Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se:
SQL Server
Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL Server com o Windows. Este artigo descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração de serviços do SQL Server que você pode definir durante e após a instalação do SQL Server. Este artigo ajuda usuários avançados a entender os detalhes das contas de serviço.
Observação
Para obter mais informações sobre permissões do SQL Server no Linux, consulte o GUIA do SQL Server no Linux – Segurança e permissões.
A maioria dos serviços e respectivas propriedades podem ser configurados usando o SQL Server Configuration Manager. Estes são os caminhos para as versões recentes quando o Windows é instalado na unidade C.
| Versão do SQL Server | Caminho |
|---|---|
| SQL Server 2025 (17.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server habilitado pelo Azure Arc
Para obter permissões exigidas pela Extensão do Azure para SQL Server, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.
Serviços instalados pelo SQL Server
Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:
| Serviço | Descrição |
|---|---|
| Serviços de Banco de Dados do SQL Server | O serviço para o Mecanismo de Banco de Dados relacional do SQL Server. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| SQL Server Agent | Executa trabalhos, monitora o SQL Server, dispara alertas e permite a automação de algumas tarefas administrativas. O serviço SQL Server Agent está presente, mas desabilitado em instâncias do SQL Server Express. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Serviços de Análise | Fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence. O arquivo executável é \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Reporting Services | Gerencia, executa, cria, agenda e entrega relatórios. O arquivo executável é \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Serviços de Integração | Dá suporte para gerenciamento de armazenamento e execução de pacotes do Integration Services. O caminho do executável é \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
O Integration Services pode incluir serviços adicionais para implantações de expansão. Saiba mais no Passo a passo: Configurar o SSIS (Integration Services Scale Out).
| Serviço | Descrição |
|---|---|
| Navegador do SQL Server | O serviço de resolução de nomes que especifica informações de conexão do SQL Server para computadores cliente. O caminho do executável é C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Pesquisa de texto completo | Cria rapidamente índices de texto completo sobre o conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e quebra de palavras para o SQL Server. |
| Gravador do SQL | Permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume). |
| Controlador do SQL Server Distributed Replay | Oferece orquestração de reprodução de rastreamento em vários computadores Distributed Replay Client. |
| Cliente do SQL Server Distributed Replay | Um ou mais computadores cliente do Distributed Replay Client que funcionam junto com um Distributed Replay Controller para simular cargas de trabalho simultâneas em relação a uma instância do Mecanismo de Banco de Dados do SQL Server. |
| Barra inicial do SQL Server | Um serviço confiável que hospeda executáveis externos fornecidos pela Microsoft, como os runtimes de R ou Python instalados como parte dos R Services ou Serviços de Machine Learning. Os processos de satélite podem ser iniciados pelo processo do Launchpad, mas serão controlados por recursos, com base na configuração da instância individual. O serviço Launchpad será executado na própria conta de usuário e cada processo de satélite para um runtime registrado específico herdará a conta de usuário do Launchpad. Processos de satélite são criados e destruídos sob demanda durante o tempo de execução. O Launchpad não será capaz de criar as contas que ele usa se você instalar o SQL Server em um computador que também é usado como um controlador de domínio. Portanto, a instalação dos R Services (no banco de dados) ou Serviços de Machine Learning (No Banco de Dados) falha em um controlador de domínio. |
| Mecanismo PolyBase do SQL Server | Fornece funcionalidades de consulta distribuída para fontes de dados externas. |
| Serviço de movimentação de dados de PolyBase do SQL Server | Permite a movimentação de dados entre o SQL Server e Fontes de Dados Externas e entre nós do SQL em Grupos de Expansão PolyBase. |
Serviços do Programa de Aperfeiçoamento da Experiência do Usuário instalados pelo SQL Server
A auditoria local do CEIP (uso e coleta de dados de diagnóstico) do SQL Server envia dados de telemetria de volta à Microsoft.
Dependendo dos componentes que você decidir instalar, a instalação do SQL Server instalará os seguintes serviços do Programa de Aperfeiçoamento da Experiência do Usuário.
| Serviço | Descrição |
|---|---|
| SQLTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do mecanismo de banco de dados de volta à Microsoft. |
| SSASTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do SSAS de volta à Microsoft. |
| SSISTELEMETRY | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do SSIS de volta à Microsoft. |
Propriedades e configuração do serviço
As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas de usuário de domínio, contas de usuário locais, contas de serviço gerenciado, contas virtuais ou contas de sistema internas. Para ser iniciado e executado, cada serviço no SQL Server precisa ter uma conta de inicialização configurada durante a instalação.
Observação
Para a instância de cluster de failover de SQL Server para SQL Server 2016 (13.x) e posteriores, as contas de usuário de domínio ou as contas de serviço gerenciadas por grupo podem ser usadas como contas de inicialização para SQL Server.
Esta seção descreve as contas que podem ser configuradas para iniciar os serviços SQL Server, os valores padrão usados pela Instalação do SQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração de firewall.
- Contas de serviço padrão
- Inicialização automática
- Como configurar o StartupType do serviço
- Porta de firewall
Contas de serviço padrão
A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes. As contas padrão listadas são as contas recomendadas, exceto como observado.
Servidor autônomo ou controlador de domínio
| Componente | Windows Server 2008 | Windows 7, Windows Server 2008 R2 e superiores |
|---|---|---|
| Mecanismo de Banco de Dados | SERVIÇO DE REDE | Contavirtual 1 |
| Agente do SQL Server | SERVIÇO DE REDE | Contavirtual 1 |
| SSAS | SERVIÇO DE REDE | Conta virtual 12 |
| SSIS | SERVIÇO DE REDE | Contavirtual 1 |
| SSRS | SERVIÇO DE REDE | Contavirtual 1 |
| Controlador do SQL Server Distributed Replay | SERVIÇO DE REDE | Contavirtual 1 |
| Cliente do SQL Server Distributed Replay | SERVIÇO DE REDE | Contavirtual 1 |
| Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
| Navegador do SQL Server | SERVIÇO LOCAL | SERVIÇO LOCAL |
| Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
| Extensões de Análise Avançada | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| Mecanismo PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
| Serviço de Movimentação de Dados PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
1 Quando recursos externos ao computador do SQL Server são necessários, a Microsoft recomenda usar uma MSA (Conta de Serviço Gerenciado), configurada com os privilégios mínimos necessários.
2 Quando ela é instalada em um controlador de domínio, não há suporte para uma conta virtual como a conta de serviço.
Instância de cluster de failover do SQL Server
| Componente | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Mecanismo de Banco de Dados | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| Agente do SQL Server | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| SSAS | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| SSIS | SERVIÇO DE REDE | Conta virtual |
| SSRS | SERVIÇO DE REDE | Conta virtual |
| Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
| Navegador do SQL Server | SERVIÇO LOCAL | SERVIÇO LOCAL |
| Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
Alterar propriedades da conta
- Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelo Mecanismo de Banco de Dados do SQL Server ou serviços do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager executa configurações adicionais, como atualizar o repositório de segurança local do Windows, que protege a chave mestra de serviço para o Mecanismo de Banco de Dados. Outras ferramentas, como o Gerenciador de Controle de Serviço do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.
Se você alterar as contas de serviço para qualquer serviço SQL usando outros meios, isso poderá levar a comportamentos ou erros inesperados. Por exemplo, se você alterar a conta de serviço do SQL Agent para uma conta de domínio usando o applet de serviços do Windows, poderá observar que os trabalhos do SQL Agent que usam o Sistema Operacional (Cmdexec), a Replicação ou as etapas de trabalho do SSIS podem falhar com um erro como:
Executed as user : Domain\Account.
The process couldn't be created for step Step Number of job Unique Job ID (reason: A required privilege isn't held by the client). The step failed.
Para resolver esse erro, você deve fazer o seguinte usando SQL Server Configuration Manager:
- Altere temporariamente a conta de serviço do SQL Agent de volta para a conta virtual padrão (Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$<nome_da_instância>).
- Reinicie o serviço SQL Server Agent
- Altere a conta de serviço de volta para a conta de domínio desejada
- Reinicie o serviço SQL Server Agent
Para instâncias do Analysis Services que você implantar em um farm do SharePoint, sempre use a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos de serviço do Power Pivot e do serviço Analysis Services. As configurações e permissões associadas serão atualizadas para usar as novas informações da conta quando você usar a Administração Central.
Para alterar as opções do Reporting Services, use a Ferramenta de Configuração do Reporting Services.
Contas de serviço gerenciado, contas de serviço gerenciado por grupo e contas virtuais
As contas de serviço gerenciado, as contas de serviço gerenciado por grupo e as contas virtuais são criadas para fornecer aplicativos cruciais, como o SQL Server, com o isolamento das próprias contas, eliminando a necessidade de um administrador gerenciar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas. Isso facilita o gerenciamento de longo prazo de usuários, senhas e SPNs da conta de serviço.
Contas de serviço gerenciadas
Uma MSA (conta de serviço gerenciado) é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio. Ele é atribuído a um único computador membro para usar a execução de um serviço. A senha é gerenciada automaticamente pelo controlador de domínio. Não é possível usar uma MSA para entrar em um computador, mas um computador pode usar uma MSA para iniciar um serviço Windows. Uma MSA pode registrar um SPN (Nome da Entidade de Serviço) no Active Directory quando tem as permissões de ler e gravar servicePrincipalName. Uma MSA é nomeada com um sufixo
$, por exemplo,DOMAIN\ACCOUNTNAME$. Ao especificar uma MSA, deixe a senha em branco. Como uma MSA é atribuída a somente um computador, ela não pode ser usada em diferentes nós de um cluster do Windows.Observação
A MSA precisa ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la nos serviços SQL Server.
Contas de serviço gerenciadas por grupo
Uma gMSA (conta de serviço gerenciado por grupo) é uma MSA para vários servidores. O Windows gerencia uma conta de serviço para os serviços executados em um grupo de servidores. O Active Directory atualiza automaticamente a senha da conta de serviço gerenciado por grupo sem reiniciar os serviços. Você pode configurar os serviços SQL Server para usar uma entidade da conta de serviço gerenciado por grupo. Desde o SQL Server 2014, o SQL Server dá suporte a contas de serviço gerenciado por grupo para instâncias autônomas, e o SQL Server 2016 e posteriores a instâncias de cluster de failover e grupos de disponibilidade.
Para usar uma gMSA no SQL Server 2014 ou posterior, o sistema operacional deve ser o Windows Server 2012 R2 ou posterior. Servidores com o Windows Server 2012 R2 requerem que o KB 2998082 seja aplicado de forma que os serviços possam entrar sem interrupção imediatamente após uma alteração de senha.
Para obter mais informações, confira Contas de serviço gerenciado de grupo para Windows Server 2016 e posteriores. Para versões anteriores do Windows Server, confira Contas de Serviço Gerenciado de Grupo.
Observação
A gMSA precisa ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la para serviços SQL Server.
Contas virtuais
As contas virtuais são contas locais gerenciadas que fornecem os seguintes recursos para simplificar a administração de serviços. A conta virtual é automatizada e a conta virtual pode acessar a rede em um ambiente de domínio. Se o valor padrão for usado nas contas de serviço durante a instalação do SQL Server, será usada uma conta virtual que usa o nome da instância como o nome do serviço, no formato
NT SERVICE\<SERVICENAME>. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato<domain_name>\<computer_name>$. Ao especificar uma conta virtual para iniciar o SQL Server, deixe a senha em branco. Se a conta virtual não registra o SPN (Nome da Entidade de Serviço), registre-o manualmente. Para obter mais informações sobre como registrar um SPN manualmente, consulte Registrar um nome de entidade de serviço para conexões Kerberos.Observação
As contas virtuais não podem ser usadas para a instância do cluster de failover do SQL Server, pois a conta virtual não teria o mesmo SID em cada nó do cluster.
A tabela a seguir lista exemplos de nomes de contas virtuais.
Serviço Nome da conta virtual Instância padrão do serviço Mecanismo de Banco de Dados NT SERVICE\MSSQLSERVERA instância nomeada de um serviço do Mecanismo de Banco de Dados chamado PAYROLLNT SERVICE\MSSQL$PAYROLLO serviço SQL Server Agent na instância padrão do SQL Server NT Service\SQLSERVERAGENTO serviço SQL Server Agent em uma instância do SQL Server chamada PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Para obter mais informações sobre contas de serviço gerenciado e contas virtuais, confira a seção Conceitos de conta de serviço gerenciado e conta virtual do Guia passo a passo de contas de serviço e Perguntas frequentes sobre contas de serviço gerenciado.
Observação
Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis. Use MSA, gMSA ou uma conta virtual quando possível. Quando a MSA, a gMSA e as contas virtuais não forem possíveis, use uma conta de usuário específica de baixo privilégio ou uma conta de domínio em vez de uma conta compartilhada para os serviços SQL Server. Use contas separadas para serviços SQL Server diferentes. Não conceda permissões adicionais à conta de serviço ou a grupos de serviço do SQL Server. As permissões serão concedidas por meio da associação de grupo ou diretamente a uma SID de serviço, quando uma SID de serviço tiver suporte.
Inicialização automática
Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:
- Desabilitado. O serviço está instalado, mas não está em execução atualmente.
- Manual. O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar da funcionalidade dele.
- Automático. O serviço é iniciado automaticamente pelo sistema operacional.
O estado de inicialização é selecionado durante a instalação. Ao instalar uma instância nomeada, o serviço SQL Server Browser deve estar pronto para iniciar automaticamente.
Configurar serviços durante a instalação autônoma
A tabela a seguir mostra os serviços SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.
| Nome do serviço SQL Server | Opções para instalações autônomas1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Serviços de integração | Conta de Serviço ISSVC, Senha de Serviço ISSVC, Tipo de Inicialização de Serviço ISSVC |
| Controlador do SQL Server Distributed Replay | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Cliente do SQL Server Distributed Replay | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| R Services ou Serviços de Machine Learning | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| Mecanismo PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Para obter mais informações e sintaxe de exemplo para instalações autônomas, consulte Instalar, configurar ou desinstalar o SQL Server no Windows no prompt de comando.
2 O serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
3 Atualmente, a configuração da conta do Launchpad apenas por meio de comutadores não tem suporte. Para alterar a conta e outras configurações de serviço, use o SQL Server Configuration Manager.
Porta de firewall
Na maioria dos casos, quando inicialmente instalado, o Mecanismo de Banco de Dados pode ser conectado por ferramentas como o SQL Server Management Studio instalado no mesmo computador do que o SQL Server. A Instalação do SQL Server não abre portas no Firewall do Windows. As conexões de outros computadores podem não ser possíveis até que o Mecanismo de Banco de Dados esteja configurado para escutar em uma porta TCP e a porta apropriada seja aberta para conexões no Firewall do Windows. Para obter mais informações, consulte Configurar o Firewall do Windows para permitir o acesso ao SQL Server.
Permissões de serviço
Esta seção descreve as permissões que a Instalação do SQL Server configura para as SIDs por serviço dos serviços SQL Server.
- Configuração de serviço e controle de acesso
- Privilégios e direitos do Windows
- Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows do SQL Server
- Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
- Permissões do sistema de arquivos relacionadas a locais de disco incomuns
- Examinar considerações adicionais
- Permissões de Registro
- WMI
- Pipes nomeados
Configuração de serviço e controle de acesso
O SQL Server habilita a SID por serviço para cada um dos serviços para fornecer isolamento do serviço e defesa em profundidade. O SID por serviço é derivado do nome do serviço e é exclusivo ao serviço. Por exemplo, um nome de SID de serviço de uma instância nomeada do serviço Mecanismo de Banco de Dados pode ser NT Service\MSSQL$<instance_name>. O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha uma SID de serviço, um serviço SQL Server pode restringir o acesso aos recursos.
Observação
No Windows 7 e no Windows Server 2008 R2 (e posterior), o SID por serviço pode ser a conta virtual usada pelo serviço.
Para a maioria dos componentes, o SQL Server configura a ACL para a conta por serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser efetuada sem a necessidade de repetir o processo da ACL do recurso.
Ao instalar o SSAS, será criado um SID por serviço para o serviço Analysis Services. Um grupo local do Windows é criado, nomeado no formato SQLServerMSASUser$<computer_name>$<instance_name>. O SID NT SERVICE\MSSQLServerOLAPService por serviço recebe permissão de associação no grupo local do Windows, e o grupo local do Windows recebe as permissões apropriadas na ACL. Se a conta usada para iniciar o serviço analysis services for alterada, o SQL Server Configuration Manager deverá alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem nenhuma atualização, porque o SID por serviço não foi alterado. Esse método permite que o serviço Analysis Services seja renomeado durante atualizações.
Durante a instalação do SQL Server, a Instalação do SQL Server cria um grupo local do Windows para SSAS, bem como o serviço SQL Server Browser. Nesses serviços, o SQL Server configura a ACL para os grupos locais do Windows.
Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviços durante a instalação ou atualização.
Privilégios e direitos do Windows
A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço. O programa de Instalação do SQL Server atribui automaticamente essa permissão. Primeiro instale as Ferramentas de Administração de Servidor Remoto. Consulte o artigo sobre as Ferramentas de Administração de Servidor Remoto para Windows 10.
A tabela a seguir mostra as permissões que a Instalação do SQL Server solicita para as SIDs por serviço ou para os grupos locais do Windows usados pelos componentes do SQL Server.
| Serviço do SQL Server | Permissões concedidas pela Instalação do SQL Server |
|---|---|
|
Mecanismo de Banco de Dados do SQL Server: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\MSSQLSERVER. Instância nomeada: NT Service\MSSQL$<instance_name>. |
Fazer logon como um serviço (SeServiceLogonRight)Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Permissão para iniciar o Gravador do SQL Permissão para ler o serviço Log de Eventos Permissão para ler o serviço Chamada de Procedimento Remoto |
|
Agente do SQL Server:1 Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$<instance_name>. |
Fazer logon como um serviço (SeServiceLogonRight)Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) |
|
SSAS: Todos os direitos são concedidos a um grupo local do Windows. Instância padrão: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Instância nomeada: SQLServerMSASUser$<computer_name>$<instance_name>. Instância do Power Pivot para SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot. |
Fazer logon como um serviço (SeServiceLogonRight)Somente tabular: Aumentar conjunto de trabalho de processo (SeIncreaseWorkingSetPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Bloquear páginas na memória (SeLockMemoryPrivilege): isso é necessário somente quando a paginação está totalmente desativada. Somente para instalações de cluster de failover: Aumentar a prioridade de planejamento (SeIncreaseBasePriorityPrivilege) |
|
SSRS: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\ReportServer. Instância nomeada: NT SERVICE\ReportServer$<instance_name>. |
Fazer logon como um serviço (SeServiceLogonRight) |
|
SSIS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer150. O Integration Services não tem um processo separado para uma instância nomeada). |
Fazer logon como um serviço (SeServiceLogonRight)Permissão para gravar no log de eventos do aplicativo. Ignorar a verificação completa (SeChangeNotifyPrivilege) Representar um cliente após autenticação (SeImpersonatePrivilege) |
|
Pesquisa de texto completo: Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\MSSQLFDLauncher. Instância nomeada: NT Service\ MSSQLFDLauncher$<instance_name>. |
Fazer logon como um serviço (SeServiceLogonRight)Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) |
|
Navegador do SQL Server: Todos os direitos são concedidos a um grupo de Windows local. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser$<computer_name>. SQL Server Browser não tem um processo separado para uma instância nomeada. |
Fazer logon como um serviço (SeServiceLogonRight) |
|
Gravador VSS do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão ou nomeada: NT Service\SQLWriter. SQL Server Gravador VSS não tem um processo separado para uma instância nomeada). |
O serviço SQLWriter é executado na LOCAL SYSTEM conta que tem todas as permissões necessárias. A Instalação do SQL Server não verifica nem concede permissões para este serviço. |
| Controlador do SQL Server Distributed Replay: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Cliente do SQL Server Distributed Replay: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Mecanismo PolyBase e DMS: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Launchpad: |
Fazer logon como um serviço (SeServiceLogonRight)Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) |
| Serviços do R/Serviços de Machine Learning:SQLRUserGroup (SQL Server 2016 (13.x) e SQL Server 2017 (14.x)) | Não tem a permissão Permitir logon local por padrão |
| Serviços de Machine Learning "Todos os pacotes de aplicativos" [AppContainer] (SQL Server 2019 (15.x)) | Permissões read e execute para os diretórios SQL Server 'Binn', R_Services e PYTHON_Services |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express.
Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows
As contas de serviço do SQL Server precisam ter acesso aos recursos. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.
Importante
Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.
A seguinte tabela mostra as ACLs que são definidas pela Instalação do SQL Server:
| Conta de serviço para | Arquivos e pastas | Acesso |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Controle total |
| Instid\MSSQL\binn | Leitura, Execução | |
| Instid\MSSQL\data | Controle total | |
| Instid\MSSQL\FTData | Controle total | |
| Instid\MSSQL\Install | Leitura, Execução | |
| Instid\MSSQL\Log | Controle total | |
| Instid\MSSQL\Repldata | Controle total | |
| 150\shared | Leitura, Execução | |
| Instid\MSSQL\Template Data (somente SQL Server Express) | Ler | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Controle total |
| Instid\MSSQL\Log | Leitura, Gravação, Exclusão, Execução | |
| 150\com | Leitura, Execução | |
| 150\shared | Leitura, Execução | |
| 150\shared\Errordumps | Leitura, Gravação | |
| ServerName\EventLog | Controle total | |
| FTS | Instid\MSSQL\FTData | Controle total |
| Instid\MSSQL\FTRef | Leitura, Execução | |
| 150\shared | Leitura, Execução | |
| 150\shared\Errordumps | Leitura, Gravação | |
| Instid\MSSQL\Install | Leitura, Execução | |
| Instid\MSSQL\jobs | Leitura, Gravação | |
| MSSQLServerOLAPService | 150\shared\ASConfig | Controle total |
| Instid\OLAP | Leitura, Execução | |
| Instid\Olap\Data | Controle total | |
| Instid\Olap\Log | Leitura, Gravação | |
| Instid\OLAP\Backup | Leitura, Gravação | |
| Instid\OLAP\Temp | Leitura, Gravação | |
| 150\shared\Errordumps | Leitura, Gravação | |
| ReportServer | Instid\Serviços de Relatório\Arquivos de Log | Leitura, Gravação, Exclusão |
| Instid\Reporting Services\ReportServer | Leitura, Execução | |
| Instid\Reporting Services\ReportServer\global.asax | Controle total | |
| \Reporting Services\ReportServer\rsreportserver.config Instid | Ler | |
| Instid\Reporting Services\RSTempfiles | Leitura, Gravação, Execução, Exclusão | |
| Instid\Reporting Services\RSWebApp | Leitura, Execução | |
| 150\shared | Leitura, Execução | |
| 150\shared\Errordumps | Leitura, Gravação | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Ler |
| 150\dts\binn | Leitura, Execução | |
| 150\shared | Leitura, Execução | |
| 150\shared\Errordumps | Leitura, Gravação | |
| Navegador do SQL Server | 150\shared\ASConfig | Ler |
| 150\shared | Leitura, Execução | |
| 150\shared\Errordumps | Leitura, Gravação | |
| SQLWriter | N/A (Executado como sistema local) | |
| Usuário | Instid\MSSQL\binn | Leitura, Execução |
| Instid\Reporting Services\ReportServer | Leitura, Execução, Listar Conteúdo de Pastas | |
| Instid\Reporting Services\ReportServer\global.asax | Ler | |
| Instid\Reporting Services\RSWebApp | Leitura, Execução, Listar Conteúdo de Pastas | |
| 150\dts | Leitura, Execução | |
| 150\tools | Leitura, Execução | |
| 100\ferramentas | Leitura, Execução | |
| 90\tools | Leitura, Execução | |
| 80\ferramentas | Leitura, Execução | |
| 150\sdk | Ler | |
| Microsoft SQL Server\150\Setup Bootstrap | Leitura, Execução | |
| Controlador do SQL Server Distributed Replay | <ToolsDir>\DReplayController\Log\ (diretório vazio) | Leitura, Execução, Listar Conteúdo de Pastas |
| <ToolsDir\DReplayController\DReplayController.exe> | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir>\DReplayController\resources| Ler, executar, listar conteúdo da pasta | ||
| <ToolsDir>\DReplayController\{todas as dlls} | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir do\DReplayController\DReplayController.config> | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir>\DReplayController\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
| <\DReplayController\IRDefinition.xml do ToolsDir> | Leitura, Execução, Listar Conteúdo de Pastas | |
| Cliente do SQL Server Distributed Replay | <ToolsDir>\DReplayClient\Log| Ler, executar, listar conteúdo da pasta | |
| <ToolsDir\DReplayClient\DReplayClient.exe> | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir>\DReplayClient\resources| Ler, executar, listar conteúdo da pasta | ||
| <ToolsDir>\DReplayClient\ (todas as dlls) | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir\DReplayClient\DReplayClient.config> | Leitura, Execução, Listar Conteúdo de Pastas | |
| <ToolsDir>\DReplayClient\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
| <\DReplayClient\IRDefinition.xml do ToolsDir> | Leitura, Execução, Listar Conteúdo de Pastas | |
| Launchpad | %binn | Leitura, Execução |
| ExtensiblilityData | Controle total | |
| Log\ExtensibilityLog | Controle total |
1 O serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder acesso ao SID por serviço para esse local. Para obter mais informações sobre como conceder permissões do sistema de arquivos a um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao Mecanismo de Banco de Dados.
Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou a outras contas do serviço do SQL Server. A tabela a seguir lista as ACLs adicionais que são definidas pela Instalação do SQL Server.
| Componente solicitante | Conta | Recurso | Permissões |
|---|---|---|---|
| MSSQLServer | Usuários do Log de Desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta |
| Usuários do monitor de desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta | |
| Usuários do Log de Desempenho, Usuários do Monitor de Desempenho | \WINNT\system32\sqlctr150.dll | Leitura, Execução | |
| Somente Administrador |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Controle total | |
| Administradores, Sistema | \tools\binn\schemas\sqlserver\2004\07\showplan | Controle total | |
| Usuários | \tools\binn\schemas\sqlserver\2004\07\showplan | Leitura, Execução | |
| Serviços de Relatórios | Conta do serviço Servidor de Relatório do Windows | <instalação>\Serviços de Relatório\Arquivos de Registro | DELETEREAD_CONTROL SINCRONIZAR LEITURA_GENÉRICA_DE_ARQUIVO ARQUIVO_ESCRITA_GÊNERICA LEITURA_DE_ARQUIVO ARQUIVO_ESCREVER_DADOS ACRESCENTAR_DADOS_ARQUIVO LEITURA_DE_ARQUIVO_EA ESCRITA_DE_ARQUIVO_EA LER_ATRIBUTOS_DO_ARQUIVO ATRIBUTOS_DE_GRAVAÇÃO_DE_ARQUIVO |
| Conta do serviço Servidor de Relatório do Windows | <instal\>Reporting Services\ReportServer | Ler | |
| Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\ReportServer\global.asax | Completo | |
| Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\RSWebApp | Leitura, Execução | |
| Todos | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL LEITURA_DE_ARQUIVO LEITURA_DE_ARQUIVO_EA LER_ATRIBUTOS_DO_ARQUIVO |
|
| Conta de Serviços do Windows do ReportServer | <instalar>\Reporting Services\ReportServer\rsreportserver.config | DELETEREAD_CONTROL SINCRONIZAR LEITURA_GENÉRICA_DE_ARQUIVO ARQUIVO_ESCRITA_GÊNERICA LEITURA_DE_ARQUIVO ARQUIVO_ESCREVER_DADOS ACRESCENTAR_DADOS_ARQUIVO LEITURA_DE_ARQUIVO_EA ESCRITA_DE_ARQUIVO_EA LER_ATRIBUTOS_DO_ARQUIVO ATRIBUTOS_DE_GRAVAÇÃO_DE_ARQUIVO |
|
| Todos | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Enumerar Subchaves Notificar Controle de Leitura |
|
| Usuários dos Serviços de Terminal | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchave Notificar Excluir Controle de Leitura |
|
| Usuários Avançados | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchaves Notificar Excluir Controle de Leitura |
1 Este é o namespace do provedor WMI.
Permissões do sistema de arquivos relacionadas a locais de disco incomuns
A unidade padrão para locais de instalação é a unidade do sistema, normalmente a unidade C. Esta seção descreve considerações adicionais quando tempdb ou os bancos de dados de usuário são instalados em locais incomuns.
Unidade não padrão
Quando instalado em uma unidade local que não seja a unidade padrão, a SID por serviço precisa ter acesso à localização do arquivo. A Instalação do SQL Server provisiona o acesso necessário.
Compartilhamento de rede
Quando bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e aos bancos de dados tempdb. A Instalação do SQL Server não pode provisionar o acesso a um compartilhamento de rede. O usuário deve provisionar o acesso a um tempdb local para a conta de serviço antes de executar a instalação. O usuário deve provisionar o acesso ao local do banco de dados de usuário antes de criar o banco de dados.
Observação
Contas virtuais não podem ser autenticadas em uma localização remota. Todas as contas virtuais usam a permissão da conta de máquina. Provisione a conta do computador no formato <domain_name>\<computer_name>$.
Examinar considerações adicionais
A tabela a seguir mostra as permissões necessárias para que os serviços SQL Server forneçam funcionalidade adicional.
| Serviço/Aplicativo | Funcionalidade | Permissão necessária |
|---|---|---|
| SQL Server (MSSQLSERVER) | Gravar em um slot de email usando xp_sendmail. |
Permissões de gravação de rede. |
| SQL Server (MSSQLSERVER) | Execute xp_cmdshell para um usuário diferente de um administrador do SQL Server. |
Atuar como parte do sistema operacional e substituir um token de nível de processo. |
| SQL Server Agent (MSSQLSERVER) | Use o recurso de reinicialização automática. | Deve ser um membro do grupo local Administradores. |
| Mecanismo de Banco de Dados Orientador de Otimização | Ajusta bancos de dados para desempenho ideal de consulta. | No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar somente as tabelas que eles possuem. Para obter mais informações, confira Iniciar e usar o Orientador de Otimização do Mecanismo de Banco de Dados. |
Importante
Antes de atualizar o SQL Server, habilite o SQL Server Agent e verifique a configuração padrão necessária: a conta de serviço do SQL Server Agent é um membro da função de servidor fixa sysadmin do SQL Server.
Permissões de Registro
O hive do Registro é criado em HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> para componentes com reconhecimento de instância. Por exemplo:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
O registro também mantém um mapeamento do ID da instância para o nome da instância. O mapeamento do ID da instância para o nome da instância é mantido como segue:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
O WMI (Instrumentação de Gerenciamento do Windows) deve poder se conectar ao Mecanismo de Banco de Dados. Para dar suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt) é provisionado no Mecanismo de Banco de Dados.
O provedor WMI do SQL requer as seguintes permissões mínimas:
Associação nas funções de banco de dados fixas db_ddladmin ou db_owner no banco de dados
msdb.CREATE DDL EVENT NOTIFICATIONpermissão no servidor.CREATE TRACE EVENT NOTIFICATIONpermissão no Mecanismo de Banco de Dados.VIEW ANY DATABASEpermissão no nível do servidor.A instalação do SQL Server cria um namespace do WMI do SQL e concede permissão de leitura à SID do serviço do SQL Server Agent.
Pipes nomeados
Durante toda a instalação, a Instalação do SQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL Server via protocolo de memória compartilhada, que é um pipe nomeado local.
Provision
Esta seção descreve como as contas são provisionadas em vários componentes do SQL Server.
Provisionamento do Mecanismo de Banco de Dados
As contas a seguir são adicionadas como logons no Mecanismo de Banco de Dados do SQL Server.
entidades de segurança do Windows
Durante a instalação, a Instalação do SQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin.
Conta SA
A sa conta sempre está presente como um logon do Mecanismo de Banco de Dados e é membro da função de servidor fixa sysadmin . Quando o Mecanismo de Banco de Dados é instalado usando apenas a Autenticação do Windows (ou seja, quando a Autenticação do SQL Server não está habilitada), o sa logon ainda está presente, mas está desabilitado e a senha é complexa e aleatória. Para obter informações sobre como habilitar a conta, consulte Alterar o samodo de autenticação do servidor.
Logon e privilégios de SID por serviço do SQL Server
A SID por serviço (às vezes também chamado de SID (entidade de segurança de serviço)) do serviço SQL Server é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin . Para obter informações sobre o SID por serviço, confira Usando SIDs de Serviço para conceder permissões para serviços no SQL Server.
Logon e privilégios do SQL Server Agent
A SID por serviço do serviço SQL Server Agent é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
Grupos de Disponibilidade Always On e privilégios e instância de Cluster de Failover do SQL
Ao instalar o Mecanismo de Banco de Dados como grupos de disponibilidade Always On ou a FCI (instância de cluster de failover do SQL) LOCAL SYSTEM é provisionada no Mecanismo de Banco de Dados. O LOCAL SYSTEM logon recebe a ALTER ANY AVAILABILITY GROUP permissão (para grupos de disponibilidade Always On) e a VIEW SERVER STATE permissão (para a FCI do SQL).
Gravador e privilégios do SQL
A SID por serviço do serviço Gravador VSS do SQL Server é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
WMI e privilégios do SQL
A instalação do SQL Server provisiona a conta NT SERVICE\Winmgmt como um logon do Mecanismo de Banco de Dados e a adiciona à função de servidor fixa sysadmin.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole . Para obter mais informações, consulte Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do Servidor de Relatório).
Provisionamento SSAS
Os requisitos da conta do serviço SSAS variam, dependendo de como o servidor está implantado. Se você estiver instalando o Power Pivot para SharePoint, a Instalação do SQL Server requer a configuração do serviço Analysis Services para executar em uma conta de domínio. Contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada criada no SharePoint. Por essa razão, a Instalação do SQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do Power Pivot para SharePoint. Para obter mais informações sobre o provisionamento do Power Pivot para SharePoint, confira Configurar contas do serviço Power Pivot.
Para todas as outras instalações autônomas do SSAS, você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual. Para obter mais informações sobre o provisionamento de conta, confira Configurar contas de serviço (Analysis Services).
Para instalações clusterizadas, especifique uma conta de domínio ou uma conta de sistema interna. Não há suporte para contas gerenciadas nem contas virtuais em clusters de failover do SSAS.
Todas as instalações do SSAS requerem que você especifique um administrador do sistema da instância do Analysis Services. São provisionados privilégios de administrador na função Servidor do Analysis Services.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada no Mecanismo de Banco de Dados como membro da função de banco de dados RSExecRole. Para obter mais informações, consulte Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do Servidor de Relatório).
Atualizar com base em versões anteriores
Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL Server.
O SQL Server 2019 (15.x) exige um sistema operacional com suporte. Qualquer versão anterior do SQL Server em execução em uma versão inferior do sistema operacional precisa ter o sistema operacional atualizado antes de atualizar o SQL Server.
Durante a atualização do SQL Server 2005 (9.x) para o SQL Server 2019 (15.x), a instalação configura a instância do SQL Server da seguinte maneira:
- O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. O SID por serviço recebe acesso às pastas de arquivo da instância do SQL Server (como
DATA) e às chaves do Registro do SQL Server. - O SID por serviço do Mecanismo de Banco de Dados é provisionado no Mecanismo de Banco de Dados como membro da função de servidor fixa sysadmin.
- As SIDs por serviço são adicionadas aos grupos locais do Windows do SQL Server, a menos que o SQL Server seja uma Instância de Cluster de Failover.
- Os recursos do SQL Server permanecem provisionados nos grupos locais do Windows do SQL Server.
- O grupo do Windows local para serviços é renomeado de
SQLServer2005MSSQLUser$<computer_name>$<instance_name>paraSQLServerMSSQLUser$<computer_name>$<instance_name>. Os locais de arquivo para bancos de dados migrados têm ACEs (Entradas de Controle de Acesso) para os grupos locais do Windows. Os locais de arquivo para novos bancos de dados têm ACEs para o SID por serviço.
- O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. O SID por serviço recebe acesso às pastas de arquivo da instância do SQL Server (como
Durante a atualização do SQL Server 2008 (10.0.x), a Instalação do SQL Server preserva as ACEs da SID por serviço do SQL Server 2008 (10.0.x).
Para uma instância de cluster de failover do SQL Server, as ACEs da conta de domínio configurada para o serviço são mantidas.
Apêndice
Esta seção contém informações adicionais sobre os serviços SQL Server.
- Descrição de contas de serviço
- Identificar serviços com e sem reconhecimento de instância
- Nomes de serviços localizados
Descrição de contas de serviço
A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL Server. Para executar o SQL Server, não é necessário adicionar a Conta de Serviço como um Logon ao SQL Server além da SID do Serviço, que está sempre presente e é um membro da função de servidor fixa sysamin.
Contas disponíveis com qualquer sistema operacional
Além da nova MSA, gMSA e das contas virtuais descritas anteriormente, as contas a seguir podem ser usadas.
Conta de usuário do domínio
Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio como compartilhamentos de arquivos ou se ele usar conexões de servidor vinculadas a outros computadores que executam o SQL Server, você poderá usar uma conta de domínio minimamente privilegiada. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio. Um administrador de domínio deve pré-criar essa conta em seu ambiente.
Se você configurar o SQL Server para usar uma conta de domínio, poderá isolar os privilégios do Serviço, mas precisará gerenciar senhas manualmente ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos para servidores usam essa estratégia para aprimorar a segurança, mas essa estratégia requer administração adicional e complexidade. Nessas implantações, os administradores de serviço passam um período considerável de tempo em tarefas de manutenção, como gerenciar senhas de serviço e os nomes principais de serviço (SPNs), que são necessários para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
Contas de usuário local
Se o computador não faz parte de um domínio, é recomendável usar uma conta de usuário local sem permissões de administrador do Windows.
Conta de serviço local
A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos. Os serviços que são executados como a conta de serviço local acessam os recursos de rede em uma sessão nula, sem credenciais.
Não há suporte para a conta de serviço local nos serviços SQL Server ou SQL Server Agent. O Serviço Local não tem suporte como a conta que executa esses serviços porque é um serviço compartilhado e qualquer outro serviço em execução no serviço local teria acesso do administrador do sistema ao SQL Server.
O nome real da conta é NT AUTHORITY\LOCAL SERVICE.
Conta do Serviço de Rede
A conta de Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços executados como conta de serviço de rede acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$. O nome real da conta é NT AUTHORITY\NETWORK SERVICE.
Conta do sistema local
A conta Sistema Local é uma conta interna com privilégios altos. Ela tem privilégios extensos no sistema local e funciona como o computador na rede. O nome real da conta é NT AUTHORITY\SYSTEM.
Identificar serviços com e sem reconhecimento de instância
Os serviços com reconhecimento de instância são associados a uma instância específica do SQL Server e têm os próprios hives de Registro. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.
Os serviços com reconhecimento de instância no SQL Server incluem:
SQL Server
Agente do SQL Server
O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Serviços Avançados.
-
Analysis Services
O Analysis Services no modo Integrado do SharePoint é executado como “Power Pivot” como uma instância única e nomeada. O nome da instância é fixo. Não é possível especificar um nome diferente. É possível instalar apenas uma instância do Analysis Services executada como “Power Pivot” em cada servidor físico.
-
Serviços de Relatórios
Pesquisa de texto completo
Os serviços sem reconhecimento de instância no SQL Server incluem:
- Serviços de integração
- Navegador do SQL Server
- Gravador do SQL
Nomes de serviços localizados
A tabela a seguir mostra nomes de serviços que são exibidos por versões localizadas do Windows.
| Linguagem | Nome do serviço local | Nome do serviço de rede | Nome do sistema local | Nome do grupo Admin. |
|---|---|---|---|---|
| Inglês Chinês simplificado Chinês tradicional Coreano Japonês |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Alemão | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Francês | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Italiano | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Espanhol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Russo | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |