sql server 服务账户和权限管理配置文档格式.docx
- 文档编号:8100325
- 上传时间:2023-05-10
- 格式:DOCX
- 页数:31
- 大小:30.98KB
sql server 服务账户和权限管理配置文档格式.docx
《sql server 服务账户和权限管理配置文档格式.docx》由会员分享,可在线阅读,更多相关《sql server 服务账户和权限管理配置文档格式.docx(31页珍藏版)》请在冰点文库上搜索。
可执行文件为<
MSSQLPATH>
\MSSQL\Binn\sqlservr.exe。
SQLServer代理
-执行作业、监视SQLServer、激发警报以及允许自动执行某些管理任务。
SQLServer代理服务在SQLServerExpress的实例上存在,但处于禁用状态。
\MSSQL\Binn\sqlagent.exe。
AnalysisServices
-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。
\OLAP\Bin\msmdsrv.exe。
ReportingServices
-管理、执行、创建、计划和传递报表。
\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。
IntegrationServices
-为IntegrationServices包的存储和执行提供管理支持。
可执行文件的路径是<
\130\DTS\Binn\MsDtsSrvr.exe
SQLServerBrowser
-向客户端计算机提供SQLServer连接信息的名称解析服务。
可执行文件的路径为c:
\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe
全文搜索
-对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQLServer提供文档筛选和断字功能。
SQL编写器
-允许备份和还原应用程序在卷影复制服务(VSS)框架中运行。
SQLServer分布式重播控制器
-跨多个分布式重播客户端计算机提供跟踪重播业务流程。
SQLServerDistributedReplay客户端
-与DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。
SQLServer受信任的启动板
-用于托管Microsoft提供的外部可执行文件的可信服务,例如作为RServices(In-database)的一部分安装的R运行时。
附属进程可由启动板进程启动,但将根据单个实例的配置进行资源调控。
启动板服务在其自己的用户帐户下运行,特定注册运行时的各个附属进程将继承启动板的用户帐户。
附属进程将在执行过程中按需创建和销毁。
服务属性和配置
用于启动和运行SQLServer的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。
若要启动和运行SQLServer中的每项服务,这些服务都必须有一个在安装过程中配置的启动帐户。
默认服务帐户
下表列出了安装程序在安装所有组件时使用的默认服务帐户。
列出的默认帐户是建议使用的帐户,但特殊注明的除外。
独立服务器或域控制器
组件
WindowsServer2008(可能为英文页面)
Windows7和WindowsServer2008(可能为英文页面)R2及更高版本
数据库引擎
NETWORKSERVICE
虚拟帐户*
SQLServer代理
SSAS
SSIS
SSRS
SQLServer分布式重播控制器
SQLServer分布式重播客户端
FD启动器(全文搜索)
LOCALSERVICE
虚拟帐户
SQLServerBrowser
SQLServerVSS编写器
LOCALSYSTEM
高级分析扩展
NTSERVICE\MSSQLLaunchpad
*当需要SQLServer计算机外部的资源时,Microsoft建议使用配置了必需的最小特权的托管服务帐户(MSA)。
SQLServer故障转移群集实例
WindowsServer2008(可能为英文页面)R2
无。
提供
域用户
帐户。
提供
更改帐户属性
重要事项
始终使用SQLServer工具(例如SQLServer配置管理器)来更改SQLServer数据库引擎或SQLServer代理服务使用的帐户,或更改帐户的密码。
除了更改帐户名称以外,SQLServer配置管理器还可以执行其他配置,例如,更新保护数据库引擎的服务主密钥的Windows本地安全存储区。
其他工具(例如Windows服务控制管理器)可以更改帐户名称,但不更改所有必需的设置。
对于您在SharePoint场中部署的AnalysisServices实例,始终使用SharePoint管理中心为PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。
使用管理中心时,关联的设置和权限将更新为使用新的帐户信息。
若要更改ReportingServices选项,请使用ReportingServices配置工具。
托管服务帐户、组托管服务帐户和虚拟帐户
托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序(例如SQLServer)提供其自己帐户的隔离,同时使管理员无需手动管理这些帐户的服务主体名称(SPN)和凭据。
这就使得管理服务帐户用户、密码和SPN的过程变得简单得多。
托管服务帐户
托管服务帐户(MSA)是一种由域控制器创建和管理的域帐户。
它分配给单个成员计算机以用于运行服务。
域控制器将自动管理密码。
您不能使用MSA登录到计算机,但计算机可以使用MSA来启动Windows服务。
MSA可以向ActiveDirectory注册服务主体名称(SPN)。
MSA的名称中有一个
$
后缀,例如DOMAIN\ACCOUNTNAME$。
在指定MSA时,请将密码留空。
因为将MSA分配给单个计算机,它不能用于Windows群集的不同节点。
说明
域管理员必须先在ActiveDirectory中创建MSA,然后SQLServer安装程序才能将其用于SQLServer服务。
组托管服务帐户
组托管服务帐户是针对多个服务器的MSA。
Windows为在一组服务器上运行的服务管理服务帐户。
ActiveDirectory自动更新组托管服务帐户密码,而不重启服务。
你可以配置SQLServer服务以使用组托管服务帐户主体。
SQLServer2016对于独立实例、故障转移群集实例和可用性组,在WindowsServer2012R2和更高版本上支持组托管服务帐户。
若要使用SQLServer2016或更高版本的组托管服务帐户,操作系统必须是WindowsServer2012R2或更高版本。
装有WindowsServer2012R2的服务器需要应用
KB2998082,以便服务可以在密码更改后立即登录而不中断。
有关详细信息,请参阅组托管服务帐户
域管理员必须先在ActiveDirectory中创建组托管服务帐户,然后SQLServer安装程序才能将其用于SQLServer服务。
虚拟帐户
WindowsServer2008R2和Windows7中的虚拟帐户是“托管的本地帐户”,此类帐户提供以下功能以简化服务管理。
虚拟帐户是自动管理的,并且虚拟帐户可以访问域环境中的网络。
如果在WindowsServer2008R2或Windows7上安装SQLServer时对服务帐户使用默认值,则将使用将实例名称用作服务名称的虚拟帐户,格式为
NTSERVICE\<
SERVICENAME>
。
以虚拟帐户身份运行的服务通过使用计算机帐户的凭据(格式为
<
domain_name>
\<
computer_name>
$)访问网络资源。
当指定一个虚拟帐户以启动SQLServer时,应将密码留空。
如果虚拟帐户无法注册服务主体名称(SPN),则手动注册该SPN。
有关手动注册SPN的详细信息,请参阅
手动注册SPN。
虚拟帐户不能用于SQLServer故障转移群集实例,因为虚拟帐户在群集的每个节点不会有相同SID。
下表列出了虚拟帐户名称的示例。
服务
虚拟帐户名称
数据库引擎服务的默认实例
NTSERVICE\MSSQLSERVER
名为数据库引擎的
的服务的命名实例
NTSERVICE\MSSQL$PAYROLL
SQLServer代理服务,位于以下默认实例上:
SQLServer
NTSERVICE\SQLSERVERAGENT
SQLServer的SQLServer的
的
NTSERVICE\SQLAGENT$PAYROLL
安全说明
始终用尽可能低的用户权限运行SQLServer服务。
就会使用
MSA
或
virtualaccount
当无法使用MSA和虚拟帐户时,将使用特定的低特权用户帐户或域帐户,而不将共享帐户用于SQLServer服务。
对不同的SQLServer服务使用单独的帐户。
不要向SQLServer服务帐户或服务组授予其他权限。
在支持服务SID的情况下,将通过组成员身份或直接将权限授予服务SID。
防火墙端口
在大多数情况下,首次安装时,可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。
SQLServer安装程序不会在Windows防火墙中打开端口。
在将数据库引擎配置为侦听TCP端口,并且在Windows防火墙中打开适当的端口进行连接之前,将无法从其他计算机建立连接。
配置Windows服务帐户和权限
其他版本
适用于:
SQLServer2016
SQLServer中的每个服务表示一个进程或一组进程,用于通过Windows管理SQLServer操作的身份验证。
本主题介绍此SQLServer版本中服务的默认配置,以及可以在SQLServer安装过程中以及安装之后设置的SQLServer服务的配置选项。
本主题将帮助高级用户了解服务帐户的详细信息。
此部分介绍可配置为启动SQLServer服务的帐户、SQLServer安装程序使用的默认值、Per-serviceSID的概念、启动选项以及配置防火墙。
默认服务帐户
自动启动
配置服务启动类型
防火墙端口
后缀,例如
DOMAIN\ACCOUNTNAME$。
如果在WindowsServer2008R2或Wi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- sql server 服务账户和权限管理配置 服务 账户 权限 管理 配置