设置 Windows 服务帐户
更新日期: 2006 年 12 月 12 日
SQL Server 中的每个服务代表一个进程或一组进程,用于在 Microsoft Windows 中管理 SQL Server 操作的身份验证。 本主题介绍此 SQL Server 版本中服务的默认配置,以及可以在 SQL Server 安装过程中设置的 SQL Server 服务的配置选项。
安全说明 请始终使用尽可能低的用户权限运行 SQL Server 服务。
根据您选择要安装的 Microsoft SQL Server 2005 组件,SQL Server 2005 安装程序可安装下列服务:
- SQL Server 数据库服务 - 用于 SQL Server 关系数据库引擎的服务。
- SQL Server Agent - 执行作业、监视 SQL Server、激发警报及允许自动执行某些管理任务。
.gif "ms143504.note(zh-cn,SQL.90).gif")
注意:由于 SQL Server 和 SQL Server 代理在 Windows 中作为服务来运行,因此必须给 SQL Server 和 SQL Server 代理指派 Windows 用户帐户。 通常,给 SQL Server 和 SQL Server 代理指派相同的用户帐户,要么是 Local System 用户帐户要么是 Domain User 帐户。 但是,也可以在安装过程中为每个服务自定义设置。 有关如何为每个服务自定义帐户信息的详细信息,请参阅服务帐户。 - Analysis Services - 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能。
- Reporting Services - 管理、执行、呈现、计划和传递报表。
- Notification Services - 生成和发送通知的应用程序的开发和部署平台。
- Integration Services - 为 Integration Services 包的存储和执行提供管理支持。
- 全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而允许对此数据执行快速语言搜索。
- SQL Server Browser - 向客户端计算机提供 SQL Server 连接信息的名称解析服务。
- SQL Server Active Directory Helper - 在 Active Directory 中发布和管理 SQL Server 服务。
- SQL 编写器 - 允许备份和还原应用程序,以便在 Volume Shadow Copy Service (VSS) 框架中进行操作。
本主题的其余内容分为下列几部分:
- 配置 SQL Server 安装程序中出现的服务
- 使用 SQL Server 服务的启动帐户
- 辨别识别实例的服务和不识别实例的服务
- 查看为 SQL Server 服务帐户授予的 NT 权限和特权
- 查看为 SQL Server 服务帐户创建的访问控制列表
- 查看 SQL Server 服务的 Windows 权限
- 查看其他注意事项
- 本地化的服务名称
配置 SQL Server 安装程序中出现的服务
在 SQL Server 安装过程中,您可以为某些 SQL Server 服务配置启动帐户并配置是否自动启动服务。 下表列出了可以在安装过程中配置的 SQL Server 服务。 对于无人参与的安装,可以在安装文件中或在命令提示符下使用开关。
| SQL Server 服务名称 | 是否可在安装向导中配置? | 无人参与安装的开关1 |
|---|---|---|
MSSQLSERVER |
是 |
SQLACCOUNT、SQLPASSWORD、SQLAUTOSTART |
SQLServerAgent |
是 |
AGTACCOUNT、AGTPASSWORD、AGTAUTOSTART |
MSSQLServerOLAPService |
是 |
ASACCOUNT、ASPASSWORD、ASAUTOSTART |
ReportServer |
是 |
RSACCOUNT、RSPASSWORD、RSAUTOSTART |
SQLBrowser |
是 |
SQLBROWSERACCOUNT、SQLBROWSERPASSWORD、SQLBROWSERAUTOSTART2 |
1有关远程安装和无人参与的安装的详细信息和示例语法,请参阅如何从命令提示符安装 SQL Server 2005。
2即使已安装 SQL Server 浏览器,仍可指定 SQLBROWSERAUTOSTART。
安装时无法配置下列服务。 它们将以默认设置安装:
- Notification Services
- Integration Services
- 全文搜索
- Active Directory Helper
- SQL 编写器
使用 SQL Server 服务的启动帐户
为了启动和运行,SQL Server 2005 中的每个服务必须具有用户帐户。 用户帐户可以是内置系统帐户或 Domain User 帐户。
除具有用户帐户外,每个服务还有用户可控制的三种可能的启动状态:
- 已禁用 服务已安装但当前未运行。
- 手动 服务已安装但仅当另一个服务或应用程序需要该服务的功能时才启动。
- 自动 在引导时加载设备驱动程序后,操作系统启动该服务。
下表显示了每个 SQL Server 服务的默认帐户和可选帐户,以及每个服务的启动状态。
| SQL Server 服务名称 | 默认帐户 | 可选帐户 | 启动类型 | 安装后的默认状态 |
|---|---|---|---|---|
SQL Server |
Windows 2000 上的 SQL Server Express Edition:Local System 所有其他支持的操作系统上的 SQL Server Express Edition:Network Service 所有支持的操作系统上的所有其他版本类别:Domain User1 |
SQL Server Express Edition:Domain User、Local System、Network Service1 所有其他版本:Domain User、Local System、Network Service1 |
自动2 |
已启动 仅当用户选择不自动启动时才停止 |
SQL Server 代理 |
Domain User3 |
Domain User、Local System、Network Service1,6 |
已禁用 仅当用户选择自动启动时才成为“自动” |
已停止 仅当用户选择自动启动时才启动 |
Analysis Services |
Domain User3 |
Domain User、Local System、Network Service、Local Service |
自动 |
已启动 仅当用户选择不自动启动时才停止 |
Reporting Services |
Domain User3 |
Domain User、Local System、Network Service、Local Service |
自动 |
已启动 仅当用户选择不自动启动时才停止 |
Notification Services4 |
不适用 |
不适用 |
不适用 |
不适用 |
Integration Services |
Windows 2000:Local System 所有其他支持的操作系统:Network Service |
Domain User、Local System、Network Service、Local Service |
自动 |
已启动 仅当用户选择不自动启动时才停止。 |
全文搜索 |
与 SQL Server 的帐户相同 |
Domain User、Local System、Network Service、Local Service |
手动 |
已停止 仅当用户选择自动启动时才启动。 |
SQL Server 浏览器 |
Windows 2000 上的 SQL Server Express Edition:Local System 所有其他支持的操作系统上的 SQL Server Express Edition:Local Service 所有支持的操作系统上的所有其他版本类别:Domain User1,3 |
Domain User、Local System、Network Service、Local Service |
已禁用5 仅当用户选择自动启动时才成为“自动”。 |
已停止5 仅当用户选择自动启动时才启动。 |
SQL Server Active Directory Helper |
Network Service |
Local System、Network Service |
已禁用 |
已停止 |
SQL 编写器 |
Local System |
Local System |
自动 |
已启动 |
1重要提示 Microsoft 建议,对于 SQL Server 服务或 SQL Server 代理服务,不要使用 Network Service 帐户。 本地用户帐户或域用户帐户更适用于这些 SQL Server 服务。
2在故障转移群集配置中设置为手动。
3对于无人参与的安装,此属性是必需的。 如果未指定此属性,安装程序将失败。 若要指定 Local System,请使用 SQLAccount=LocalSystem 或 ASAccount=LocalSystem。 有关远程安装和无人参与的安装的详细信息和示例语法,请参阅如何从命令提示符安装 SQL Server 2005。
4 SQL Server 安装程序可安装但不配置 Notification Services。 有关安装后启用 Notification Services 的详细信息,请参阅 SQL Server 2005 联机丛书中的“配置 Notification Services Windows 服务”主题。
5对于故障转移群集安装,SQL Server 浏览器设置为自动启动,并且默认情况下为在安装后启动。
6有关可用于运行 SQL Server 代理的受支持 Windows 帐户的详细信息,请参阅在 SQL Server 2005 中支持的、可用于运行 SQL Server 代理服务的 Windows 帐户类型。
| 重要提示: |
|---|
| 对于故障转移群集安装,不允许将 Local System 帐户和 Local Service 帐户用于 SQL Server、SQL Server 代理和 SSAS 等群集服务。 有关详细信息,请参阅安装故障转移群集前的准备工作。 如果采用与早期版本的 SQL Server 并行的配置来安装 SQL Server 2005,SQL Server 2005 服务必须只使用全局域组内的帐户。 另外,SQL Server 2005 服务所使用的帐户不得出现在本地 Administrators 组中。 不遵守此原则将导致出乎意料的安全行为。 |
使用域用户帐户
当服务必须与网络服务交互时,应首选 Domain User 帐户。 许多服务器到服务器的活动只能使用域用户帐户来执行,例如:
- 远程过程调用。
- 复制。
- 备份到网络驱动器。
- 涉及远程数据源的异类联接。
- SQL Server 代理邮件功能和 SQL Mail。 如果使用 Microsoft Exchange,则受此限制。 大多数其他邮件系统同样要求客户端(如 SQL Server 服务和 SQL Server 代理服务)以具有网络访问权限的帐户运行。
使用 Local Service 帐户
本地服务帐户是一个特殊的内置帐户,它与通过身份验证的用户帐户类似。 本地服务帐户与 Users 组的成员具有相同级别的资源和对象访问权限。 如果有个别服务或进程的安全受到威胁,则此有限访问权限有助于保护系统的安全。 以本地服务帐户身份运行的服务将以一个没有凭据的空会话形式访问网络资源。
使用 Network Service 帐户
网络服务帐户是一个特殊的内置帐户,它与通过身份验证的用户帐户类似。 网络服务帐户与 Users 组的成员具有相同级别的资源和对象访问权限。 以网络服务帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。
| 重要提示: |
|---|
| Microsoft 建议,对于 SQL Server 服务或 SQL Server 代理服务,不要使用 Network Service 帐户。 本地用户帐户或域用户帐户更适用于这些 SQL 服务。 |
使用 Local System 帐户
Local System 帐户是一个高特权帐户;向 SQL Server 服务帐户分配 Local System 权限时应谨慎。
.gif "ms143504.security(zh-cn,SQL.90).gif") 安全说明: |
|---|
| 要增强安装的 SQL Server 的安全性,请使用权限尽可能低的本地 Windows 帐户运行 SQL Server 服务。 |
更改用户帐户
若要更改任何与 SQL Server 相关的服务的密码或其他属性,请使用 SQL Server 配置管理器。 如果 Windows 密码发生了更改,请确保更新 Windows 中的 SQL Server 服务设置。 如果启用了 Kerberos,请确保更新 Active Directory 的服务主体名称 (SPN) 目录属性。
有关详细信息,请参阅更改密码和用户帐户。 有关使用 Microsoft Windows 中的“服务”外接程序更改 SQL Server 服务帐户的信息,请参阅如何不使用 SQL Server 2000 中的 SQL 企业管理器或 SQL Server 2005 中的 SQL Server 配置管理器更改 SQL Server 或 SQL Server 代理服务帐户。
辨别识别实例的服务和不识别实例的服务
有些 SQL Server 服务是识别实例的服务,而其他服务是不识别实例的服务。 每个识别实例的服务都与某个特定 SQL Server 实例相关联,并且具有自己的注册表配置单元。 通过为每个组件或服务的安装运行 SQL Server 安装程序,可以安装识别实例服务的多个副本。 不识别实例的服务由所有已安装的 SQL Server 实例共享;它们不与特定实例相关联,仅安装一次且不能并行安装。
在 Microsoft SQL Server 2005 中,识别实例的服务包括:
- SQL Server
- SQL Server 代理
- Analysis Services
- Reporting Services
- 全文搜索
在 SQL Server 2005 中,不识别实例的服务包括:
- Notification Services
- Integration Services
- SQL Server 浏览器
- SQL Server Active Directory Helper
- SQL 编写器
查看为 SQL Server 服务帐户授予的 Windows NT 权限和特权
SQL Server 安装程序为不同的 SQL Server 服务创建用户组,并根据需要向这些用户组添加服务帐户。 这些组可以简化运行 SQL Server 服务和其他可执行文件所需权限的授予过程,并有助于增加 SQL Server 文件的安全性。 请注意,在域控制器上安装 SQL Server 2005 时,组名必须唯一。
由 SQL Server 安装程序创建的用户组被授予以下 Windows NT 权限和特权:
| SQL Server 服务 | 用户组 | SQL Server 安装程序授予的默认权限 |
|---|---|---|
SQL Server |
默认实例:SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER 命名实例:SQLServer2005MSSQLUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) 充当操作系统的一部分 (SeTcbPrivilege)(仅限 Windows 2000) 以批处理作业身份登录 (SeBatchLogonRight) 替换进程级别标记 (SeAssignPrimaryTokenPrivilege) 跳过遍历检查 (SeChangeNotifyPrivilege) 调整进程的内存配额 (SeIncreaseQuotaPrivilege) 启动 SQL Server Active Directory Helper 的权限 启动 SQL 编写器的权限 |
SQL Server 代理 |
默认实例:SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER 命名实例:SQLServer2005SQLAgentUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) 充当操作系统的一部分 (SeTcbPrivilege)(仅限 Windows 2000) 以批处理作业身份登录 (SeBatchLogonRight) 替换进程级别标记 (SeAssignPrimaryTokenPrivilege) 跳过遍历检查 (SeChangeNotifyPrivilege) 调整进程的内存配额 (SeIncreaseQuotaPrivilege) |
Analysis Services |
默认实例:SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER 命名实例:SQLServer2005MSOLAPUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) |
Reporting Services1 |
默认实例:SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER and SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER 命名实例:SQLServer2005ReportServerUser$ComputerName$InstanceName and SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) |
Notification Services2 |
默认实例或命名实例:SQLServer2005NotificationServicesUser$ComputerName |
不适用 |
Integration Services |
默认实例或命名实例:SQLServer2005DTSUser$ComputerName |
以服务身份登录 (SeServiceLogonRight) 应用程序事件日志的写入权限。 跳过遍历检查 (SeChangeNotifyPrivilege) 创建全局对象 (SeCreateGlobalPrivilege) 身份验证后模拟客户端 (SeImpersonatePrivilege) |
全文搜索 |
默认实例:SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER 命名实例:SQLServer2005MSFTEUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) |
SQL Server 浏览器 |
默认实例或命名实例:SQLServer2005SQLBrowserUser$ComputerName |
以服务身份登录 (SeServiceLogonRight) |
SQL Server Active Directory Helper |
默认实例或命名实例:SQLServer2005MSSQLServerADHelperUser$ComputerName |
无3 |
SQL 编写器 |
不适用 |
无3 |
1对于 Reporting Services,SQL Server 安装程序还必须创建“SQLServer2005ReportingServicesWebServiceUser$实例名”用户组和“SQLServer2005ASP.NETUser”用户组,并授予它们访问控制列表 (ACL) 权限。 有关详细信息,请参阅下面有关访问控制列表的部分。
2 SQL Server 安装程序可安装但不配置 Notification Services。 有关安装后启用 Notification Services 的详细信息,请参阅 SQL Server 2005 联机丛书中的“配置 Notification Services Windows 服务”主题。
3 SQL Server 安装程序不检查此服务或为其授予权限。
查看为 SQL Server 服务帐户创建的访问控制列表
SQL Server 2005 服务帐户必须具有对资源的访问权限。 访问控制列表 (ACL) 是在用户组级别设置的。 下表列出了 SQL Server 安装程序设置的访问控制列表 (ACL)。
| 重要提示: |
|---|
| 对于故障转移群集安装,不能为本地用户组中的任何 ACL 设置共享磁盘上的资源。 而要为本地帐户的 ACL 设置这些资源。 |
| 服务帐户所属服务 | 文件和文件夹 | 访问权限 |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
完全控制 |
|
Instid\MSSQL\binn |
读取、执行 |
|
Instid\MSSQL\data |
完全控制 |
|
Instid\MSSQL\FTData |
完全控制 |
|
Instid\MSSQL\Install |
读取、执行 |
|
Instid\MSSQL\Log |
完全控制 |
|
Instid\MSSQL\Repldata |
完全控制 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
|
90\com |
读取、执行 |
|
Instid\MSSQL\Template Data(仅限 SQL Server Express) |
读取 |
SQLServerAgent |
Instid\MSSQL\binn |
完全控制 |
|
Instid\MSSQL\Log |
完全控制 |
|
Instid\MSSQL\jobs |
完全控制 |
|
90\com |
读取、执行 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
FTS |
Instid\MSSQL\FTData |
完全控制 |
|
Instid\MSSQL\FTRef |
读取、执行 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
|
Instid\MSSQL\Install |
读取、执行 |
MSSQLServerOLAPservice |
90\shared |
读取、执行 |
|
90\shared\msmdlocal.ini |
完全控制 |
|
Instid\OLAP |
读取、执行 |
|
Instid\Olap\Data |
完全控制 |
|
Instid\Olap\Log |
读取、写入 |
|
90\shared\Errordumps |
读取、写入 |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
读取、写入、删除 |
|
Instid\Reporting Services\ReportServer |
读取、执行 |
|
Instid\Reportingservices\Reportserver\global.asax |
完全控制 |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
读取、写入 |
|
Instid\Reporting Services\reportManager |
读取、执行 |
|
Instid\Reporting Services\RSTempfiles |
读取、写入 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
读取、写入、删除 |
|
Instid\Reporting Services\ReportServer |
读取、执行 |
|
Instid\Reportingservices\Reportserver\global.asax |
完全控制 |
|
InstID\Reporting Services\reportservice.asmx |
完全控制 |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
读取、写入、删除 |
|
Instid\Reporting Services\reportManager |
读取、执行 |
|
Instid\Reporting Services\RSTempfiles |
读取、写入 |
|
Instid\Reporting Services\reportManager\pages |
读取 |
|
Instid\Reporting Services\reportManager\Styles |
读取 |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
读取 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
Notification services |
90\Notification services |
读取、执行、列出文件夹内容 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
读取 |
|
90\dts\binn |
读取、执行 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
SQL Server 浏览器 |
90\shared\msmdlocal.ini |
读取 |
|
90\shared |
读取、执行 |
|
90\shared\Errordumps |
读取、写入 |
MSADHekper |
不适用(以内置帐户身份运行) |
|
SQLWriter |
不适用(以 Local System 身份运行) |
|
用户 |
Instid\MSSQL\binn |
读取、执行 |
|
Instid\Reporting Services\ReportServer |
读取、执行 |
|
Instid\Reportingservices\Reportserver\global.asax |
读取 |
|
InstID\Reporting Services\reportservice.asmx |
读取、执行 |
|
Instid\Reporting Services\reportManager |
读取、执行 |
|
Instid\Reporting Services\reportManager\pages |
读取 |
|
Instid\Reporting Services\reportManager\Styles |
读取 |
|
90\dts |
读取、执行 |
|
90\tools |
读取、执行 |
|
80\tools |
读取、执行 |
|
90\sdk |
读取 |
|
Microsoft SQL Server\90\Setup Bootstrap |
读取、执行 |
除 SQL Server 服务启动帐户外,可能还必须向内置帐户或其他 SQL Server 服务帐户授予访问控制权限。 下表列出了 SQL Server 安装程序设置的其他 ACL。
| 请求组件 | 帐户 | 资源 | 权限 |
|---|---|---|---|
MSSQLServer |
性能日志用户 |
Instid\MSSQL\binn |
列出文件夹内容 |
|
性能监视器用户 |
Instid\MSSQL\binn |
列出文件夹内容 |
|
性能日志用户 |
Instid\MSSQL\binn\sqlctr90.dll |
读取、执行 |
|
性能监视器用户 |
Instid\MSSQL\binn\sqlctr90.dll |
读取、执行 |
|
仅限于管理员 |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
完全控制 |
|
管理员 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
完全控制 |
|
系统 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
完全控制 |
|
用户 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
读取、执行 |
Reporting services |
<报表服务器 Web 服务帐户> |
<安装目录>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
报表管理器应用程序池标识 |
<安装目录>\Reporting Services\ReportManager |
读 |
|
ASP.NET 帐户 |
<安装目录>\Reporting Services\ReportManager |
读取 |
|
Everyone |
<安装目录>\Reporting Services\ReportManager |
读取 |
|
报表管理器应用程序池标识 |
<安装目录>\Reporting Services\ReportManager\Pages\*.* |
读取 |
|
ASP.NET 帐户 |
<安装目录>\Reporting Services\ReportManager\Pages\*.* |
读取 |
|
Everyone |
<安装目录>\Reporting Services\ReportManager\Pages\*.* |
读取 |
|
报表管理器应用程序池标识 |
<安装目录>\Reporting Services\ReportManager\Styles\*.* |
读取 |
|
ASP.NET 帐户 |
<安装目录>\Reporting Services\ReportManager\Styles\*.* |
读取 |
|
Everyone |
<安装目录>\Reporting Services\ReportManager\Styles\*.* |
读取 |
|
报表管理器应用程序池标识 |
<安装目录>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
读取 |
|
ASP.NET 帐户 |
<安装目录>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
读取 |
|
Everyone |
<安装目录>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
读 |
|
<报表服务器 Web 服务帐户> |
<安装目录>\Reporting Services\ReportServer |
读 |
|
<报表服务器 Web 服务帐户> |
<安装目录>\Reporting Services\ReportServer\global.asax |
Full |
|
Everyone |
<安装目录>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Network Service |
<安装目录>\Reporting Services\ReportServer\ReportService.asmx |
Full |
|
Everyone |
<安装目录>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
ReportServer Windows 服务帐户 |
<安装目录>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Everyone |
报表服务器密钥(Instid 配置单元) |
查询值 枚举子项 通知 读取控制 |
|
终端服务用户 |
报表服务器密钥(Instid 配置单元) |
查询值 设置值 创建子项 枚举子项 通知 删除 读取控制 |
|
超级用户 |
报表服务器密钥(Instid 配置单元) |
查询值 设置值 创建子项 枚举子项 通知 删除 读取控制 |
1这是 WMI 提供程序命名空间。
查看 SQL Server 服务的 Windows 权限
下表显示服务名称、用于指代 SQL Server 服务的默认实例和命名实例的术语、服务功能的说明以及所需的最低权限。
显示名称
服务名称
说明
所需的权限
SQL Server (实例名)
默认实例:MSSQLSERVER
命名实例:MSSQL$实例名
SQL Server 数据库引擎.
执行文件的路径为 \MSSQL\Binn\sqlservr.exe。
建议使用本地用户。
最低权限
功能
MSSQLServer 服务启动帐户
该帐户必须对安装 SQL Server 的根驱动器以及存储 SQL Server 文件的任何其他驱动器的根目录具有“列出文件夹”权限。
注意:
子文件夹不必继承根驱动器的“列出文件夹”权限。
MSSQLServer 服务启动帐户该帐户必须对数据或日志文件(.mdf、.ndf、.ldf)将驻留的任何文件夹都有“完全控制”权限。
SQL Server 代理 (实例名)
默认实例:SQLServerAgent
命名实例:SQLAgent$实例名
执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。
其可执行文件的路径为 \MSSQL\Binn\sqlagent90.exe。
最低权限
功能
该帐户必须是 sysadmin 固定服务器角色的成员。
该帐户必须具有以下 Windows 权限1以服务身份登录。 以批处理作业身份登录。 替换进程级别标记。 调整进程的内存配额。 充当操作系统的一部分。 跳过遍历检查。
Analysis Services 服务 (实例名)
默认实例:MSSQLServerOLAPService
命名实例:MSOLAP$InstanceName
为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能的服务。
其可执行文件的路径为 \OLAP\Bin\msmdsrv.exe。
报表服务器
默认实例:ReportServer
命名实例:ReportServer$InstanceName
管理、执行、呈现、计划和传递报表。
其可执行文件的路径为 \Reporting Services\ReportServer\Bin\ReportingServicesService.exe。
Notification Services
Notification Services 是生成并发送通知的应用程序的开发和部署平台。 SQL Server 安装程序可安装但不配置 Notification Services。 有关安装后启用 Notification Services 的详细信息,请参阅 SQL Server 2005 联机丛书中的“配置 Notification Services Windows 服务”主题。
Integration Services
默认实例或命名实例:MSDTSServer
为 Integration Services 包存储和执行提供管理支持。
其可执行文件的路径为 \DTS\Binn\msdtssrvr.exe。
SQL Server 浏览器
默认实例或命名实例:SQLBrowser
向客户机提供 SQL Server 连接信息的名称解析服务。 多个 SQL Server 和 SSIS 实例共享此服务。
其可执行文件的路径为 \90\shared\sqlbrowser.exe。
Microsoft 全文搜索 (MSFTESQL)
默认实例:MSFTESQL
命名实例:MSFTESQL$InstanceName
对结构化和半结构化数据的内容和属性快速创建全文索引以允许对此数据的快速语言搜索。
其可执行文件的路径为 \MSSQL\Binn\msftesql.exe。
SQL Server Active Directory Helper
默认实例或命名实例:MSSQLServerADHelper。
在 Windows Active Directory 中发布和管理 SQL Server 服务。
其可执行文件的路径为 \90\Shared\sqladhelper.exe。
SQL 编写器
SQLWriter
允许备份和还原应用程序,以便在 Volume Shadow Copy Service (VSS) 框架中进行操作。 针对服务器上的所有 SQL 实例只有一个 SQL Server 编写器服务实例。
其可执行文件的路径为 \90\Shared\sqlwriter.exe。
1有关如何验证是否设置了所需的每个 Windows 权限的详细信息,请参阅如何验证 SQL Server 服务的权限。
查看其他注意事项
下表显示了使 SQL Server 服务提供其他功能所需的权限。
| 服务/应用程序 | 功能 | 所需的权限 |
|---|---|---|
SQL Server (MSSQLSERVER) |
使用 xp_sendmail 写入邮件槽。 |
网络写入权限。 |
SQL Server (MSSQLSERVER) |
运行用户的而不是 SQL Server 管理员的 xp_cmdshell。 |
充当操作系统的一部分以及替换进程级别标记。 |
SQL Server 代理 (MSSQLSERVER) |
使用自动重新启动功能。 |
必须是本地 Administrators 组的成员。 |
数据库引擎优化顾问 |
优化数据库以获得最佳查询性能。 |
第一次使用时,具有系统管理员权限的用户必须初始化该应用程序。 初始化后,拥有表的用户(dbo 用户)可使用数据库引擎优化顾问来只优化属于他们的表。 有关详细信息,请参阅 SQL Server 2005 联机丛书中的“在第一次使用时初始化数据库引擎优化顾问”。 |
| 重要提示: |
|---|
| 升级到 SQL Server 2005 之前,请先启用 SQL Server 代理的 Windows 身份验证,并验证 SQL Server 代理的服务帐户是否是 SQL Server sysadmin 组的成员。 |
本地化的服务名称
下表显示了 Microsoft Windows 的本地化版本所使用的服务名称。
| 语言 | Local Service 的名称 | Network Service 的名称 | Local System 的名称 | Admin Group 的名称 |
|---|---|---|---|---|
英语 简体中文 繁体中文 朝鲜语 日语 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
德语 |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
法语 |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
意大利语 |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
西班牙语 |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
俄语 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
请参阅
参考
概念
帮助和信息
更改历史记录
| 发布日期 | 历史记录 |
|---|---|
2006 年 12 月 12 日 |
|
2006 年 7 月 17 日 |
|
2005 年 12 月 5 日 |
|