına olanak sağlar.

    Önemli notÖnemli

    Her zaman SQL Server ve SQL Server Aracısı hizmetleri tarafından kullanılan hesabı değiştirmek veya hesabın parolasını değiştirmek için SQL Server Yapılandırma Yöneticisi gibi SQL Server araçlarını kullanın.SQL Server Yapılandırma Yöneticisi, hesap adının değiştirilmesine ek olarak, yeni hesabın SQL Server ayarlarını okuyabilmesi için Windows Kayıt Defteri'nde izinleri ayarlama gibi ek yapılandırma da gerçekleştirir.Windows Hizmetleri Denetim Yöneticisi gibi diğer araçlar hesap adını değiştirebilir ancak ilişkilendirilmiş ayarları değiştirmez.Hizmet, kayıt defterinin SQL Server bölümüne erişemiyorsa, düzgün şekilde başlatılmayabilir.
Önemli notÖnemli

SharePoint grubunda dağıttığınız Analysis Services örnekleri için PowerPivot hizmeti uygulamalarının ve Analysis Services hizmeti uygulamasının sunucu hesaplarını değiştirmek için her zaman SharePoint Yönetim Merkezi'ni kullanın.İlişkili ayarlar ve izinler, Yönetim Merkezi'ni kullandığınızda yeni hesap bilgilerini kullanacak şekilde güncelleştirilir.

Bu konunun geri kalanı aşağıdaki bölümlere ayrılmıştır:

  • Hizmet Başlangıç Türünü Yapılandırma

  • SQL Server Hizmetleri için Başlangıç Hesaplarını Kullanma

  • Örneğe Duyarlı ve Örneğe Duyarsız Hizmetleri Tanımlama

  • SQL Server Hizmet Hesapları için Verilen NT Hak ve Ayrıcalıklarını Gözden Geçirme

  • SQL Server Hizmet Hesapları için Oluşturulan Erişim Denetim Listelerini Gözden Geçirme

  • SQL Server Hizmetleri için Windows İzinlerini Gözden Geçirme

  • Dikkate Alınacak Ek Konuları Gözden Geçirme

  • Yerelleştirilmiş Hizmet Adları

Hizmet Başlangıç Türünü Yapılandırma

SQL Server Kurulumu sırasında bazı SQL Server hizmetleri için başlangıç türünü yapılandırabilirsiniz - devre dışı, el ile veya otomatik.Aşağıdaki tabloda, yükleme sırasında yapılandırılabilen SQL Server hizmetleri gösterilmektedir.Katılımsız yüklemeler için, bir yapılandırma dosyasında veya komut isteminde anahtarları kullanabilirsiniz.

SQL Server hizmet adı

Yükleme Sihirbazı'nda yapılandırılabilir mi?

Katılımsız yüklemeler için anahtarlar1

MSSQLSERVER

Evet

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

Evet

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

Evet

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

Evet

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

Evet

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Katılımsız yüklemelere yönelik daha fazla bilgi ve örnek sözdizimi için bkz. Nasıl yapılır: Komut İsteminden SQL Server 2008 R2 yükleme.

2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.

SQL Server Hizmetleri için Başlangıç Hesaplarını Kullanma

Başlatılması ve çalıştırılması için, SQL Server içindeki her hizmetin yükleme sırasında yapılandırılmış bir hesabı olmalıdır.SQL Server başlatmak ve çalıştırmak için kullanılan başlangıç hesapları; yerleşik sistem hesapları, yerel kullanıcı hesapları veya etki alanı kullanıcı hesapları olabilir.

Etki Alanı Kullanıcı Hesabı

Hizmetin, ağ hizmetleriyle etkileşim kurması, dosya paylaşımları gibi etki alanı kaynaklarına erişmesi gerekiyorsa veya hizmet, SQL Server çalıştıran diğer bilgisayarlara bağlantılı sunucu bağlantıları kullanıyorsa, minimum ayrıcalıklara sahip bir etki alanı hesabı kullanabilirsiniz.Sunucular arası birçok etkinlik yalnızca bir etki alanı kullanıcı hesabı ile gerçekleştirilebilir.Bu hesap, ortamınızdaki etki alanı yönetimi tarafından önceden oluşturulmalıdır.

Yerel Kullanıcı Hesabı

Bilgisayar bir etki alanının parçası değilse, Windows yönetici izinleri olmayan yerel bir kullanıcı hesabı önerilir.

Yerel Hizmet Hesabı

Yerel Hizmet hesabı, kaynaklara ve nesnelere Users grubu üyeleriyle aynı erişim düzeyine sahip bir yerleşik hesaptır.Bu sınırlı erişim, tek tek hizmet ve işlem güvenliğinin tehlikeye düşmesi durumunda sistemin korunmasına yardımcı olur.Yerel Hizmet hesabı olarak çalışan hizmetler, kimlik bilgileri olmayan null oturum olarak ağ kaynaklarına erişir.Yerel hizmet hesabının, SQL Server veya SQL Server Aracısı hizmetleri için desteklenmediğini unutmayın.Hesabın gerçek adı, "NT AUTHORITY\LOCAL SERVICE" şeklindedir.

Ağ Hizmeti Hesabı

Ağ Hizmeti hesabı, kaynaklara ve nesnelere Users grubu üyelerinden daha fazla erişimi olan bir yerleşik hesaptır.Ağ Hizmeti hesabı olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini kullanarak ağ kaynaklarına erişir.Hesabın gerçek adı, "NT AUTHORITY\NETWORK SERVICE" şeklindedir.

Yerel Sistem Hesabı

Yerel Sistem, çok yüksek ayrıcalıklı bir yerleşik hesaptır.Yerel sistem üzerinde geniş ayrıcalıkları vardır ve ağdaki bilgisayar olarak hareket eder.Hesabın gerçek adı, "NT AUTHORITY\SYSTEM" şeklindedir.

Kullanıcı hesaplarına sahip olmanın yanı sıra, her hizmetin, kullanıcıların denetleyebileceği üç olası başlangıç durumu vardır:

  • Devre Dışı   Hizmet yüklenmiştir ancak şu anda çalışmıyordur.

  • El ile   Hizmet yüklenmiştir, ancak yalnızca başka bir hizmet veya uygulama işlevselliğe gereksinim duyduğunda başlatılır.

  • Otomatik   Hizmet, işletim sistemi tarafından otomatik olarak başlatılır.

Aşağıdaki tabloda her bir SQL Server hizmeti için isteğe bağlı hesaplar ve her bir hizmet için başlangıç durumları gösterilmektedir.

SQL Server hizmet adı

İsteğe bağlı hesaplar

Başlangıç türü

Kurulumun ardından varsayılan durum

SQL Server

SQL Server Express: Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti

Diğer tüm sürümler: Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti1

Otomatik1

Başlatılır

Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur.

SQL Server Aracısı

Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti1

El ile1,2

Yalnızca kullanıcı otomatik başlatmayı seçerse otomatik

Durdurulur

Yalnızca kullanıcı otomatik başlatmayı seçerse başlatılır.

Analysis Services

Etki Alanı Kullanıcısı, Ağ Hizmeti, Yerel Hizmet, Yerel Sistem1 4

Otomatik1

Başlatılır

Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur.

Reporting Services

Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti, Yerel Hizmet

Otomatik

Başlatılır

Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur.

Integration Services 

Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti, Yerel Hizmet

Otomatik

Başlatılır

Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur.

Tam Metin Arama

SQL Server hizmetinin hesabından farklı bir hesap kullanın.

Hesap, Windows Server 2008 ve Windows Vista üzerinde varsayılan olarak Yerel Hizmet olacaktır.

Otomatik

Başlatılır

Yalnızca Windows Server 2003 veya Windows XP üzerinde bir hesap belirtilmediğinde durdurulur.

SQL Server Tarayıcı

Yerel Hizmet

Devre Dışı3

Yalnızca kullanıcı otomatik başlatmayı seçerse otomatik.

Durdurulur

Yalnızca kullanıcı otomatik başlatmayı seçerse başlatılır.

SQL Server Active Directory Yardımcısı

Yerel Sistem, Ağ Hizmeti

Devre dışı

Durdurulur

SQL Yazıcı

Yerel Sistem

Otomatik

Başlatılır

Önemli   

1Yük devretme kümesi yapılandırmaları için etki alanı kullanıcı hesabını kullanın ve başlangıç türünü el ile olarak ayarlayın.

2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.

3Varsayılan olarak, yük devretme kümesi yüklemeleri ve adlandırılmış örnekler için SQL Server Tarayıcısı, Kurulum bittikten sonra otomatik olarak başlatılacak şekilde ayarlanır.

4SharePoint tümleşik modunda dağıttığınız Analysis Services örnekleri, etki alanı kullanıcı hesapları altında çalışmalıdır.Ağ Hizmetleri gibi bir yerleşik hesap belirtirseniz, kurulum yüklemeyi engeller.Bir gruptaki paylaşılan hizmetler için yerleşik hesaplara izin verilmez.

Güvenlik Notu   SQL Server hizmetlerini, mümkün olan en düşük kullanıcı haklarını kullanarak çalıştırın. SQL Server hizmetleri için paylaşılan hesap yerine belirli bir düşük ayrıcalıklı kullanıcı hesabı veya etki alanı hesabı kullanın.Farklı SQL Server hizmetleri için ayrı hesaplar kullanın.SQL Server hizmet hesabına veya hizmet gruplarına ek izinler vermeyin.İzinler, grup üyelikleri yoluyla verilir veya hizmet SID'sinin desteklendiği zamanlarda bir hizmet SID'sine doğrudan verilir.

Desteklenen Hizmet Yapılandırmaları

SQL Server, doğrudan hizmet hesabını kullanmak yerine kaynak ACL'leri ayarlamak için bir güvenlik grubu kullanır; böylece kaynak ACL işleminin yinelenmesine gerek kalmadan hizmet hesabı değiştirilebilir.Güvenlik grubu; bir yerel güvenlik grubu, bir etki alanı güvenlik grubu veya hizmet SID'si olabilir.

SQL Server yüklemesi sırasında SQL Server Kurulumu her bir SQL Server bileşeni için bir hizmet grubu oluşturur.Bu gruplar, SQL Server hizmetlerini ve diğer yürütülebilir dosyaları çalıştırmak için gerekli izinlerin verilmesini kolaylaştırır ve SQL Server dosyalarının güvenliğinin sağlanmasına yardımcı olur.

Hizmet yapılandırmasına bağlı olarak, bir hizmet veya hizmet SID'si için hizmet hesabı, yükleme ya da yükseltme sırasında hizmet grubu üyesi olarak eklenir.

SQL Server, hizmet yalıtımı ve geniş savunma sağlamak üzere SQL Server 2008 R2 içinde Windows Server 2008 veya Windows Vista işletim sistemlerinde hizmetlerinin her biri için hizmet başına SID etkinleştirir.Hizmet başına SID, hizmet adından türetilir ve o hizmet için benzersizdir.Örneğin, SQL Server hizmeti için bir hizmet SID'si adı, NT Service\MSSQL$<InstanceName> olabilir.Hizmet yalıtımı, yüksek ayrıcalıklı hesap çalıştırmaya veya nesnenin güvenlik korumasını zayıflatmaya gerek kalmadan belirli nesnelere erişimi etkinleştirir.SQL Server hizmeti, bir hizmet SID'si içeren bir erişim denetimi girdisi kullanarak kaynaklarına erişimi kısıtlayabilir.

Aşağıdaki tabloda, Windows Server 2008 veya Windows Vista üzerinde yeni ve yükseltilmiş yüklemeler için desteklenen hizmet yapılandırmaları gösterilmektedir.

Yeni yükleme

Yükseltme

  • Tek başına örnek - Hizmet SID'si ile hizmet grubu

  • Yük devretme kümesi örneği - Hizmet SID'si

  • Yük devretme kümesi örneği - Etki Alanı Hizmeti grubu

  • Etki Alanı Denetleyicisi - Hizmet SID'si

  • Etki Alanı Denetleyicisi - Hizmeti hesabı ile hizmet grubu

  • Tek başına örnek - Hizmet SID'si ile Etki Alanı Hizmeti grubu

  • Yük devretme kümesi örneği - Hizmet hesabı ile Etki Alanı Hizmeti grubu

Aşağıdaki tabloda, Windows Server 2003 veya Windows XP üzerinde yeni ve yükseltilmiş yüklemeler için hizmet yapılandırmaları gösterilmektedir.

Yeni yükleme

Yükseltme

  • Tek başına örnek - Hizmet hesabı ile hizmet grubu

  • Yük devretme kümesi örneği - Hizmet hesabı ile etki alanı hizmeti grubu

  • Etki Alanı Denetleyicisi - Hizmeti hesabı ile hizmet grubu

  • Tek başına örnek - Hizmet hesabı ile Etki Alanı Hizmeti grubu

  • Yük devretme kümesi örneği - Hizmet hesabı ile Etki Alanı Hizmeti grubu

Windows Vista ve Windows Server 2008 işletim sistemlerinde tek başına SQL Server örnekleri için hizmet grubuna hizmet SID'leri eklenir ve SQL Server Altyapısı ve SQL Server Aracısı için hizmet SID'si, Sysadmin sunucu rolüne oturum açma adı olarak eklenir.

Windows Vista ve Windows Server 2008 işletim sistemlerinde SQL Server yük devretme kümesi örnekleri için varsayılan olarak SQL Server Kurulumu, hizmet SID'sini kullanır ve SQL Server ve İşletim Sistemi kaynak ACL'lerini hizmet SID'sine ayarlar.

Not

Bir SQL Server yük devretme kümesinde etki alanı gruplarının kullanılması için, Kur çalıştırılmadan önce bunların oluşturulması gerekir.Bir SQL Server yük devretme kümesine SQL Server hizmetlerini yüklerken benzersiz etki alanı grupları kullanmanızı öneririz.

Hesap Özelliklerini Değiştirme

SQL Server ile ilgili herhangi bir hizmetin hizmet hesaplarını, parolasını, hizmet başlangıç türünü veya diğer özelliklerini değiştirmek için, SQL Server Yapılandırma Yöneticisi'ni kullanın.Reporting Services için, Reporting Services Yapılandırma Aracı'nı kullanın.Bir SharePoint grubundaki Analysis Services için, SharePoint Yönetim Merkezi'ni kullanın.SQL Server örneği yeniden adlandırıldığında, SQL Server güvenlik gruplarının yeniden adlandırılmadığını unutmayın.Güvenlik grupları, yeniden adlandırma işleminden sonra eski adlarıyla çalışmaya devam eder.

Örneğe Duyarlı ve Örneğe Duyarsız Hizmetleri Tanımlama

Örneğe duyarlı hizmetler, belirli bir SQL Server örneğiyle ilişkilendirilmiştir ve kendi kayıt defteri kovanlarına sahiptir.Her bir bileşen veya hizmet için SQL Server Kurulumunu çalıştırarak, örneğe duyarlı hizmetlerin birden çok kopyasını yükleyebilirsiniz.Örneğe duyarsız hizmetler, tüm yüklü SQL Server örnekleri arasında paylaşılır.Bunlar belirli bir örnekle ilişkilendirilmemiştir, yalnızca bir defa yüklenir ve yan yana yüklenemez.

SQL Server içindeki örneğe duyarlı hizmetler arasında şunlar yer alır:

  • SQL Server

  • SQL Server Aracısı

    SQL Server Aracısı hizmetinin, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakıldığını unutmayın.

  • Analysis Services 1

  • Reporting Services

  • Tam metin arama

SQL Server içindeki örneğe duyarsız hizmetler arasında şunlar yer alır:

  • Integration Services

  • SQL Server Tarayıcı

  • SQL Server Active Directory Yardımcısı

  • SQL Yazıcı

1SharePoint tümleşik modunda Analysis Services, tek bir adlandırılmış örnek şeklinde 'PowerPivot' olarak çalışır.Örnek adı sabittir.Farklı bir ad belirtemezsiniz.Her bir fiziksel sunucuya 'PowerPivot' olarak çalışan yalnızca bir Analysis Services örneği yükleyebilirsiniz.

SQL Server Hizmet Hesapları için Verilen Windows NT Hak ve Ayrıcalıklarını Gözden Geçirme

Aşağıdaki tabloda, SQL Server Kurulumunun oluşturduğu, belirli Windows NT kullanıcı hakları verilen kullanıcı grupları gösterilmektedir.

SQL Server hizmeti

Kullanıcı grubu

SQL Server Kurulumu tarafından verilen varsayılan izinler

SQL Server

Varsayılan örnek: SQLServerMSSQLUser$ComputerName$MSSQLSERVER

Adlandırılmış örnek: SQLServerMSSQLUser$ComputerName$InstanceName

Bir hizmet olarak oturum açma (SeServiceLogonRight)1

İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege)

Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege)

Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege)

SQL Server Active Directory Yardımcısı'nı başlatma izni

SQL Yazıcı'yı başlatma izni

Olay Günlüğü hizmetini okuma izni

Uzaktan Yordam Çağrısı hizmetini okuma izni

Önemli notÖnemli
Windows Vista ve sonraki sürümlerinde SQL Server örnekleri için; SQL Server hizmet SID'sine Bir hizmet olarak oturum açma, İşlem düzeyinde bir belirteci değiştirme, Çapraz geçiş denetimini atlama ve Bir işlem için bellek kotalarını ayarlama kullanıcı hakları verilir.

SQL Server Aracısı3

Varsayılan örnek: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER

Adlandırılmış örnek: SQLServerSQLAgentUser$ComputerName$InstanceName

Bir hizmet olarak oturum açma (SeServiceLogonRight)

İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege)

Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege)

Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege)

Analysis Services

Varsayılan örnek: SQLServerMSASUser$ComputerName$MSSQLSERVER

Adlandırılmış örnek: SQLServerMSASUser$ComputerName$InstanceName

SharePoint için PowerPivot örneği: SQLServerMSASUser$ComputerName$PowerPivot

Bir hizmet olarak oturum açma (SeServiceLogonRight)

SSRS

Varsayılan örnek: SQLServerReportServerUser$ComputerName$MSRS10_50.MSSQLSERVER

Adlandırılmış örnek: SQLServerReportServerUser$ComputerName$MSRS10_50.InstanceName

Bir hizmet olarak oturum açma (SeServiceLogonRight)

Integration Services 

Varsayılan veya adlandırılmış örnek: SQLServerDTSUser$ComputerName

Bir hizmet olarak oturum açma (SeServiceLogonRight)

Uygulama olay günlüğüne yazma izni.

Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege)

Kimlik doğrulamasından sonra bir istemcinin kimliğine bürünme (SeImpersonatePrivilege)

Tam metin arama

Varsayılan örnek: SQLServerFDHostUser$ ComputerName$MSSQL10_50.MSSQLSERVER

Adlandırılmış örnek: SQLServerFDHostUser$ComputerName$MSSQL10_50.InstanceName

Bir hizmet olarak oturum açma (SeServiceLogonRight)

Önemli notÖnemli
Windows Vista ve sonraki sürümlerde SQL Server örnekleri için, FD Başlatıcısı hizmet SID'sine Bir hizmet olarak oturum açma izni verilir.

SQL Server Tarayıcı

Varsayılan veya adlandırılmış örnek: SQLServerSQLBrowserUser$ComputerName

Bir hizmet olarak oturum açma (SeServiceLogonRight)

SQL Server Active Directory Yardımcısı

Varsayılan veya adlandırılmış örnek: SQLServerMSSQLServerADHelperUser$ComputerName

Yok2

SQL Yazıcı

Yok

Yok2

1Varsayılan olarak tüm SQL Server hizmetlerine bu izin verilir.

2SQL Server Kurulumu, bu hizmet için izinleri denetlemez veya vermez.

3SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.

SQL Server Hizmet Hesapları için Oluşturulan Erişim Denetim Listelerini Gözden Geçirme

SQL Server hizmet hesaplarının, kaynaklara erişimi olması gerekir.Erişim denetim listeleri, kullanıcı grubu düzeyinde ayarlanır.

Önemli notÖnemli

Yük devretme kümesi yüklemeleri için, paylaşılan disklerdeki kaynaklar bir yerel hesaba yönelik ACL'ye ayarlanmalıdır.

Aşağıdaki tabloda, SQL Server Kurulumu tarafından ayarlanan ACL'ler gösterilmektedir:

Şunun için hizmet hesabı1

Dosyalar ve klasörler

Erişim

MSSQLServer

Instid\MSSQL\backup

Tam denetim

 

Instid\MSSQL\binn

Okuma, Yürütme

 

Instid\MSSQL\data

Tam denetim

 

Instid\MSSQL\FTData

Tam denetim

 

Instid\MSSQL\Install

Okuma, Yürütme

 

Instid\MSSQL\Log

Tam denetim

 

Instid\MSSQL\Repldata

Tam denetim

 

100\shared

Okuma, Yürütme

 

Instid\MSSQL\Template Data (yalnızca SQL Server Express)

Okuma

SQLServerAgent2

Instid\MSSQL\binn

Tam denetim

 

Instid\MSSQL\binn

Tam denetim

 

Instid\MSSQL\Log

Okuma, Yazma, Silme, Yürütme

 

100\com

Okuma, Yürütme

 

100\shared

Okuma, Yürütme

 

100\shared\Errordumps

Okuma, Yazma

ServerName\EventLog

Tam denetim

FTS

Instid\MSSQL\FTData

Tam denetim

 

Instid\MSSQL\FTRef

Okuma, Yürütme

 

100\shared

Okuma, Yürütme

 

100\shared\Errordumps

Okuma, Yazma

 

Instid\MSSQL\Install

Okuma, Yürütme

Instid\MSSQL\jobs

Okuma, Yazma

MSSQLServerOLAPservice

100\shared\ASConfig

Tam denetim

 

Instid\OLAP

Okuma, Yürütme

 

Instid\Olap\Data

Tam denetim

 

Instid\Olap\Log

Okuma, Yazma

 

Instid\OLAP\Backup

Okuma, Yazma

 

Instid\OLAP\Temp

Okuma, Yazma

 

100\shared\Errordumps

Okuma, Yazma

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Okuma, Yazma, Silme

 

Instid\Reporting Services\ReportServer

Okuma, Yürütme

 

Instid\Reportingservices\Reportserver\global.asax

Tam denetim

 

Instid\Reportingservices\Reportserver\Reportserver.config

Okuma

 

Instid\Reporting Services\reportManager

Okuma, Yürütme

 

Instid\Reporting Services\RSTempfiles

Okuma, Yazma, Yürütme, Silme

 

100\shared

Okuma, Yürütme

 

100\shared\Errordumps

Okuma, Yazma

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

Okuma

 

100\dts\binn

Okuma, Yürütme

 

100\shared

Okuma, Yürütme

 

100\shared\Errordumps

Okuma, Yazma

SQL Server Tarayıcı

100\shared\ASConfig

Okuma

 

100\shared

Okuma, Yürütme

 

100\shared\Errordumps

Okuma, Yazma

MSADHelper

Yok (Ağ Hizmeti hesabı altında çalışır)

 

SQLWriter

Yok (Yerel sistem olarak çalışır)

 

Kullanıcı

Instid\MSSQL\binn

Okuma, Yürütme

 

Instid\Reporting Services\ReportServer

Okuma, Yürütme, Klasör İçeriklerini Listeleme

 

Instid\Reportingservices\Reportserver\global.asax

Okuma

 

Instid\Reporting Services\ReportManager

Okuma, Yürütme

 

Instid\Reporting Services\ReportManager\pages

Okuma

 

Instid\Reporting Services\ReportManager\Styles

Okuma

 

100\dts

Okuma, Yürütme

 

100\tools

Okuma, Yürütme

 

90\tools

Okuma, Yürütme

 

80\tools

Okuma, Yürütme

 

100\sdk

Okuma

 

Microsoft SQL Server\100\Setup Bootstrap

Okuma, Yürütme

1 Bir etki alanı denetleyicisinde SQL Server yük devretme kümeleme yüklemesi veya SQL Server yüklemesi için ACL'ler, Windows Vista ve Windows Server 2008 işletim sistemlerinde SQL Server hizmet grubu olarak ayarlanmak yerine SQL Server hizmet SID'si için ayarlanır.

2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.

Yerleşik hesaplara veya diğer SQL Server hizmet hesaplarına bazı erişim denetimi izinleri verilmesi gerekebilir.Aşağıdaki tabloda, SQL Server Kurulumu tarafından ayarlanan ek ACL'ler listelenmektedir.

İstekte bulunan bileşen

Hesap

Kaynak

İzinler

MSSQLServer

Performans Günlüğü Kullanıcıları

Instid\MSSQL\binn

Klasör içeriklerini listeleme

 

Performans İzleyicisi Kullanıcıları

Instid\MSSQL\binn

Klasör içeriklerini listeleme

 

Performans Günlüğü Kullanıcıları, Performans İzleyicisi Kullanıcıları

\WINNT\system32\sqlctr100.dll

Okuma, Yürütme

 

Yalnızca yönetici

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Tam denetim

 

Yöneticiler, Sistem

\tools\binn\schemas\sqlserver\2004\07\showplan

Tam denetim

 

Kullanıcılar

\tools\binn\schemas\sqlserver\2004\07\showplan

Okuma, Yürütme

Reporting Services

<Rapor Sunucusu Web Hizmeti Hesabı>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Rapor Yöneticisi Uygulama havuzu kimliği, ASP.NET hesabı, Herkes

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Okuma

 

Rapor Yöneticisi Uygulama havuzu kimliği

<install>\Reporting Services\ReportManager\Pages\*.*

Okuma

 

<Rapor Sunucusu Web Hizmeti Hesabı>

<install>\Reporting Services\ReportServer

Okuma

 

<Rapor Sunucusu Web Hizmeti Hesabı>

<install>\Reporting Services\ReportServer\global.asax

Tam

 

Herkes

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Ağ hizmeti

<install>\Reporting Services\ReportServer\ReportService.asmx

Tam

 

Herkes

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

ReportServer Windows Hizmetleri Hesabı

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Herkes

Rapor Sunucusu anahtarları (Instid kovanı)

Sorgu Değeri

Alt Anahtarları Numaralandırma

Bildirme

Okuma Denetimi

 

Terminal Hizmetleri Kullanıcısı

Rapor Sunucusu anahtarları (Instid kovanı)

Sorgu Değeri

Değer Ayarlama

Alt Anahtar Oluşturma

Alt Anahtar Numaralandırma

Bildirme

Sil

Okuma Denetimi

 

Power Users

Rapor Sunucusu anahtarları (Instid kovanı)

Sorgu Değeri

Değer Ayarlama

Alt Anahtar Oluşturma

Alt Anahtarları Numaralandırma

Bildirme

Sil

Okuma Denetimi

1Bu, WMI sağlayıcısı ad alanıdır.

SQL Server Hizmetleri için Windows İzinlerini Gözden Geçirme

Aşağıdaki tabloda, SQL Server hizmetlerinin varsayılan ve adlandırılmış örneklerini, hizmet işlevinin bir açıklamasını ve gerekli minimum izinleri ifade etmek için kullanılan terim olan hizmet adları gösterilmektedir.

Görünen ad

Hizmet adı

Açıklama

Gerekli izinler

SQL Server (InstanceName)

Varsayılan örnek: MSSQLSERVER

Adlandırılmış örnek: MSSQL$InstanceName

SQL Server Veritabanı Altyapısı.

Yürütülebilir dosya yolu \MSSQL\Binn\sqlservr.exe şeklindedir.

Yerel kullanıcı veya etki alanı kullanıcı hesabı önerilir.

Bir hizmet olarak oturum açma (SeServiceLogonRight).1

İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege).

Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege).

Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege).

SQL Server Active Directory Yardımcısı'nı başlatma izni.

SQL Yazıcı'yı başlatma izni.

Olay Günlüğü hizmetini okuma izni.

Uzaktan Yordam Çağrısı hizmetini okuma izni.

Minimum izinlerİşlevsellik
MSSQLServer hizmeti başlangıç hesabı
Hesap, SQL Server uygulamasının yüklendiği kök sürücüde Klasör Listeleme izinlerine sahip olan hesaplar listesinde bulunmalıdır.Ayrıca SQL Server dosyalarının depolandığı başka bir sürücünün kökünde de olması gerekir.
NotNot
Kök sürücüdeki "Klasör Listeleme" izinlerinin, alt klasörler tarafından devralınması gerekmez.
MSSQLServer hizmeti başlangıç hesabıHesap, veri veya günlük dosyalarının (.mdf, .ndf, .ldf) bulunduğu klasörler üzerinde Tam Denetim izinlerine sahip olmalıdır.

SQL Server Aracısı (InstanceName)1

Varsayılan örnek: SQLServerAgent

Adlandırılmış örnek: SQLAgent$InstanceName

İşleri yürütür, SQL Server uygulamasını izler, uyarı verir ve bazı yönetim görevlerinin otomasyonunu sağlar.

Yürütülebilir dosya yolu \MSSQL\Binn\sqlagent.exe şeklindedir.
Minimum izinlerİşlevsellik
Hesap, sysadmin sabit sunucu rolünün üyesi olmalıdır. 
Hesabın aşağıdaki Windows izinlerine sahip olması gerekir:Bir hizmet olarak oturum açma.İşlem düzeyinde bir belirteci değiştirme.Bir işlem için bellek kotalarını ayarlama.Çapraz geçiş denetimini atlama.

Analysis Services Hizmetleri (InstanceName)

Varsayılan örnek: MSSQLServerOLAPService

Adlandırılmış örnek: MSOLAP$InstanceName

Karar destek uygulamaları için çevrimiçi analitik işleme (OLAP) ve veri araştırma işlevselliği sağlayan hizmet.

Yürütülebilir dosya yolu \OLAP\Bin\msmdsrv.exe şeklindedir.

 

Reporting Services

Varsayılan örnek: ReportServer

Adlandırılmış örnek: ReportServer$InstanceName

Raporları yönetir, yürütür, oluşturur, zamanlar ve teslim eder.

Yürütülebilir dosyanın yolu, \Reporting Services\ReportServer\Bin\ReportingServicesService.exe şeklindedir.

 

Integration Services

Varsayılan veya adlandırılmış örnek: MSDTSServer

Integration Services paket depolaması ve yürütmesi için yönetim desteği sağlar.

Yürütülebilir dosya yolu \DTS\Binn\msdtssrvr.exe şeklindedir.

 

Tam metin arama

Varsayılan veya adlandırılmış örnek: SQL Tam Metin Filtre Arka Plan Programı Başlatıcısı

SQL Server tam metin araması için belge filtreleme ve sözcük bölünmesi gerçekleştirmek üzere tam metin filtre arka plan programı işlemini başlatma hizmeti.

 

SQL Server Tarayıcı

Varsayılan veya adlandırılmış örnek: SQLBrowser

İstemci bilgisayarlar için SQL Server bağlantı bilgileri sağlayan ad çözümlemesi hizmeti.Bu hizmet, birden çok SQL Server ve SSIS örneğinde paylaşılır.

Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe şeklindedir.

 

SQL Server Active Directory Yardımcısı

Varsayılan veya adlandırılmış örnek: MSSQLServerADHelper.

Windows Active Directory'de SQL Server hizmetlerini yayımlar ve yönetir.

Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe şeklindedir.

 

SQL Yazıcı

SQLWriter

Yedekleme ve geri yükleme uygulamalarının Birim Gölge Kopyası Hizmeti çerçevesinde çalışmasına olanak sağlar.Sunucudaki tüm SQL Server örnekleri için SQL Yazıcı hizmetinin tek bir örneği vardır.

Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe şeklindedir.

 

1SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.

Dikkate Alınacak Ek Konuları Gözden Geçirme

Aşağıdaki tabloda, SQL Server hizmetlerinin ek işlevsellik sunması için gereken izinler gösterilmektedir.

Hizmet/Uygulama

İşlevsellik

Gerekli izin

SQL Server (MSSQLSERVER)

xp_sendmail kullanarak posta yuvasına yazma.

Ağ yazma izinleri.

SQL Server (MSSQLSERVER)

SQL Server yöneticisi dışındaki bir kullanıcı için xp_cmdshell çalıştırma.

İşletim sisteminin parçası olarak hareket etme ve işlem düzeyinde bir belirteci değiştirme.

SQL Server Aracısı (MSSQLSERVER)

Otomatik olarak yeniden başlatma özelliğini kullanma.

Administrators yerel grubunun bir üyesi olunmalıdır.

Veritabanı Altyapısı Ayarlama Danışmanı

En iyi sorgu performansı için veritabanlarını ayarlar.

İlk kullanımda, sistem yöneticisi kimlik bilgilerine sahip bir kullanıcı uygulamayı başlatmalıdır.Başlatmadan sonra, dbo kullanıcıları yalnızca kendilerine ait tabloları ayarlamak için Veritabanı Altyapısı Ayarlama Danışmanı'nı kullanabilir.Daha fazla bilgi için bkz. "İlk Kullanımda Veritabanı Altyapısı Ayarlama Danışmanı'nı Başlatma", SQL Server Books Online.
Önemli notÖnemli

SQL Server yükseltmesinden önce, SQL Server Aracısı için Windows Kimlik Doğrulamasını etkinleştirin ve gerekli varsayılan yapılandırmayı (SQL Server Aracısı hizmet hesabının, SQL Server sysadmin grubunun üyesi olduğunu) doğrulayın.

Yerelleştirilmiş Hizmet Adları

Aşağıdaki tabloda, Windows'un yerelleştirilmiş sürümleri tarafından görüntülenen hizmet adları gösterilmektedir.

Dil

Yerel Hizmet için Ad

Ağ Hizmeti için Ad

Yerel Sistem için Ad

Admin Grubu için Ad

İngilizce

Basitleştirilmiş Çince

Geleneksel Çince

Kore Dili

Japonca

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Almanca

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Fransızca

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

İtalyanca

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

İspanyolca

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Rusça

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы