SQL Server エージェントサービスのアカウントを選択する

サービススタートアップアカウントは、SQL Server エージェントが実行される Microsoft Windows アカウントとそのネットワークアクセス許可を定義します。 SQL Server エージェントは、指定されたユーザーアカウントとして実行されます。 SQL Server 構成マネージャーを使用して SQL Server エージェントサービスのアカウントを選択します。ここでは、次のオプションから選択できます。

組み込みのアカウント。次の組み込みの Windows サービスアカウントの一覧から選択できます。
- ローカルシステム アカウント。このアカウントの名前は NT AUTHORITY\System です。これは、すべてのローカルシステムリソースに無制限にアクセスできる強力なアカウントです。これはローカルコンピューター上の Windows Administrators グループのメンバーであるため、SQL Server sysadmin 固定サーバーロールのメンバーです
  
  重要
  
  ローカルシステムアカウント オプションは、下位互換性のためにのみ提供されます。ローカルシステムアカウントには、SQL Server エージェントが必要としないアクセス許可があります。ローカルシステムアカウントとして SQL Server エージェントを実行しないでください。セキュリティを強化するために、次のセクション「Windows ドメインアカウントのアクセス許可」に記載されているアクセス許可を持つ Windows ドメインアカウントを使用します。
このアカウント。 SQL Server エージェントサービスを実行する Windows ドメインアカウントを指定できます。 Windows Administrators グループのメンバーではない Windows ユーザーアカウントを選択することをお勧めします。ただし、SQL Server エージェントサービスアカウントがローカル Administrators グループのメンバーでない場合は、マルチサーバー管理を使用する場合に制限があります。詳細については、このトピックの「サポートされるサービスアカウントの種類」を参照してください。

Windows ドメインアカウントのアクセス許可

セキュリティを強化するためには、Windows ドメインアカウントを指定する [このアカウント] を選択してください。指定する Windows ドメインアカウントには、次のアクセス許可が必要です。

すべての Windows バージョンで、サービスとしてログオンするためのアクセス許可 (SeServiceLogonRight)

注

SQL Server エージェントサービスアカウントは、ドメインコントローラー上の Windows 2000 より前の互換性のあるアクセスグループの一部である必要があります。または、Windows Administrators グループのメンバーではないドメインユーザーが所有するジョブは失敗します。

Windows サーバーでは、SQL Server エージェントサービスが実行されるアカウントでは、SQL Server エージェントプロキシをサポートするために次のアクセス許可が必要です。
- 走査チェックをバイパスするアクセス許可 (SeChangeNotifyPrivilege)
- プロセスレベルのトークンを置き換えるアクセス許可 (SeAssignPrimaryTokenPrivilege)
- プロセスのメモリクォータを調整するアクセス許可 (SeIncreaseQuotaPrivilege)
- バッチログオンの種類を使用してログオンするアクセス許可 (SeBatchLogonRight)

注

アカウントにプロキシをサポートするために必要なアクセス許可がない場合は、 sysadmin 固定サーバーロールのメンバーのみがジョブを作成できます。

注

WMI アラート通知を受信するには、SQL Server エージェントのサービスアカウントに、WMI イベントと ALTER ANY EVENT NOTIFICATION を含む名前空間へのアクセス許可が付与されている必要があります。

SQL Server ロールのメンバーシップ

SQL Server エージェントサービスが実行するアカウントは、次の SQL Server ロールのメンバーである必要があります。

このアカウントは、 sysadmin 固定サーバーロールのメンバーである必要があります。
マルチサーバージョブ処理を使用するには、アカウントがマスターサーバー上の msdb データベースロール TargetServersRole のメンバーである必要があります。

サポートされているサービスアカウントの種類

次の表に、SQL Server エージェントサービスに使用できる Windows アカウントの種類を示します。

サービスアカウントの種類	非クラスター化サーバー	クラスター化されたサーバー	ドメインコントローラー (非クラスター化)
Microsoft Windows ドメインアカウント (Windows Administrators グループのメンバー)	サポートされています	サポートされています	サポートされています
Windows ドメインアカウント (非管理)	サポート済み¹	サポート済み¹	サポート済み¹
ネットワークサービスアカウント (NT AUTHORITY\NetworkService)	サポートされる^1、3、4	サポートされていません	サポートされていません
ローカルユーザーアカウント (非管理)	サポート済み¹	サポートされていません	適用なし
ローカルシステムアカウント (NT AUTHORITY\System)	サポートされている²	サポートされていません	サポートされている²
ローカルサービスアカウント (NT AUTHORITY\LocalService)	サポートされていません	サポートされていません	サポートされていません

¹ 以下の制限事項 1 を参照してください。

^{2 以下の} 制限事項 2 を参照してください。

^{3 以下の} 制限事項 3 を参照してください。

^{4 以下の} 制限事項 4 を参照してください。

制限 1: マルチサーバー管理に管理以外のアカウントを使用する

ターゲットサーバーをマスターサーバーに参加させると、"参加操作が失敗しました" というエラーメッセージが表示されて失敗する場合があります。

このエラーを解決するには、SQL Server サービスと SQL Server エージェントサービスの両方を再起動します。詳細については、「データベースエンジン、SQL Server エージェント、または SQL Server Browser サービスの開始、停止、一時停止、再開、再起動」を参照してください。

制限 2: マルチサーバー管理にローカルシステムアカウントを使用する

マルチサーバー管理は、マスターサーバーとターゲットサーバーの両方が同じコンピューター上にある場合にのみ、ローカルシステムアカウントで SQL Server エージェントサービスを実行する場合にサポートされます。この構成を使用すると、ターゲットサーバーをマスターサーバーに参加させると、次のメッセージが返されます。

"<target_server_computer_name> のエージェントのスタートアップアカウントに、targetServer としてログオンする権限があることを確認してください。"

この情報メッセージは無視してかまいません。参加操作は正常に完了します。詳細については、「マルチサーバー環境の作成」を参照してください。

制限事項 3: SQL Server ユーザーの場合のネットワークサービスアカウントの使用

ネットワークサービスアカウントで SQL Server エージェントサービスを実行し、SQL Server インスタンスに SQL Server ユーザーとしてログインするためのアクセス権がネットワークサービスアカウントに明示的に付与されている場合、SQL Server エージェントの起動に失敗することがあります。

これを解決するには、SQL Server が実行されているコンピューターを再起動します。これは 1 回だけ行う必要があります。

制限 4: SQL Server Reporting Services が同じコンピューターで実行されている場合にネットワークサービスアカウントを使用する

ネットワークサービスアカウントで SQL Server エージェントサービスを実行し、Reporting Services も同じコンピューターで実行している場合、SQL Server エージェントの起動に失敗することがあります。

これを解決するには、SQL Server が実行されているコンピューターを再起動し、SQL Server サービスと SQL Server エージェントサービスの両方を再起動します。これは 1 回だけ行う必要があります。

一般的なタスク

SQL Server エージェントサービスのスタートアップアカウントを指定するには

SQL Server エージェント (SQL Server Configuration Manager) のサービススタートアップアカウントを設定する

SQL Server エージェントのメールプロファイルを指定するには

データベースメールを使用するように SQL Server エージェントメールを構成する

注

SQL Server 構成マネージャーを使用して、オペレーティングシステムの起動時に SQL Server エージェントを起動する必要があることを指定します。

こちらもご覧ください

Windows サービスアカウントと権限の構成
 サービスの管理方法に関するトピック (SQL Server 構成マネージャー)
SQL Server エージェントセキュリティを実装する

Last updated on 2017-03-06

次の方法で共有

SQL Server エージェント サービスのアカウントを選択する

Windows ドメイン アカウントのアクセス許可

SQL Server ロールのメンバーシップ

サポートされているサービス アカウントの種類

制限 1: マルチサーバー管理に管理以外のアカウントを使用する

制限 2: マルチサーバー管理にローカル システム アカウントを使用する

制限事項 3: SQL Server ユーザーの場合のネットワーク サービス アカウントの使用

制限 4: SQL Server Reporting Services が同じコンピューターで実行されている場合にネットワーク サービス アカウントを使用する