http://technet.microsoft.com/zh-cn/library/ms143504.aspx#Review_NT_rights
SQL Server 中的每个服务表示一个进程或一组进程,用于通过 Windows 管理 SQL Server 操作的身份验证。本主题介绍此 SQL Server 版本中服务的默认配置,以及可以在 SQL Server 安装过程中设置的 SQL Server 服务的配置选项。
根据您决定安装的组件,SQL Server 安装程序将安装以下服务:
- SQL Server Database Services - 用于 SQL Server 关系数据库引擎的服务。
- SQL Server Agent - 执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。
注意: 由于 SQL Server 和 SQL Server Agent 在 Windows 中作为服务来运行,因此必须给 SQL Server 和 SQL Server Agent 指派 Windows 用户帐户。有关如何为每个服务自定义帐户信息的详细信息,请参阅 如何安装 SQL Server 2008(安装程序)。 - Analysis Services - 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能。
- Reporting Services - 管理、执行、创建、计划和传递报表。
- Integration Services - 为 Integration Services 包的存储和执行提供管理支持。
- SQL Server Browser - 向客户端计算机提供 SQL Server 连接信息的名称解析服务。
- 全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为 SQL Server 提供文档筛选和断字功能。
- SQL Server Active Directory Helper - 在 Active Directory 中发布和管理 SQL Server 服务。
- SQL Writer - 允许备份和还原应用程序,以便在 Volume Shadow Copy Service (VSS) 框架中进行操作。
重要提示: 始终使用 SQL Server 工具(例如 SQL Server 配置管理器)来更改 SQL Server 或 SQL Server 代理服务使用的帐户,或更改帐户的密码。除了更改帐户名以外,SQL Server 配置管理器还可以执行其他配置,例如在 Windows 注册表中设置权限,以使新的帐户可以读取 SQL Server 设置。其他工具(例如 Windows 服务控制管理器)可以更改帐户名,但不能更改关联的设置。如果服务不能访问注册表的 SQL Server 部分,该服务可能无法正常启动。
本主题的其余内容分为下列几部分:
- 配置服务启动类型
- 对 SQL Server 服务使用启动帐户
- 对 SQL Server 服务使用服务 SID
- 辨别识别实例的服务和不识别实例的服务
- 查看为 SQL Server 服务帐户授予的 NT 权限和特权
- 查看为 SQL Server 服务帐户创建的访问控制列表
- 查看 SQL Server 服务的 Windows 权限
- 查看其他注意事项
- 本地化的服务名称
在 SQL Server 安装过程中,您可以为某些 SQL Server 服务配置以下启动类型:已禁用、手动或自动。下表显示了可以在安装过程中配置的 SQL Server 服务。对于无人参与的安装,可以在配置文件中或在命令提示符下使用开关。
SQL Server 服务名称 | 是否可在安装向导中配置? | 无人参与安装的开关1 |
---|---|---|
MSSQLSERVER |
是 |
SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPE |
SQLServerAgent2 |
是 |
AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService |
是 |
ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPE |
ReportServer |
是 |
RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPE |
Integration Services |
是 |
ISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPE |
1有关无人参与安装的详细信息和示例语法,请参阅 如何从命令提示符安装 SQL Server 2008。
2在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上 SQL Server Agent 服务已禁用。
对 SQL Server 服务使用启动帐户若要启动和运行 SQL Server 中的每项服务,这些服务都必须有一个在安装过程中配置的帐户。用于启动和运行 SQL Server 的启动帐户可以是内置系统帐户、本地用户帐户或域用户帐户。
Domain User 帐户
如果服务必须与网络服务进行交互,则访问类似于文件共享的域资源;如果服务使用到运行 SQL Server 的其他计算机的链接服务器连接,则可以使用具有最低特权的域帐户。许多服务器到服务器的活动只能使用域用户帐户来执行。此帐户应由域管理员在您的环境内预先创建。
Local User 帐户
如果计算机不在域中,则建议您使用不具有 Windows 管理员权限的本地用户帐户。
Local Service 帐户
Local Service 帐户是一个内置帐户,与 Users 组的成员具有相同级别的资源和对象访问权限。如果有个别服务或进程的安全性受到威胁,则此有限访问权限有助于保护系统的安全性。以 Local Service 帐户身份运行的服务将以一个没有凭据的 Null 会话形式访问网络资源。请注意,SQL Server 或 SQL Server Agent 服务不支持 Local Service 帐户。该帐户的实际名称为 "NT AUTHORITY/Local Service account"。
Network Service 帐户
Network Service 帐户是一个内置帐户,比 Users 组的成员拥有更多的对资源和对象的访问权限。以 Network Service 帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。该帐户的实际名称为 "NT AUTHORITY/NetworkService"。
Local System 帐户
Local System 是一个具有高特权的内置帐户。它对本地系统有许多权限并作为网络上的计算机。该帐户的实际名称为 "NT AUTHORITY/System"。
除了具有用户帐户外,每项服务还有用户可控制的三种可能的启动状态:
- 已禁用 服务已安装但当前未运行。
- 手动 服务已安装,但仅当另一个服务或应用程序需要该服务的功能时才启动。
- 自动 服务由操作系统自动启动。
下表显示了每个 SQL Server 服务的可选帐户,以及每个服务的启动状态。
SQL Server 服务名称 | 可选帐户 | 启动类型 | 安装后的默认状态 |
---|---|---|---|
SQL Server |
SQL Server Express:Domain User、Local System、Network Service 所有其他版本:Domain User、Local System、Network Service1 |
自动1 |
已启动 仅当用户选择不自动启动时才停止。 |
SQL Server 代理 |
Domain User、Local System、Network Service1 |
手动1,2 仅当用户选择自动启动时才为“自动” |
已停止 仅当用户选择自动启动时才启动。 |
Analysis Services |
Domain User、Network Service、Local Service、Local System1 |
自动1 |
已启动 仅当用户选择不自动启动时才停止。 |
Reporting Services |
Domain User、Local System、Network Service、Local Service |
自动 |
已启动 仅当用户选择不自动启动时才停止。 |
Integration Services |
Domain User、Local System、Network Service、Local Service |
自动 |
已启动 仅当用户选择不自动启动时才停止。 |
全文搜索 |
使用与 SQL Server 服务的帐户不同的帐户。 在 Windows Server 2008 和 Windows Vista 上,该帐户将默认为 Local Service。 |
自动 |
已启动 仅当在 Windows Server 2003 或 Windows XP 上未指定任何帐户时才停止。 |
SQL Server Browser |
Local Service |
已禁用3 仅当用户选择自动启动时才为“自动”。 |
已停止 仅当用户选择自动启动时才启动。 |
SQL Server Active Directory Helper |
Local System、Network Service |
已禁用 |
已停止 |
SQL Writer |
Local System |
自动 |
已启动 |
重要提示
1对于故障转移群集,使用域用户帐户,并且启动类型设置为手动。
2在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上,SQL Server Agent 服务已禁用。
3默认情况下,对于故障转移群集安装和命名实例,SQL Server Browser 设置为在安装程序完成后自动启动。
安全说明 始终用尽可能低的用户权限运行 SQL Server 服务。 对 SQL Server 服务使用低特权用户帐户或域帐户,而不使用共享帐户。对不同的 SQL Server 服务使用单独的帐户。不要向 SQL Server 服务帐户或服务组授予其他权限。将通过组成员身份授予权限或直接将权限授予服务 SID。
对 SQL Server 服务配置使用服务 SID
服务安全 ID (SID) 在基于 Windows Server 2008 和 Windows Vista 操作系统上的 SQL Server 2008 中可用,以允许服务隔离。服务隔离可向服务提供一种访问特定对象的方法,使用这种方法既不用运行高特权帐户也不会削弱对象的安全保护。SQL Server 服务可以使用此标识限制其他服务或应用程序访问其资源。
服务可以通过使用包含服务 SID 的访问控制项对资源进行保护,从而将对象隔离起来,以供自己独占使用。此 per-service SID 派生自服务名称,且对于相应服务是唯一的,例如,SQL Server 服务的服务 SID 名称可能是 NT Service/MSSQL$<实例名>。对某个服务启用 SID 之后,该 SID 会添加到 Windows 的本地安全组中。服务所有者便可修改对象的访问控制列表,以提供访问该 SID 的权限。例如,通常 HKEY_LOCAL_MACHINE/SOFTWARE 中的注册表项仅对具有管理凭据的服务可用。将 per-service SID 添加到该注册表项的访问控制列表后,服务就能够在低特权帐户下运行,同时仍可以访问该注册表项。
在安装期间,SQL Server 安装程序会为 SQL Server 的每个组件创建一个服务组。在 Windows Server 2003 和 Windows XP 上,SQL Server 服务的服务帐户会添加到本地服务组中,它们在这些操作系统上的工作方式与其在 SQL Server 早期版本中的工作方式相同;SQL Server 服务会作为本地组的成员连接到 SQL Server 实例。在 Windows Server 2008 和 Windows Vista 上,添加到本地安全组的是服务 SID,而非 SQL Server 服务帐户。
支持的服务配置
在 Windows Server 2008 域控制器上安装 SQL Server 2008 时需要使用服务 SID 来设置 SQL Server 服务。在故障转移群集节点是域控制器的情况下,不支持 SQL Server 2008。
在 Windows Server 2003 域控制器上安装 SQL Server 2008 时需要使用域帐户来设置 SQL Server 服务的域。
下表显示了 Windows Server 2008 或 Windows Vista 上的全新安装和升级安装的受支持的服务配置。
全新安装 | 升级 |
---|---|
|
|
下表显示了 Windows Server 2003 或 Windows XP 上的全新安装和升级安装的服务配置。
全新安装 | 升级 |
---|---|
|
|
更改用户帐户
若要更改任何与 SQL Server 相关的服务的服务帐户、密码、服务启动类型或其他属性,请使用 SQL Server 配置管理器。对于 Reporting Services,请使用 Reporting Services 配置工具。请注意,对 SQL Server 实例进行重命名时不会对 SQL Server 安全组重命名。完成重命名操作之后,安全组将继续使用其旧名称来工作。
辨别识别实例的服务和不识别实例的服务识别实例的服务与特定 SQL Server 实例相关联,并具有自己的注册表配置单元。通过为每个组件或服务运行 SQL Server 安装程序,可以安装识别实例的服务的多个副本。不识别实例的服务由所有已安装的 SQL Server 实例共享。它们不与特定实例相关联,仅安装一次且不能并行安装。
SQL Server 中识别实例的服务包括:
- SQL Server
- SQL Server Agent
请注意,在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上 SQL Server Agent 服务已禁用。 - Analysis Services
- Reporting Services
- 全文搜索
SQL Server 中不识别实例的服务包括:
- Integration Services
- SQL Server Browser
- SQL Server Active Directory Helper
- SQL Writer
SQL Server 安装程序为不同的 SQL Server 服务创建本地服务组,并根据需要向这些用户组添加服务帐户或服务 SID。这些组可以简化运行 SQL Server 服务和其他可执行文件所需权限的授予过程,并有助于增加 SQL Server 文件的安全性。对于 Windows Vista 和 Windows Server 2008 操作系统上的 SQL Server 独立实例,服务 SID 会自动添加到组。对于 Windows Server 2008 上的故障转移群集实例,默认情况下安装程序不需要域组。而是通过 ACL(访问控制列表)将 SQL Server 资源直接添加到服务 SID。用户可以选择域组和域帐户来运行 SQL Server 服务。请注意,若要使用域组,必须在运行 SQL Server 安装程序之前预先创建它们。在域控制器上安装 SQL Server 服务时应使用唯一的域组,并且只有域帐户才能用于这些组。
下表显示了 SQL Server 安装程序创建的用户组以及授予它们的特定 Windows NT 用户权限。
SQL Server 服务 | 用户组 | SQL Server 安装程序授予的默认权限 |
---|---|---|
SQL Server |
默认实例:SQLServerMSSQLUser$ComputerName$MSSQLSERVER 命名实例:SQLServerMSSQLUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight)1 以批处理作业身份登录 (SeBatchLogonRight) 替换进程级别标记 (SeAssignPrimaryTokenPrivilege) 跳过遍历检查 (SeChangeNotifyPrivilege) 调整进程的内存配额 (SeIncreaseQuotaPrivilege) 启动 SQL Server Active Directory Helper 的权限 启动 SQL Writer 的权限 读取事件日志服务的权限 读取远程过程调用服务的权限 |
SQL Server Agent3 |
默认实例:SQLServerSQLAgentUser$ComputerName$MSSQLSERVER 命名实例:SQLServerSQLAgentUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) 以批处理作业身份登录 (SeBatchLogonRight) 替换进程级别标记 (SeAssignPrimaryTokenPrivilege) 跳过遍历检查 (SeChangeNotifyPrivilege) 调整进程的内存配额 (SeIncreaseQuotaPrivilege) |
Analysis Services |
默认实例:SQLServerMSOLAPUser$ComputerName$MSSQLSERVER 命名实例:SQLServerMSOLAPUser$ComputerName$InstanceName |
以服务身份登录 (SeServiceLogonRight) |
SSRS |
默认实例:SQLServerReportServerUser$计算机名$MSRS10.MSSQLSERVER 命名实例:SQLServerReportServerUser$计算机名$MSRS10.实例名 |
以服务身份登录 (SeServiceLogonRight) |
Integration Services |
默认实例或命名实例:SQLServerDTSUser$ComputerName |
以服务身份登录 (SeServiceLogonRight) 应用程序事件日志的写入权限。 跳过遍历检查 (SeChangeNotifyPrivilege) 身份验证后模拟客户端 (SeImpersonatePrivilege) |
全文搜索 |
默认实例:SQLServerFDHostUser$计算机名称$MSSQL10.MSSQLSERVER 命名实例:SQLServerFDHostUser$计算机名称$MSSQL10.实例名 |
以服务身份登录 (SeServiceLogonRight) |
SQL Server Browser |
默认实例或命名实例:SQLServerSQLBrowserUser$ComputerName |
以服务身份登录 (SeServiceLogonRight) |
SQL Server Active Directory Helper |
默认实例或命名实例:SQLServerMSSQLServerADHelperUser$ComputerName |
无2 |
SQL Writer |
无 |
无2 |
1此权限默认可授予所有 SQL Server 服务。
2 SQL Server 安装程序不检查此服务或为其授予权限。
3在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上 SQL Server Agent 服务已禁用。
查看为 SQL Server 服务帐户创建的访问控制列表SQL Server 服务帐户必须具有对资源的访问权限。访问控制列表是在用户组级别设置的。
重要提示: |
---|
对于故障转移群集安装,必须为本地帐户的 ACL 设置共享磁盘上的资源。
|
下表显示了 SQL Server 安装程序设置的 ACL:
服务帐户所属1 | 文件和文件夹 | 访问权限 |
---|---|---|
MSSQLServer |
Instid/MSSQL/backup |
完全控制 |
|
Instid/MSSQL/binn |
读取和执行 |
|
Instid/MSSQL/data |
完全控制 |
|
Instid/MSSQL/FTData |
完全控制 |
|
Instid/MSSQL/Install |
读取和执行 |
|
Instid/MSSQL/Log |
完全控制 |
|
Instid/MSSQL/Repldata |
完全控制 |
|
100/shared |
读取和执行 |
|
Instid/MSSQL/Template Data(仅限 SQL Server Express) |
读取 |
SQLServerAgent2 |
Instid/MSSQL/binn |
完全控制 |
|
Instid/MSSQL/binn |
完全控制 |
|
Instid/MSSQL/Log |
读取、写入、删除和执行 |
|
100/com |
读取和执行 |
|
100/shared |
读取和执行 |
|
100/shared/Errordumps |
读取和写入 |
|
ServerName/EventLog |
完全控制 |
FTS |
Instid/MSSQL/FTData |
完全控制 |
|
Instid/MSSQL/FTRef |
读取和执行 |
|
100/shared |
读取和执行 |
|
100/shared/Errordumps |
读取和写入 |
|
Instid/MSSQL/Install |
读取和执行 |
|
Instid/MSSQL/jobs |
读取和写入 |
MSSQLServerOLAPservice |
100/shared/ASConfig |
完全控制 |
|
Instid/OLAP |
读取和执行 |
|
Instid/Olap/Data |
完全控制 |
|
Instid/Olap/Log |
读取和写入 |
|
Instid/OLAP/Backup |
读取和写入 |
|
Instid/OLAP/Temp |
读取和写入 |
|
100/shared/Errordumps |
读取和写入 |
SQLServerReportServerUser |
Instid/Reporting Services/Log Files |
读取、写入、删除 |
|
Instid/Reporting Services/ReportServer |
读取和执行 |
|
Instid/Reportingservices/Reportserver/global.asax |
完全控制 |
|
Instid/Reportingservices/Reportserver/Reportserver.config |
读取 |
|
Instid/Reporting Services/reportManager |
读取和执行 |
|
Instid/Reporting Services/RSTempfiles |
读取、写入、执行、删除 |
|
100/shared |
读取和执行 |
|
100/shared/Errordumps |
读取和写入 |
MSDTSServer100 |
100/dts/binn/MsDtsSrvr.ini.xml |
读取 |
|
100/dts/binn |
读取和执行 |
|
100/shared |
读取和执行 |
|
100/shared/Errordumps |
读取和写入 |
SQL Server Browser |
100/shared/ASConfig |
读取 |
|
100/shared |
读取和执行 |
|
100/shared/Errordumps |
读取和写入 |
MSADHelper |
不适用(在 Network Service 帐户下运行) |
|
SQLWriter |
不适用(以 Local System 身份运行) |
|
User |
Instid/MSSQL/binn |
读取和执行 |
|
Instid/Reporting Services/ReportServer |
读取、执行和列出文件夹内容 |
|
Instid/Reportingservices/Reportserver/global.asax |
读取 |
|
Instid/Reporting Services/ReportManager |
读取和执行 |
|
Instid/Reporting Services/ReportManager/pages |
读取 |
|
Instid/Reporting Services/ReportManager/Styles |
读取 |
|
100/dts |
读取和执行 |
|
100/tools |
读取和执行 |
|
90/tools |
读取和执行 |
|
80/tools |
读取和执行 |
|
100/sdk |
读取 |
|
Microsoft SQL Server/100/Setup Bootstrap |
读取和执行 |
1在某些情况下,例如执行故障转移群集和在域控制器上安装 SQL Server,将会为 SQL Server 服务 SID 设置 ACL,而不会为 SQL Server 服务组设置 ACL。
2在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上 SQL Server Agent 服务已禁用。
可能还必须向内置帐户或其他 SQL Server 服务帐户授予某些访问控制权限。下表列出了 SQL Server 安装程序设置的其他 ACL。
请求组件 | 帐户 | 资源 | 权限 |
---|---|---|---|
MSSQLServer |
性能日志用户 |
Instid/MSSQL/binn |
列出文件夹内容 |
|
性能监视器用户 |
Instid/MSSQL/binn |
列出文件夹内容 |
|
性能日志用户、性能监视器用户 |
/WINNT/system32/sqlctr100.dll |
读取和执行 |
|
仅限于管理员 |
//./root/Microsoft/SqlServer/ServerEvents/<sql_instance_name>1 |
完全控制 |
|
管理员和系统 |
/tools/binn/schemas/sqlserver/2004/07/showplan |
完全控制 |
|
用户 |
/tools/binn/schemas/sqlserver/2004/07/showplan |
读取和执行 |
Reporting Services |
<报表服务器 Web 服务帐户> |
<install>/Reporting Services/LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
报表管理器应用程序池标识、ASP.NET 帐户、Everyone |
<install>/Reporting Services/ReportManager、<install>/Reporting Services/ReportManager/Pages/*.*、<install>/Reporting Services/ReportManager/Styles/*.*、<install>/Reporting Services/ReportManager/webctrl_client/1_0/*.* |
读取 |
|
报表管理器应用程序池标识 |
<install>/Reporting Services/ReportManager/Pages/*.* |
读取 |
|
<报表服务器 Web 服务帐户> |
<install>/Reporting Services/ReportServer |
读取 |
|
<报表服务器 Web 服务帐户> |
<install>/Reporting Services/ReportServer/global.asax |
完全 |
|
Everyone |
<install>/Reporting Services/ReportServer/global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Network Service |
<install>/Reporting Services/ReportServer/ReportService.asmx |
完全 |
|
Everyone |
<install>/Reporting Services/ReportServer/ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
ReportServer Windows 服务帐户 |
<install>/Reporting Services/ReportServer/RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Everyone |
报表服务器密钥(Instid 配置单元) |
查询值 枚举子项 通知 读取控制 |
|
终端服务用户 |
报表服务器密钥(Instid 配置单元) |
查询值 设置值 创建子项 枚举子项 通知 删除 读取控制 |
|
超级用户 |
报表服务器密钥(Instid 配置单元) |
查询值 设置值 创建子项 枚举子项 通知 删除 读取控制 |
1这是 WMI 提供程序命名空间。
查看 SQL Server 服务的 Windows 权限下表显示了服务名称、用于指代 SQL Server 服务的默认实例和命名实例的术语、服务功能的说明以及所需的最低权限。
显示名称 | 服务名称 | 说明 | 所需权限 |
---|---|---|---|
SQL Server (实例名) |
默认实例:MSSQLSERVER 命名实例:MSSQL$实例名 |
SQL Server 数据库引擎. 可执行文件的路径为 /MSSQL/Binn/sqlservr.exe。 |
建议使用本地用户帐户或域用户帐户。 以服务身份登录 (SeServiceLogonRight)。1 以批处理作业身份登录 (SeBatchLogonRight)。 替换进程级别标记 (SeAssignPrimaryTokenPrivilege)。 跳过遍历检查 (SeChangeNotifyPrivilege)。 调整进程的内存配额 (SeIncreaseQuotaPrivilege)。 启动 SQL Server Active Directory Helper 的权限。 启动 SQL Writer 的权限。 读取事件日志服务的权限。 读取远程过程调用服务的权限。 最低权限 功能 MSSQLServer 服务启动帐户 该帐户必须对安装 SQL Server 的根驱动器拥有“列出文件夹”权限。它还必须对存储 SQL Server 文件的任何其他驱动器的根目录也拥有此权限。 注意:子文件夹不必继承根驱动器的“列出文件夹”权限。MSSQLServer 服务启动帐户 该帐户必须对数据或日志文件(.mdf、.ndf、.ldf)将驻留的任何文件夹都拥有“完全控制”权限。 |
SQL Server Agent(实例名)1 |
默认实例:SQLServerAgent 命名实例:SQLAgent$实例名 |
执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。 可执行文件的路径为 /MSSQL/Binn/sqlagent.exe。 |
最低权限 功能 该帐户必须是 sysadmin 固定服务器角色的成员。 该帐户必须拥有以下 Windows 权限: 以服务身份登录。 以批处理作业身份登录。 替换进程级别标记。 调整进程的内存配额。 跳过遍历检查。
|
Analysis Services 服务 (实例名) |
默认实例:MSSQLServerOLAPService 命名实例:MSOLAP$InstanceName |
为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功能的服务。 可执行文件的路径为 /OLAP/Bin/msmdsrv.exe。 |
|
Reporting Services |
默认实例:ReportServer 命名实例:ReportServer$InstanceName |
管理、执行、创建、计划和传递报表。 可执行文件的路径为 /Reporting Services/ReportServer/Bin/ReportingServicesService.exe。 |
|
Integration Services |
默认实例或命名实例:MSDTSServer |
为 Integration Services 包存储和执行提供管理支持。 可执行文件的路径为 /DTS/Binn/msdtssrvr.exe。 |
|
全文搜索 |
默认实例或命名实例:SQL 全文筛选器后台程序启动器 |
用于启动全文筛选器后台进程以为 SQL Server 全文搜索执行文档筛选和断字的服务。 |
|
SQL Server Browser |
默认实例或命名实例:SQLBrowser |
向客户端计算机提供 SQL Server 连接信息的名称解析服务。多个 SQL Server 和 SSIS 实例共享此服务。 可执行文件的路径为 <drive>:/Program Files/Microsoft SQL Server/100/Shared/sqlbrowser.exe。 |
|
SQL Server Active Directory Helper |
默认实例或命名实例:MSSQLServerADHelper。 |
在 Windows Active Directory 中发布和管理 SQL Server 服务。 可执行文件的路径为 <drive>:/Program Files/Microsoft SQL Server/100/Shared/sqladhelper.exe。 |
|
SQL Writer |
SQLWriter |
允许备份和还原应用程序,以便在 Volume Shadow Copy Service 框架中进行操作。服务器上的所有 SQL Server 实例只有一个 SQL Writer 服务实例。 可执行文件的路径为 <drive>:/Program Files/Microsoft SQL Server/100/Shared/sqlwriter.exe。 |
|
1在 SQL Server Express 实例和 SQL Server Express with Advanced Services 实例上 SQL Server Agent 服务已禁用。
查看其他注意事项下表显示了 SQL Server 服务提供其他功能时所需的权限:
服务/应用程序 | 功能 | 所需权限 |
---|---|---|
SQL Server (MSSQLSERVER) |
使用 xp_sendmail 写入邮件槽。 |
网络写入权限。 |
SQL Server (MSSQLSERVER) |
运行用户的而不是 SQL Server 管理员的 xp_cmdshell。 |
充当操作系统的一部分以及替换进程级别标记。 |
SQL Server Agent (MSSQLSERVER) |
使用自动重新启动功能。 |
必须是本地 Administrators 组的成员。 |
数据库引擎优化顾问 |
优化数据库以获得最佳查询性能。 |
第一次使用时,拥有系统管理员权限的用户必须初始化该应用程序。初始化后,dbo 用户可使用数据库引擎优化顾问仅优化他们拥有的那些表。有关详细信息,请参阅 SQL Server 联机丛书中的“在第一次使用时初始化数据库引擎优化顾问”。 |
重要提示: |
---|
升级到 SQL Server 之前,请先为 SQL Server Agent 启用 Windows 身份验证,并验证所需的默认配置:SQL Server Agent 的服务帐户是否是 SQL Server sysadmin 组的成员。
|
本地化的服务名称
下表列出了 Windows 的本地化版本所显示的服务名称。
语言 | Local Service 的名称 | Network Service 的名称 | Local System 的名称 | Admin Group 的名称 |
---|---|---|---|---|
英语 简体中文 繁体中文 朝鲜语 日语 |
NT AUTHORITY/LOCAL SERVICE |
NT AUTHORITY/NETWORK SERVICE |
NT AUTHORITY/SYSTEM |
BUILTIN/Administrators |
德语 |
NT-AUTORITÄT/LOKALER DIENST |
NT-AUTORITÄT/NETZWERKDIENST |
NT-AUTORITÄT/SYSTEM |
VORDEFINIERT/Administratoren |
法语 |
AUTORITE NT/SERVICE LOCAL |
AUTORITE NT/SERVICE RÉSEAU |
AUTORITE NT/SYSTEM |
BUILTIN/Administrateurs |
意大利语 |
NT AUTHORITY/SERVIZIO LOCALE |
NT AUTHORITY/SERVIZIO DI RETE |
NT AUTHORITY/SYSTEM |
BUILTIN/Administrators |
西班牙语 |
NT AUTHORITY/SERVICIO LOC |
NT AUTHORITY/SERVICIO DE RED |
NT AUTHORITY/SYSTEM |
BUILTIN/Administradores |
俄语 |
NT AUTHORITY/LOCAL SERVICE |
NT AUTHORITY/NETWORK SERVICE |
NT AUTHORITY/SYSTEM |
BUILTIN/Администраторы |