sqlserver服務(wù)賬戶和權(quán)限管理配置

《sqlserver服務(wù)賬戶和權(quán)限管理配置》由會員分享，可在線閱讀，更多相關(guān)《sqlserver服務(wù)賬戶和權(quán)限管理配置（76頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 大多數(shù)服務(wù)及其屬性可通過使用 SQLServer 配置管理器進行配置。 以下是在 C 盤安裝 Windows 的情況下最新的四個版本的路徑。 SQLServer2016 C:\Windows\SysWOW64\SQLServerManager13.msc SQLServer2014 C:\Windows\SysWOW64\SQLServerManager12.msc SQLServer2012 C:\Windows\SysWOW64\SQLSer

2、verManager11.msc SQLServer2008 C:\Windows\SysWOW64\SQLServerManager10.msc 安裝的服務(wù) SQLServer 根據(jù)您決定安裝的組件， SQLServer 安裝程序?qū)惭b以下服務(wù)： ?SQLServerDatabaseServices - 用于 SQLServer 關(guān)系數(shù)據(jù)庫引擎的服務(wù)?？蓤?zhí)行文件為 \MSSQL\Binn\sqlservr.exe 。 ?SQLServer

3、 代理 - 執(zhí)行作業(yè)、 監(jiān)視 SQLServer 、激發(fā)警報以及允許自動執(zhí)行某些管理任務(wù)。 SQLServer 代理服務(wù)在 SQLServerExpress 的實例上存在，但處于禁用狀態(tài)?？蓤?zhí)行文 件為 \MSSQL\Binn\sqlagent.exe 。 ?AnalysisServices - 為商業(yè)智能應(yīng)用程序提供聯(lián)機分析處理 (OLAP) 和數(shù)據(jù)挖掘功能?？蓤?zhí) 行文件為 \OLAP\Bin\msmdsrv.exe 。 ?ReportingServices - 管理、執(zhí)行、創(chuàng)

4、建、計劃和傳遞報表?？蓤?zhí)行文件為 \ReportingServices\ReportServer\Bin\ReportingServicesService. exe 。 ?IntegrationServices - 為 IntegrationServices 包的存儲和執(zhí)行提供管理支持?？蓤?zhí)行文 件的路徑是 \130\DTS\Binn\MsDtsSrvr.exe ?SQLServerBrowser - 向客戶端計算機提供 SQLServer 連接信息的名稱解析服務(wù)?？蓤?zhí)行 文件的路徑為

5、 c:\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe ?全文搜索 - 對結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQLServer 提供文檔篩選和斷字功能。 ?SQL 編寫器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運行。 ?SQLServer 分布式重播控制器 - 跨多個分布式重播客戶端計算機提供跟蹤重播業(yè)務(wù)流程。 ?SQLServerDistributedReplay 客戶端 -與 DistributedReplay 控

6、制器一起來模擬針對 SQLServer 數(shù)據(jù)庫引擎實例的并發(fā)工作負(fù)荷的一臺或多臺 DistributedReplay 客戶端計 算機。 ?SQLServer 受信任的啟動板 - 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例 如作為 RServices(In-database) 的一部分安裝的 R 運行時。附屬進程可由啟動板進程啟 動，但將根據(jù)單個實例的配置進行資源調(diào)控。啟動板服務(wù)在其自己的用戶帳戶下運行， 特定注冊運行時的各個附屬進程將繼承啟動板的用戶帳戶。附屬進程將在執(zhí)行過程中按 需創(chuàng)建和銷毀。

7、 服務(wù)屬性和配置 用于啟動和運行 SQLServer 的啟動帳戶可以是 域用戶帳戶 、本地用戶帳戶 、托管服務(wù)帳戶 、虛 擬帳戶 或內(nèi)置系統(tǒng)帳戶 。若要啟動和運行 SQLServer 中的每項服務(wù)，這些服務(wù)都必須有一個在 安裝過程中配置的啟動帳戶。 默認(rèn)服務(wù)帳戶 下表列出了安裝程序在安裝所有組件時使用的默認(rèn)服務(wù)帳戶。 列出的默認(rèn)帳戶是建議使用的帳戶， 但特殊注明的除外。 獨立服務(wù)器或域控制器 Windows7 和 WindowsServer2008 （可能為

8、 組件 WindowsServer2008 （可能為 英文頁面） 英文頁面） R2 及更高版本 數(shù)據(jù)庫引擎 NETWORK SERVICE 虛擬帳戶 * SQLServer 代理 NETWORK SERVICE 虛擬帳戶 * SSAS NETWORK SERVICE 虛擬帳戶 * SSIS NETWORK SERVICE 虛擬帳戶 * SSRS NETWORK SERVICE 虛擬帳戶

9、* SQLServer 分布式 NETWORK SERVICE 虛擬帳戶 * Windows7 和 WindowsServer2008 （可能為 組件 WindowsServer2008 （可能為 英文頁面） 英文頁面） R2 及更高版本 重播控制器 SQLServer 分布式 NETWORK SERVICE 虛擬帳戶 * 重播客戶端 FD 啟動器（全文搜 LOCAL SER

10、VICE 虛擬帳戶 索） SQLServerBrowse LOCAL SERVICE LOCAL SERVICE r SQLServerVSS 編 LOCAL SYSTEM LOCAL SYSTEM 寫器 高級分析擴展  NTSERVICE\MSSQLLaunchpa d  NTSERVICE\MSSQLLaunchpa d * 當(dāng)需要 S

11、QLServer 計算機外部的資源時， Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶 (MSA) 。 SQLServer 故障轉(zhuǎn)移群集實例 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁面） 英文頁面） R2 數(shù)據(jù)庫引擎 無。提供 域用戶 帳戶。 提供 域用戶 帳戶。 SQLServer 代理 無。提供 域用戶 帳戶。 提供 域用戶 帳戶。 SSAS 無

12、。提供 域用戶 帳戶。 提供 域用戶 帳戶。 SSIS NETWORK SERVICE 虛擬帳戶 SSRS NETWORK SERVICE 虛擬帳戶 FD 啟動器（全文搜索） LOCAL SERVICE 虛擬帳戶 SQLServerBrowser LOCAL SERVICE LOCAL SERVICE WindowsServer2008  （可能 

13、 WindowsServer2008  （可能為 組件 為英文頁面）  英文頁面）  R2 SQLServerVSS 編寫 LOCAL SYSTEM LOCAL SYSTEM 器 更改帳戶屬性 重要事項 ?始終使用 SQLServer 工具（例如 SQLServer 配置管理器）來更改 SQLServer 數(shù)據(jù)庫 引擎或 SQ

14、LServer 代理服務(wù)使用的帳戶， 或更改帳戶的密碼。 除了更改帳戶名稱以 外， SQLServer 配置管理器還可以執(zhí)行其他配置，例如，更新保護數(shù)據(jù)庫引擎的服 務(wù)主密鑰的 Windows 本地安全存儲區(qū)。其他工具（例如 Windows 服務(wù)控制管理 器）可以更改帳戶名稱，但不更改所有必需的設(shè)置。 ?對于您在 SharePoint 場中部署的 AnalysisServices 實例，始終使用 SharePoint 管理 中心為 PowerPivot 服務(wù)應(yīng)用程序和 AnalysisServices 服務(wù)更改服務(wù)器帳戶。使用 管理中

15、心時，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。 ?若要更改 ReportingServices 選項，請使用 ReportingServices 配置工具。 托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶 托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計用于向關(guān)鍵應(yīng)用程序（例如 SQLServer ）提供 其自己帳戶的隔離，同時使管理員無需手動管理這些帳戶的服務(wù)主體名稱 (SPN) 和憑據(jù)。這就使 得管理服務(wù)帳戶用戶、密碼和 SPN 的過程變得簡單得多。 ?托管服務(wù)帳戶 托管服務(wù)帳戶 (MSA) 是一種由域控制器創(chuàng)

16、建和管理的域帳戶。它分配給單個成員計算機 以用于運行服務(wù)。域控制器將自動管理密碼。您不能使用 MSA 登錄到計算機，但計算 機可以使用 MSA 來啟動 Windows 服務(wù)。 MSA 可以向 ActiveDirectory 注冊服務(wù)主體 名稱 (SPN) 。MSA 的名稱中有一個 $ 后綴，例如 DOMAIN\ACCOUNTNAME$ 。在指 定 MSA 時，請將密碼留空。因為將 MSA 分配給單個計算機，它不能用于 Windows 群集的不同節(jié)點。 說明

17、 域管理員必須先在 ActiveDirectory 中創(chuàng)建 MSA ，然后 SQLServer 安裝 程序才能將其用于 SQLServer 服務(wù)。 ?組托管服務(wù)帳戶 組托管服務(wù)帳戶是針對多個服務(wù)器的 MSA 。Windows 為在一組服務(wù)器上運行的服務(wù)管 理服務(wù)帳戶。 ActiveDirectory 自動更新組托管服務(wù)帳戶密碼，而不重啟服務(wù)。你可以 配置 SQLServer 服務(wù)以使用組托管服務(wù)帳戶主體。 SQLServer2016 對于獨立實例、故 障轉(zhuǎn)移群集實例和可用性組，在 WindowsServer2012R2 和更高

18、版本上支持組托管服 務(wù)帳戶。 若要使用 SQLServer2016 或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是 WindowsServer2012R2 或更高版本。裝有 WindowsServer2012R2 的服務(wù)器需要應(yīng) 用 KB 2998082 ，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請參閱 組托管服務(wù)帳戶 說明 域管理員必須先在 ActiveDirectory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQLServer 安裝程序

19、才能將其用于 SQLServer 服務(wù)。 ?虛擬帳戶 WindowsServer2008R2 和 Windows7 中的虛擬帳戶是“托管的本地帳戶”，此類帳 戶提供以下功能以簡化服務(wù)管理。虛擬帳戶是自動管理的，并且虛擬帳戶可以訪問域環(huán) 境中的網(wǎng)絡(luò)。如果在 WindowsServer2008R2 或 Windows7 上安裝 SQLServer 時對 服務(wù)帳戶使用默認(rèn)值，則將使用將實例名稱用作服務(wù)名稱的虛擬帳戶，格式為 。以虛擬帳戶身份運行的服務(wù)通過使用計算機帳戶的 憑據(jù)（格式為

20、ain_name> $ ）訪問網(wǎng)絡(luò)資源。當(dāng)指定一個 虛擬帳戶以啟動 SQLServer 時，應(yīng)將密碼留空。如果虛擬帳戶無法注冊服務(wù)主體名稱 (SPN) ，則手動注冊該 SPN 。有關(guān)手動注冊 SPN 的詳細(xì)信息，請參閱 手動注冊 SPN 。 說明 虛擬帳戶不能用于 SQLServer 故障轉(zhuǎn)移群集實例，因為虛擬帳戶在群集 的每個節(jié)點不會有相同 SID。 下表列出了虛擬帳戶名稱的示例。

21、 服務(wù) 虛擬帳戶名稱 數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實例 NTSERVICE\MSSQLSERVER 名為數(shù)據(jù)庫引擎的 的服務(wù)的命名實例 NTSERVICE\MSSQL$PAYROLL SQLServer 代理服務(wù)，位于以下默認(rèn)實例 NTSERVICE\SQLSERVERAGENT 上： SQLServer SQLServer 的 SQLServer 的的 NTSERVICE\SQLAGENT$PAYROLL

22、 安全說明 始終用盡可能低的用戶權(quán)限運行 SQLServer 服務(wù)。就會使用 MSA 或 virtual account 。 當(dāng)無法使用 MSA 和虛擬帳戶時，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQLServer 服務(wù)。對不同的 SQLServer 服務(wù)使用單獨的帳戶。不要向 SQLServer 服務(wù)帳戶或 服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù) SID 。 防火墻端口 在大多數(shù)情況下，首次安裝時，可以通過與數(shù)據(jù)庫引擎安裝在相同計算機上的 S

23、QLServerManagementStudio 等此類工具連接 SQLServer 。 SQLServer 安裝程序不會在 Windows 防火墻中打開端口。 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 端口，并且在 Windows 防火墻 中打開適當(dāng)?shù)亩丝谶M行連接之前，將無法從其他計算機建立連接。 配置 Windows 服務(wù)帳戶和 權(quán)限 SQLServer2016 其他版本 適用于： SQLServer2016 SQLServe

24、r 中的每個服務(wù)表示一個進程或一組進程，用于通過 Windows 管理 SQLServer 操作 的身份驗證。 本主題介紹此 SQLServer 版本中服務(wù)的默認(rèn)配置， 以及可以在 SQLServer 安裝過 程中以及安裝之后設(shè)置的 SQLServer 服務(wù)的配置選項。本主題將幫助高級用戶了解服務(wù)帳戶的 詳細(xì)信息。 大多數(shù)服務(wù)及其屬性可通過使用 SQLServer 配置管理器進行配置。 以下是在 C 盤安裝 Windows 的情況下最新的四個版本的路徑。 SQLServer2016 C:\Windows\Sy

25、sWOW64\SQLServerManager13.msc SQLServer2014 C:\Windows\SysWOW64\SQLServerManager12.msc SQLServer2012 C:\Windows\SysWOW64\SQLServerManager11.msc SQLServer2008 C:\Windows\SysWOW64\SQLServerManager10.msc 安裝的服務(wù) SQLServer

26、 根據(jù)您決定安裝的組件， SQLServer 安裝程序?qū)惭b以下服務(wù)： ?SQLServerDatabaseServices - 用于 SQLServer 關(guān)系數(shù)據(jù)庫引擎的服務(wù)。可執(zhí)行文件為 \MSSQL\Binn\sqlservr.exe 。 ?SQLServer 代理 - 執(zhí)行作業(yè)、 監(jiān)視 SQLServer 、激發(fā)警報以及允許自動執(zhí)行某些管理任務(wù)。 SQLServer 代理服務(wù)在 SQLServerExpress 的實例上存在，但處于禁用狀態(tài)。可執(zhí)行文 件為 \MSSQL\Binn\sql

27、agent.exe 。 ?AnalysisServices - 為商業(yè)智能應(yīng)用程序提供聯(lián)機分析處理 (OLAP) 和數(shù)據(jù)挖掘功能?？蓤?zhí) 行文件為 \OLAP\Bin\msmdsrv.exe 。 ?ReportingServices - 管理、執(zhí)行、創(chuàng)建、計劃和傳遞報表?？蓤?zhí)行文件為 \ReportingServices\ReportServer\Bin\ReportingServicesService. exe 。 ?IntegrationServices - 為 IntegrationSe

28、rvices 包的存儲和執(zhí)行提供管理支持。可執(zhí)行文 件的路徑是 \130\DTS\Binn\MsDtsSrvr.exe ?SQLServerBrowser - 向客戶端計算機提供 SQLServer 連接信息的名稱解析服務(wù)。可執(zhí)行 文件的路徑為 c:\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe ?全文搜索 - 對結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQLServer 提供文檔篩選和斷字功能。 ?S

29、QL 編寫器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運行。 ?SQLServer 分布式重播控制器 - 跨多個分布式重播客戶端計算機提供跟蹤重播業(yè)務(wù)流程。 ?SQLServerDistributedReplay 客戶端 -與 DistributedReplay 控制器一起來模擬針對 SQLServer 數(shù)據(jù)庫引擎實例的并發(fā)工作負(fù)荷的一臺或多臺 DistributedReplay 客戶端計 算機。 ?SQLServer 受信任的啟動板 - 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例

30、 如作為 RServices(In-database) 的一部分安裝的 R 運行時。附屬進程可由啟動板進程啟 動，但將根據(jù)單個實例的配置進行資源調(diào)控。啟動板服務(wù)在其自己的用戶帳戶下運行， 特定注冊運行時的各個附屬進程將繼承啟動板的用戶帳戶。附屬進程將在執(zhí)行過程中按 需創(chuàng)建和銷毀。 服務(wù)屬性和配置 用于啟動和運行 SQLServer 的啟動帳戶可以是 域用戶帳戶 、本地用戶帳戶 、托管服務(wù)帳戶 、虛 擬帳戶 或內(nèi)置系統(tǒng)帳戶 。若要啟動和運行 SQLServer 中的每項服務(wù)，這些服務(wù)都必須有一個在 安裝過程中配置

31、的啟動帳戶。 此部分介紹可配置為啟動 SQLServer 服務(wù)的帳戶、 SQLServer 安裝程序使用的默認(rèn)值、 Per-serviceSID 的概念、啟動選項以及配置防火墻。 ?默認(rèn)服務(wù)帳戶 ?自動啟動 ?配置服務(wù)啟動類型 ?防火墻端口 默認(rèn)服務(wù)帳戶 下表列出了安裝程序在安裝所有組件時使用的默認(rèn)服務(wù)帳戶。 列出的默認(rèn)帳戶是建議使用的帳戶， 但特殊注明的除外。 獨立服務(wù)器或域控制器 Windows7 和 WindowsServer2008 （可能

32、為 組件 WindowsServer2008 （可能為 英文頁面） 英文頁面） R2 及更高版本 數(shù)據(jù)庫引擎 NETWORK SERVICE 虛擬帳戶 * SQLServer 代理 NETWORK SERVICE 虛擬帳戶 * SSAS NETWORK SERVICE 虛擬帳戶 * SSIS NETWORK SERVICE 虛擬帳戶 * SSRS NETWORK SERVICE 虛擬帳戶

33、 * SQLServer 分布式 NETWORK SERVICE 虛擬帳戶 * 重播控制器 SQLServer 分布式 NETWORK SERVICE 虛擬帳戶 * 重播客戶端 Windows7 和 WindowsServer2008 （可能為 組件 WindowsServer2008 （可能為 英文頁面） 英文頁面） R2 及更高版本 FD 啟動器（全文搜 LOCAL SERVICE 虛擬帳戶

34、 索） SQLServerBrowse LOCAL SERVICE LOCAL SERVICE r SQLServerVSS 編 LOCAL SYSTEM LOCAL SYSTEM 寫器 高級分析擴展  NTSERVICE\MSSQLLaunchpa d  NTSERVICE\MSSQLLaunchpa d * 當(dāng)需要 SQLServer 計算機外

35、部的資源時， Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶 (MSA) 。 SQLServer 故障轉(zhuǎn)移群集實例 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁面） 英文頁面） R2 數(shù)據(jù)庫引擎 無。提供 域用戶 帳戶。 提供 域用戶 帳戶。 SQLServer 代理 無。提供 域用戶 帳戶。 提供 域用戶 帳戶。 SSAS 無。提供 域用戶

36、 帳戶。 提供 域用戶 帳戶。 SSIS NETWORK SERVICE 虛擬帳戶 SSRS NETWORK SERVICE 虛擬帳戶 FD 啟動器（全文搜索） LOCAL SERVICE 虛擬帳戶 SQLServerBrowser LOCAL SERVICE LOCAL SERVICE SQLServerVSS 編寫 LOCAL SYSTEM LOCAL SYSTEM

37、 WindowsServer2008 （可能 WindowsServer2008 （可能為 組件 為英文頁面） 英文頁面） R2 器 更改帳戶屬性 重要事項 ?始終使用 SQLServer 工具（例如 SQLServer 配置管理器）來更改 SQLServer 數(shù)據(jù)庫 引擎或 SQLServer 代理服務(wù)使用的帳戶， 或更改帳戶的密碼。 除了更改帳戶名稱以 外， SQLServer 配置管理器還可以執(zhí)行其他配置，例如，更

38、新保護數(shù)據(jù)庫引擎的服 務(wù)主密鑰的 Windows 本地安全存儲區(qū)。其他工具（例如 Windows 服務(wù)控制管理 器）可以更改帳戶名稱，但不更改所有必需的設(shè)置。 ?對于您在 SharePoint 場中部署的 AnalysisServices 實例，始終使用 SharePoint 管理 中心為 PowerPivot 服務(wù)應(yīng)用程序和 AnalysisServices 服務(wù)更改服務(wù)器帳戶。使用 管理中心時，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。 ? 選項，請使用 ReportingServices 配

39、置工具。 若要更改 ReportingServices 托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶 托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計用于向關(guān)鍵應(yīng)用程序（例如 SQLServer ）提供 其自己帳戶的隔離，同時使管理員無需手動管理這些帳戶的服務(wù)主體名稱 (SPN) 和憑據(jù)。這就使 得管理服務(wù)帳戶用戶、密碼和 SPN 的過程變得簡單得多。 ?托管服務(wù)帳戶 托管服務(wù)帳戶 (MSA) 是一種由域控制器創(chuàng)建和管理的域帳戶。它分配給單個成員計算機 以用于運行服務(wù)。域控制器將自動管理密碼。您

40、不能使用 MSA 登錄到計算機，但計算 機可以使用 MSA 來啟動 Windows 服務(wù)。 MSA 可以向 ActiveDirectory 注冊服務(wù)主體 名稱 (SPN) 。MSA 的名稱中有一個 $ 后綴，例如 DOMAIN\ACCOUNTNAME$ 。在指 定 MSA 時，請將密碼留空。因為將 MSA 分配給單個計算機，它不能用于 Windows 群集的不同節(jié)點。 說明 域管理員必須先在 ActiveDirectory 中創(chuàng)建 MSA ，然后 SQLServer 安

41、裝 程序才能將其用于 SQLServer 服務(wù)。 ?組托管服務(wù)帳戶 組托管服務(wù)帳戶是針對多個服務(wù)器的 MSA 。Windows 為在一組服務(wù)器上運行的服務(wù)管 理服務(wù)帳戶。 ActiveDirectory 自動更新組托管服務(wù)帳戶密碼，而不重啟服務(wù)。你可以 配置 SQLServer 服務(wù)以使用組托管服務(wù)帳戶主體。 SQLServer2016 對于獨立實例、故 障轉(zhuǎn)移群集實例和可用性組，在 WindowsServer2012R2 和更高版本上支持組托管服 務(wù)帳戶。 若要使用 SQLServer2016 或更高版本

42、的組托管服務(wù)帳戶，操作系統(tǒng)必須是 WindowsServer2012R2 或更高版本。裝有 WindowsServer2012R2 的服務(wù)器需要應(yīng) 用 KB 2998082 ，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請參閱 組托管服務(wù)帳戶 說明 域管理員必須先在 ActiveDirectory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQLServer 安裝程序才能將其用于 SQLServer 服務(wù)。 ?虛擬帳戶 WindowsServer2008R

43、2 和 Windows7 中的虛擬帳戶是“托管的本地帳戶”，此類帳 戶提供以下功能以簡化服務(wù)管理。虛擬帳戶是自動管理的，并且虛擬帳戶可以訪問域環(huán) 境中的網(wǎng)絡(luò)。如果在 WindowsServer2008R2 或 Windows7 上安裝 SQLServer 時對 服務(wù)帳戶使用默認(rèn)值，則將使用將實例名稱用作服務(wù)名稱的虛擬帳戶，格式為 。以虛擬帳戶身份運行的服務(wù)通過使用計算機帳戶的 憑據(jù)（格式為 $ ）訪問網(wǎng)絡(luò)資源。當(dāng)指定一個 虛擬帳戶以啟動 SQLS

44、erver 時，應(yīng)將密碼留空。如果虛擬帳戶無法注冊服務(wù)主體名稱 (SPN) ，則手動注冊該 SPN 。有關(guān)手動注冊 SPN 的詳細(xì)信息，請參閱 手動注冊 SPN 。 說明 虛擬帳戶不能用于 SQLServer 故障轉(zhuǎn)移群集實例，因為虛擬帳戶在群集 的每個節(jié)點不會有相同 SID。 下表列出了虛擬帳戶名稱的示例。 服務(wù) 虛擬帳戶名稱 服務(wù) 虛擬帳戶名稱 數(shù)據(jù)庫引擎服務(wù)的默認(rèn)

45、實例 NTSERVICE\MSSQLSERVER 名為數(shù)據(jù)庫引擎的 的服務(wù)的命名實例 NTSERVICE\MSSQL$PAYROLL SQLServer 代理服務(wù)，位于以下默認(rèn)實例 NTSERVICE\SQLSERVERAGENT 上： SQLServer SQLServer 的 SQLServer 的的 NTSERVICE\SQLAGENT$PAYROLL 有關(guān)托管服務(wù)帳戶和虛擬帳戶的詳細(xì)信息， 請參閱 服務(wù)帳戶分步指南 的托管服務(wù)和虛擬帳戶概

46、念 部分以及 托管服務(wù)帳戶常見問題解答 (FAQ) 。 安全說明 始終用盡可能低的用戶權(quán)限運行 SQLServer 服務(wù)。就會使用 MSA 或 virtual account 。 當(dāng)無法使用 MSA 和虛擬帳戶時，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQLServer 服務(wù)。對不同的 SQLServer 服務(wù)使用單獨的帳戶。 不要向 SQLServer 服務(wù)帳戶或服 務(wù)組授予其他權(quán)限。在支持服務(wù) SID 的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù) SID 。 自動啟動 除了具有用戶帳戶外，每項

47、服務(wù)還有用戶可控制的三種可能的啟動狀態(tài)： ?已禁用 服務(wù)已安裝但當(dāng)前未運行。 ?手動 服務(wù)已安裝，但僅當(dāng)另一個服務(wù)或應(yīng)用程序需要該服務(wù)的功能時才啟動。 ?自動 服務(wù)由操作系統(tǒng)自動啟動。 在安裝過程中， 啟動狀態(tài)處于選中狀態(tài)。 當(dāng)安裝命名實例時， SQLServerBrowser 服務(wù)應(yīng)設(shè)置為 自動啟動。 在無人參與的安裝過程中配置服務(wù) 下表顯示了可以在安裝過程中配置的 SQLServer 服務(wù)。對于無人參與的安裝，可以在配置文件 中或在命令提示符下使用開關(guān)。 SQLServ

48、er 服務(wù)名稱 無人參與安裝的開關(guān) * MSSQLSERVER SQLSVCACCOUNT 、 SQLSVCPASSWORD 、 SQLSVCSTARTUPTYPE SQLServerAgent** AGTSVCACCOUNT 、 AGTSVCPASSWORD 、 AGTSVCSTARTUPTYPE MSSQLServerOLAPService ASSVCACCOUNT 、 ASSVCPASSWORD 、 ASSVCSTARTUPTYPE

49、 ReportServer RSSVCACCOUNT 、 RSSVCPASSWORD 、 RSSVCSTARTUPTYPE IntegrationServices ISSVCACCOUNT 、 ISSVCPASSWORD 、 SQLServer 服務(wù)名稱 無人參與安裝的開關(guān) * ISSVCSTARTUPTYPE SQLServerDistributedReplay DRU_CTLR 、 CTLRSVCACCOU

50、NT 、 控制器 CTLRSVCPASSWORD 、 CTLRSTARTUPTYPE 、 CTLRUSERS SQLServerDistributedReplay DRU_CLT 、CLTSVCACCOUNT 、CLTSVCPASSWORD 、 客戶端 CLTSTARTUPTYPE 、 CLTCTLRNAME 、 CLTWORKINGDIR 、 CLTRESULTDIR RServices(In-database) EXTSVCACCOUNT 、 EXTSVCPASSWORD

51、、 ADVANCEDANALYTICS * 有關(guān)無人參與安裝的詳細(xì)信息和示例語法，請參閱 從命令提示符安裝 SQL Server 2016 。 **SQLServer 代理服務(wù)在 SQLServerExpress 實例和具有高級服務(wù)的 SQLServerExpress 實例上 處于禁用狀態(tài)。 防火墻端口 在大多數(shù)情況下，首次安裝時，可以通過與數(shù)據(jù)庫引擎安裝在相同計算機上的 SQLServerManagementStudio 等此類工具連接 SQLServer 。 SQLServer 安裝程序不會在

52、 Windows 防火墻中打開端口。 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 端口，并且在 Windows 防火墻 中打開適當(dāng)?shù)亩丝谶M行連接之前，將無法從其他計算機建立連接。有關(guān)詳細(xì)信息，請參閱 配置 Windows 防火墻以允許 SQL Server 訪問。 服務(wù)權(quán)限 服務(wù)配置和訪問控制 SQLServer2016 會為它的每項服務(wù)啟用 Per-serviceSID ，以提供深層服務(wù)隔離與防御。 Per-serviceSID 從服務(wù)名稱派生得到，對該服務(wù)是唯一的。例如，數(shù)據(jù)庫引擎服務(wù)的服務(wù) SID

53、 名稱可能是 NTService\MSSQL$ 。通過服務(wù)隔離， 可直接訪問特定的對象， 而無需運行高特權(quán)帳戶，也不會削弱為對象提供的安全保護水平。通過使用包含服務(wù) SID 的訪 問控制項， SQLServer 服務(wù)可限制對其資源的訪問。 說明： 在 Windows7 和 WindowsServer2008 （可能為英文頁面） R2 上， Per-serviceSID 可 以是服務(wù)使用的虛擬帳戶。 Windows 特權(quán)和權(quán)限 為啟動服務(wù)分配的帳戶需要對于服務(wù)的 啟動、停止和暫停權(quán)限 。 SQLSer

54、ver 安裝程序?qū)⒆詣臃? 配此權(quán)限。首先，安裝遠(yuǎn)程服務(wù)器管理工具 (RSAT) 下表說明 SQLServer 安裝程序為 SQLServer 組件使用的 Per-serviceSID 或本地 Windows 組 請求的權(quán)限。 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 SQLServer 數(shù)據(jù)庫引擎設(shè)置用戶帳戶： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID

55、。 默 認(rèn) 實 例 ： NTSERVICE\MSSQLSERVER 。 命 名 實 例 ： 替 換 進 程 級 別 標(biāo) 記 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 NTSERVICE\MSSQL$ InstanceName 。） (SeAssignPrimaryTokenPrivil ege) 跳 過 遍 歷 檢 查 (SeChangeNotifyPrivilege) 調(diào) 整 進 程 的 內(nèi) 存 配 額

56、 (SeIncreaseQuotaPrivilege) 啟動 SQL 編寫器的權(quán)限 讀取事件日志服務(wù)的權(quán)限 讀取遠(yuǎn)程過程調(diào)用服務(wù)的權(quán)限 SQLServer 代理： * 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實 例 ： NTService\SQLSERVERAGENT 。 命 名 實 例 ：

57、替 換 進 程 級 別 標(biāo) 記 NTService\SQLAGENT$InstanceName 。） (SeAssignPrimaryTokenPrivil ege) 跳 過 遍 歷 檢 查 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeChangeNotifyPrivilege) 調(diào) 整 進 程 的 內(nèi) 存 配 額 (SeIncreaseQuotaPrivilege)

58、 SSAS 設(shè)置用戶帳戶： （ 所 有 權(quán) 限 都授 予 本地 Windows 組 。 默認(rèn)實 例 ： SQLServerMSASUser$ ComputerName $MSSQLSE RVER 。 命 名 實 例 ： SQLServerMSASUser$ ComputerName $ InstanceN ame 。 PowerPivotforSharePoint 實 例 ： SQLServerMSASUser$ ComputerName $ PowerPivo t。） 

59、 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 僅適用于表格： 增 加 進 程 工 作 集 (SeIncreaseWorkingSetPrivil ege) 調(diào) 整 進 程 的 內(nèi) 存 配 額 (SeIncreaseQuotaSizePrivile ge) 鎖 定 內(nèi) 存 中 的 頁 (SeLockMemoryPrivilege)- 僅 當(dāng)完全關(guān)閉分頁時才需要。

60、 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 僅適用于故障轉(zhuǎn)移群集安裝： 提 高 計 劃 優(yōu) 先 級 (SeIncreaseBasePriorityPrivil ege) SSRS 設(shè)置用戶帳戶： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實 例 ： NTSERVICE\ReportServer 。

61、 命 名 實 例 ： NTSERVICE\$ InstanceName 。） SSIS 設(shè)置用戶帳戶： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （所有權(quán)限都將授予 Per-serviceSID 。默認(rèn)實例和命名實 例 ： NTSERVICE\MsDtsServer130 。 應(yīng)用程序事件日志的寫入權(quán)限。 IntegrationServices 沒有針對命名實例的單獨進程。 ） 跳 過 遍 歷 檢 查 (SeChangeNotifyPrivilege)

62、 身 份 驗 證 后 模 擬 客 戶 端 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeImpersonatePrivilege) 全文搜索： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) （ 所 有 權(quán) 限 都 將 授 予 Per-serviceSID 。 默 認(rèn) 實 例 ： NTService\MSSQLFDLauncher 。 命 名

63、實 例 ： 調(diào) 整 進 程 的 內(nèi) 存 配 額 NTService\MSSQLFDLauncher$ InstanceName 。） (SeIncreaseQuotaPrivilege) 跳 過 遍 歷 檢 查 (SeChangeNotifyPrivilege) SQLServerBrowser  ：  以 服  務(wù) 身 

64、 份 登  錄 (SeServiceLogonRight) （所有權(quán)限都授予本地例  Windows  組。默認(rèn)實例或命名實 ： SQLServer2005SQLBrowserUser  $ComputerName 。 SQLServerBrowser 沒有針對命名實例的單獨進程。 ） SQLServerVSS 編寫器： SQLWriter 服務(wù)在具有所需的 所有權(quán)限的 LOCALSYSTE

65、M 帳 （所有權(quán)限都將授予 Per-serviceSID 。默認(rèn)實例或命名實 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 例： NTService\SQLWriter 。SQLServerVSS 編寫器沒 戶下運行。 SQLServer 安裝程序 有針對命名實例的單獨進程。 ） 不檢查此服務(wù)或為其授予權(quán)限。 SQLServer 分布式重播控制器： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight)

66、 SQLServer 分布式重播客戶端： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 啟動板： 以 服 務(wù) 身 份 登 錄 (SeServiceLogonRight) 替 換 進 程 級 別 標(biāo) 記 (SeAssignPrimaryTokenPrivil ege) 跳 過 遍 歷 檢 查 (SeChangeNotifyPrivilege) 調(diào) 整 進 程 的 內(nèi) 存 配 額 SQLServer 安裝程序授予的權(quán) SQLServer 服務(wù) 限 (SeIncreaseQuotaPrivilege) *SQLServer 代理服務(wù)在 SQLServerExpress 的實例上處于禁用狀態(tài)。 授予 SQLServerPer-serviceSID 或本地 Window