sqlserver服務(wù)賬戶和權(quán)限管理配置培訓(xùn)文件

1、80/80大多數(shù)服務(wù)及其屬性可通過使用 SQL Server 配置管理器進(jìn)行配置。 以下是在 C 盤安裝 Windows 的情況下最新的四個(gè)版本的路徑。SQL Server 2016C:WindowsSysWOW64SQLServerManager13.mscSQL Server 2014C:WindowsSysWOW64SQLServerManager12.mscSQL Server 2012C:WindowsSysWOW64SQLServerManager11.mscSQL Server 2008C:WindowsSysWOW64SQLServerManager10.msc HYPERLI

2、NK javascript:void(0) 安裝的服務(wù) SQL Server根據(jù)您決定安裝的組件，SQL Server 安裝程序?qū)惭b以下服務(wù)：SQL Server Database Services- 用于 SQL Server 關(guān)系 數(shù)據(jù)庫引擎 的服務(wù)。 可執(zhí)行文件為 MSSQLBinnsqlservr.exe。SQL Server 代理- 執(zhí)行作業(yè)、監(jiān)視 SQL Server、激發(fā)警報(bào)以及允許自動(dòng)執(zhí)行某些管理任務(wù)。 SQL Server 代理服務(wù)在 SQL Server Express 的實(shí)例上存在，但處于禁用狀態(tài)。 可執(zhí)行文件為 MSSQLBinnsqlagent.exe。Analys

3、is Services- 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理 (OLAP) 和數(shù)據(jù)挖掘功能。 可執(zhí)行文件為 OLAPBinmsmdsrv.exe。Reporting Services- 管理、執(zhí)行、創(chuàng)建、計(jì)劃和傳遞報(bào)表。 可執(zhí)行文件為 Reporting ServicesReportServerBinReportingServicesService.exe。Integration Services- 為 Integration Services 包的存儲(chǔ)和執(zhí)行提供管理支持。 可執(zhí)行文件的路徑是 130DTSBinnMsDtsSrvr.exeSQL Server Browser- 向客戶端計(jì)算機(jī)

4、提供 SQL Server 連接信息的名稱解析服務(wù)。 可執(zhí)行文件的路徑為 c:Program Files (x86)Microsoft SQL Server90Sharedsqlbrowser.exe全文搜索- 對(duì)結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQL Server 提供文檔篩選和斷字功能。SQL 編寫器- 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運(yùn)行。SQL Server 分布式重播控制器- 跨多個(gè)分布式重播客戶端計(jì)算機(jī)提供跟蹤重播業(yè)務(wù)流程。SQL Server Distributed Replay 客戶端- 與 Distributed Replay

5、 控制器一起來模擬針對(duì) SQL Server 數(shù)據(jù)庫引擎 實(shí)例的并發(fā)工作負(fù)荷的一臺(tái)或多臺(tái) Distributed Replay 客戶端計(jì)算機(jī)。SQL Server 受信任的啟動(dòng)板- 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例如作為 R Services (In-database) 的一部分安裝的 R 運(yùn)行時(shí)。 附屬進(jìn)程可由啟動(dòng)板進(jìn)程啟動(dòng)，但將根據(jù)單個(gè)實(shí)例的配置進(jìn)行資源調(diào)控。 啟動(dòng)板服務(wù)在其自己的用戶帳戶下運(yùn)行，特定注冊(cè)運(yùn)行時(shí)的各個(gè)附屬進(jìn)程將繼承啟動(dòng)板的用戶帳戶。 附屬進(jìn)程將在執(zhí)行過程中按需創(chuàng)建和銷毀。 HYPERLINK javascript:void(0) 服務(wù)屬性和配

6、置用于啟動(dòng)和運(yùn)行 SQL Server 的啟動(dòng)帳戶可以是 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l Local_User 本地用戶帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l MSA 托管服務(wù)帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶或 HYPERLINK /zh-cn/library/ms143504.aspx l Lo

7、cal_Service 內(nèi)置系統(tǒng)帳戶。 若要啟動(dòng)和運(yùn)行 SQL Server 中的每項(xiàng)服務(wù)，這些服務(wù)都必須有一個(gè)在安裝過程中配置的啟動(dòng)帳戶。默認(rèn)服務(wù)帳戶下表列出了安裝程序在安裝所有組件時(shí)使用的默認(rèn)服務(wù)帳戶。 列出的默認(rèn)帳戶是建議使用的帳戶，但特殊注明的除外。獨(dú)立服務(wù)器或域控制器組件Windows Server 2008（可能為英文頁面）Windows 7 和 Windows Server 2008（可能為英文頁面） R2 及更高版本數(shù)據(jù)庫引擎 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYP

8、ERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SQL Server 代理 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SSAS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143

9、504.aspx l VA_Desc 虛擬帳戶*SSIS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SSRS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SQL Server 分

10、布式重播控制器 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SQL Server 分布式重播客戶端 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*FD 啟動(dòng)器（全文搜索） HYPER

11、LINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SQL Server Browser HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICESQL Server VSS 編寫器 HYPERLIN

12、K /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM高級(jí)分析擴(kuò)展NTSERVICEMSSQLLaunchpadNTSERVICEMSSQLLaunchpad*當(dāng)需要 SQL Server 計(jì)算機(jī)外部的資源時(shí)，Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶 (MSA)。SQL Server 故障轉(zhuǎn)移群集實(shí)例組件Windows Server 2008（可能為英文頁面）Windows Se

13、rver 2008（可能為英文頁面） R2數(shù)據(jù)庫引擎無。 提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。SQL Server 代理無。 提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。SSAS無。

14、提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。SSIS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SSRS HYPERLINK /zh-cn/library/ms143504.aspx l

15、 Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶FD 啟動(dòng)器（全文搜索） HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SQL Server Browser HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL

16、 SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICESQL Server VSS 編寫器 HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM更改帳戶屬性重要事項(xiàng)始終使用 SQL Server 工具（例如 SQL Server 配置管理器）來更改 SQL Server 數(shù)據(jù)庫引擎 或

17、 SQL Server 代理服務(wù)使用的帳戶，或更改帳戶的密碼。 除了更改帳戶名稱以外， SQL Server 配置管理器還可以執(zhí)行其他配置，例如，更新保護(hù) 數(shù)據(jù)庫引擎的服務(wù)主密鑰的 Windows 本地安全存儲(chǔ)區(qū)。 其他工具（例如 Windows 服務(wù)控制管理器）可以更改帳戶名稱，但不更改所有必需的設(shè)置。對(duì)于您在 SharePoint 場(chǎng)中部署的 Analysis Services 實(shí)例，始終使用 SharePoint 管理中心為 Power Pivot 服務(wù) 應(yīng)用程序和 Analysis Services 服務(wù)更改服務(wù)器帳戶。 使用管理中心時(shí)，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。若要更

18、改 Reporting Services 選項(xiàng)，請(qǐng)使用 Reporting Services 配置工具。托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計(jì)用于向關(guān)鍵應(yīng)用程序（例如 SQL Server）提供其自己帳戶的隔離，同時(shí)使管理員無需手動(dòng)管理這些帳戶的服務(wù)主體名稱 (SPN) 和憑據(jù)。 這就使得管理服務(wù)帳戶用戶、密碼和 SPN 的過程變得簡(jiǎn)單得多。托管服務(wù)帳戶托管服務(wù)帳戶 (MSA) 是一種由域控制器創(chuàng)建和管理的域帳戶。 它分配給單個(gè)成員計(jì)算機(jī)以用于運(yùn)行服務(wù)。 域控制器將自動(dòng)管理密碼。 您不能使用 MSA 登錄到計(jì)算機(jī)，但計(jì)算機(jī)可以使用 MSA 來啟動(dòng) Wi

19、ndows 服務(wù)。 MSA 可以向 Active Directory 注冊(cè)服務(wù)主體名稱 (SPN)。 MSA 的名稱中有一個(gè)$后綴，例如DOMAINACCOUNTNAME$。 在指定 MSA 時(shí)，請(qǐng)將密碼留空。 因?yàn)閷?MSA 分配給單個(gè)計(jì)算機(jī)，它不能用于 Windows 群集的不同節(jié)點(diǎn)。說明域管理員必須先在 Active Directory 中創(chuàng)建 MSA，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。組托管服務(wù)帳戶組托管服務(wù)帳戶是針對(duì)多個(gè)服務(wù)器的 MSA。 Windows 為在一組服務(wù)器上運(yùn)行的服務(wù)管理服務(wù)帳戶。 Active Directory 自動(dòng)更新組

20、托管服務(wù)帳戶密碼，而不重啟服務(wù)。 你可以配置 SQL Server 服務(wù)以使用組托管服務(wù)帳戶主體。 SQL Server 2016 對(duì)于獨(dú)立實(shí)例、故障轉(zhuǎn)移群集實(shí)例和可用性組，在 Windows Server 2012 R2 和更高版本上支持組托管服務(wù)帳戶。若要使用 SQL Server 2016 或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是 Windows Server 2012 R2 或更高版本。 裝有 Windows Server 2012 R2 的服務(wù)器需要應(yīng)用 HYPERLINK /kb/2998082 KB 2998082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請(qǐng)參閱

21、 HYPERLINK /library/hh831782.aspx 組托管服務(wù)帳戶說明域管理員必須先在 Active Directory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。虛擬帳戶Windows Server 2008 R2 和 Windows 7 中的虛擬帳戶是“托管的本地帳戶” ，此類帳戶提供以下功能以簡(jiǎn)化服務(wù)管理。 虛擬帳戶是自動(dòng)管理的，并且虛擬帳戶可以訪問域環(huán)境中的網(wǎng)絡(luò)。 如果在 Windows Server 2008 R2 或 Windows 7 上安裝 SQL Server 時(shí)對(duì)服務(wù)帳戶使用默認(rèn)值，則將使用將實(shí)例名稱

22、用作服務(wù)名稱的虛擬帳戶，格式為NT SERVICE。 以虛擬帳戶身份運(yùn)行的服務(wù)通過使用計(jì)算機(jī)帳戶的憑據(jù)（格式為$）訪問網(wǎng)絡(luò)資源。 當(dāng)指定一個(gè)虛擬帳戶以啟動(dòng) SQL Server 時(shí)，應(yīng)將密碼留空。 如果虛擬帳戶無法注冊(cè)服務(wù)主體名稱 (SPN)，則手動(dòng)注冊(cè)該 SPN。 有關(guān)手動(dòng)注冊(cè) SPN 的詳細(xì)信息，請(qǐng)參閱 HYPERLINK /library/ms191153.aspx 手動(dòng)注冊(cè) SPN。說明虛擬帳戶不能用于 SQL Server 故障轉(zhuǎn)移群集實(shí)例，因?yàn)樘摂M帳戶在群集的每個(gè)節(jié)點(diǎn)不會(huì)有相同 SID。下表列出了虛擬帳戶名稱的示例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實(shí)例NT SERVICEMSS

23、QLSERVER名為 數(shù)據(jù)庫引擎 的的服務(wù)的命名實(shí)例NT SERVICEMSSQL$PAYROLLSQL Server 代理服務(wù)，位于以下默認(rèn)實(shí)例上： SQL ServerNT SERVICESQLSERVERAGENTSQL Server 的 SQL Server 的的NT SERVICESQLAGENT$PAYROLL安全說明始終用盡可能低的用戶權(quán)限運(yùn)行 SQL Server 服務(wù)。 就會(huì)使用 HYPERLINK /zh-cn/library/ms143504.aspx l MSA MSA或 HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc

24、virtual account。 當(dāng)無法使用 MSA 和虛擬帳戶時(shí)，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQL Server 服務(wù)。 對(duì)不同的 SQL Server 服務(wù)使用單獨(dú)的帳戶。 不要向 SQL Server 服務(wù)帳戶或服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù) SID。防火墻端口在大多數(shù)情況下，首次安裝時(shí)，可以通過與 數(shù)據(jù)庫引擎 安裝在相同計(jì)算機(jī)上的 SQL Server Management Studio 等此類工具連接 SQL Server。 SQL Server 安裝程序不會(huì)在 Windows 防火墻中打開端口。

25、 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 端口，并且在 Windows 防火墻中打開適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無法從其他計(jì)算機(jī)建立連接。配置 Windows 服務(wù)帳戶和權(quán)限SQL Server 2016 HYPERLINK javascript:; 其他版本適用于： SQL Server 2016SQL Server 中的每個(gè)服務(wù)表示一個(gè)進(jìn)程或一組進(jìn)程，用于通過 Windows 管理 SQL Server 操作的身份驗(yàn)證。 本主題介紹此 SQL Server版本中服務(wù)的默認(rèn)配置，以及可以在 SQL Server 安裝過程中以及安裝之后設(shè)置的 SQL Server 服務(wù)的配置選項(xiàng)。 本主題將幫助高級(jí)用

26、戶了解服務(wù)帳戶的詳細(xì)信息。大多數(shù)服務(wù)及其屬性可通過使用 SQL Server 配置管理器進(jìn)行配置。 以下是在 C 盤安裝 Windows 的情況下最新的四個(gè)版本的路徑。SQL Server 2016C:WindowsSysWOW64SQLServerManager13.mscSQL Server 2014C:WindowsSysWOW64SQLServerManager12.mscSQL Server 2012C:WindowsSysWOW64SQLServerManager11.mscSQL Server 2008C:WindowsSysWOW64SQLServerManager10.msc

27、 HYPERLINK javascript:void(0) 安裝的服務(wù) SQL Server根據(jù)您決定安裝的組件，SQL Server 安裝程序?qū)惭b以下服務(wù)：SQL Server Database Services- 用于 SQL Server 關(guān)系 數(shù)據(jù)庫引擎 的服務(wù)。 可執(zhí)行文件為 MSSQLBinnsqlservr.exe。SQL Server 代理- 執(zhí)行作業(yè)、監(jiān)視 SQL Server、激發(fā)警報(bào)以及允許自動(dòng)執(zhí)行某些管理任務(wù)。 SQL Server 代理服務(wù)在 SQL Server Express 的實(shí)例上存在，但處于禁用狀態(tài)。 可執(zhí)行文件為 MSSQLBinnsqlagent.ex

28、e。Analysis Services- 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理 (OLAP) 和數(shù)據(jù)挖掘功能。 可執(zhí)行文件為 OLAPBinmsmdsrv.exe。Reporting Services- 管理、執(zhí)行、創(chuàng)建、計(jì)劃和傳遞報(bào)表。 可執(zhí)行文件為 Reporting ServicesReportServerBinReportingServicesService.exe。Integration Services- 為 Integration Services 包的存儲(chǔ)和執(zhí)行提供管理支持。 可執(zhí)行文件的路徑是 130DTSBinnMsDtsSrvr.exeSQL Server Browser-

29、 向客戶端計(jì)算機(jī)提供 SQL Server 連接信息的名稱解析服務(wù)。 可執(zhí)行文件的路徑為 c:Program Files (x86)Microsoft SQL Server90Sharedsqlbrowser.exe全文搜索- 對(duì)結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為 SQL Server 提供文檔篩選和斷字功能。SQL 編寫器- 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù) (VSS) 框架中運(yùn)行。SQL Server 分布式重播控制器- 跨多個(gè)分布式重播客戶端計(jì)算機(jī)提供跟蹤重播業(yè)務(wù)流程。SQL Server Distributed Replay 客戶端- 與 Distribute

30、d Replay 控制器一起來模擬針對(duì) SQL Server 數(shù)據(jù)庫引擎 實(shí)例的并發(fā)工作負(fù)荷的一臺(tái)或多臺(tái) Distributed Replay 客戶端計(jì)算機(jī)。SQL Server 受信任的啟動(dòng)板- 用于托管 Microsoft 提供的外部可執(zhí)行文件的可信服務(wù)，例如作為 R Services (In-database) 的一部分安裝的 R 運(yùn)行時(shí)。 附屬進(jìn)程可由啟動(dòng)板進(jìn)程啟動(dòng)，但將根據(jù)單個(gè)實(shí)例的配置進(jìn)行資源調(diào)控。 啟動(dòng)板服務(wù)在其自己的用戶帳戶下運(yùn)行，特定注冊(cè)運(yùn)行時(shí)的各個(gè)附屬進(jìn)程將繼承啟動(dòng)板的用戶帳戶。 附屬進(jìn)程將在執(zhí)行過程中按需創(chuàng)建和銷毀。 HYPERLINK javascript:void(0

31、) 服務(wù)屬性和配置用于啟動(dòng)和運(yùn)行 SQL Server 的啟動(dòng)帳戶可以是 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l Local_User 本地用戶帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l MSA 托管服務(wù)帳戶、 HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶或 HYPERLINK /zh-cn/library/ms143504.a

32、spx l Local_Service 內(nèi)置系統(tǒng)帳戶。 若要啟動(dòng)和運(yùn)行 SQL Server 中的每項(xiàng)服務(wù)，這些服務(wù)都必須有一個(gè)在安裝過程中配置的啟動(dòng)帳戶。此部分介紹可配置為啟動(dòng) SQL Server 服務(wù)的帳戶、SQL Server 安裝程序使用的默認(rèn)值、Per-service SID 的概念、啟動(dòng)選項(xiàng)以及配置防火墻。 HYPERLINK /zh-cn/library/ms143504.aspx l Default_Accts 默認(rèn)服務(wù)帳戶 HYPERLINK /zh-cn/library/ms143504.aspx l Auto_Start 自動(dòng)啟動(dòng) HYPERLINK /zh-cn/li

33、brary/ms143504.aspx l Configure_services 配置服務(wù)啟動(dòng)類型 HYPERLINK /zh-cn/library/ms143504.aspx l Firewall 防火墻端口默認(rèn)服務(wù)帳戶下表列出了安裝程序在安裝所有組件時(shí)使用的默認(rèn)服務(wù)帳戶。 列出的默認(rèn)帳戶是建議使用的帳戶，但特殊注明的除外。獨(dú)立服務(wù)器或域控制器組件Windows Server 2008（可能為英文頁面）Windows 7 和 Windows Server 2008（可能為英文頁面） R2 及更高版本數(shù)據(jù)庫引擎 HYPERLINK /zh-cn/library/ms143504.aspx l

34、Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SQL Server 代理 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SSAS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SER

35、VICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SSIS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SSRS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms1435

36、04.aspx l VA_Desc 虛擬帳戶*SQL Server 分布式重播控制器 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶*SQL Server 分布式重播客戶端 HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.asp

37、x l VA_Desc 虛擬帳戶*FD 啟動(dòng)器（全文搜索） HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SQL Server Browser HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL

38、 SERVICESQL Server VSS 編寫器 HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM高級(jí)分析擴(kuò)展NTSERVICEMSSQLLaunchpadNTSERVICEMSSQLLaunchpad*當(dāng)需要 SQL Server 計(jì)算機(jī)外部的資源時(shí)，Microsoft 建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶 (MSA)。SQL Server 故障轉(zhuǎn)移群集實(shí)例組件Win

39、dows Server 2008（可能為英文頁面）Windows Server 2008（可能為英文頁面） R2數(shù)據(jù)庫引擎無。 提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。SQL Server 代理無。 提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms1435

40、04.aspx l Domain_User 域用戶帳戶。SSAS無。 提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。提供 HYPERLINK /zh-cn/library/ms143504.aspx l Domain_User 域用戶帳戶。SSIS HYPERLINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SSRS HYPER

41、LINK /zh-cn/library/ms143504.aspx l Network_Service NETWORK SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶FD 啟動(dòng)器（全文搜索） HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc 虛擬帳戶SQL Server Browser HYPERLINK /zh-cn/library/

42、ms143504.aspx l Local_Service LOCAL SERVICE HYPERLINK /zh-cn/library/ms143504.aspx l Local_Service LOCAL SERVICESQL Server VSS 編寫器 HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM HYPERLINK /zh-cn/library/ms143504.aspx l Local_System LOCAL SYSTEM更改帳戶屬性重要事項(xiàng)始終使用 SQL Server 工具（例如 SQL

43、Server 配置管理器）來更改 SQL Server 數(shù)據(jù)庫引擎 或 SQL Server 代理服務(wù)使用的帳戶，或更改帳戶的密碼。 除了更改帳戶名稱以外， SQL Server 配置管理器還可以執(zhí)行其他配置，例如，更新保護(hù) 數(shù)據(jù)庫引擎的服務(wù)主密鑰的 Windows 本地安全存儲(chǔ)區(qū)。 其他工具（例如 Windows 服務(wù)控制管理器）可以更改帳戶名稱，但不更改所有必需的設(shè)置。對(duì)于您在 SharePoint 場(chǎng)中部署的 Analysis Services 實(shí)例，始終使用 SharePoint 管理中心為 Power Pivot 服務(wù) 應(yīng)用程序和 Analysis Services 服務(wù)更改服務(wù)器帳

44、戶。 使用管理中心時(shí)，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。若要更改 Reporting Services 選項(xiàng)，請(qǐng)使用 Reporting Services 配置工具。托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計(jì)用于向關(guān)鍵應(yīng)用程序（例如 SQL Server）提供其自己帳戶的隔離，同時(shí)使管理員無需手動(dòng)管理這些帳戶的服務(wù)主體名稱 (SPN) 和憑據(jù)。 這就使得管理服務(wù)帳戶用戶、密碼和 SPN 的過程變得簡(jiǎn)單得多。托管服務(wù)帳戶托管服務(wù)帳戶 (MSA) 是一種由域控制器創(chuàng)建和管理的域帳戶。 它分配給單個(gè)成員計(jì)算機(jī)以用于運(yùn)行服務(wù)。 域控制器將自動(dòng)管理密碼。 您

45、不能使用 MSA 登錄到計(jì)算機(jī)，但計(jì)算機(jī)可以使用 MSA 來啟動(dòng) Windows 服務(wù)。 MSA 可以向 Active Directory 注冊(cè)服務(wù)主體名稱 (SPN)。 MSA 的名稱中有一個(gè)$后綴，例如DOMAINACCOUNTNAME$。 在指定 MSA 時(shí)，請(qǐng)將密碼留空。 因?yàn)閷?MSA 分配給單個(gè)計(jì)算機(jī)，它不能用于 Windows 群集的不同節(jié)點(diǎn)。說明域管理員必須先在 Active Directory 中創(chuàng)建 MSA，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。組托管服務(wù)帳戶組托管服務(wù)帳戶是針對(duì)多個(gè)服務(wù)器的 MSA。 Windows 為在一組服務(wù)器上

46、運(yùn)行的服務(wù)管理服務(wù)帳戶。 Active Directory 自動(dòng)更新組托管服務(wù)帳戶密碼，而不重啟服務(wù)。 你可以配置 SQL Server 服務(wù)以使用組托管服務(wù)帳戶主體。 SQL Server 2016 對(duì)于獨(dú)立實(shí)例、故障轉(zhuǎn)移群集實(shí)例和可用性組，在 Windows Server 2012 R2 和更高版本上支持組托管服務(wù)帳戶。若要使用 SQL Server 2016 或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是 Windows Server 2012 R2 或更高版本。 裝有 Windows Server 2012 R2 的服務(wù)器需要應(yīng)用 HYPERLINK /kb/2998082 KB 2998

47、082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請(qǐng)參閱 HYPERLINK /library/hh831782.aspx 組托管服務(wù)帳戶說明域管理員必須先在 Active Directory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。虛擬帳戶Windows Server 2008 R2 和 Windows 7 中的虛擬帳戶是“托管的本地帳戶” ，此類帳戶提供以下功能以簡(jiǎn)化服務(wù)管理。 虛擬帳戶是自動(dòng)管理的，并且虛擬帳戶可以訪問域環(huán)境中的網(wǎng)絡(luò)。 如果在 Windows Server 2008 R2 或 Windows 7 上

48、安裝 SQL Server 時(shí)對(duì)服務(wù)帳戶使用默認(rèn)值，則將使用將實(shí)例名稱用作服務(wù)名稱的虛擬帳戶，格式為NT SERVICE。 以虛擬帳戶身份運(yùn)行的服務(wù)通過使用計(jì)算機(jī)帳戶的憑據(jù)（格式為$）訪問網(wǎng)絡(luò)資源。 當(dāng)指定一個(gè)虛擬帳戶以啟動(dòng) SQL Server 時(shí)，應(yīng)將密碼留空。 如果虛擬帳戶無法注冊(cè)服務(wù)主體名稱 (SPN)，則手動(dòng)注冊(cè)該 SPN。 有關(guān)手動(dòng)注冊(cè) SPN 的詳細(xì)信息，請(qǐng)參閱 HYPERLINK /library/ms191153.aspx 手動(dòng)注冊(cè) SPN。說明虛擬帳戶不能用于 SQL Server 故障轉(zhuǎn)移群集實(shí)例，因?yàn)樘摂M帳戶在群集的每個(gè)節(jié)點(diǎn)不會(huì)有相同 SID。下表列出了虛擬帳戶名稱的示

49、例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實(shí)例NT SERVICEMSSQLSERVER名為 數(shù)據(jù)庫引擎 的的服務(wù)的命名實(shí)例NT SERVICEMSSQL$PAYROLLSQL Server 代理服務(wù)，位于以下默認(rèn)實(shí)例上： SQL ServerNT SERVICESQLSERVERAGENTSQL Server 的 SQL Server 的的NT SERVICESQLAGENT$PAYROLL有關(guān)托管服務(wù)帳戶和虛擬帳戶的詳細(xì)信息，請(qǐng)參閱 HYPERLINK /library/dd548356(ws.10).aspx 服務(wù)帳戶分步指南的托管服務(wù)和虛擬帳戶概念部分以及 HYPERLINK /libr

50、ary/ff641729(ws.10).aspx 托管服務(wù)帳戶常見問題解答 (FAQ)。安全說明始終用盡可能低的用戶權(quán)限運(yùn)行 SQL Server 服務(wù)。 就會(huì)使用 HYPERLINK /zh-cn/library/ms143504.aspx l MSA MSA或 HYPERLINK /zh-cn/library/ms143504.aspx l VA_Desc virtual account。 當(dāng)無法使用 MSA 和虛擬帳戶時(shí)，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQL Server 服務(wù)。 對(duì)不同的 SQL Server 服務(wù)使用單獨(dú)的帳戶。 不要向 SQL Server

51、 服務(wù)帳戶或服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù) SID。自動(dòng)啟動(dòng)除了具有用戶帳戶外，每項(xiàng)服務(wù)還有用戶可控制的三種可能的啟動(dòng)狀態(tài)：已禁用服務(wù)已安裝但當(dāng)前未運(yùn)行。手動(dòng)服務(wù)已安裝，但僅當(dāng)另一個(gè)服務(wù)或應(yīng)用程序需要該服務(wù)的功能時(shí)才啟動(dòng)。自動(dòng)服務(wù)由操作系統(tǒng)自動(dòng)啟動(dòng)。在安裝過程中，啟動(dòng)狀態(tài)處于選中狀態(tài)。 當(dāng)安裝命名實(shí)例時(shí)， SQL Server Browser 服務(wù)應(yīng)設(shè)置為自動(dòng)啟動(dòng)。在無人參與的安裝過程中配置服務(wù)下表顯示了可以在安裝過程中配置的 SQL Server 服務(wù)。 對(duì)于無人參與的安裝，可以在配置文件中或在命令提示符下使用開關(guān)。SQL Serve

52、r 服務(wù)名稱無人參與安裝的開關(guān)*MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent*AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPEReportServerRSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegration ServicesISSVCACCOUNT、ISSVCPASSWORD

53、、ISSVCSTARTUPTYPESQL Server Distributed Replay 控制器DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSSQL Server Distributed Replay 客戶端DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、CLTRESULTDIRR Services (In-database)EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDA

54、NALYTICS*有關(guān)無人參與安裝的詳細(xì)信息和示例語法，請(qǐng)參閱 HYPERLINK /zh-cn/library/ms144259.aspx 從命令提示符安裝 SQL Server 2016。*SQL Server 代理服務(wù)在 SQL Server Express 實(shí)例和具有高級(jí)服務(wù)的 SQL Server Express 實(shí)例上處于禁用狀態(tài)。防火墻端口在大多數(shù)情況下，首次安裝時(shí)，可以通過與 數(shù)據(jù)庫引擎 安裝在相同計(jì)算機(jī)上的 SQL Server Management Studio 等此類工具連接 SQL Server。 SQL Server 安裝程序不會(huì)在 Windows 防火墻中打開端口。

55、 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 端口，并且在 Windows 防火墻中打開適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無法從其他計(jì)算機(jī)建立連接。 有關(guān)詳細(xì)信息，請(qǐng)參閱 HYPERLINK /zh-cn/library/cc646023.aspx 配置 Windows 防火墻以允許 SQL Server 訪問。 HYPERLINK javascript:void(0) 服務(wù)權(quán)限服務(wù)配置和訪問控制SQL Server 2016 會(huì)為它的每項(xiàng)服務(wù)啟用 Per-service SID，以提供深層服務(wù)隔離與防御。 Per-service SID 從服務(wù)名稱派生得到，對(duì)該服務(wù)是唯一的。 例如，數(shù)據(jù)庫引擎 服務(wù)的服務(wù) S

56、ID 名稱可能是NT ServiceMSSQL$。 通過服務(wù)隔離，可直接訪問特定的對(duì)象，而無需運(yùn)行高特權(quán)帳戶，也不會(huì)削弱為對(duì)象提供的安全保護(hù)水平。 通過使用包含服務(wù) SID 的訪問控制項(xiàng)， SQL Server 服務(wù)可限制對(duì)其資源的訪問。說明：在 Windows 7 和 Windows Server 2008（可能為英文頁面）R2 上，Per-service SID 可以是服務(wù)使用的虛擬帳戶。Windows 特權(quán)和權(quán)限為啟動(dòng)服務(wù)分配的帳戶需要對(duì)于服務(wù)的啟動(dòng)、停止和暫停權(quán)限。 SQL Server 安裝程序?qū)⒆詣?dòng)分配此權(quán)限。 首先，安裝遠(yuǎn)程服務(wù)器管理工具 (RSAT)下表說明 SQL Serve

57、r 安裝程序?yàn)?SQL Server 組件使用的 Per-service SID 或本地 Windows 組請(qǐng)求的權(quán)限。SQL Server 服務(wù)SQL Server 安裝程序授予的權(quán)限SQL Server 數(shù)據(jù)庫引擎設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Per-service SID。 默認(rèn)實(shí)例：NT SERVICEMSSQLSERVER。 命名實(shí)例：NT SERVICEMSSQL$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級(jí)別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過遍歷檢查(SeChangeNotifyPrivi

58、lege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaPrivilege)啟動(dòng) SQL 編寫器的權(quán)限讀取事件日志服務(wù)的權(quán)限讀取遠(yuǎn)程過程調(diào)用服務(wù)的權(quán)限SQL Server 代理：*（所有權(quán)限都將授予 Per-service SID。 默認(rèn)實(shí)例：NT ServiceSQLSERVERAGENT。 命名實(shí)例：NT ServiceSQLAGENT$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級(jí)別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過遍歷檢查(SeChangeNotifyPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIn

59、creaseQuotaPrivilege)SSAS設(shè)置用戶帳戶 ：（所有權(quán)限都授予本地 Windows 組。 默認(rèn)實(shí)例：SQLServerMSASUser$ComputerName$MSSQLSERVER。 命名實(shí)例：SQLServerMSASUser$ComputerName$InstanceName。 Power Pivot for SharePoint 實(shí)例：SQLServerMSASUser$ComputerName$PowerPivot。）以服務(wù)身份登錄(SeServiceLogonRight)僅適用于表格：增加進(jìn)程工作集(SeIncreaseWorkingSetPrivilege)

60、調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaSizePrivilege)鎖定內(nèi)存中的頁(SeLockMemoryPrivilege) - 僅當(dāng)完全關(guān)閉分頁時(shí)才需要。僅適用于故障轉(zhuǎn)移群集安裝：提高計(jì)劃優(yōu)先級(jí)(SeIncreaseBasePriorityPrivilege)SSRS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Per-service SID。 默認(rèn)實(shí)例：NT SERVICEReportServer。 命名實(shí)例：NT SERVICE$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)SSIS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Per-service SI