Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
SQL Server
Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação de operações do SQL Server com o Windows. Este artigo descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração para serviços do SQL Server que você pode definir durante e após a instalação do SQL Server. Este artigo ajuda os usuários avançados a entender os detalhes das contas de serviço.
Observação
Para obter mais informações sobre as permissões do SQL Server no Linux, consulte SQL Server no Linux - Guia de segurança e permissões.
A maioria dos serviços e suas propriedades podem ser configurados usando o SQL Server Configuration Manager. Aqui estão os caminhos para versões recentes quando o Windows é instalado na unidade C.
| Versão do SQL Server | Caminho |
|---|---|
| SQL Server 2025 (17.x) | C:\Windows\SysWOW64\SQLServerManager17.msc |
| SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
| SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
| SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
| SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
| SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server habilitado pelo Azure Arc
Para obter as permissões exigidas pela Extensão do Azure para SQL Server, consulte Configurar contas de serviço do Windows e permissões para a extensão do Azure para SQL Server.
Serviços instalados pelo SQL Server
Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:
| Serviço | Descrição |
|---|---|
| Serviços de banco de dados do SQL Server | O serviço para o Mecanismo de Banco de Dados relacional do SQL Server. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe. |
| Agente do SQL Server | Executa trabalhos, monitora o SQL Server, dispara alertas e permite a automação de algumas tarefas administrativas. O serviço SQL Server Agent está presente, mas desabilitado em instâncias do SQL Server Express. O arquivo executável é \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe. |
| Serviços de análise | Fornece processamento analítico on-line (OLAP) e funcionalidade de mineração de dados para aplicativos de business intelligence. O arquivo executável é \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe. |
| Serviços de Relatório | Gerencia, executa, cria, agenda e entrega relatórios. O arquivo executável é \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
| Serviços de Integração | Fornece suporte de gerenciamento para armazenamento e execução de pacotes do Integration Services. O caminho executável é \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe. |
O Integration Services pode incluir serviços adicionais para implantações em expansão. Para obter mais informações, consulte Passo a passo: Configurar o dimensionamento do Integration Services (SSIS).
| Serviço | Descrição |
|---|---|
| Navegador do SQL Server | O serviço de resolução de nomes que fornece informações de conexão do SQL Server para computadores cliente. O caminho executável é C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe |
| Pesquisa de texto completo | Cria rapidamente índices de texto completo em conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e quebra de palavras para o SQL Server. |
| Gravador SQL | Permite que os aplicativos de backup e restauração operem na estrutura VSS (Serviço de Cópias de Sombra de Volume). |
| Controlador de repetição distribuída do SQL Server | Fornece orquestração de repetição de rastreamento em vários computadores cliente do Distributed Replay. |
| Cliente do SQL Server Distributed Replay | Um ou mais computadores cliente do Distributed Replay que trabalham em conjunto com um controlador do Distributed Replay para simular cargas de trabalho simultâneas em uma instância do Mecanismo de Banco de Dados do SQL Server. |
| Barra Inicial do SQL Server | Um serviço confiável que hospeda executáveis externos fornecidos pela Microsoft, como os tempos de execução R ou Python instalados como parte dos Serviços R ou Serviços de Aprendizado de Máquina. Os processos de satélite podem ser iniciados pelo processo da Barra Inicial, mas são controlados por recursos com base na configuração da instância individual. O serviço Launchpad é executado sob sua própria conta de usuário, e cada processo de satélite para um tempo de execução específico e registrado herda a conta de usuário do Launchpad. Os processos de satélite são criados e destruídos sob demanda durante o tempo de execução. A Barra Inicial não pode criar as contas que usa se você instalar o SQL Server em um computador que também é usado como um controlador de domínio. Assim, a configuração de R Services (In-Database) ou Serviços de Machine Learning (In-Database) falha em um controlador de domínio. |
| Mecanismo PolyBase do SQL Server | Fornece recursos de consulta distribuídos para fontes de dados externas. |
| Serviço de Movimentação de Dados do SQL Server PolyBase | Permite a movimentação de dados entre o SQL Server e Fontes de Dados Externas e entre nós SQL em Grupos de Expansão do PolyBase. |
Serviços do Programa de Aperfeiçoamento da Experiência do Usuário instalados pelo SQL Server
A auditoria local para uso do SQL Server e coleta de dados de diagnóstico (CEIP) envia dados de telemetria de volta para a Microsoft.
Dependendo dos componentes que você decidir instalar, a instalação do SQL Server instalará os seguintes serviços do Programa de Aperfeiçoamento da Experiência do Usuário.
| Serviço | Descrição |
|---|---|
| SQLTELEMETRIA | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do mecanismo de banco de dados de volta para a Microsoft. |
| SSASTELEMETRIA | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria do SSAS de volta para a Microsoft. |
| SSISTELEMETRIA | O Programa de Aperfeiçoamento da Experiência do Usuário que envia dados de telemetria SSIS de volta para a Microsoft. |
Propriedades e configuração do serviço
As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas de usuário de domínio, contas de usuário local, contas de serviço gerenciado,contas virtuais ou contas de sistema internas. Para iniciar e executar, cada serviço no SQL Server deve ter uma conta de inicialização configurada durante a instalação.
Observação
Para a instância de cluster de failover do SQL Server para SQL Server 2016 (13.x) e posterior, contas de usuário de domínio ou contas de serviço gerenciadas por grupo podem ser usadas como contas de inicialização para o SQL Server.
Esta seção descreve as contas que podem ser configuradas para iniciar serviços do SQL Server, os valores padrão usados pela Instalação do SQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração do firewall.
Contas de serviço padrão
A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes. As contas padrão listadas são as contas recomendadas, exceto conforme indicado.
Servidor autônomo ou controlador de domínio
| Componente | Windows Server 2008 | Windows 7, Windows Server 2008 R2 e superior |
|---|---|---|
| Mecanismo de Banco de Dados | SERVIÇO DE REDE | Conta virtual1 |
| Agente do SQL Server | SERVIÇO DE REDE | Conta virtual1 |
| SSAS | SERVIÇO DE REDE | Conta virtual12 |
| SSIS | SERVIÇO DE REDE | Conta virtual1 |
| SSRS | SERVIÇO DE REDE | Conta virtual1 |
| Controlador de repetição distribuída do SQL Server | SERVIÇO DE REDE | Conta virtual1 |
| Cliente do SQL Server Distributed Replay | SERVIÇO DE REDE | Conta virtual1 |
| FD Launcher (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
| Navegador do SQL Server | SERVIÇO LOCAL | SERVIÇO LOCAL |
| Escritor VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
| Extensões avançadas de análise | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
| Motor PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
| Serviço de movimentação de dados PolyBase | SERVIÇO DE REDE | SERVIÇO DE REDE |
1 Quando recursos externos ao computador do SQL Server são necessários, a Microsoft recomenda o uso de uma conta de serviço gerenciado (MSA), configurada com os privilégios mínimos necessários.
2 Quando instalado em um controlador de domínio, uma conta virtual como a conta de serviço não é suportada.
Instância de cluster de failover do SQL Server
| Componente | Windows Server 2008 | Windows Server 2008 R2 |
|---|---|---|
| Mecanismo de Banco de Dados | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| Agente do SQL Server | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| SSAS | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
| SSIS | SERVIÇO DE REDE | Conta virtual |
| SSRS | SERVIÇO DE REDE | Conta virtual |
| FD Launcher (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta virtual |
| Navegador do SQL Server | SERVIÇO LOCAL | SERVIÇO LOCAL |
| Escritor VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
Alterar propriedades da conta
- Sempre use ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelos serviços do Mecanismo de Banco de Dados do SQL Server ou do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager executa configurações adicionais, como a atualização do armazenamento de segurança local do Windows, que protege a chave mestra de serviço para o Mecanismo de Banco de Dados. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.
Se você alterar contas de serviço para qualquer serviço SQL usando outros meios, isso pode levar a um comportamento inesperado ou erros. Por exemplo, se você alterar a conta de serviço do SQL Agent para uma conta de domínio usando o miniaplicativo de serviços do Windows, poderá notar que os trabalhos do agente SQL que usam as etapas de trabalho do Sistema Operacional (Cmdexec), Replicação ou SSIS podem falhar com um erro como:
Executed as user : Domain\Account.
The process couldn't be created for step Step Number of job Unique Job ID (reason: A required privilege isn't held by the client). The step failed.
Para resolver esse erro, você deve fazer o seguinte usando o SQL Server Configuration Manager:
- Altere temporariamente a conta de serviço do SQL Agent de volta para a conta virtual padrão (instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$<instance_name>.)
- Reiniciar o serviço SQL Server Agent
- Alterar a conta de serviço de volta para a conta de domínio desejada
- Reiniciar o serviço SQL Server Agent
Para instâncias do Analysis Services implantadas em um farm do SharePoint, sempre use a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos de serviço Power Pivot e do serviço Analysis Services. As configurações e permissões associadas são atualizadas para usar as novas informações da conta quando você usa a Administração Central.
Para alterar as opções do Reporting Services, use a Ferramenta de Configuração do Reporting Services.
Contas de serviço gerenciadas, contas de serviço gerenciadas por grupo e contas virtuais
As contas de serviço gerenciadas, as contas de serviço gerenciadas por grupo e as contas virtuais são projetadas para fornecer aplicativos cruciais, como o SQL Server, com o isolamento de suas próprias contas, ao mesmo tempo em que eliminam a necessidade de um administrador administrar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas. Isso facilita o gerenciamento de longo prazo de usuários de contas de serviço, senhas e SPNs.
Contas de serviço gerenciadas
Uma conta de serviço gerenciado (MSA) é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio. Ele é atribuído a um único computador membro para uso executando um serviço. A senha é gerenciada automaticamente pelo controlador de domínio. Você não pode usar um MSA para entrar em um computador, mas um computador pode usar um MSA para iniciar um serviço do Windows. Um MSA tem a capacidade de registrar um SPN (Nome da Entidade de Serviço) no Ative Directory quando recebe permissões de leitura e gravação servicePrincipalName. Um MSA é nomeado com um
$sufixo, por exemploDOMAIN\ACCOUNTNAME$. Ao especificar um MSA, deixe a senha em branco. Como um MSA é atribuído a um único computador, ele não pode ser usado em nós diferentes de um cluster do Windows.Observação
O MSA deve ser criado no Ative Directory pelo administrador do domínio antes que a instalação do SQL Server possa usá-lo para serviços do SQL Server.
Contas de serviço gerenciadas por grupo
Uma conta de serviço gerenciada por grupo (gMSA) é uma MSA para vários servidores. O Windows gerencia uma conta de serviço para serviços executados em um grupo de servidores. O Ative Directory atualiza automaticamente a senha da conta de serviço gerenciada pelo grupo sem reiniciar os serviços. Você pode configurar os serviços do SQL Server para usar uma entidade de conta de serviço gerenciada por grupo. A partir do SQL Server 2014, o SQL Server oferece suporte a contas de serviço gerenciadas por grupo para instâncias autônomas e ao SQL Server 2016 e posterior para instâncias de cluster de failover e grupos de disponibilidade.
Para usar um gMSA para SQL Server 2014 ou posterior, o sistema operacional deve ser Windows Server 2012 R2 ou posterior. Os servidores com Windows Server 2012 R2 requerem KB 2998082 aplicado para que os serviços possam entrar sem interrupção imediatamente após uma alteração de senha.
Para obter mais informações, consulte Contas de serviço gerenciado de grupo para Windows Server 2016 e posterior. Para versões anteriores do Windows Server, consulte Contas de serviço gerenciado de grupo.
Observação
O gMSA deve ser criado no Ative Directory pelo administrador do domínio antes que a instalação do SQL Server possa usá-lo para serviços do SQL Server.
Contas virtuais
As contas virtuais são contas locais gerenciadas que fornecem os seguintes recursos para simplificar a administração do serviço. A conta virtual é gerenciada automaticamente e a conta virtual pode acessar a rede em um ambiente de domínio. Se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server, uma conta virtual usando o nome da instância como o nome do serviço será usada, no formato
NT SERVICE\<SERVICENAME>. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta de computador no formato<domain_name>\<computer_name>$. Ao especificar uma conta virtual para iniciar o SQL Server, deixe a senha em branco. Se a conta virtual não conseguir registrar o SPN (Nome da Entidade de Serviço), registre o SPN manualmente. Para obter mais informações sobre como registrar um SPN manualmente, consulte Registrar um nome de entidade de serviço para conexões Kerberos.Observação
As contas virtuais não podem ser usadas para a instância de cluster de failover do SQL Server, porque a conta virtual não teria o mesmo SID em cada nó do cluster.
A tabela a seguir lista exemplos de nomes de contas virtuais.
Serviço Nome da conta virtual Instância padrão do serviço Mecanismo de Banco de Dados NT SERVICE\MSSQLSERVERInstância nomeada de um serviço do Mecanismo de Banco de Dados chamado PAYROLLNT SERVICE\MSSQL$PAYROLLServiço SQL Server Agent na instância padrão do SQL Server NT Service\SQLSERVERAGENTServiço SQL Server Agent em uma instância do SQL Server chamada PAYROLLNT SERVICE\SQLAGENT$PAYROLL
Para obter mais informações sobre contas de serviço gerenciadas e contas virtuais, consulte a seção Conta de serviço gerenciada e conceitos de conta virtual do Guia Passo a Passo de Contas de Serviço e Perguntas Frequentes (FAQ) sobre Contas de Serviço Gerenciado.
Observação
Sempre execute os serviços do SQL Server usando os menores direitos de usuário possíveis. Use uma conta MSA,gMSA ou virtual quando possível. Quando MSA, gMSA e contas virtuais não forem possíveis, use uma conta de usuário ou de domínio específica de baixo privilégio em vez de uma conta compartilhada para serviços do SQL Server. Use contas separadas para diferentes serviços do SQL Server. Não conceda permissões adicionais à conta de serviço do SQL Server ou aos grupos de serviços. As permissões são concedidas por meio da associação ao grupo ou concedidas diretamente a um SID de serviço, onde um SID de serviço é suportado.
Arranque automático
Além de ter contas de usuário, cada serviço tem três estados de inicialização possíveis que os usuários podem controlar:
- Desativado. O serviço está instalado, mas não está em execução no momento.
- Manual. O serviço é instalado, mas é iniciado somente quando outro serviço ou aplicativo precisa de sua funcionalidade.
- Automático. O serviço é iniciado automaticamente pelo sistema operacional.
O estado de inicialização é selecionado durante a instalação. Ao instalar uma instância nomeada, o serviço Navegador do SQL Server deve ser definido para iniciar automaticamente.
Configurar serviços durante a instalação autônoma
A tabela a seguir mostra os serviços do SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.
| Nome do serviço do SQL Server | Comutadores para instalações autónomas 1 |
|---|---|
| MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
| SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
| MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
| ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
| Serviços de integração | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
| Controlador de repetição distribuída do SQL Server | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
| Cliente do SQL Server Distributed Replay | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
| Serviços de R ou Serviços de Machine Learning | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
| Motor PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Para obter mais informações e exemplos de sintaxe para instalações autônomas, consulte Instalar, configurar ou desinstalar o SQL Server no Windows no prompt de comando.
2 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.
3 A configuração da conta para o Launchpad apenas através dos comutadores não é suportada atualmente. Use o SQL Server Configuration Manager para alterar a conta e outras configurações de serviço.
Porta de firewall
Na maioria dos casos, quando instalado inicialmente, o Mecanismo de Banco de Dados pode ser conectado por ferramentas como o SQL Server Management Studio instaladas no mesmo computador que o SQL Server. A Instalação do SQL Server não abre portas no Firewall do Windows. As conexões de outros computadores podem não ser possíveis até que o Mecanismo de Banco de Dados esteja configurado para escutar em uma porta TCP e a porta apropriada seja aberta para conexões no Firewall do Windows. Para obter mais informações, consulte Configurar o Firewall do Windows para permitir o acesso ao SQL Server.
Permissões de serviço
Esta seção descreve as permissões que a Instalação do SQL Server configura para os SIDs por serviço dos serviços do SQL Server.
- Configuração de serviço e controle de acesso
- Privilégios e direitos do Windows
- Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou grupos locais do Windows do SQL Server
- Permissões do sistema de arquivos concedidas a outras contas de usuário ou grupos do Windows
- Permissões do sistema de arquivos relacionadas a locais de disco incomuns
- Revisão de considerações adicionais
- Permissões do Registro
- WMI
- Pipes nomeados
Configuração de serviço e controle de acesso
O SQL Server permite que o SID por serviço para cada um de seus serviços forneça isolamento de serviço e defesa em profundidade. O SID por serviço é derivado do nome do serviço e é exclusivo para esse serviço. Por exemplo, um nome SID de serviço para uma instância nomeada do serviço Mecanismo de Banco de Dados pode ser NT Service\MSSQL$<instance_name>. O isolamento de serviço permite o acesso a objetos específicos sem a necessidade de executar uma conta de alto privilégio ou enfraquecer a proteção de segurança do objeto. Usando uma entrada de controle de acesso que contém um SID de serviço, um serviço do SQL Server pode restringir o acesso aos seus recursos.
Observação
No Windows 7 e no Windows Server 2008 R2 (e posterior), o SID por serviço pode ser a conta virtual usada pelo serviço.
Para a maioria dos componentes, o SQL Server configura a ACL para a conta por serviço diretamente, portanto, alterar a conta de serviço pode ser feito sem ter que repetir o processo de ACL de recurso.
Ao instalar o SSAS, um SID por serviço para o serviço Analysis Services é criado. Um grupo local do Windows é criado, nomeado no formato SQLServerMSASUser$<computer_name>$<instance_name>. O SID NT SERVICE\MSSQLServerOLAPService por serviço recebe a associação ao grupo local do Windows e o grupo local do Windows recebe as permissões apropriadas na ACL. Se a conta usada para iniciar o serviço Analysis Services for alterada, o SQL Server Configuration Manager deverá alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem qualquer atualização, porque o SID por serviço não foi alterado. Esse método permite que o serviço Analysis Services seja renomeado durante as atualizações.
Durante a instalação do SQL Server, a Instalação do SQL Server cria um grupo local do Windows para o SSAS e o serviço Navegador do SQL Server. Para esses serviços, o SQL Server configura a ACL para os grupos locais do Windows.
Dependendo da configuração do serviço, a conta de serviço de um SID de serviço ou serviço é adicionada como membro do grupo de serviços durante a instalação ou atualização.
Privilégios e direitos do Windows
A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço. O programa de instalação do SQL Server atribui isso automaticamente. Primeiro, instale as Ferramentas de Administração de Servidor Remoto (RSAT). Consulte Ferramentas de Administração de Servidor Remoto para Windows 10.
A tabela a seguir mostra as permissões que a Instalação do SQL Server solicita para os SIDs por serviço ou grupos locais do Windows usados pelos componentes do SQL Server.
| Serviço do SQL Server | Permissões concedidas pela Instalação do SQL Server |
|---|---|
|
Mecanismo de Banco de Dados do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\MSSQLSERVER. Instância nomeada: NT Service\MSSQL$<instance_name>.) |
Fazer logon como um serviço (SeServiceLogonRight)Substitua um token no nível do processo (SeAssignPrimaryTokenPrivilege) Ignorar verificação transversal (SeChangeNotifyPrivilege) Ajustar limites de memória para um processo (SeIncreaseQuotaPrivilege) Permissão para iniciar o SQL Writer Permissão para ler o serviço Log de Eventos Permissão para ler o serviço de Chamada de Procedimento Remoto |
|
SQL Server Agent:1 (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$<instance_name>.) |
Fazer logon como um serviço (SeServiceLogonRight)Substitua um token no nível do processo (SeAssignPrimaryTokenPrivilege) Ignorar verificação transversal (SeChangeNotifyPrivilege) Ajustar limites de memória para um processo (SeIncreaseQuotaPrivilege) |
|
SSAS: (Todos os direitos são concedidos a um grupo local do Windows. Instância padrão: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Instância nomeada: SQLServerMSASUser$<computer_name>$<instance_name>. Instância do Power Pivot para SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot.) |
Fazer logon como um serviço (SeServiceLogonRight)Apenas para tabelas: Aumentar o conjunto de trabalho de um processo (SeIncreaseWorkingSetPrivilege) Ajustar limites de memória para um processo (SeIncreaseQuotaPrivilege) Bloquear páginas na memória (SeLockMemoryPrivilege) - isso é necessário apenas quando a paginação está totalmente desativada. Apenas para instalações de cluster de failover: Aumentar a prioridade de agendamento (SeIncreaseBasePriorityPrivilege) |
|
SSRS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\ReportServer. Instância nomeada: NT SERVICE\ReportServer$<instance_name>.) |
Fazer logon como um serviço (SeServiceLogonRight) |
|
SSIS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer150. O Integration Services não tem um processo separado para uma instância nomeada.) |
Fazer logon como um serviço (SeServiceLogonRight)Permissão para gravar no log de eventos do aplicativo. Ignorar verificação transversal (SeChangeNotifyPrivilege) Representar um cliente após a autenticação (SeImpersonatePrivilege) |
|
Pesquisa de texto completo: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\MSSQLFDLauncher. Instância nomeada: NT Service\ MSSQLFDLauncher$<instance_name>.) |
Fazer logon como um serviço (SeServiceLogonRight)Ajustar limites de memória para um processo (SeIncreaseQuotaPrivilege) Ignorar verificação transversal (SeChangeNotifyPrivilege) |
|
Navegador do SQL Server: (Todos os direitos são concedidos a um grupo local do Windows. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser$<computer_name>. O Navegador do SQL Server não tem um processo separado para uma instância nomeada.) |
Fazer logon como um serviço (SeServiceLogonRight) |
|
Gravador VSS do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão ou nomeada: NT Service\SQLWriter. O Gravador VSS do SQL Server não tem um processo separado para uma instância nomeada.) |
O serviço SQLWriter é executado sob a LOCAL SYSTEM conta que tem todas as permissões necessárias. A instalação do SQL Server não verifica nem concede permissões para esse serviço. |
| Controlador do SQL Server Distributed Replay: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Cliente do SQL Server Distributed Replay: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Motor PolyBase e DMS: |
Fazer logon como um serviço (SeServiceLogonRight) |
| Plataforma de lançamento: |
Fazer logon como um serviço (SeServiceLogonRight)Substitua um token no nível do processo (SeAssignPrimaryTokenPrivilege) Ignorar verificação transversal (SeChangeNotifyPrivilege) Ajustar limites de memória para um processo (SeIncreaseQuotaPrivilege) |
| R Services/Serviços de Machine Learning:SQLRUserGroup (SQL Server 2016 (13.x) e SQL Server 2017 (14.x)) | não tem a permissão Permitir logon localmente por padrão |
| Serviços de Machine Learning: 'Todos os pacotes de aplicativos' [AppContainer] (SQL Server 2019 (15.x)) | Ler e executar permissões para os diretórios 'Binn', R_Services e PYTHON_Services do SQL Server |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express.
Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou grupos locais do Windows
As contas de serviço do SQL Server devem ter acesso aos recursos. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.
Importante
Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.
A tabela a seguir mostra as ACLs definidas pela Instalação do SQL Server:
| Conta de serviço para | Ficheiros e pastas | Acesso |
|---|---|---|
| MSSQLServer | Instid\MSSQL\backup | Controlo total |
| Instid\MSSQL\binn | Ler, Executar | |
| Instid\MSSQL\data | Controlo total | |
| Instid\MSSQL\FTData | Controlo total | |
| Instid\MSSQL\Instalar | Ler, Executar | |
| Instid\MSSQL\Log | Controlo total | |
| Instid\MSSQL\Repldata | Controlo total | |
| 150\compartilhado | Ler, Executar | |
| Instid\MSSQL\Template Data (somente SQL Server Express) | Leitura | |
| SQLServerAgent 1 | Instid\MSSQL\binn | Controlo total |
| Instid\MSSQL\Log | Ler, Escrever, Eliminar, Executar | |
| 150\com | Ler, Executar | |
| 150\compartilhado | Ler, Executar | |
| 150\shared\Errordumps | Ler, Escrever | |
| Nome do Servidor\EventLog | Controlo total | |
| FTS | Instid\MSSQL\FTData | Controlo total |
| Instid\MSSQL\FTRef | Ler, Executar | |
| 150\compartilhado | Ler, Executar | |
| 150\shared\Errordumps | Ler, Escrever | |
| Instid\MSSQL\Instalar | Ler, Executar | |
| Instid\MSSQL\jobs | Ler, Escrever | |
| MSSQLServerOLAPservice | 150\compartilhado\ASConfig | Controlo total |
| Instid\OLAP | Ler, Executar | |
| Instid\Olap\Dados | Controlo total | |
| Instid\Olap\Log | Ler, Escrever | |
| Instid\OLAP\Backup | Ler, Escrever | |
| Instid\OLAP\Temp | Ler, Escrever | |
| 150\shared\Errordumps | Ler, Escrever | |
| ReportServer | Instid\Reporting Services\Arquivos de log | Ler, Escrever, Eliminar |
| Instid\Reporting Services\ReportServer | Ler, Executar | |
| Instid\Reporting Services\ReportServer\global.asax | Controlo total | |
| Instid\Reporting Services\ReportServer\rsreportserver.config | Leitura | |
| Instid\Reporting Services\RSTempfiles | Ler, Escrever, Executar, Eliminar | |
| Instid\Reporting Services\RSWebApp | Ler, Executar | |
| 150\compartilhado | Ler, Executar | |
| 150\shared\Errordumps | Ler, Escrever | |
| MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Leitura |
| 150\dts\binn | Ler, Executar | |
| 150\compartilhado | Ler, Executar | |
| 150\shared\Errordumps | Ler, Escrever | |
| Navegador do SQL Server | 150\compartilhado\ASConfig | Leitura |
| 150\compartilhado | Ler, Executar | |
| 150\shared\Errordumps | Ler, Escrever | |
| SQLWriter | N/D (Funciona como sistema local) | |
| Utilizador | Instid\MSSQL\binn | Ler, Executar |
| Instid\Reporting Services\ReportServer | Ler, Executar, Listar Conteúdo da Pasta | |
| Instid\Reporting Services\ReportServer\global.asax | Leitura | |
| Instid\Reporting Services\RSWebApp | Ler, Executar, Listar Conteúdo da Pasta | |
| 150\dts | Ler, Executar | |
| 150\ferramentas | Ler, Executar | |
| 100\ferramentas | Ler, Executar | |
| 90\ferramentas | Ler, Executar | |
| 80\ferramentas | Ler, Executar | |
| 150\sdk | Leitura | |
| Microsoft SQL Server\150\Setup Bootstrap | Ler, Executar | |
| Controlador de repetição distribuída do SQL Server | <ToolsDir>\DReplayController\Log\ (diretório vazio) | Ler, Executar, Listar Conteúdo da Pasta |
| <FerramentasDir>\DReplayController\DReplayController.exe | Ler, Executar, Listar Conteúdo da Pasta | |
| <ToolsDir>\DReplayController\resources| Ler, Executar, Listar Conteúdo da Pasta | ||
| <ToolsDir>\DReplayController\{todas as dlls} | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayController\DReplayController.config | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayController\IRTemplate.tdf | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayController\IRDefinition.xml | Ler, Executar, Listar Conteúdo da Pasta | |
| Cliente do SQL Server Distributed Replay | <FerramentasDir>\DReplayClient\Log| Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayClient\DReplayClient.exe | Ler, Executar, Listar Conteúdo da Pasta | |
| <ToolsDir>\DReplayClient\resources| Ler, Executar, Listar Conteúdo da Pasta | ||
| <ToolsDir>\DReplayClient\ (todas as dlls) | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayClient\DReplayClient.config | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayClient\IRTemplate.tdf | Ler, Executar, Listar Conteúdo da Pasta | |
| <FerramentasDir>\DReplayClient\IRDefinition.xml | Ler, Executar, Listar Conteúdo da Pasta | |
| Barra de Lançamento | %binn | Ler, Executar |
| ExtensiblilityData | Controlo total | |
| Log\ExtensibilityLog | Controlo total |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.
Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder ao SID por serviço acesso a esse local. Para obter mais informações sobre como conceder permissões de sistema de arquivos a um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao Mecanismo de Banco de Dados.
Permissões do sistema de arquivos concedidas a outras contas de usuário ou grupos do Windows
Algumas permissões de controle de acesso podem ter que ser concedidas a contas internas ou outras contas de serviço do SQL Server. A tabela a seguir lista ACLs adicionais definidas pela Instalação do SQL Server.
| Componente solicitante | Conta | Recurso | Permissões |
|---|---|---|---|
| MSSQLServer | Utilizadores do log de desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta |
| Usuários do Monitor de Desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta | |
| Usuários do Log de Desempenho, Usuários do Monitor de Desempenho | \WINNT\system32\sqlctr150.dll | Ler, Executar | |
| Apenas administrador |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>
1 |
Controlo total | |
| Administradores, Sistema | \ferramentas\binn\schemas\sqlserver\2004\07\showplan | Controlo total | |
| Utilizadores | \ferramentas\binn\schemas\sqlserver\2004\07\showplan | Ler, Executar | |
| Serviços de Relatórios | Conta de Serviço do Windows do Servidor de Relatório | <instalar>\Reporting Services\LogFiles | DELETEREAD_CONTROL SINCRONIZAR FILE_GENERIC_READ FILE_GENERIC_WRITE Leitura_de_Dados_de_Ficheiro (FILE_READ_DATA) ESCREVER_DADOS_FICHEIRO FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA LEITURA_ATRIBUTOS_FICHEIRO ATRIBUTOS_DE_ESCRITA_DE_ARQUIVO |
| Conta de Serviço do Windows do Servidor de Relatório | <instalar>\Reporting Services\ReportServer | Leitura | |
| Conta de Serviço do Windows do Servidor de Relatório | <instalar>\Reporting Services\ReportServer\global.asax | Completo | |
| Conta de Serviço do Windows do Servidor de Relatório | <instalar>\Reporting Services\RSWebApp | Ler, Executar | |
| Todos | <instalar>\Reporting Services\ReportServer\global.asax | READ_CONTROL Leitura_de_Dados_de_Ficheiro (FILE_READ_DATA) FILE_READ_EA LEITURA_ATRIBUTOS_FICHEIRO |
|
| Conta de Serviços do Windows ReportServer | <instalar>\Reporting Services\ReportServer\rsreportserver.config | DELETEREAD_CONTROL SINCRONIZAR FILE_GENERIC_READ FILE_GENERIC_WRITE Leitura_de_Dados_de_Ficheiro (FILE_READ_DATA) ESCREVER_DADOS_FICHEIRO FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA LEITURA_ATRIBUTOS_FICHEIRO ATRIBUTOS_DE_ESCRITA_DE_ARQUIVO |
|
| Todos | Chaves do servidor de relatório (seção Instid) | Valor da consulta Enumerar subchaves Notificar Controlo de Leitura |
|
| Usuário dos Serviços de Terminal | Chaves do servidor de relatório (seção Instid) | Valor da consulta Definir valor Criar subchave Enumerar subchave Notificar Suprimir Controlo de Leitura |
|
| Utilizadores Avançados | Chaves do servidor de relatório (seção Instid) | Valor da consulta Definir valor Criar subchave Enumerar subchaves Notificar Suprimir Controlo de Leitura |
1 Este é o namespace do provedor WMI.
Permissões do sistema de arquivos relacionadas a locais de disco incomuns
A unidade padrão para locais de instalação é a unidade do sistema, normalmente a unidade C. Esta seção descreve considerações adicionais quando tempdb ou bancos de dados de usuário são instalados em locais incomuns.
Unidade não padrão
Quando instalado em uma unidade local que não seja a unidade padrão, o SID por serviço deve ter acesso ao local do arquivo. A Instalação do SQL Server provisiona o acesso necessário.
Compartilhamento de rede
Quando os bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e tempdb dos bancos de dados. A Instalação do SQL Server não pode provisionar o acesso a um compartilhamento de rede. O usuário deve provisionar o acesso a um tempdb local para a conta de serviço antes de executar a instalação. O usuário deve provisionar o acesso ao local do banco de dados do usuário antes de criar o banco de dados.
Observação
As contas virtuais não podem ser autenticadas em um local remoto. Todas as contas virtuais usam a permissão da conta da máquina. Provisione a conta da máquina no formato <domain_name>\<computer_name>$.
Analise considerações adicionais
A tabela a seguir mostra as permissões necessárias para que os serviços do SQL Server forneçam funcionalidade adicional.
| Serviço/Aplicação | Funcionalidade | Permissão necessária |
|---|---|---|
| SQL Server (MSSQLSERVER) | Escreva em um slot de e-mail usando xp_sendmailo . |
Permissões de gravação de rede. |
| SQL Server (MSSQLSERVER) | Executar xp_cmdshell para um usuário diferente de um administrador do SQL Server. |
Aja como parte do sistema operacional e substitua um token no nível do processo. |
| Agente do SQL Server (MSSQLSERVER) | Use o recurso de reinicialização automática. | Deve ser membro do grupo local Administradores. |
| Orientador de Otimização do Mecanismo de Banco de Dados | Ajusta os bancos de dados para um desempenho de consulta ideal. | Na primeira utilização, um utilizador com credenciais administrativas do sistema tem de inicializar a aplicação. Após a inicialização, os usuários dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar apenas as tabelas de sua propriedade. Para obter mais informações, consulte Iniciar e usar o Orientador de Otimização do Mecanismo de Banco de Dados. |
Importante
Antes de atualizar o SQL Server, habilite o SQL Server Agent e verifique a configuração padrão necessária: a conta de serviço do SQL Server Agent é membro da função de servidor fixa sysadmin do SQL Server.
Permissões do Registro
O hive do registro é criado em HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> , por exemplo, componentes com reconhecimento de exemplo. Por exemplo:
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
O registo também mantém um mapeamento de ID da instância com o nome da instância. O mapeamento de ID de instância para nome de instância é mantido da seguinte forma:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
O WMI (Instrumentação de Gerenciamento do Windows) deve ser capaz de se conectar ao Mecanismo de Banco de Dados. Para oferecer suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt) é provisionado no Mecanismo de Banco de Dados.
O provedor WMI SQL requer as seguintes permissões mínimas:
A associação ao db_ddladmin ou db_owner funções de banco de dados fixas no
msdbbanco de dados.CREATE DDL EVENT NOTIFICATIONpermissão no servidor.CREATE TRACE EVENT NOTIFICATIONpermissão no Mecanismo de Banco de Dados.VIEW ANY DATABASEpermissão no nível do servidor.A instalação do SQL Server cria um namespace WMI do SQL e concede permissão de leitura ao SID de serviço do SQL Server Agent.
Canalizações nomeadas
Em toda a instalação, a Instalação do SQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL Server por meio do protocolo de memória compartilhada, que é um pipe nomeado local.
Provision
Esta seção descreve como as contas são provisionadas dentro dos vários componentes do SQL Server.
Provisionamento do Mecanismo de Banco de Dados
As contas a seguir são adicionadas como logons no Mecanismo de Banco de Dados do SQL Server.
Entidades do Windows
Durante a instalação, a Instalação do SQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin .
Conta SA
A sa conta está sempre presente como um logon do Mecanismo de Banco de Dados e é membro da função de servidor fixa sysadmin . Quando o Mecanismo de Banco de Dados é instalado usando apenas a Autenticação do Windows (ou seja, quando a Autenticação do SQL Server não está habilitada), o sa logon ainda está presente, mas está desabilitado e a senha é complexa e aleatória. Para obter informações sobre como habilitar a conta, consulte sa servidor.
Logon e privilégios do SID por serviço do SQL Server
O SID por serviço (às vezes também chamado de entidade de segurança de serviço (SID)) do serviço SQL Server é provisionado como um logon do Mecanismo de Banco de Dados. O login SID por serviço é um membro da função de servidor fixa sysadmin . Para obter informações sobre SID por serviço, consulte Usando SIDs de serviço para conceder permissões a serviços no SQL Server.
Logon e privilégios do SQL Server Agent
O SID por serviço do serviço SQL Server Agent é provisionado como um logon do Mecanismo de Banco de Dados. O login SID por serviço é um membro da função de servidor fixa sysadmin .
Grupos de disponibilidade Always On e instância e privilégios de cluster de failover SQL
Ao instalar o Mecanismo de Banco de Dados como um grupo de disponibilidade Always On ou instância de cluster de failover SQL (SQL FCI), LOCAL SYSTEM é provisionado no Mecanismo de Banco de Dados. O LOCAL SYSTEM logon recebe a ALTER ANY AVAILABILITY GROUP permissão (para grupos de disponibilidade Always On) e a VIEW SERVER STATE permissão (para SQL FCI).
Gravador SQL e privilégios
O SID por serviço do serviço Gravador VSS do SQL Server é provisionado como um logon do Mecanismo de Banco de Dados. O login SID por serviço é um membro da função de servidor fixa sysadmin .
WMI SQL e privilégios
A Configuração do SQL Server provisiona a NT SERVICE\Winmgmt conta como um logon do Mecanismo de Banco de Dados e a adiciona à função de servidor fixa sysadmin .
Provisionamento SSRS
A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole . Para obter mais informações, consulte Configurar a conta de serviço do servidor de relatório (Gerenciador de Configuração do Servidor de Relatórios).
Provisionamento do SSAS
Os requisitos da conta de serviço do SSAS variam dependendo de como você implanta o servidor. Se você estiver instalando o Power Pivot para SharePoint, a Instalação do SQL Server exigirá que você configure o serviço Analysis Services para ser executado em uma conta de domínio. As contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada que é incorporado ao SharePoint. Por esse motivo, a Instalação do SQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do Power Pivot para SharePoint. Para obter mais informações sobre o provisionamento do Power Pivot para SharePoint, consulte Configurar contas de serviço do Power Pivot.
Para todas as outras instalações autônomas do SSAS, você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual. Para obter mais informações sobre o provisionamento de contas, consulte Configurar contas de serviço (Analysis Services).
Para instalações clusterizadas, você deve especificar uma conta de domínio ou uma conta de sistema interna. Não há suporte para contas gerenciadas nem contas virtuais para clusters de failover do SSAS.
Todas as instalações do SSAS exigem que você especifique um administrador de sistema da instância do Analysis Services. Os privilégios de administrador são provisionados na função Servidor do Analysis Services.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada no Mecanismo de Banco de Dados como membro da função de banco de dados RSExecRole . Para obter mais informações, consulte Configurar a conta de serviço do servidor de relatório (Gerenciador de Configuração do Servidor de Relatórios).
Atualização de versões anteriores
Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL Server.
O SQL Server 2019 (15.x) requer um sistema operacional com suporte. Qualquer versão anterior do SQL Server em execução em uma versão inferior do sistema operacional deve ter o sistema operacional atualizado antes de atualizar o SQL Server.
Durante a atualização do SQL Server 2005 (9.x) para o SQL Server 2019 (15.x), a instalação configura a instância do SQL Server da seguinte maneira:
- O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. O SID por serviço recebe acesso às pastas de arquivo da instância do SQL Server (como
DATA) e às chaves do Registro do SQL Server. - O SID por serviço do Mecanismo de Banco de Dados é provisionado no Mecanismo de Banco de Dados como membro da função de servidor fixa sysadmin .
- Os SIDs por serviço são adicionados aos grupos locais do SQL Server Windows, a menos que o SQL Server seja uma instância de cluster de failover.
- Os recursos do SQL Server permanecem provisionados para os grupos locais do SQL Server Windows.
- O grupo local do Windows para serviços é renomeado de
SQLServer2005MSSQLUser$<computer_name>$<instance_name>paraSQLServerMSSQLUser$<computer_name>$<instance_name>. Os locais de arquivos para bancos de dados migrados têm Entradas de Controle de Acesso (ACEs) para os grupos locais do Windows. Os locais de arquivo para novos bancos de dados têm ACEs para o SID por serviço.
- O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. O SID por serviço recebe acesso às pastas de arquivo da instância do SQL Server (como
Durante a atualização do SQL Server 2008 (10.0.x), a Instalação do SQL Server preserva as ACEs para o SID por serviço do SQL Server 2008 (10.0.x).
Para uma instância de cluster de failover do SQL Server, as ACEs da conta de domínio configurada para o serviço são mantidas.
Apêndice
Esta seção contém informações adicionais sobre os serviços do SQL Server.
- Descrição das Contas de serviço
- Identificação de serviços com reconhecimento e sem reconhecimento de instância
- Nomes de serviço localizados
Descrição das contas de serviço
A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL Server. Para executar o SQL Server, não é necessário adicionar a Conta de Serviço como um Logon ao SQL Server, além do SID de Serviço, que está sempre presente e é membro da função de servidor fixa sysamin .
Contas disponíveis com qualquer sistema operativo
Além das novas contas MSA,gMSA e virtuais descritas anteriormente, as seguintes contas podem ser usadas.
Conta de usuário de domínio
Se o serviço precisar interagir com serviços de rede, acessar recursos de domínio como compartilhamentos de arquivos ou se usar conexões de servidor vinculado a outros computadores que executam o SQL Server, você poderá usar uma conta de domínio minimamente privilegiada. Muitas atividades de servidor para servidor podem ser executadas somente com uma conta de usuário de domínio. Um administrador de domínio deve pré-criar essa conta em seu ambiente.
Se você configurar o SQL Server para usar uma conta de domínio, poderá isolar os privilégios para o Serviço, mas deverá gerenciar manualmente as senhas ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos de servidor usam essa estratégia para aumentar a segurança, mas essa estratégia requer administração e complexidade adicionais. Nessas implantações, os administradores de serviço gastam uma quantidade considerável de tempo em tarefas de manutenção, como o gerenciamento de senhas de serviço e SPNs (nomes de entidade de serviço), que são necessários para a autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
Contas de utilizador locais
Se o computador não fizer parte de um domínio, recomenda-se uma conta de utilizador local sem permissões de administrador do Windows.
Conta de serviço local
A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a proteger o sistema se serviços ou processos individuais forem comprometidos. Os serviços executados como a conta de serviço local acessam recursos de rede como uma sessão nula sem credenciais.
A conta de serviço local não tem suporte para os serviços do SQL Server ou do SQL Server Agent. O Serviço Local não tem suporte como a conta que executa esses serviços porque é um serviço compartilhado e quaisquer outros serviços executados sob o serviço local teriam acesso de administrador do sistema ao SQL Server.
O nome real da conta é NT AUTHORITY\LOCAL SERVICE.
Conta do Serviço de Rede
A conta Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços executados como a conta de serviço de rede acessam recursos de rede usando as credenciais da conta de computador no formato <domain_name>\<computer_name>$. O nome real da conta é NT AUTHORITY\NETWORK SERVICE.
Conta do sistema local
O Sistema Local é uma conta integrada com privilégios muito elevados. Ele tem amplos privilégios no sistema local e atua como o computador na rede. O nome real da conta é NT AUTHORITY\SYSTEM.
Identificar serviços com reconhecimento e sem reconhecimento de instância
Os serviços com reconhecimento de instância estão associados a uma instância específica do SQL Server e têm suas próprias seções de registro. Você pode instalar várias cópias de serviços com reconhecimento de instância executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não estão associados a uma instância específica, são instalados apenas uma vez e não podem ser instalados lado a lado.
Os serviços com reconhecimento de instância no SQL Server incluem:
SQL Server
Agente do SQL Server
O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.
-
Analysis Services
O Analysis Services no modo integrado do SharePoint é executado como 'Power Pivot' como uma única instância nomeada. O nome da instância é fixo. Não é possível especificar um nome diferente. Você pode instalar apenas uma instância do Analysis Services em execução como 'Power Pivot' em cada servidor físico.
-
Serviços de Relatórios
Pesquisa de texto completo
Os serviços sem reconhecimento de instância no SQL Server incluem:
- Serviços de integração
- Navegador do SQL Server
- Gravador SQL
Nomes de serviço localizados
A tabela a seguir mostra nomes de serviço que são exibidos por versões localizadas do Windows.
| Linguagem | Nome do serviço local | Nome do Serviço de Rede | Nome para o sistema local | Nome do grupo de administradores |
|---|---|---|---|---|
| Inglês Chinês simplificado Chinês tradicional Coreano Japonês |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Alemão | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
| Francês | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
| Italiano | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
| Espanhol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
| Russo | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |