Windows Hizmeti Hesaplarını Ayarlama
SQL Server içindeki her bir hizmet, Windows ile SQL Server işlemlerinin kimlik doğrulamasının yönetilmesine ilişkin bir işlemi veya işlem kümesini temsil eder.Bu konu, bu SQL Server sürümündeki hizmetlerin varsayılan yapılandırmasını ve SQL Server yüklemesi sırasında ayarlayabileceğiniz SQL Server hizmetlerine ilişkin yapılandırma seçeneklerini açıklar.
Yüklemeye karar verdiğiniz bileşenlere bağlı olarak SQL Server Kur programı aşağıdaki hizmetleri yükler:
SQL Server Veritabanı Hizmetleri - SQL Server ilişkisel Veritabanı Altyapısı için hizmet.
SQL Server Aracısı - İşleri yürütür, SQL Server uygulamasını izler, uyarı verir ve bazı yönetim görevlerinin otomasyonunu sağlar.
Not
SQL Server ve SQL Server Aracısı'nın Windows'da hizmetler olarak çalışması için, SQL Server ve SQL Server Aracısı'na bir Windows kullanıcı hesabı atanmış olmalıdır.Her bir hizmetin hesap bilgilerini özelleştirme hakkında daha fazla bilgi için, bkz. Nasıl yapılır: SQL Server 2008 R2'yi Yükleme (Kurulum).
Analysis Services - Karar destek uygulamaları için çevrimiçi analitik işleme (OLAP) ve veri araştırma işlevselliği sağlar.
Reporting Services - Raporları yönetir, yürütür, oluşturur, zamanlar ve teslim eder.
Integration Services - Integration Services paket depolaması ve yürütmesi için yönetim desteği sağlar.
SQL Server Tarayıcısı - İstemci bilgisayarlar için SQL Server bağlantı bilgileri sağlayan ad çözümlemesi hizmeti.
Tam metin arama - SQL Server için belge filtreleme ve sözcük bölünmesi sağlamak amacıyla hızlı şekilde yapılandırılmış ve yarı yapılandırılmış verilerin içerik ve özellikleriyle ilgili tam metin dizinleri oluşturur.
SQL Server Active Directory Yardımcısı - Active Directory'de SQL Server hizmetlerini yayımlar ve yönetir.
SQL Yazıcı - Yedekleme ve geri yükleme uygulamalarının Birim Gölge Kopyası Hizmeti (VSS) çerçevesinde çalışmasına olanak sağlar.
Önemli Her zaman SQL Server ve SQL Server Aracısı hizmetleri tarafından kullanılan hesabı değiştirmek veya hesabın parolasını değiştirmek için SQL Server Yapılandırma Yöneticisi gibi SQL Server araçlarını kullanın.SQL Server Yapılandırma Yöneticisi, hesap adının değiştirilmesine ek olarak, yeni hesabın SQL Server ayarlarını okuyabilmesi için Windows Kayıt Defteri'nde izinleri ayarlama gibi ek yapılandırma da gerçekleştirir.Windows Hizmetleri Denetim Yöneticisi gibi diğer araçlar hesap adını değiştirebilir ancak ilişkilendirilmiş ayarları değiştirmez.Hizmet, kayıt defterinin SQL Server bölümüne erişemiyorsa, düzgün şekilde başlatılmayabilir.
Önemli |
---|
SharePoint grubunda dağıttığınız Analysis Services örnekleri için PowerPivot hizmeti uygulamalarının ve Analysis Services hizmeti uygulamasının sunucu hesaplarını değiştirmek için her zaman SharePoint Yönetim Merkezi'ni kullanın.İlişkili ayarlar ve izinler, Yönetim Merkezi'ni kullandığınızda yeni hesap bilgilerini kullanacak şekilde güncelleştirilir. |
Bu konunun geri kalanı aşağıdaki bölümlere ayrılmıştır:
Hizmet Başlangıç Türünü Yapılandırma
SQL Server Hizmetleri için Başlangıç Hesaplarını Kullanma
Örneğe Duyarlı ve Örneğe Duyarsız Hizmetleri Tanımlama
SQL Server Hizmet Hesapları için Verilen NT Hak ve Ayrıcalıklarını Gözden Geçirme
SQL Server Hizmet Hesapları için Oluşturulan Erişim Denetim Listelerini Gözden Geçirme
SQL Server Hizmetleri için Windows İzinlerini Gözden Geçirme
Dikkate Alınacak Ek Konuları Gözden Geçirme
Yerelleştirilmiş Hizmet Adları
Hizmet Başlangıç Türünü Yapılandırma
SQL Server Kurulumu sırasında bazı SQL Server hizmetleri için başlangıç türünü yapılandırabilirsiniz - devre dışı, el ile veya otomatik.Aşağıdaki tabloda, yükleme sırasında yapılandırılabilen SQL Server hizmetleri gösterilmektedir.Katılımsız yüklemeler için, bir yapılandırma dosyasında veya komut isteminde anahtarları kullanabilirsiniz.
SQL Server hizmet adı |
Yükleme Sihirbazı'nda yapılandırılabilir mi? |
Katılımsız yüklemeler için anahtarlar1 |
---|---|---|
MSSQLSERVER |
Evet |
SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent2 |
Evet |
AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService |
Evet |
ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer |
Evet |
RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services |
Evet |
ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
1Katılımsız yüklemelere yönelik daha fazla bilgi ve örnek sözdizimi için bkz. Nasıl yapılır: Komut İsteminden SQL Server 2008 R2 yükleme.
2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.
SQL Server Hizmetleri için Başlangıç Hesaplarını Kullanma
Başlatılması ve çalıştırılması için, SQL Server içindeki her hizmetin yükleme sırasında yapılandırılmış bir hesabı olmalıdır.SQL Server başlatmak ve çalıştırmak için kullanılan başlangıç hesapları; yerleşik sistem hesapları, yerel kullanıcı hesapları veya etki alanı kullanıcı hesapları olabilir.
Etki Alanı Kullanıcı Hesabı
Hizmetin, ağ hizmetleriyle etkileşim kurması, dosya paylaşımları gibi etki alanı kaynaklarına erişmesi gerekiyorsa veya hizmet, SQL Server çalıştıran diğer bilgisayarlara bağlantılı sunucu bağlantıları kullanıyorsa, minimum ayrıcalıklara sahip bir etki alanı hesabı kullanabilirsiniz.Sunucular arası birçok etkinlik yalnızca bir etki alanı kullanıcı hesabı ile gerçekleştirilebilir.Bu hesap, ortamınızdaki etki alanı yönetimi tarafından önceden oluşturulmalıdır.
Yerel Kullanıcı Hesabı
Bilgisayar bir etki alanının parçası değilse, Windows yönetici izinleri olmayan yerel bir kullanıcı hesabı önerilir.
Yerel Hizmet Hesabı
Yerel Hizmet hesabı, kaynaklara ve nesnelere Users grubu üyeleriyle aynı erişim düzeyine sahip bir yerleşik hesaptır.Bu sınırlı erişim, tek tek hizmet ve işlem güvenliğinin tehlikeye düşmesi durumunda sistemin korunmasına yardımcı olur.Yerel Hizmet hesabı olarak çalışan hizmetler, kimlik bilgileri olmayan null oturum olarak ağ kaynaklarına erişir.Yerel hizmet hesabının, SQL Server veya SQL Server Aracısı hizmetleri için desteklenmediğini unutmayın.Hesabın gerçek adı, "NT AUTHORITY\LOCAL SERVICE" şeklindedir.
Ağ Hizmeti Hesabı
Ağ Hizmeti hesabı, kaynaklara ve nesnelere Users grubu üyelerinden daha fazla erişimi olan bir yerleşik hesaptır.Ağ Hizmeti hesabı olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini kullanarak ağ kaynaklarına erişir.Hesabın gerçek adı, "NT AUTHORITY\NETWORK SERVICE" şeklindedir.
Yerel Sistem Hesabı
Yerel Sistem, çok yüksek ayrıcalıklı bir yerleşik hesaptır.Yerel sistem üzerinde geniş ayrıcalıkları vardır ve ağdaki bilgisayar olarak hareket eder.Hesabın gerçek adı, "NT AUTHORITY\SYSTEM" şeklindedir.
Kullanıcı hesaplarına sahip olmanın yanı sıra, her hizmetin, kullanıcıların denetleyebileceği üç olası başlangıç durumu vardır:
Devre Dışı Hizmet yüklenmiştir ancak şu anda çalışmıyordur.
El ile Hizmet yüklenmiştir, ancak yalnızca başka bir hizmet veya uygulama işlevselliğe gereksinim duyduğunda başlatılır.
Otomatik Hizmet, işletim sistemi tarafından otomatik olarak başlatılır.
Aşağıdaki tabloda her bir SQL Server hizmeti için isteğe bağlı hesaplar ve her bir hizmet için başlangıç durumları gösterilmektedir.
SQL Server hizmet adı |
İsteğe bağlı hesaplar |
Başlangıç türü |
Kurulumun ardından varsayılan durum |
---|---|---|---|
SQL Server |
SQL Server Express: Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti Diğer tüm sürümler: Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti1 |
Otomatik1 |
Başlatılır Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur. |
SQL Server Aracısı |
Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti1 |
El ile1,2 Yalnızca kullanıcı otomatik başlatmayı seçerse otomatik |
Durdurulur Yalnızca kullanıcı otomatik başlatmayı seçerse başlatılır. |
Analysis Services |
Etki Alanı Kullanıcısı, Ağ Hizmeti, Yerel Hizmet, Yerel Sistem1 4 |
Otomatik1 |
Başlatılır Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur. |
Reporting Services |
Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti, Yerel Hizmet |
Otomatik |
Başlatılır Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur. |
Integration Services |
Etki Alanı Kullanıcısı, Yerel Sistem, Ağ Hizmeti, Yerel Hizmet |
Otomatik |
Başlatılır Yalnızca kullanıcı otomatik başlatmamayı seçerse durdurulur. |
Tam Metin Arama |
SQL Server hizmetinin hesabından farklı bir hesap kullanın. Hesap, Windows Server 2008 ve Windows Vista üzerinde varsayılan olarak Yerel Hizmet olacaktır. |
Otomatik |
Başlatılır Yalnızca Windows Server 2003 veya Windows XP üzerinde bir hesap belirtilmediğinde durdurulur. |
SQL Server Tarayıcı |
Yerel Hizmet |
Devre Dışı3 Yalnızca kullanıcı otomatik başlatmayı seçerse otomatik. |
Durdurulur Yalnızca kullanıcı otomatik başlatmayı seçerse başlatılır. |
SQL Server Active Directory Yardımcısı |
Yerel Sistem, Ağ Hizmeti |
Devre dışı |
Durdurulur |
SQL Yazıcı |
Yerel Sistem |
Otomatik |
Başlatılır |
Önemli
1Yük devretme kümesi yapılandırmaları için etki alanı kullanıcı hesabını kullanın ve başlangıç türünü el ile olarak ayarlayın.
2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.
3Varsayılan olarak, yük devretme kümesi yüklemeleri ve adlandırılmış örnekler için SQL Server Tarayıcısı, Kurulum bittikten sonra otomatik olarak başlatılacak şekilde ayarlanır.
4SharePoint tümleşik modunda dağıttığınız Analysis Services örnekleri, etki alanı kullanıcı hesapları altında çalışmalıdır.Ağ Hizmetleri gibi bir yerleşik hesap belirtirseniz, kurulum yüklemeyi engeller.Bir gruptaki paylaşılan hizmetler için yerleşik hesaplara izin verilmez.
Güvenlik Notu SQL Server hizmetlerini, mümkün olan en düşük kullanıcı haklarını kullanarak çalıştırın. SQL Server hizmetleri için paylaşılan hesap yerine belirli bir düşük ayrıcalıklı kullanıcı hesabı veya etki alanı hesabı kullanın.Farklı SQL Server hizmetleri için ayrı hesaplar kullanın.SQL Server hizmet hesabına veya hizmet gruplarına ek izinler vermeyin.İzinler, grup üyelikleri yoluyla verilir veya hizmet SID'sinin desteklendiği zamanlarda bir hizmet SID'sine doğrudan verilir.
Desteklenen Hizmet Yapılandırmaları
SQL Server, doğrudan hizmet hesabını kullanmak yerine kaynak ACL'leri ayarlamak için bir güvenlik grubu kullanır; böylece kaynak ACL işleminin yinelenmesine gerek kalmadan hizmet hesabı değiştirilebilir.Güvenlik grubu; bir yerel güvenlik grubu, bir etki alanı güvenlik grubu veya hizmet SID'si olabilir.
SQL Server yüklemesi sırasında SQL Server Kurulumu her bir SQL Server bileşeni için bir hizmet grubu oluşturur.Bu gruplar, SQL Server hizmetlerini ve diğer yürütülebilir dosyaları çalıştırmak için gerekli izinlerin verilmesini kolaylaştırır ve SQL Server dosyalarının güvenliğinin sağlanmasına yardımcı olur.
Hizmet yapılandırmasına bağlı olarak, bir hizmet veya hizmet SID'si için hizmet hesabı, yükleme ya da yükseltme sırasında hizmet grubu üyesi olarak eklenir.
SQL Server, hizmet yalıtımı ve geniş savunma sağlamak üzere SQL Server 2008 R2 içinde Windows Server 2008 veya Windows Vista işletim sistemlerinde hizmetlerinin her biri için hizmet başına SID etkinleştirir.Hizmet başına SID, hizmet adından türetilir ve o hizmet için benzersizdir.Örneğin, SQL Server hizmeti için bir hizmet SID'si adı, NT Service\MSSQL$<InstanceName> olabilir.Hizmet yalıtımı, yüksek ayrıcalıklı hesap çalıştırmaya veya nesnenin güvenlik korumasını zayıflatmaya gerek kalmadan belirli nesnelere erişimi etkinleştirir.SQL Server hizmeti, bir hizmet SID'si içeren bir erişim denetimi girdisi kullanarak kaynaklarına erişimi kısıtlayabilir.
Aşağıdaki tabloda, Windows Server 2008 veya Windows Vista üzerinde yeni ve yükseltilmiş yüklemeler için desteklenen hizmet yapılandırmaları gösterilmektedir.
Yeni yükleme |
Yükseltme |
---|---|
|
|
Aşağıdaki tabloda, Windows Server 2003 veya Windows XP üzerinde yeni ve yükseltilmiş yüklemeler için hizmet yapılandırmaları gösterilmektedir.
Yeni yükleme |
Yükseltme |
---|---|
|
|
Windows Vista ve Windows Server 2008 işletim sistemlerinde tek başına SQL Server örnekleri için hizmet grubuna hizmet SID'leri eklenir ve SQL Server Altyapısı ve SQL Server Aracısı için hizmet SID'si, Sysadmin sunucu rolüne oturum açma adı olarak eklenir.
Windows Vista ve Windows Server 2008 işletim sistemlerinde SQL Server yük devretme kümesi örnekleri için varsayılan olarak SQL Server Kurulumu, hizmet SID'sini kullanır ve SQL Server ve İşletim Sistemi kaynak ACL'lerini hizmet SID'sine ayarlar.
Not
Bir SQL Server yük devretme kümesinde etki alanı gruplarının kullanılması için, Kur çalıştırılmadan önce bunların oluşturulması gerekir.Bir SQL Server yük devretme kümesine SQL Server hizmetlerini yüklerken benzersiz etki alanı grupları kullanmanızı öneririz.
Hesap Özelliklerini Değiştirme
SQL Server ile ilgili herhangi bir hizmetin hizmet hesaplarını, parolasını, hizmet başlangıç türünü veya diğer özelliklerini değiştirmek için, SQL Server Yapılandırma Yöneticisi'ni kullanın.Reporting Services için, Reporting Services Yapılandırma Aracı'nı kullanın.Bir SharePoint grubundaki Analysis Services için, SharePoint Yönetim Merkezi'ni kullanın.SQL Server örneği yeniden adlandırıldığında, SQL Server güvenlik gruplarının yeniden adlandırılmadığını unutmayın.Güvenlik grupları, yeniden adlandırma işleminden sonra eski adlarıyla çalışmaya devam eder.
Örneğe Duyarlı ve Örneğe Duyarsız Hizmetleri Tanımlama
Örneğe duyarlı hizmetler, belirli bir SQL Server örneğiyle ilişkilendirilmiştir ve kendi kayıt defteri kovanlarına sahiptir.Her bir bileşen veya hizmet için SQL Server Kurulumunu çalıştırarak, örneğe duyarlı hizmetlerin birden çok kopyasını yükleyebilirsiniz.Örneğe duyarsız hizmetler, tüm yüklü SQL Server örnekleri arasında paylaşılır.Bunlar belirli bir örnekle ilişkilendirilmemiştir, yalnızca bir defa yüklenir ve yan yana yüklenemez.
SQL Server içindeki örneğe duyarlı hizmetler arasında şunlar yer alır:
SQL Server
SQL Server Aracısı
SQL Server Aracısı hizmetinin, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakıldığını unutmayın.
Analysis Services 1
Reporting Services
Tam metin arama
SQL Server içindeki örneğe duyarsız hizmetler arasında şunlar yer alır:
Integration Services
SQL Server Tarayıcı
SQL Server Active Directory Yardımcısı
SQL Yazıcı
1SharePoint tümleşik modunda Analysis Services, tek bir adlandırılmış örnek şeklinde 'PowerPivot' olarak çalışır.Örnek adı sabittir.Farklı bir ad belirtemezsiniz.Her bir fiziksel sunucuya 'PowerPivot' olarak çalışan yalnızca bir Analysis Services örneği yükleyebilirsiniz.
SQL Server Hizmet Hesapları için Verilen Windows NT Hak ve Ayrıcalıklarını Gözden Geçirme
Aşağıdaki tabloda, SQL Server Kurulumunun oluşturduğu, belirli Windows NT kullanıcı hakları verilen kullanıcı grupları gösterilmektedir.
SQL Server hizmeti |
Kullanıcı grubu |
SQL Server Kurulumu tarafından verilen varsayılan izinler |
---|---|---|
SQL Server |
Varsayılan örnek: SQLServerMSSQLUser$ComputerName$MSSQLSERVER Adlandırılmış örnek: SQLServerMSSQLUser$ComputerName$InstanceName |
Bir hizmet olarak oturum açma (SeServiceLogonRight)1 İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) SQL Server Active Directory Yardımcısı'nı başlatma izni SQL Yazıcı'yı başlatma izni Olay Günlüğü hizmetini okuma izni Uzaktan Yordam Çağrısı hizmetini okuma izni
Önemli
Windows Vista ve sonraki sürümlerinde SQL Server örnekleri için; SQL Server hizmet SID'sine Bir hizmet olarak oturum açma, İşlem düzeyinde bir belirteci değiştirme, Çapraz geçiş denetimini atlama ve Bir işlem için bellek kotalarını ayarlama kullanıcı hakları verilir.
|
SQL Server Aracısı3 |
Varsayılan örnek: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER Adlandırılmış örnek: SQLServerSQLAgentUser$ComputerName$InstanceName |
Bir hizmet olarak oturum açma (SeServiceLogonRight) İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege) Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege) |
Analysis Services |
Varsayılan örnek: SQLServerMSASUser$ComputerName$MSSQLSERVER Adlandırılmış örnek: SQLServerMSASUser$ComputerName$InstanceName SharePoint için PowerPivot örneği: SQLServerMSASUser$ComputerName$PowerPivot |
Bir hizmet olarak oturum açma (SeServiceLogonRight) |
SSRS |
Varsayılan örnek: SQLServerReportServerUser$ComputerName$MSRS10_50.MSSQLSERVER Adlandırılmış örnek: SQLServerReportServerUser$ComputerName$MSRS10_50.InstanceName |
Bir hizmet olarak oturum açma (SeServiceLogonRight) |
Integration Services |
Varsayılan veya adlandırılmış örnek: SQLServerDTSUser$ComputerName |
Bir hizmet olarak oturum açma (SeServiceLogonRight) Uygulama olay günlüğüne yazma izni. Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege) Kimlik doğrulamasından sonra bir istemcinin kimliğine bürünme (SeImpersonatePrivilege) |
Tam metin arama |
Varsayılan örnek: SQLServerFDHostUser$ ComputerName$MSSQL10_50.MSSQLSERVER Adlandırılmış örnek: SQLServerFDHostUser$ComputerName$MSSQL10_50.InstanceName |
Bir hizmet olarak oturum açma (SeServiceLogonRight)
Önemli
Windows Vista ve sonraki sürümlerde SQL Server örnekleri için, FD Başlatıcısı hizmet SID'sine Bir hizmet olarak oturum açma izni verilir.
|
SQL Server Tarayıcı |
Varsayılan veya adlandırılmış örnek: SQLServerSQLBrowserUser$ComputerName |
Bir hizmet olarak oturum açma (SeServiceLogonRight) |
SQL Server Active Directory Yardımcısı |
Varsayılan veya adlandırılmış örnek: SQLServerMSSQLServerADHelperUser$ComputerName |
Yok2 |
SQL Yazıcı |
Yok |
Yok2 |
1Varsayılan olarak tüm SQL Server hizmetlerine bu izin verilir.
2SQL Server Kurulumu, bu hizmet için izinleri denetlemez veya vermez.
3SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.
SQL Server Hizmet Hesapları için Oluşturulan Erişim Denetim Listelerini Gözden Geçirme
SQL Server hizmet hesaplarının, kaynaklara erişimi olması gerekir.Erişim denetim listeleri, kullanıcı grubu düzeyinde ayarlanır.
Önemli |
---|
Yük devretme kümesi yüklemeleri için, paylaşılan disklerdeki kaynaklar bir yerel hesaba yönelik ACL'ye ayarlanmalıdır. |
Aşağıdaki tabloda, SQL Server Kurulumu tarafından ayarlanan ACL'ler gösterilmektedir:
Şunun için hizmet hesabı1 |
Dosyalar ve klasörler |
Erişim |
---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Tam denetim |
|
Instid\MSSQL\binn |
Okuma, Yürütme |
|
Instid\MSSQL\data |
Tam denetim |
|
Instid\MSSQL\FTData |
Tam denetim |
|
Instid\MSSQL\Install |
Okuma, Yürütme |
|
Instid\MSSQL\Log |
Tam denetim |
|
Instid\MSSQL\Repldata |
Tam denetim |
|
100\shared |
Okuma, Yürütme |
|
Instid\MSSQL\Template Data (yalnızca SQL Server Express) |
Okuma |
SQLServerAgent2 |
Instid\MSSQL\binn |
Tam denetim |
|
Instid\MSSQL\binn |
Tam denetim |
|
Instid\MSSQL\Log |
Okuma, Yazma, Silme, Yürütme |
|
100\com |
Okuma, Yürütme |
|
100\shared |
Okuma, Yürütme |
|
100\shared\Errordumps |
Okuma, Yazma |
ServerName\EventLog |
Tam denetim |
|
FTS |
Instid\MSSQL\FTData |
Tam denetim |
|
Instid\MSSQL\FTRef |
Okuma, Yürütme |
|
100\shared |
Okuma, Yürütme |
|
100\shared\Errordumps |
Okuma, Yazma |
|
Instid\MSSQL\Install |
Okuma, Yürütme |
Instid\MSSQL\jobs |
Okuma, Yazma |
|
MSSQLServerOLAPservice |
100\shared\ASConfig |
Tam denetim |
|
Instid\OLAP |
Okuma, Yürütme |
|
Instid\Olap\Data |
Tam denetim |
|
Instid\Olap\Log |
Okuma, Yazma |
|
Instid\OLAP\Backup |
Okuma, Yazma |
|
Instid\OLAP\Temp |
Okuma, Yazma |
|
100\shared\Errordumps |
Okuma, Yazma |
SQLServerReportServerUser |
Instid\Reporting Services\Log Files |
Okuma, Yazma, Silme |
|
Instid\Reporting Services\ReportServer |
Okuma, Yürütme |
|
Instid\Reportingservices\Reportserver\global.asax |
Tam denetim |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Okuma |
|
Instid\Reporting Services\reportManager |
Okuma, Yürütme |
|
Instid\Reporting Services\RSTempfiles |
Okuma, Yazma, Yürütme, Silme |
|
100\shared |
Okuma, Yürütme |
|
100\shared\Errordumps |
Okuma, Yazma |
MSDTSServer100 |
100\dts\binn\MsDtsSrvr.ini.xml |
Okuma |
|
100\dts\binn |
Okuma, Yürütme |
|
100\shared |
Okuma, Yürütme |
|
100\shared\Errordumps |
Okuma, Yazma |
SQL Server Tarayıcı |
100\shared\ASConfig |
Okuma |
|
100\shared |
Okuma, Yürütme |
|
100\shared\Errordumps |
Okuma, Yazma |
MSADHelper |
Yok (Ağ Hizmeti hesabı altında çalışır) |
|
SQLWriter |
Yok (Yerel sistem olarak çalışır) |
|
Kullanıcı |
Instid\MSSQL\binn |
Okuma, Yürütme |
|
Instid\Reporting Services\ReportServer |
Okuma, Yürütme, Klasör İçeriklerini Listeleme |
|
Instid\Reportingservices\Reportserver\global.asax |
Okuma |
|
Instid\Reporting Services\ReportManager |
Okuma, Yürütme |
|
Instid\Reporting Services\ReportManager\pages |
Okuma |
|
Instid\Reporting Services\ReportManager\Styles |
Okuma |
|
100\dts |
Okuma, Yürütme |
|
100\tools |
Okuma, Yürütme |
|
90\tools |
Okuma, Yürütme |
|
80\tools |
Okuma, Yürütme |
|
100\sdk |
Okuma |
|
Microsoft SQL Server\100\Setup Bootstrap |
Okuma, Yürütme |
1 Bir etki alanı denetleyicisinde SQL Server yük devretme kümeleme yüklemesi veya SQL Server yüklemesi için ACL'ler, Windows Vista ve Windows Server 2008 işletim sistemlerinde SQL Server hizmet grubu olarak ayarlanmak yerine SQL Server hizmet SID'si için ayarlanır.
2SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.
Yerleşik hesaplara veya diğer SQL Server hizmet hesaplarına bazı erişim denetimi izinleri verilmesi gerekebilir.Aşağıdaki tabloda, SQL Server Kurulumu tarafından ayarlanan ek ACL'ler listelenmektedir.
İstekte bulunan bileşen |
Hesap |
Kaynak |
İzinler |
---|---|---|---|
MSSQLServer |
Performans Günlüğü Kullanıcıları |
Instid\MSSQL\binn |
Klasör içeriklerini listeleme |
|
Performans İzleyicisi Kullanıcıları |
Instid\MSSQL\binn |
Klasör içeriklerini listeleme |
|
Performans Günlüğü Kullanıcıları, Performans İzleyicisi Kullanıcıları |
\WINNT\system32\sqlctr100.dll |
Okuma, Yürütme |
|
Yalnızca yönetici |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
Tam denetim |
|
Yöneticiler, Sistem |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Tam denetim |
|
Kullanıcılar |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Okuma, Yürütme |
Reporting Services |
<Rapor Sunucusu Web Hizmeti Hesabı> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Rapor Yöneticisi Uygulama havuzu kimliği, ASP.NET hesabı, Herkes |
<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Okuma |
|
Rapor Yöneticisi Uygulama havuzu kimliği |
<install>\Reporting Services\ReportManager\Pages\*.* |
Okuma |
|
<Rapor Sunucusu Web Hizmeti Hesabı> |
<install>\Reporting Services\ReportServer |
Okuma |
|
<Rapor Sunucusu Web Hizmeti Hesabı> |
<install>\Reporting Services\ReportServer\global.asax |
Tam |
|
Herkes |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Ağ hizmeti |
<install>\Reporting Services\ReportServer\ReportService.asmx |
Tam |
|
Herkes |
<install>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
ReportServer Windows Hizmetleri Hesabı |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Herkes |
Rapor Sunucusu anahtarları (Instid kovanı) |
Sorgu Değeri Alt Anahtarları Numaralandırma Bildirme Okuma Denetimi |
|
Terminal Hizmetleri Kullanıcısı |
Rapor Sunucusu anahtarları (Instid kovanı) |
Sorgu Değeri Değer Ayarlama Alt Anahtar Oluşturma Alt Anahtar Numaralandırma Bildirme Sil Okuma Denetimi |
|
Power Users |
Rapor Sunucusu anahtarları (Instid kovanı) |
Sorgu Değeri Değer Ayarlama Alt Anahtar Oluşturma Alt Anahtarları Numaralandırma Bildirme Sil Okuma Denetimi |
1Bu, WMI sağlayıcısı ad alanıdır.
SQL Server Hizmetleri için Windows İzinlerini Gözden Geçirme
Aşağıdaki tabloda, SQL Server hizmetlerinin varsayılan ve adlandırılmış örneklerini, hizmet işlevinin bir açıklamasını ve gerekli minimum izinleri ifade etmek için kullanılan terim olan hizmet adları gösterilmektedir.
Görünen ad |
Hizmet adı |
Açıklama |
Gerekli izinler |
---|---|---|---|
SQL Server (InstanceName) |
Varsayılan örnek: MSSQLSERVER Adlandırılmış örnek: MSSQL$InstanceName |
SQL Server Veritabanı Altyapısı. Yürütülebilir dosya yolu \MSSQL\Binn\sqlservr.exe şeklindedir. |
Yerel kullanıcı veya etki alanı kullanıcı hesabı önerilir. Bir hizmet olarak oturum açma (SeServiceLogonRight).1 İşlem düzeyinde bir belirteci değiştirme (SeAssignPrimaryTokenPrivilege). Çapraz geçiş denetimini atlama (SeChangeNotifyPrivilege). Bir işlem için bellek kotalarını ayarlama (SeIncreaseQuotaPrivilege). SQL Server Active Directory Yardımcısı'nı başlatma izni. SQL Yazıcı'yı başlatma izni. Olay Günlüğü hizmetini okuma izni. Uzaktan Yordam Çağrısı hizmetini okuma izni.
Minimum izinlerİşlevsellik
MSSQLServer hizmeti başlangıç hesabı
Hesap, SQL Server uygulamasının yüklendiği kök sürücüde Klasör Listeleme izinlerine sahip olan hesaplar listesinde bulunmalıdır.Ayrıca SQL Server dosyalarının depolandığı başka bir sürücünün kökünde de olması gerekir.
Not
Kök sürücüdeki "Klasör Listeleme" izinlerinin, alt klasörler tarafından devralınması gerekmez.
MSSQLServer hizmeti başlangıç hesabıHesap, veri veya günlük dosyalarının (.mdf, .ndf, .ldf) bulunduğu klasörler üzerinde Tam Denetim izinlerine sahip olmalıdır.
|
SQL Server Aracısı (InstanceName)1 |
Varsayılan örnek: SQLServerAgent Adlandırılmış örnek: SQLAgent$InstanceName |
İşleri yürütür, SQL Server uygulamasını izler, uyarı verir ve bazı yönetim görevlerinin otomasyonunu sağlar. Yürütülebilir dosya yolu \MSSQL\Binn\sqlagent.exe şeklindedir. |
Minimum izinlerİşlevsellik
Hesap, sysadmin sabit sunucu rolünün üyesi olmalıdır.
Hesabın aşağıdaki Windows izinlerine sahip olması gerekir:Bir hizmet olarak oturum açma.İşlem düzeyinde bir belirteci değiştirme.Bir işlem için bellek kotalarını ayarlama.Çapraz geçiş denetimini atlama.
|
Analysis Services Hizmetleri (InstanceName) |
Varsayılan örnek: MSSQLServerOLAPService Adlandırılmış örnek: MSOLAP$InstanceName |
Karar destek uygulamaları için çevrimiçi analitik işleme (OLAP) ve veri araştırma işlevselliği sağlayan hizmet. Yürütülebilir dosya yolu \OLAP\Bin\msmdsrv.exe şeklindedir. |
|
Reporting Services |
Varsayılan örnek: ReportServer Adlandırılmış örnek: ReportServer$InstanceName |
Raporları yönetir, yürütür, oluşturur, zamanlar ve teslim eder. Yürütülebilir dosyanın yolu, \Reporting Services\ReportServer\Bin\ReportingServicesService.exe şeklindedir. |
|
Integration Services |
Varsayılan veya adlandırılmış örnek: MSDTSServer |
Integration Services paket depolaması ve yürütmesi için yönetim desteği sağlar. Yürütülebilir dosya yolu \DTS\Binn\msdtssrvr.exe şeklindedir. |
|
Tam metin arama |
Varsayılan veya adlandırılmış örnek: SQL Tam Metin Filtre Arka Plan Programı Başlatıcısı |
SQL Server tam metin araması için belge filtreleme ve sözcük bölünmesi gerçekleştirmek üzere tam metin filtre arka plan programı işlemini başlatma hizmeti. |
|
SQL Server Tarayıcı |
Varsayılan veya adlandırılmış örnek: SQLBrowser |
İstemci bilgisayarlar için SQL Server bağlantı bilgileri sağlayan ad çözümlemesi hizmeti.Bu hizmet, birden çok SQL Server ve SSIS örneğinde paylaşılır. Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe şeklindedir. |
|
SQL Server Active Directory Yardımcısı |
Varsayılan veya adlandırılmış örnek: MSSQLServerADHelper. |
Windows Active Directory'de SQL Server hizmetlerini yayımlar ve yönetir. Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe şeklindedir. |
|
SQL Yazıcı |
SQLWriter |
Yedekleme ve geri yükleme uygulamalarının Birim Gölge Kopyası Hizmeti çerçevesinde çalışmasına olanak sağlar.Sunucudaki tüm SQL Server örnekleri için SQL Yazıcı hizmetinin tek bir örneği vardır. Yürütülebilir dosya yolu <sürücü>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe şeklindedir. |
|
1SQL Server Aracısı hizmeti, SQL Server Express ve SQL Server Express with Advanced Services örneklerinde devre dışı bırakılmıştır.
Dikkate Alınacak Ek Konuları Gözden Geçirme
Aşağıdaki tabloda, SQL Server hizmetlerinin ek işlevsellik sunması için gereken izinler gösterilmektedir.
Hizmet/Uygulama |
İşlevsellik |
Gerekli izin |
---|---|---|
SQL Server (MSSQLSERVER) |
xp_sendmail kullanarak posta yuvasına yazma. |
Ağ yazma izinleri. |
SQL Server (MSSQLSERVER) |
SQL Server yöneticisi dışındaki bir kullanıcı için xp_cmdshell çalıştırma. |
İşletim sisteminin parçası olarak hareket etme ve işlem düzeyinde bir belirteci değiştirme. |
SQL Server Aracısı (MSSQLSERVER) |
Otomatik olarak yeniden başlatma özelliğini kullanma. |
Administrators yerel grubunun bir üyesi olunmalıdır. |
Veritabanı Altyapısı Ayarlama Danışmanı |
En iyi sorgu performansı için veritabanlarını ayarlar. |
İlk kullanımda, sistem yöneticisi kimlik bilgilerine sahip bir kullanıcı uygulamayı başlatmalıdır.Başlatmadan sonra, dbo kullanıcıları yalnızca kendilerine ait tabloları ayarlamak için Veritabanı Altyapısı Ayarlama Danışmanı'nı kullanabilir.Daha fazla bilgi için bkz. "İlk Kullanımda Veritabanı Altyapısı Ayarlama Danışmanı'nı Başlatma", SQL Server Books Online. |
Önemli |
---|
SQL Server yükseltmesinden önce, SQL Server Aracısı için Windows Kimlik Doğrulamasını etkinleştirin ve gerekli varsayılan yapılandırmayı (SQL Server Aracısı hizmet hesabının, SQL Server sysadmin grubunun üyesi olduğunu) doğrulayın. |
Yerelleştirilmiş Hizmet Adları
Aşağıdaki tabloda, Windows'un yerelleştirilmiş sürümleri tarafından görüntülenen hizmet adları gösterilmektedir.
Dil |
Yerel Hizmet için Ad |
Ağ Hizmeti için Ad |
Yerel Sistem için Ad |
Admin Grubu için Ad |
---|---|---|---|---|
İngilizce Basitleştirilmiş Çince Geleneksel Çince Kore Dili Japonca |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Almanca |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Fransızca |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
İtalyanca |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
İspanyolca |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Rusça |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |