sqlserver服务账户和权限管理配置

大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C盘安装Windows的情况下最新的四个版本的路径。SQLServer2016C:\Windows\SysWOW64\SQLServerManager13.mscSQLServer2014C:\Windows\SysWOW64\SQLServerManager12.mscSQLServer2012C:\Windows\SysWOW64\SQLServerManager11.mscSQLServer2008C:\Windows\SysWOW64\SQLServerManager10.msc安装的服务SQLServer根据您决定安装的组件，SQLServer安装程序将安装以下服务：SQLServerDatabaseServices-用于SQLServer关系数据库引擎的服务。可执行文件为MSSQLPATH\MSSQL\Binn\sqlservr.exe。SQLServer代理-执行作业、监视SQLServer、激发警报以及允许自动执行某些管理任务。SQLServer代理服务在SQLServerExpress的实例上存在，但处于禁用状态。可执行文件为MSSQLPATH\MSSQL\Binn\sqlagent.exe。AnalysisServices-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。可执行文件为MSSQLPATH\OLAP\Bin\msmdsrv.exe。ReportingServices-管理、执行、创建、计划和传递报表。可执行文件为MSSQLPATH\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。IntegrationServices-为IntegrationServices包的存储和执行提供管理支持。可执行文件的路径是MSSQLPATH\130\DTS\Binn\MsDtsSrvr.exeSQLServerBrowser-向客户端计算机提供SQLServer连接信息的名称解析服务。可执行文件的路径为c:\ProgramFiles(x86)\MicrosoftSQLServer\90\Shared\sqlbrowser.exe全文搜索-对结构化和半结构化数据的内容和属性快速创建全文索引，从而为SQLServer提供文档筛选和断字功能。SQL编写器-允许备份和还原应用程序在卷影复制服务(VSS)框架中运行。SQLServer分布式重播控制器-跨多个分布式重播客户端计算机提供跟踪重播业务流程。SQLServerDistributedReplay客户端-与DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。SQLServer受信任的启动板-用于托管Microsoft提供的外部可执行文件的可信服务，例如作为RServices(In-database)的一部分安装的R运行时。附属进程可由启动板进程启动，但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。服务属性和配置用于启动和运行SQLServer的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、虚拟帐户或内置系统帐户。若要启动和运行SQLServer中的每项服务，这些服务都必须有一个在安装过程中配置的启动帐户。默认服务帐户下表列出了安装程序在安装所有组件时使用的默认服务帐户。列出的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或域控制器组件WindowsServer2008（可能为英文页面）Windows7和WindowsServer2008（可能为英文页面）R2及更高版本数据库引擎NETWORKSERVICE虚拟帐户*SQLServer代理NETWORKSERVICE虚拟帐户*SSASNETWORKSERVICE虚拟帐户*SSISNETWORKSERVICE虚拟帐户*SSRSNETWORKSERVICE虚拟帐户*SQLServer分布式重播控NETWORKSERVICE虚拟帐户*组件WindowsServer2008（可能为英文页面）Windows7和WindowsServer2008（可能为英文页面）R2及更高版本制器SQLServer分布式重播客户端NETWORKSERVICE虚拟帐户*FD启动器（全文搜索）LOCALSERVICE虚拟帐户SQLServerBrowserLOCALSERVICELOCALSERVICESQLServerVSS编写器LOCALSYSTEMLOCALSYSTEM高级分析扩展NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad*当需要SQLServer计算机外部的资源时，Microsoft建议使用配置了必需的最小特权的托管服务帐户(MSA)。SQLServer故障转移群集实例组件WindowsServer2008（可能为英文页面）WindowsServer2008（可能为英文页面）R2组件WindowsServer2008（可能为英文页面）WindowsServer2008（可能为英文页面）R2数据库引擎无。提供域用户帐户。提供域用户帐户。SQLServer代理无。提供域用户帐户。提供域用户帐户。SSAS无。提供域用户帐户。提供域用户帐户。SSISNETWORKSERVICE虚拟帐户SSRSNETWORKSERVICE虚拟帐户FD启动器（全文搜索）LOCALSERVICE虚拟帐户SQLServerBrowserLOCALSERVICELOCALSERVICESQLServerVSS编写器LOCALSYSTEMLOCALSYSTEM更改帐户属性重要事项始终使用SQLServer工具（例如SQLServer配置管理器）来更改SQLServer数据库引擎或SQLServer代理服务使用的帐户，或更改帐户的密码。除了更改帐户名称以外，SQLServer配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的Windows本地安全存储区。其他工具（例如Windows服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。对于您在SharePoint场中部署的AnalysisServices实例，始终使用SharePoint管理中心为PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。若要更改ReportingServices选项，请使用ReportingServices配置工具。托管服务帐户、组托管服务帐户和虚拟帐户托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如SQLServer）提供其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称(SPN)和凭据。这就使得管理服务帐户用户、密码和SPN的过程变得简单得多。托管服务帐户托管服务帐户(MSA)是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用MSA登录到计算机，但计算机可以使用MSA来启动Windows服务。MSA可以向ActiveDirectory注册服务主体名称(SPN)。MSA的名称中有一个$后缀，例如DOMAIN\ACCOUNTNAME$。在指定MSA时，请将密码留空。因为将MSA分配给单个计算机，它不能用于Windows群集的不同节点。说明域管理员必须先在ActiveDirectory中创建MSA，然后SQLServer安装程序才能将其用于SQLServer服务。组托管服务帐户组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户。ActiveDirectory自动更新组托管服务帐户密码，而不重启服务。你可以配置SQLServer服务以使用组托管服务帐户主体。SQLServer2016对于独立实例、故障转移群集实例和可用性组，在WindowsServer2012R2和更高版本上支持组托管服务帐户。若要使用SQLServer2016或更高版本的组托管服务帐户，操作系统必须是WindowsServer2012R2或更高版本。装有WindowsServer2012R2的服务器需要应用KB2998082，以便服务可以在密码更改后立即登录而不中断。有关详细信息，请参阅组托管服务帐户说明域管理员必须先在ActiveDirectory中创建组托管服务帐户，然后SQLServer安装程序才能将其用于SQLServer服务。虚拟帐户WindowsServer2008R2和Windows7中的虚拟帐户是“托管的本地帐户”，此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。如果在WindowsServer2008R2或Windows7上安装SQLServer时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为NTSERVICE\SERVICENAME。以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为domain_name\computer_name$）访问网络资源。当指定一个虚拟帐户以启动SQLServer时，应将密码留空。如果虚拟帐户无法注册服务主体名称(SPN)，则手动注册该SPN。有关手动注册SPN的详细信息，请参阅手动注册SPN。说明虚拟帐户不能用于SQLServer故障转移群集实例，因为虚拟帐户在群集的每个节点不会有相同SID。下表列出了虚拟帐户名称的示例。服务虚拟帐户名称数据库引擎服务的默认实例NTSERVICE\MSSQLSERVER名为数据库引擎的的服务的命名实例NTSERVICE\MSSQL$PAYROLLSQLServer代理服务，位于以下默认实例上：SQLServerNTSERVICE\SQLSERVERAGENT服务虚拟帐户名称SQLServer的SQLServer的的NTSERVICE\SQLAGENT$PAYROLL安全说明始终用尽可能低的用户权限运行SQLServer服务。就会使用MSA或virtualaccount。当无法使用MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于SQLServer服务。对不同的SQLServer服务使用单独的帐户。不要向SQLServer服务帐户或服务组授予其他权限。在支持服务SID的情况下，将通过组成员身份或直接将权限授予服务SID。防火墙端口在大多数情况下，首次安装时，可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。SQLServer安装程序不会在Windows防火墙中打开端口。在将数据库引擎配置为侦听TCP端口，并且在Windows防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。配置Windows服务帐户和权限SQLServer2016其他版本适用于：SQLServer2016SQLServer中的每个服务表示一个进程或一组进程，用于通过Windows管理SQLServer操作的身份验证。本主题介绍此SQLServer版本中服务的默认配置，以及可以在SQLServer安装过程中以及安装之后设置的SQLServer服务的配置选项。本主题将帮助高级用户了解服务帐户的详细信息。大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C盘安装Windows的情况下最新的四个版本的路径。SQLServer2016C:\Windows\SysWOW64\SQLServerManager13.mscSQL