sqlserver服務(wù)賬戶(hù)和權(quán)限管理配置

《sqlserver服務(wù)賬戶(hù)和權(quán)限管理配置》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《sqlserver服務(wù)賬戶(hù)和權(quán)限管理配置（76頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、 大多數(shù)服務(wù)及其屬性可通過(guò)使用 SQLServer 配置管理器進(jìn)行配置。 以下是在 C 盤(pán)安裝 Windows 的情況下最新的四個(gè)版本的路徑。 SQLServer2016 C:\Windows\SysWOW64\SQLServerManager13.msc SQLServer2014 C:\Windows\SysWOW64\SQLServerManager12.msc SQLServer2012 C:\Windows\SysWOW64\SQLSer

2、verManager11.msc SQLServer2008 C:\Windows\SysWOW64\SQLServerManager10.msc 安裝的服務(wù) SQLServer 根據(jù)您決定安裝的組件， SQLServer 安裝程序?qū)惭b以下服務(wù)： ?SQLServerDatabaseServices - 用于 SQLServer 關(guān)系數(shù)據(jù)庫(kù)引擎的服務(wù)。可執(zhí)行文件為 \MSSQL\Binn\sqlservr.exe 。 ?SQLServer

3、 代理 - 執(zhí)行作業(yè)、 監(jiān)視 SQLServer 、激發(fā)警報(bào)以及允許自動(dòng)執(zhí)行某些管理任務(wù)。 SQLServer 代理服務(wù)在 SQLServerExpress 的實(shí)例上存在，但處于禁用狀態(tài)?？蓤?zhí)行文 件為 \MSSQL\Binn\sqlagent.exe 。 ?AnalysisServices - 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理 (OLAP) 和數(shù)據(jù)挖掘功能。可執(zhí) 行文件為 \OLAP\Bin\msmdsrv.exe 。 ?ReportingServices - 管理、執(zhí)行、創(chuàng)

4、建、計(jì)劃和傳遞報(bào)表?？蓤?zhí)行文件為 \ReportingServices\ReportServer\Bin\ReportingServicesService. exe 。 ?IntegrationServices - 為 IntegrationServices 包的存儲(chǔ)和執(zhí)行提供管理支持。可執(zhí)行文 件的路徑是 \130\DTS\Binn\MsDtsSrvr.exe ?SQLServerBrowser - 向客戶(hù)端計(jì)算機(jī)提供 SQLServer 連接信息的名稱(chēng)解析服務(wù)?？蓤?zhí)行 文件的路徑為

5、 c:\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe ?全文搜索 - 對(duì)結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQLServer 提供文檔篩選和斷字功能。 ?SQL 編寫(xiě)器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運(yùn)行。 ?SQLServer 分布式重播控制器 - 跨多個(gè)分布式重播客戶(hù)端計(jì)算機(jī)提供跟蹤重播業(yè)務(wù)流程。 ?SQLServerDistributedReplay 客戶(hù)端 -與 DistributedReplay 控

6、制器一起來(lái)模擬針對(duì) SQLServer 數(shù)據(jù)庫(kù)引擎實(shí)例的并發(fā)工作負(fù)荷的一臺(tái)或多臺(tái) DistributedReplay 客戶(hù)端計(jì) 算機(jī)。 ?SQLServer 受信任的啟動(dòng)板 - 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例 如作為 RServices(In-database) 的一部分安裝的 R 運(yùn)行時(shí)。附屬進(jìn)程可由啟動(dòng)板進(jìn)程啟 動(dòng)，但將根據(jù)單個(gè)實(shí)例的配置進(jìn)行資源調(diào)控。啟動(dòng)板服務(wù)在其自己的用戶(hù)帳戶(hù)下運(yùn)行， 特定注冊(cè)運(yùn)行時(shí)的各個(gè)附屬進(jìn)程將繼承啟動(dòng)板的用戶(hù)帳戶(hù)。附屬進(jìn)程將在執(zhí)行過(guò)程中按 需創(chuàng)建和銷(xiāo)毀。

7、 服務(wù)屬性和配置 用于啟動(dòng)和運(yùn)行 SQLServer 的啟動(dòng)帳戶(hù)可以是 域用戶(hù)帳戶(hù) 、本地用戶(hù)帳戶(hù) 、托管服務(wù)帳戶(hù) 、虛 擬帳戶(hù) 或內(nèi)置系統(tǒng)帳戶(hù) 。若要啟動(dòng)和運(yùn)行 SQLServer 中的每項(xiàng)服務(wù)，這些服務(wù)都必須有一個(gè)在 安裝過(guò)程中配置的啟動(dòng)帳戶(hù)。 默認(rèn)服務(wù)帳戶(hù) 下表列出了安裝程序在安裝所有組件時(shí)使用的默認(rèn)服務(wù)帳戶(hù)。 列出的默認(rèn)帳戶(hù)是建議使用的帳戶(hù)， 但特殊注明的除外。 獨(dú)立服務(wù)器或域控制器 Windows7 和 WindowsServer2008 （可能為

8、 組件 WindowsServer2008 （可能為 英文頁(yè)面） 英文頁(yè)面） R2 及更高版本 數(shù)據(jù)庫(kù)引擎 NETWORK SERVICE 虛擬帳戶(hù) * SQLServer 代理 NETWORK SERVICE 虛擬帳戶(hù) * SSAS NETWORK SERVICE 虛擬帳戶(hù) * SSIS NETWORK SERVICE 虛擬帳戶(hù) * SSRS NETWORK SERVICE 虛擬帳戶(hù)

9、* SQLServer 分布式 NETWORK SERVICE 虛擬帳戶(hù) * Windows7 和 WindowsServer2008 （可能為 組件 WindowsServer2008 （可能為 英文頁(yè)面） 英文頁(yè)面） R2 及更高版本 重播控制器 SQLServer 分布式 NETWORK SERVICE 虛擬帳戶(hù) * 重播客戶(hù)端 FD 啟動(dòng)器（全文搜 LOCAL SER

10、VICE 虛擬帳戶(hù) 索） SQLServerBrowse LOCAL SERVICE LOCAL SERVICE r SQLServerVSS 編 LOCAL SYSTEM LOCAL SYSTEM 寫(xiě)器 高級(jí)分析擴(kuò)展  NTSERVICE\MSSQLLaunchpa d  NTSERVICE\MSSQLLaunchpa d * 當(dāng)需要 S

11、QLServer 計(jì)算機(jī)外部的資源時(shí)， Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶(hù) (MSA) 。 SQLServer 故障轉(zhuǎn)移群集實(shí)例 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁(yè)面） 英文頁(yè)面） R2 數(shù)據(jù)庫(kù)引擎 無(wú)。提供 域用戶(hù) 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SQLServer 代理 無(wú)。提供 域用戶(hù) 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SSAS 無(wú)

12、。提供 域用戶(hù) 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SSIS NETWORK SERVICE 虛擬帳戶(hù) SSRS NETWORK SERVICE 虛擬帳戶(hù) FD 啟動(dòng)器（全文搜索） LOCAL SERVICE 虛擬帳戶(hù) SQLServerBrowser LOCAL SERVICE LOCAL SERVICE WindowsServer2008  （可能 

13、 WindowsServer2008  （可能為 組件 為英文頁(yè)面）  英文頁(yè)面）  R2 SQLServerVSS 編寫(xiě) LOCAL SYSTEM LOCAL SYSTEM 器 更改帳戶(hù)屬性 重要事項(xiàng) ?始終使用 SQLServer 工具（例如 SQLServer 配置管理器）來(lái)更改 SQLServer 數(shù)據(jù)庫(kù) 引擎或 SQ

14、LServer 代理服務(wù)使用的帳戶(hù)， 或更改帳戶(hù)的密碼。 除了更改帳戶(hù)名稱(chēng)以 外， SQLServer 配置管理器還可以執(zhí)行其他配置，例如，更新保護(hù)數(shù)據(jù)庫(kù)引擎的服 務(wù)主密鑰的 Windows 本地安全存儲(chǔ)區(qū)。其他工具（例如 Windows 服務(wù)控制管理 器）可以更改帳戶(hù)名稱(chēng)，但不更改所有必需的設(shè)置。 ?對(duì)于您在 SharePoint 場(chǎng)中部署的 AnalysisServices 實(shí)例，始終使用 SharePoint 管理 中心為 PowerPivot 服務(wù)應(yīng)用程序和 AnalysisServices 服務(wù)更改服務(wù)器帳戶(hù)。使用 管理中

15、心時(shí)，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶(hù)信息。 ?若要更改 ReportingServices 選項(xiàng)，請(qǐng)使用 ReportingServices 配置工具。 托管服務(wù)帳戶(hù)、組托管服務(wù)帳戶(hù)和虛擬帳戶(hù) 托管服務(wù)帳戶(hù)、組托管服務(wù)帳戶(hù)和虛擬帳戶(hù)設(shè)計(jì)用于向關(guān)鍵應(yīng)用程序（例如 SQLServer ）提供 其自己帳戶(hù)的隔離，同時(shí)使管理員無(wú)需手動(dòng)管理這些帳戶(hù)的服務(wù)主體名稱(chēng) (SPN) 和憑據(jù)。這就使 得管理服務(wù)帳戶(hù)用戶(hù)、密碼和 SPN 的過(guò)程變得簡(jiǎn)單得多。 ?托管服務(wù)帳戶(hù) 托管服務(wù)帳戶(hù) (MSA) 是一種由域控制器創(chuàng)

16、建和管理的域帳戶(hù)。它分配給單個(gè)成員計(jì)算機(jī) 以用于運(yùn)行服務(wù)。域控制器將自動(dòng)管理密碼。您不能使用 MSA 登錄到計(jì)算機(jī)，但計(jì)算 機(jī)可以使用 MSA 來(lái)啟動(dòng) Windows 服務(wù)。 MSA 可以向 ActiveDirectory 注冊(cè)服務(wù)主體 名稱(chēng) (SPN) 。MSA 的名稱(chēng)中有一個(gè) $ 后綴，例如 DOMAIN\ACCOUNTNAME$ 。在指 定 MSA 時(shí)，請(qǐng)將密碼留空。因?yàn)閷?MSA 分配給單個(gè)計(jì)算機(jī)，它不能用于 Windows 群集的不同節(jié)點(diǎn)。 說(shuō)明

17、 域管理員必須先在 ActiveDirectory 中創(chuàng)建 MSA ，然后 SQLServer 安裝 程序才能將其用于 SQLServer 服務(wù)。 ?組托管服務(wù)帳戶(hù) 組托管服務(wù)帳戶(hù)是針對(duì)多個(gè)服務(wù)器的 MSA 。Windows 為在一組服務(wù)器上運(yùn)行的服務(wù)管 理服務(wù)帳戶(hù)。 ActiveDirectory 自動(dòng)更新組托管服務(wù)帳戶(hù)密碼，而不重啟服務(wù)。你可以 配置 SQLServer 服務(wù)以使用組托管服務(wù)帳戶(hù)主體。 SQLServer2016 對(duì)于獨(dú)立實(shí)例、故 障轉(zhuǎn)移群集實(shí)例和可用性組，在 WindowsServer2012R2 和更高

18、版本上支持組托管服 務(wù)帳戶(hù)。 若要使用 SQLServer2016 或更高版本的組托管服務(wù)帳戶(hù)，操作系統(tǒng)必須是 WindowsServer2012R2 或更高版本。裝有 WindowsServer2012R2 的服務(wù)器需要應(yīng) 用 KB 2998082 ，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請(qǐng)參閱 組托管服務(wù)帳戶(hù) 說(shuō)明 域管理員必須先在 ActiveDirectory 中創(chuàng)建組托管服務(wù)帳戶(hù)，然后 SQLServer 安裝程序

19、才能將其用于 SQLServer 服務(wù)。 ?虛擬帳戶(hù) WindowsServer2008R2 和 Windows7 中的虛擬帳戶(hù)是“托管的本地帳戶(hù)”，此類(lèi)帳 戶(hù)提供以下功能以簡(jiǎn)化服務(wù)管理。虛擬帳戶(hù)是自動(dòng)管理的，并且虛擬帳戶(hù)可以訪問(wèn)域環(huán) 境中的網(wǎng)絡(luò)。如果在 WindowsServer2008R2 或 Windows7 上安裝 SQLServer 時(shí)對(duì) 服務(wù)帳戶(hù)使用默認(rèn)值，則將使用將實(shí)例名稱(chēng)用作服務(wù)名稱(chēng)的虛擬帳戶(hù)，格式為 。以虛擬帳戶(hù)身份運(yùn)行的服務(wù)通過(guò)使用計(jì)算機(jī)帳戶(hù)的 憑據(jù)（格式為

20、ain_name> $ ）訪問(wèn)網(wǎng)絡(luò)資源。當(dāng)指定一個(gè) 虛擬帳戶(hù)以啟動(dòng) SQLServer 時(shí)，應(yīng)將密碼留空。如果虛擬帳戶(hù)無(wú)法注冊(cè)服務(wù)主體名稱(chēng) (SPN) ，則手動(dòng)注冊(cè)該 SPN 。有關(guān)手動(dòng)注冊(cè) SPN 的詳細(xì)信息，請(qǐng)參閱 手動(dòng)注冊(cè) SPN 。 說(shuō)明 虛擬帳戶(hù)不能用于 SQLServer 故障轉(zhuǎn)移群集實(shí)例，因?yàn)樘摂M帳戶(hù)在群集 的每個(gè)節(jié)點(diǎn)不會(huì)有相同 SID。 下表列出了虛擬帳戶(hù)名稱(chēng)的示例。

21、 服務(wù) 虛擬帳戶(hù)名稱(chēng) 數(shù)據(jù)庫(kù)引擎服務(wù)的默認(rèn)實(shí)例 NTSERVICE\MSSQLSERVER 名為數(shù)據(jù)庫(kù)引擎的 的服務(wù)的命名實(shí)例 NTSERVICE\MSSQL$PAYROLL SQLServer 代理服務(wù)，位于以下默認(rèn)實(shí)例 NTSERVICE\SQLSERVERAGENT 上： SQLServer SQLServer 的 SQLServer 的的 NTSERVICE\SQLAGENT$PAYROLL

22、 安全說(shuō)明 始終用盡可能低的用戶(hù)權(quán)限運(yùn)行 SQLServer 服務(wù)。就會(huì)使用 MSA 或 virtual account 。 當(dāng)無(wú)法使用 MSA 和虛擬帳戶(hù)時(shí)，將使用特定的低特權(quán)用戶(hù)帳戶(hù)或域帳戶(hù)，而不將共享帳戶(hù)用于 SQLServer 服務(wù)。對(duì)不同的 SQLServer 服務(wù)使用單獨(dú)的帳戶(hù)。不要向 SQLServer 服務(wù)帳戶(hù)或 服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過(guò)組成員身份或直接將權(quán)限授予服務(wù) SID 。 防火墻端口 在大多數(shù)情況下，首次安裝時(shí)，可以通過(guò)與數(shù)據(jù)庫(kù)引擎安裝在相同計(jì)算機(jī)上的 S

23、QLServerManagementStudio 等此類(lèi)工具連接 SQLServer 。 SQLServer 安裝程序不會(huì)在 Windows 防火墻中打開(kāi)端口。 在將數(shù)據(jù)庫(kù)引擎配置為偵聽(tīng) TCP 端口，并且在 Windows 防火墻 中打開(kāi)適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無(wú)法從其他計(jì)算機(jī)建立連接。 配置 Windows 服務(wù)帳戶(hù)和 權(quán)限 SQLServer2016 其他版本 適用于： SQLServer2016 SQLServe

24、r 中的每個(gè)服務(wù)表示一個(gè)進(jìn)程或一組進(jìn)程，用于通過(guò) Windows 管理 SQLServer 操作 的身份驗(yàn)證。 本主題介紹此 SQLServer 版本中服務(wù)的默認(rèn)配置， 以及可以在 SQLServer 安裝過(guò) 程中以及安裝之后設(shè)置的 SQLServer 服務(wù)的配置選項(xiàng)。本主題將幫助高級(jí)用戶(hù)了解服務(wù)帳戶(hù)的 詳細(xì)信息。 大多數(shù)服務(wù)及其屬性可通過(guò)使用 SQLServer 配置管理器進(jìn)行配置。 以下是在 C 盤(pán)安裝 Windows 的情況下最新的四個(gè)版本的路徑。 SQLServer2016 C:\Windows\Sy

25、sWOW64\SQLServerManager13.msc SQLServer2014 C:\Windows\SysWOW64\SQLServerManager12.msc SQLServer2012 C:\Windows\SysWOW64\SQLServerManager11.msc SQLServer2008 C:\Windows\SysWOW64\SQLServerManager10.msc 安裝的服務(wù) SQLServer

26、 根據(jù)您決定安裝的組件， SQLServer 安裝程序?qū)惭b以下服務(wù)： ?SQLServerDatabaseServices - 用于 SQLServer 關(guān)系數(shù)據(jù)庫(kù)引擎的服務(wù)。可執(zhí)行文件為 \MSSQL\Binn\sqlservr.exe 。 ?SQLServer 代理 - 執(zhí)行作業(yè)、 監(jiān)視 SQLServer 、激發(fā)警報(bào)以及允許自動(dòng)執(zhí)行某些管理任務(wù)。 SQLServer 代理服務(wù)在 SQLServerExpress 的實(shí)例上存在，但處于禁用狀態(tài)?？蓤?zhí)行文 件為 \MSSQL\Binn\sql

27、agent.exe 。 ?AnalysisServices - 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理 (OLAP) 和數(shù)據(jù)挖掘功能?？蓤?zhí) 行文件為 \OLAP\Bin\msmdsrv.exe 。 ?ReportingServices - 管理、執(zhí)行、創(chuàng)建、計(jì)劃和傳遞報(bào)表?？蓤?zhí)行文件為 \ReportingServices\ReportServer\Bin\ReportingServicesService. exe 。 ?IntegrationServices - 為 IntegrationSe

28、rvices 包的存儲(chǔ)和執(zhí)行提供管理支持?？蓤?zhí)行文 件的路徑是 \130\DTS\Binn\MsDtsSrvr.exe ?SQLServerBrowser - 向客戶(hù)端計(jì)算機(jī)提供 SQLServer 連接信息的名稱(chēng)解析服務(wù)。可執(zhí)行 文件的路徑為 c:\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe ?全文搜索 - 對(duì)結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQLServer 提供文檔篩選和斷字功能。 ?S

29、QL 編寫(xiě)器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運(yùn)行。 ?SQLServer 分布式重播控制器 - 跨多個(gè)分布式重播客戶(hù)端計(jì)算機(jī)提供跟蹤重播業(yè)務(wù)流程。 ?SQLServerDistributedReplay 客戶(hù)端 -與 DistributedReplay 控制器一起來(lái)模擬針對(duì) SQLServer 數(shù)據(jù)庫(kù)引擎實(shí)例的并發(fā)工作負(fù)荷的一臺(tái)或多臺(tái) DistributedReplay 客戶(hù)端計(jì) 算機(jī)。 ?SQLServer 受信任的啟動(dòng)板 - 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例

30、 如作為 RServices(In-database) 的一部分安裝的 R 運(yùn)行時(shí)。附屬進(jìn)程可由啟動(dòng)板進(jìn)程啟 動(dòng)，但將根據(jù)單個(gè)實(shí)例的配置進(jìn)行資源調(diào)控。啟動(dòng)板服務(wù)在其自己的用戶(hù)帳戶(hù)下運(yùn)行， 特定注冊(cè)運(yùn)行時(shí)的各個(gè)附屬進(jìn)程將繼承啟動(dòng)板的用戶(hù)帳戶(hù)。附屬進(jìn)程將在執(zhí)行過(guò)程中按 需創(chuàng)建和銷(xiāo)毀。 服務(wù)屬性和配置 用于啟動(dòng)和運(yùn)行 SQLServer 的啟動(dòng)帳戶(hù)可以是 域用戶(hù)帳戶(hù) 、本地用戶(hù)帳戶(hù) 、托管服務(wù)帳戶(hù) 、虛 擬帳戶(hù) 或內(nèi)置系統(tǒng)帳戶(hù) 。若要啟動(dòng)和運(yùn)行 SQLServer 中的每項(xiàng)服務(wù)，這些服務(wù)都必須有一個(gè)在 安裝過(guò)程中配置

31、的啟動(dòng)帳戶(hù)。 此部分介紹可配置為啟動(dòng) SQLServer 服務(wù)的帳戶(hù)、 SQLServer 安裝程序使用的默認(rèn)值、 Per-serviceSID 的概念、啟動(dòng)選項(xiàng)以及配置防火墻。 ?默認(rèn)服務(wù)帳戶(hù) ?自動(dòng)啟動(dòng) ?配置服務(wù)啟動(dòng)類(lèi)型 ?防火墻端口 默認(rèn)服務(wù)帳戶(hù) 下表列出了安裝程序在安裝所有組件時(shí)使用的默認(rèn)服務(wù)帳戶(hù)。 列出的默認(rèn)帳戶(hù)是建議使用的帳戶(hù)， 但特殊注明的除外。 獨(dú)立服務(wù)器或域控制器 Windows7 和 WindowsServer2008 （可能

32、為 組件 WindowsServer2008 （可能為 英文頁(yè)面） 英文頁(yè)面） R2 及更高版本 數(shù)據(jù)庫(kù)引擎 NETWORK SERVICE 虛擬帳戶(hù) * SQLServer 代理 NETWORK SERVICE 虛擬帳戶(hù) * SSAS NETWORK SERVICE 虛擬帳戶(hù) * SSIS NETWORK SERVICE 虛擬帳戶(hù) * SSRS NETWORK SERVICE 虛擬帳戶(hù)

33、 * SQLServer 分布式 NETWORK SERVICE 虛擬帳戶(hù) * 重播控制器 SQLServer 分布式 NETWORK SERVICE 虛擬帳戶(hù) * 重播客戶(hù)端 Windows7 和 WindowsServer2008 （可能為 組件 WindowsServer2008 （可能為 英文頁(yè)面） 英文頁(yè)面） R2 及更高版本 FD 啟動(dòng)器（全文搜 LOCAL SERVICE 虛擬帳戶(hù)

34、 索） SQLServerBrowse LOCAL SERVICE LOCAL SERVICE r SQLServerVSS 編 LOCAL SYSTEM LOCAL SYSTEM 寫(xiě)器 高級(jí)分析擴(kuò)展  NTSERVICE\MSSQLLaunchpa d  NTSERVICE\MSSQLLaunchpa d * 當(dāng)需要 SQLServer 計(jì)算機(jī)外

35、部的資源時(shí)， Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶(hù) (MSA) 。 SQLServer 故障轉(zhuǎn)移群集實(shí)例 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁(yè)面） 英文頁(yè)面） R2 數(shù)據(jù)庫(kù)引擎 無(wú)。提供 域用戶(hù) 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SQLServer 代理 無(wú)。提供 域用戶(hù) 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SSAS 無(wú)。提供 域用戶(hù)

36、 帳戶(hù)。 提供 域用戶(hù) 帳戶(hù)。 SSIS NETWORK SERVICE 虛擬帳戶(hù) SSRS NETWORK SERVICE 虛擬帳戶(hù) FD 啟動(dòng)器（全文搜索） LOCAL SERVICE 虛擬帳戶(hù) SQLServerBrowser LOCAL SERVICE LOCAL SERVICE SQLServerVSS 編寫(xiě) LOCAL SYSTEM LOCAL SYSTEM

37、 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁(yè)面） 英文頁(yè)面） R2 器 更改帳戶(hù)屬性 重要事項(xiàng) ?始終使用 SQLServer 工具（例如 SQLServer 配置管理器）來(lái)更改 SQLServer 數(shù)據(jù)庫(kù) 引擎或 SQLServer 代理服務(wù)使用的帳戶(hù)， 或更改帳戶(hù)的密碼。 除了更改帳戶(hù)名稱(chēng)以 外， SQLServer 配置管理器還可以執(zhí)行其他配置，例如，更

38、新保護(hù)數(shù)據(jù)庫(kù)引擎的服 務(wù)主密鑰的 Windows 本地安全存儲(chǔ)區(qū)。其他工具（例如 Windows 服務(wù)控制管理 器）可以更改帳戶(hù)名稱(chēng)，但不更改所有必需的設(shè)置。 ?對(duì)于您在 SharePoint 場(chǎng)中部署的 AnalysisServices 實(shí)例，始終使用 SharePoint 管理 中心為 PowerPivot 服務(wù)應(yīng)用程序和 AnalysisServices 服務(wù)更改服務(wù)器帳戶(hù)。使用 管理中心時(shí)，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶(hù)信息。 ? 選項(xiàng)，請(qǐng)使用 ReportingServices 配

39、置工具。 若要更改 ReportingServices 托管服務(wù)帳戶(hù)、組托管服務(wù)帳戶(hù)和虛擬帳戶(hù) 托管服務(wù)帳戶(hù)、組托管服務(wù)帳戶(hù)和虛擬帳戶(hù)設(shè)計(jì)用于向關(guān)鍵應(yīng)用程序（例如 SQLServer ）提供 其自己帳戶(hù)的隔離，同時(shí)使管理員無(wú)需手動(dòng)管理這些帳戶(hù)的服務(wù)主體名稱(chēng) (SPN) 和憑據(jù)。這就使 得管理服務(wù)帳戶(hù)用戶(hù)、密碼和 SPN 的過(guò)程變得簡(jiǎn)單得多。 ?托管服務(wù)帳戶(hù) 托管服務(wù)帳戶(hù) (MSA) 是一種由域控制器創(chuàng)建和管理的域帳戶(hù)。它分配給單個(gè)成員計(jì)算機(jī) 以用于運(yùn)行服務(wù)。域控制器將自動(dòng)管理密碼。您

40、不能使用 MSA 登錄到計(jì)算機(jī)，但計(jì)算 機(jī)可以使用 MSA 來(lái)啟動(dòng) Windows 服務(wù)。 MSA 可以向 ActiveDirectory 注冊(cè)服務(wù)主體 名稱(chēng) (SPN) 。MSA 的名稱(chēng)中有一個(gè) $ 后綴，例如 DOMAIN\ACCOUNTNAME$ 。在指 定 MSA 時(shí)，請(qǐng)將密碼留空。因?yàn)閷?MSA 分配給單個(gè)計(jì)算機(jī)，它不能用于 Windows 群集的不同節(jié)點(diǎn)。 說(shuō)明 域管理員必須先在 ActiveDirectory 中創(chuàng)建 MSA ，然后 SQLServer 安

41、裝 程序才能將其用于 SQLServer 服務(wù)。 ?組托管服務(wù)帳戶(hù) 組托管服務(wù)帳戶(hù)是針對(duì)多個(gè)服務(wù)器的 MSA 。Windows 為在一組服務(wù)器上運(yùn)行的服務(wù)管 理服務(wù)帳戶(hù)。 ActiveDirectory 自動(dòng)更新組托管服務(wù)帳戶(hù)密碼，而不重啟服務(wù)。你可以 配置 SQLServer 服務(wù)以使用組托管服務(wù)帳戶(hù)主體。 SQLServer2016 對(duì)于獨(dú)立實(shí)例、故 障轉(zhuǎn)移群集實(shí)例和可用性組，在 WindowsServer2012R2 和更高版本上支持組托管服 務(wù)帳戶(hù)。 若要使用 SQLServer2016 或更高版本

42、的組托管服務(wù)帳戶(hù)，操作系統(tǒng)必須是 WindowsServer2012R2 或更高版本。裝有 WindowsServer2012R2 的服務(wù)器需要應(yīng) 用 KB 2998082 ，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請(qǐng)參閱 組托管服務(wù)帳戶(hù) 說(shuō)明 域管理員必須先在 ActiveDirectory 中創(chuàng)建組托管服務(wù)帳戶(hù)，然后 SQLServer 安裝程序才能將其用于 SQLServer 服務(wù)。 ?虛擬帳戶(hù) WindowsServer2008R

43、2 和 Windows7 中的虛擬帳戶(hù)是“托管的本地帳戶(hù)”，此類(lèi)帳 戶(hù)提供以下功能以簡(jiǎn)化服務(wù)管理。虛擬帳戶(hù)是自動(dòng)管理的，并且虛擬帳戶(hù)可以訪問(wèn)域環(huán) 境中的網(wǎng)絡(luò)。如果在 WindowsServer2008R2 或 Windows7 上安裝 SQLServer 時(shí)對(duì) 服務(wù)帳戶(hù)使用默認(rèn)值，則將使用將實(shí)例名稱(chēng)用作服務(wù)名稱(chēng)的虛擬帳戶(hù)，格式為 。以虛擬帳戶(hù)身份運(yùn)行的服務(wù)通過(guò)使用計(jì)算機(jī)帳戶(hù)的 憑據(jù)（格式為 $ ）訪問(wèn)網(wǎng)絡(luò)資源。當(dāng)指定一個(gè) 虛擬帳戶(hù)以啟動(dòng) SQLS

44、erver 時(shí)，應(yīng)將密碼留空。如果虛擬帳戶(hù)無(wú)法注冊(cè)服務(wù)主體名稱(chēng) (SPN) ，則手動(dòng)注冊(cè)該 SPN 。有關(guān)手動(dòng)注冊(cè) SPN 的詳細(xì)信息，請(qǐng)參閱 手動(dòng)注冊(cè) SPN 。 說(shuō)明 虛擬帳戶(hù)不能用于 SQLServer 故障轉(zhuǎn)移群集實(shí)例，因?yàn)樘摂M帳戶(hù)在群集 的每個(gè)節(jié)點(diǎn)不會(huì)有相同 SID。 下表列出了虛擬帳戶(hù)名稱(chēng)的示例。 服務(wù) 虛擬帳戶(hù)名稱(chēng) 服務(wù) 虛擬帳戶(hù)名稱(chēng) 數(shù)據(jù)庫(kù)引擎服務(wù)的默認(rèn)

45、實(shí)例 NTSERVICE\MSSQLSERVER 名為數(shù)據(jù)庫(kù)引擎的 的服務(wù)的命名實(shí)例 NTSERVICE\MSSQL$PAYROLL SQLServer 代理服務(wù)，位于以下默認(rèn)實(shí)例 NTSERVICE\SQLSERVERAGENT 上： SQLServer SQLServer 的 SQLServer 的的 NTSERVICE\SQLAGENT$PAYROLL 有關(guān)托管服務(wù)帳戶(hù)和虛擬帳戶(hù)的詳細(xì)信息， 請(qǐng)參閱 服務(wù)帳戶(hù)分步指南 的托管服務(wù)和虛擬帳戶(hù)概

46、念 部分以及 托管服務(wù)帳戶(hù)常見(jiàn)問(wèn)題解答 (FAQ) 。 安全說(shuō)明 始終用盡可能低的用戶(hù)權(quán)限運(yùn)行 SQLServer 服務(wù)。就會(huì)使用 MSA 或 virtual account 。 當(dāng)無(wú)法使用 MSA 和虛擬帳戶(hù)時(shí)，將使用特定的低特權(quán)用戶(hù)帳戶(hù)或域帳戶(hù)，而不將共享帳戶(hù)用于 SQLServer 服務(wù)。對(duì)不同的 SQLServer 服務(wù)使用單獨(dú)的帳戶(hù)。 不要向 SQLServer 服務(wù)帳戶(hù)或服 務(wù)組授予其他權(quán)限。在支持服務(wù) SID 的情況下，將通過(guò)組成員身份或直接將權(quán)限授予服務(wù) SID 。 自動(dòng)啟動(dòng) 除了具有用戶(hù)帳戶(hù)外，每項(xiàng)

47、服務(wù)還有用戶(hù)可控制的三種可能的啟動(dòng)狀態(tài)： ?已禁用 服務(wù)已安裝但當(dāng)前未運(yùn)行。 ?手動(dòng) 服務(wù)已安裝，但僅當(dāng)另一個(gè)服務(wù)或應(yīng)用程序需要該服務(wù)的功能時(shí)才啟動(dòng)。 ?自動(dòng) 服務(wù)由操作系統(tǒng)自動(dòng)啟動(dòng)。 在安裝過(guò)程中， 啟動(dòng)狀態(tài)處于選中狀態(tài)。 當(dāng)安裝命名實(shí)例時(shí)， SQLServerBrowser 服務(wù)應(yīng)設(shè)置為 自動(dòng)啟動(dòng)。 在無(wú)人參與的安裝過(guò)程中配置服務(wù) 下表顯示了可以在安裝過(guò)程中配置的 SQLServer 服務(wù)。對(duì)于無(wú)人參與的安裝，可以在配置文件 中或在命令提示符下使用開(kāi)關(guān)。 SQLServ

48、er 服務(wù)名稱(chēng) 無(wú)人參與安裝的開(kāi)關(guān) * MSSQLSERVER SQLSVCACCOUNT 、 SQLSVCPASSWORD 、 SQLSVCSTARTUPTYPE SQLServerAgent** AGTSVCACCOUNT 、 AGTSVCPASSWORD 、 AGTSVCSTARTUPTYPE MSSQLServerOLAPService ASSVCACCOUNT 、 ASSVCPASSWORD 、 ASSVCSTARTUPTYPE

49、 ReportServer RSSVCACCOUNT 、 RSSVCPASSWORD 、 RSSVCSTARTUPTYPE IntegrationServices ISSVCACCOUNT 、 ISSVCPASSWORD 、 SQLServer 服務(wù)名稱(chēng) 無(wú)人參與安裝的開(kāi)關(guān) * ISSVCSTARTUPTYPE SQLServerDistributedReplay DRU_CTLR 、 CTLRSVCACCOU

50、NT 、 控制器 CTLRSVCPASSWORD 、 CTLRSTARTUPTYPE 、 CTLRUSERS SQLServerDistributedReplay DRU_CLT 、CLTSVCACCOUNT 、CLTSVCPASSWORD 、 客戶(hù)端 CLTSTARTUPTYPE 、 CLTCTLRNAME 、 CLTWORKINGDIR 、 CLTRESULTDIR RServices(In-database) EXTSVCACCOUNT 、 EXTSVCPASSWORD

51、、 ADVANCEDANALYTICS * 有關(guān)無(wú)人參與安裝的詳細(xì)信息和示例語(yǔ)法，請(qǐng)參閱 從命令提示符安裝 SQL Server 2016 。 **SQLServer 代理服務(wù)在 SQLServerExpress 實(shí)例和具有高級(jí)服務(wù)的 SQLServerExpress 實(shí)例上 處于禁用狀態(tài)。 防火墻端口 在大多數(shù)情況下，首次安裝時(shí)，可以通過(guò)與數(shù)據(jù)庫(kù)引擎安裝在相同計(jì)算機(jī)上的 SQLServerManagementStudio 等此類(lèi)工具連接 SQLServer 。 SQLServer 安裝程序不會(huì)在

52、 Windows 防火墻中打開(kāi)端口。 在將數(shù)據(jù)庫(kù)引擎配置為偵聽(tīng) TCP 端口，并且在 Windows 防火墻 中打開(kāi)適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無(wú)法從其他計(jì)算機(jī)建立連接。有關(guān)詳細(xì)信息，請(qǐng)參閱 配置 Windows 防火墻以允許 SQL Server 訪問(wèn)。 服務(wù)權(quán)限 服務(wù)配置和訪問(wèn)控制 SQLServer2016 會(huì)為它的每項(xiàng)服務(wù)啟用 Per-serviceSID ，以提供深層服務(wù)隔離與防御。 Per-serviceSID 從服務(wù)名稱(chēng)派生得到，對(duì)該服務(wù)是唯一的。例如，數(shù)據(jù)庫(kù)引擎服務(wù)的服務(wù) SID

53、 名稱(chēng)可能是 NTService\MSSQL$ 。通過(guò)服務(wù)隔離， 可直接訪問(wèn)特定的對(duì)象， 而無(wú)需運(yùn)行高特權(quán)帳戶(hù)，也不會(huì)削弱為對(duì)象提供的安全保護(hù)水平。通過(guò)使用包含服務(wù) SID 的訪 問(wèn)控制項(xiàng)， SQLServer 服務(wù)可限制對(duì)其資源的訪問(wèn)。 說(shuō)明： 在 Windows7 和 WindowsServer2008 （可能為英文頁(yè)面） R2 上， Per-serviceSID 可 以是服務(wù)使用的虛擬帳戶(hù)。 Windows 特權(quán)和權(quán)限 為啟動(dòng)服務(wù)分配的帳戶(hù)需要對(duì)于服務(wù)的 啟動(dòng)、停止和暫停權(quán)限 。 SQLSer

54、ver 安裝程序?qū)⒆詣?dòng)分 配此權(quán)限。首先，安裝遠(yuǎn)程服務(wù)器管理工具 (RSAT) 下表說(shuō)明 SQLServer 安裝程序?yàn)?SQLServer 組件使用的 Per-serviceSID 或本地 Windows 組 請(qǐng)求的權(quán)限。 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 SQLServer 數(shù)據(jù)庫(kù)引擎設(shè)置用戶(hù)帳戶(hù)： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID

55、。 默 認(rèn) 實(shí) 例 ： NTSERVICE\MSSQLSERVER 。 命 名 實(shí) 例 ： 替 換 進(jìn) 程 級(jí) 別 標(biāo) 記 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 NTSERVICE\MSSQL$ InstanceName 。） (SeAssignPrimaryTokenPrivil ege) 跳 過(guò) 遍 歷 檢 查 (SeChangeNotifyPrivilege) 調(diào) 整 進(jìn) 程 的 內(nèi) 存 配 額

56、 (SeIncreaseQuotaPrivilege) 啟動(dòng) SQL 編寫(xiě)器的權(quán)限 讀取事件日志服務(wù)的權(quán)限 讀取遠(yuǎn)程過(guò)程調(diào)用服務(wù)的權(quán)限 SQLServer 代理： * 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實(shí) 例 ： NTService\SQLSERVERAGENT 。 命 名 實(shí) 例 ：

57、替 換 進(jìn) 程 級(jí) 別 標(biāo) 記 NTService\SQLAGENT$InstanceName 。） (SeAssignPrimaryTokenPrivil ege) 跳 過(guò) 遍 歷 檢 查 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeChangeNotifyPrivilege) 調(diào) 整 進(jìn) 程 的 內(nèi) 存 配 額 (SeIncreaseQuotaPrivilege)

58、 SSAS 設(shè)置用戶(hù)帳戶(hù)： （ 所 有 權(quán) 限 都授 予 本地 Windows 組 。 默認(rèn)實(shí) 例 ： SQLServerMSASUser$ ComputerName $MSSQLSE RVER 。 命 名 實(shí) 例 ： SQLServerMSASUser$ ComputerName $ InstanceN ame 。 PowerPivotforSharePoint 實(shí) 例 ： SQLServerMSASUser$ ComputerName $ PowerPivo t。） 

59、 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 僅適用于表格： 增 加 進(jìn) 程 工 作 集 (SeIncreaseWorkingSetPrivil ege) 調(diào) 整 進(jìn) 程 的 內(nèi) 存 配 額 (SeIncreaseQuotaSizePrivile ge) 鎖 定 內(nèi) 存 中 的 頁(yè) (SeLockMemoryPrivilege)- 僅 當(dāng)完全關(guān)閉分頁(yè)時(shí)才需要。

60、 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 僅適用于故障轉(zhuǎn)移群集安裝： 提 高 計(jì) 劃 優(yōu) 先 級(jí) (SeIncreaseBasePriorityPrivil ege) SSRS 設(shè)置用戶(hù)帳戶(hù)： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實(shí) 例 ： NTSERVICE\ReportServer 。

61、 命 名 實(shí) 例 ： NTSERVICE\$ InstanceName 。） SSIS 設(shè)置用戶(hù)帳戶(hù)： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （所有權(quán)限都將授予 Per-serviceSID 。默認(rèn)實(shí)例和命名實(shí) 例 ： NTSERVICE\MsDtsServer130 。 應(yīng)用程序事件日志的寫(xiě)入權(quán)限。 IntegrationServices 沒(méi)有針對(duì)命名實(shí)例的單獨(dú)進(jìn)程。 ） 跳 過(guò) 遍 歷 檢 查 (SeChangeNotifyPrivilege)

62、 身 份 驗(yàn) 證 后 模 擬 客 戶(hù) 端 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeImpersonatePrivilege) 全文搜索： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實(shí) 例 ： NTService\MSSQLFDLauncher 。 命 名

63、實(shí) 例 ： 調(diào) 整 進(jìn) 程 的 內(nèi) 存 配 額 NTService\MSSQLFDLauncher$ InstanceName 。） (SeIncreaseQuotaPrivilege) 跳 過(guò) 遍 歷 檢 查 (SeChangeNotifyPrivilege) SQLServerBrowser  ：  以 服  務(wù) 身 

64、 份 登  錄 (SeServiceLogonRight) （所有權(quán)限都授予本地例  Windows  組。默認(rèn)實(shí)例或命名實(shí) ： SQLServer2005SQLBrowserUser  $ComputerName 。 SQLServerBrowser 沒(méi)有針對(duì)命名實(shí)例的單獨(dú)進(jìn)程。 ） SQLServerVSS 編寫(xiě)器： SQLWriter 服務(wù)在具有所需的 所有權(quán)限的 LOCALSYSTE

65、M 帳 （所有權(quán)限都將授予 Per-serviceSID 。默認(rèn)實(shí)例或命名實(shí) SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 例： NTService\SQLWriter 。SQLServerVSS 編寫(xiě)器沒(méi) 戶(hù)下運(yùn)行。 SQLServer 安裝程序 有針對(duì)命名實(shí)例的單獨(dú)進(jìn)程。 ） 不檢查此服務(wù)或?yàn)槠涫谟铏?quán)限。 SQLServer 分布式重播控制器： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight)

66、 SQLServer 分布式重播客戶(hù)端： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 啟動(dòng)板： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 替 換 進(jìn) 程 級(jí) 別 標(biāo) 記 (SeAssignPrimaryTokenPrivil ege) 跳 過(guò) 遍 歷 檢 查 (SeChangeNotifyPrivilege) 調(diào) 整 進(jìn) 程 的 內(nèi) 存 配 額 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeIncreaseQuotaPrivilege) *SQLServer 代理服務(wù)在 SQLServerExpress 的實(shí)例上處于禁用狀態(tài)。 授予 SQLServerPer-serviceSID 或本地 Window