sqlserver服务账户和权限管理配置

1、以下是在C盘安装In tegrati on Services可执行文件的路径是SQL Server Browser可执行文件的路径为大多数服务及其属性可通过使用SQL Server配置管理器进行配置Windows的情况下最新的四个版本的路径。SQL Server 2016SQL Server 2014SQL Server 2012SQL Server 2008安装的服务SQL Server根据您决定安装的组件，SQL Server安装程序将安装以下服务：SQL Server Database Services-用于SQL Server 关系 数据库引擎 的服务。 可执行文件为。SQL Serv

2、er 代理-执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。SQL Server代理服务在 SQL Server Express的实例上存在，但处于禁用状态。可执行文件为。An alysis Services-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。可执行文件为。Report ing Services-管理、执行、创建、计划和传递报表。可执行文件为-为Integration Services包的存储和执行提供管理支持。向客户端计算机提供SQL Server连接信息的名称解析服务SQL全文搜索-对结构化和半结构化数据的内容和属性快速创建全文索引，

3、从而为Server提供文档筛选和断字功能。SQL编写器-允许备份和还原应用程序在卷影复制服务(VSS)框架中运行。SQL Server分布式重播控制器-跨多个分布式重播客户端计算机提供跟踪重播业务流程。SQL Server Distributed Replay客户端 -与 Distributed Replay控制器一起来模拟针对SQL Server 数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。SQL Server受信任的启动板 -用于托管Microsoft提供的外部可执行文件的可信服务，例如作为 R Services (In-database)的一部

4、分安装的R运行时。附属进程可由启动板进程启动，但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。服务属性和配置用于启动和运行 SQL Server的启动帐户可以是 域用户帐户、本地用户帐户、托管服务帐户、虚 拟帐户或内置系统帐户。若要启动和运行 SQL Server中的每项服务，这些服务都必须有一个 在安装过程中配置的启动帐户。默认服务帐户下表列岀了安装程序在安装所有组件时使用的默认服务帐户。列岀的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或域控制器组件Win dows

5、Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 (可能为英文页面)R2及更咼版本数据库引擎NETWORK SERVICE虚拟帐户*SQL ServerNETWORK SERVICE虚拟帐户*组件Win dows Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 （可能为英文页面）R2及更咼版本代理SSASNETWORK SERVICE虚拟帐户*SSISNETWORK SERVICE虚拟帐户*SSRSNETWORK SERVICE虚拟帐户*SQL Server分布式重播控制器NETWOR

6、K SERVICE虚拟帐户*SQL Server分布式重播客户端NETWORK SERVICE虚拟帐户*FD启动器（全LOCAL SERVICE虚拟帐户组件Win dows Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 （可能为英文页面）R2及更咼版本文搜索）SQL ServerBrowserLOCAL SERVICELOCAL SERVICESQL ServerVSS编写器LOCAL SYSTEMLOCAL SYSTEM高级分析扩展NTSERVICE'MSSQLLau nchpadNTSERVICE'MSSQLLau

7、nchpad*当需要SQL Server 计算机外部的资源时，Microsoft 建议使用配置了必需的最小特权的托管服务帐户（MSA）。SQL Server故障转移群集实例组件Win dows Server 2008（可能为英文页面）Win dows Server 2008（可能为英文页面）R2数据库引擎无。提供域用户帐户。提供域用户帐户。组件Win dows Server 2008英文页面）（可能为Win dows Server 2008（可能为英文页面）R2SQL Server代理无。提供域用户帐户。提供域用户帐户。SSAS无。提供域用户帐户。提供域用户帐户。SSISNETWORK SER

8、VICE虚拟帐户SSRSNETWORK SERVICE虚拟帐户FD启动器（全文搜LOCAL SERVICE虚拟帐户索）SQLServerLOCAL SERVICELOCAL SERVICEBrowserSQL Server VSS 编LOCAL SYSTEMLOCAL SYSTEM写器更改帐户属性重要事项始终使用SQL Server工具（例如 SQL Server配置管理器）来更改 SQL Server数 据库引擎 或SQL Server代理服务使用的帐户，或更改帐户的密码。除了更改帐户名称以外，SQL Server配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的Windo

9、ws本地安全存储区。其他工具（例如 Windows服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。对于您在SharePoint 场中部署的Analysis Services 实例，始终使用SharePoint 管理中心为 Power Pivot 服务 应用程序和 Analysis Services 服务 更改服务器帐户。使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。若要更改 Reporting Services 选项，请使用 Reporting Services配置工具。托管服务帐户、组托管服务帐户和虚拟帐户托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例

10、如SQL Server ）提供其自己帐户的隔离， 同时使管理员无需手动管理这些帐户的服务主体名称 使得管理服务帐户用户、密码和SPN的过程变得简单得多。托管服务帐户托管服务帐户（MSA）是一种由域控制器创建和管理的域帐户。（SPN）和凭据。这就它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码您不能使用MSA登录到计算机，但计算机可以使用 MSA来启动 Windows服务。MSA可以向Active Directory 注册服 务主体名称 （SPN）。MSA的名称中有一个$ 后缀，例如DOMAINACCOUNTNAME$在指定MSA时，请将密码留空。因为将MSA分配给单个计算机， 它不

11、能用于 Windows群集的不同节点。说明域管理员必须先在 Active Directory 中创建MSA然后SQL Server安装程序才能将其用于SQL Server服务。组托管服务帐户组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户。Active Directory自动更新组托管服务帐户密码，而不重启服务。你可以配置SQL Server服务以使用组托管服务帐户主体。SQL Server 2016对于独立实例、故障转移群集实例和可用性组，在Win dows Server 2012 R2和更高版本上支持组托管服务帐户。若要使用SQL Server

12、2016或更高版本的组托管服务帐户，操作系统必须是Win dowsServer 2012 R2 或更高版本。装有 Windows Server 2012 R2的服务器需要应用KB2998082，以便服务可以在密码更改后立即登录而不中断。有关详细信息，请参阅组托管服务帐户说明域管理员必须先在Active Directory中创建组托管服务帐户，然后SQLServer安装程序才能将其用于SQL Server服务。虚拟帐户Win dows Server 2008 R2和Win dows 7 中的虚拟帐户是"托管的本地帐户”，此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的，并且虚拟

13、帐户可以访问域环境中的网络。如果在 Windows Server 2008 R2 或 Windows 7 上安装 SQL Server时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为NT<SERVICENAME >以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为 <domain_ name><computer_ name：$ ）访问网络资源。当指定一个虚拟帐户以启动SQL Server 时，应将密码留空。如果虚拟帐户无法注册服务主体名称（SPN），贝9手动注册该SPN。有关手动注册SPN的详细信息，请参阅手动注册SPN说明虚拟帐户不

14、能用于SQL Server故障转移群集实例，因为虚拟帐户在群 集的每个节点不会有相同SID。下表列岀了虚拟帐户名称的示例。服务虚拟帐户名称数据库引擎服务的默认实例NT SERVICE'MSSQLSERVER名为数据库引擎的的服务的命名实例NT SERVICEMSSQL$PAYROLLSQLServer代理服务，位于以下默认实例上：SQLServerNT SERVICE'SQLSERVERAGENTSQL Server 的 SQL Server 的 的NTSERVICESQLAGENT$PAYROLL安全说明始终用尽可能低的用户权限运行SQL Server 服务。就会使用MSA或

15、 virtualaccou nt 。当无法使用 MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于 SQL Server 服务。 对不同的SQL Server 服务使用单独的帐户。 不要向SQLServer服务帐户或服务组授予其他权限。在支持服务SID的情况下，将通过组成员身份或直防火墙端口在大多数情况下，首次安装时，可以通过与数据库引擎 安装在相同计算机上的 SQL ServerManagement Studio 等此类工具连接 SQL Server。SQL Server安装程序不会在 Windows防火 墙中打开端口。 在将数据库引擎配置为侦听 TCP端口，并且在W

16、indows防火墙中打开适当的 端口进行连接之前，将无法从其他计算机建立连接。配置 Windows服务帐户和权 限SQL Server 2016其他版本适用于：SQL Server 2016SQLServer中的每个服务表示一个进程或一组进程，用于通过Windows管理SQL Server操作的身份验证。本主题介绍此 SQL Server版本中服务的默认配置，以及可以在 SQL Server安装过程中以及安装之后设置的SQL Server服务的配置选项。本主题将帮助高级用户了解服务帐户的详细信息。大多数服务及其属性可通过使用SQL Server配置管理器进行配置。以下是在C盘安装Windows

17、的情况下最新的四个版本的路径。SQL Server 2016SQL Server 2014SQL Server 2012SQL Server 2008安装的服务SQL Server根据您决定安装的组件，SQL Server安装程序将安装以下服务：SQL Server Database Services-用于SQL Server 关系 数据库引擎 的服务。可执行文件为。SQL Server 代理-执行作业、监视 SQL Server、激发警报以及允许自动执行某些管理任务。SQL Server代理服务在 SQL Server Express的实例上存在，但处于禁用状态。可执行文件为。An alys

18、is Services-为商业智能应用程序提供联机分析处理(OLAP)和数据挖掘功能。可执行文件为。Report ing Services-管理、执行、创建、计划和传递报表。可执行文件为-为Integration Services包的存储和执行提供管理支持。-向客户端计算机提供SQL Server连接信息的名称解析服务In tegrati on Services可执行文件的路径是SQL Server Browser可执行文件的路径为全文搜索-对结构化和半结构化数据的内容和属性快速创建全文索引，从而为SQLServer提供文档筛选和断字功能。SQL编写器-允许备份和还原应用程序在卷影复制服务(V

19、SS)框架中运行SQL Server分布式重播控制器-跨多个分布式重播客户端计算机提供跟踪重播业务流程。SQL Server Distributed Replay客户端 -与Distributed Replay控制器一起来模拟针对SQL Server 数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。SQL Server受信任的启动板-用于托管Microsoft提供的外部可执行文件的可信服务，例如作为 R Services (In-database)的一部分安装的R运行时。附属进程可由户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进

20、程将在执行过程中按需创建和销毁。服务属性和配置用于启动和运行 SQL Server的启动帐户可以是 域用户帐户、本地用户帐户、托管服务帐户、虚 拟帐户或内置系统帐户。若要启动和运行 SQL Server中的每项服务，这些服务都必须有一个 在安装过程中配置的启动帐户。此部分介绍可配置为启动SQL Server 服务的帐户、SQL Server安装程序使用的默认值、Per-service SID的概念、启动选项以及配置防火墙。默认服务帐户自动启动配置服务启动类型防火墙端口默认服务帐户下表列岀了安装程序在安装所有组件时使用的默认服务帐户。列岀的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或

21、域控制器组件Win dows Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 （可能为英文页面）R2及更咼版本数据库引擎NETWORK SERVICE虚拟帐户*SQL ServerNETWORK SERVICE虚拟帐户*代理SSASNETWORK SERVICE虚拟帐户*组件Win dows Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 （可能为英文页面）R2及更咼版本SSISNETWORK SERVICE虚拟帐户*SSRSNETWORK SERVICE虚拟帐户*SQL Serve

22、r分布式重播控制器NETWORK SERVICE虚拟帐户*SQL Server分布式重播客户端NETWORK SERVICE虚拟帐户*FD启动器（全文搜索）LOCAL SERVICE虚拟帐户SQL ServerBrowserLOCAL SERVICELOCAL SERVICE组件Win dows Server 2008（可能为英文页面）Windows 7 和 Windows Server 2008 （可能为英文页面）R2及更咼版本SQL ServerVSS编写器LOCAL SYSTEMLOCAL SYSTEM高级分析扩展NTSERVICE'MSSQLLau nchpadNTSERVIC

23、E'MSSQLLau nchpad*当需要SQL Server 计算机外部的资源时，Microsoft 建议使用配置了必需的最小特权的托管服务帐户（MSA）。SQL Server故障转移群集实例组件Win dows Server 2008（可能为英文页面）Win dows Server 2008（可能为英文页面）R2数据库引擎无。提供域用户帐户。提供域用户帐户。SQL Server 代理无。提供域用户帐户。提供域用户帐户。SSAS无。提供域用户帐户。提供域用户帐户。组件Win dows Server 2008（可能为英文页面）Win dows Server 2008（可能为英文页面）R

24、2SSISNETWORK SERVICE虚拟帐户SSRSNETWORK SERVICE虚拟帐户FD启动器（全文搜LOCAL SERVICE虚拟帐户索）SQLServerLOCAL SERVICELOCAL SERVICEBrowserSQL Server VSS 编LOCAL SYSTEMLOCAL SYSTEM写器更改帐户属性重要事项始终使用SQL Server工具（例如 SQL Server配置管理器）来更改 SQL Server数据库引擎 或SQL Server代理服务使用的帐户，或更改帐户的密码。除了更改帐户名称以外，SQL Server配置管理器还可以执行其他配置，例如，更新保护数据

25、库引擎的服务主密钥的 Windows本地安全存储区。 其他工具（例如 Windows服务 控制管理器）可以更改帐户名称，但不更改所有必需的设置。对于您在SharePoint场中部署的Analysis Services实例，始终使用SharePoint 管理中心为 Power Pivot 服务 应用程序和 Analysis Services服务更改服务器帐户。使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。若要更改 Reporting Services选项，请使用 Reporting Services配置工具。托管服务帐户、组托管服务帐户和虚拟帐户SQL Server ）提供（SPN）

26、和凭据。这就它分配给单个成员计算托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如 其自己帐户的隔离， 同时使管理员无需手动管理这些帐户的服务主体名称 使得管理服务帐户用户、密码和 SPN的过程变得简单得多。托管服务帐户托管服务帐户（MSA）是一种由域控制器创建和管理的域帐户。机以用于运行服务。域控制器将自动管理密码您不能使用MSA登录到计算机，但计算机可以使用 MSA来启动 Windows服务。MSA可以向Active Directory 注册服 务主体名称 （SPN）。MSA的名称中有一个$ 后缀，例如 DOMAINACCOUNTNAME駐指定MSA时，请将密码留空。因为将

27、MSA分配给单个计算机， 它不能用于 Windows群集的不同节点。说明域管理员必须先在 Active Directory 中创建MSA然后SQL Server安 装程序才能将其用于SQL Server服务。组托管服务帐户组托管服务帐户是针对多个服务器的MSA。Windows为在一组服务器上运行的服务管理服务帐户。Active Directory自动更新组托管服务帐户密码，而不重启服务。你SQL Server 2016 对于独立可以配置SQL Server服务以使用组托管服务帐户主体。实例、故障转移群集实例和可用性组，在Win dows Server 2012 R2和更高版本上支持组托管服务帐

28、户。若要使用SQL Server 2016或更高版本的组托管服务帐户，操作系统必须是Win dowsServer 2012 R2 或更高版本。 装有 Windows Server 2012 R2的服务器需要应用KB2998082，以便服务可以在密码更改后立即登录而不中断。有关详细信息，请参阅组托管服务帐户说明域管理员必须先在Active Directory 中创建组托管服务帐户，然后SQLServer安装程序才能将其用于SQL Server服务。虚拟帐户Win dows Server 2008 R2 和Win dows 7 中的虚拟帐户是"托管的本地帐户”，此类帐户提供以下功能以简化

29、服务管理。虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。如果在 Windows Server 2008 R2或 Windows 7 上安装 SQL Server时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为NT<SERVICENAME >以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为 <domain_ name><computer_ name：$ ）访问网络资源。当指定一个虚拟帐户以启动SQL Server 时，应将密码留空。如果虚拟帐户无法注册服务主体名称（SPN），贝9手动注册该SPN。有关手动注册SPN的详细信

30、息，请参阅手动注册SPN。说明虚拟帐户不能用于SQL Server故障转移群集实例，因为虚拟帐户在群 集的每个节点不会有相同SID。下表列岀了虚拟帐户名称的示例。服务虚拟帐户名称服务虚拟帐户名称数据库引擎服务的默认实例NT SERVICE'MSSQLSERVER名为数据库引擎的的服务的命名实例NT SERVICEMSSQL$PAYROLLSQLServer代理服务，位于以下默认实例上：SQLServerNT SERVICE'SQLSERVERAGENTSQL Server 的 SQL Server 的 的NTSERVICESQLAGENT$PAYROLL有关托管服务帐户和虚拟帐

31、户的详细信息，请参阅服务帐户分步指南的托管服务和虚拟帐户概念部分以及 托管服务帐户常见问题解答(FAQ)。安全说明始终用尽可能低的用户权限运行SQL Server 服务。就会使用MSA或 virtualaccou nt 。当无法使用 MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将 共享帐户用于 SQL Server服务。 对不同的SQL Server服务使用单独的帐户。 不要向SQL Server服务帐户或服务组授予其他权限。在支持服务SID的情况下，将通过组成员身份或直接将权限授予服务 SID。自动启动除了具有用户帐户外，每项服务还有用户可控制的三种可能的启动状态：已禁用服务

32、已安装但当前未运行。手动服务已安装，但仅当另一个服务或应用程序需要该服务的功能时才启动。自动服务由操作系统自动启动。在安装过程中，启动状态处于选中状态。当安装命名实例时，SQL Server Browser服务应设置为自动启动。在无人参与的安装过程中配置服务下表显示了可以在安装过程中配置的SQL Server服务。对于无人参与的安装，可以在配置文件中或在命令提示符下使用开关。SQL Server服务名称无人参与安装的开关*MSSQLSERVERSQLSVCACCOUNSQLSVCPASSWORDQLSVCSTARTUPTYPSQLServerAge nt*AGTSVCACCOUNAGTSVCP

33、ASSWOFABTSVCSTARTUPTYPMSSQLServerOLAPServiceASSVCACCOUNTKSSVCPASSWORDSSVCSTARTUPTYPEReportServerRSSVCACCOUNRSSVCPASSWORDSSVCSTARTUPTYPEIn tegrati on ServicesISSVCACCOUNTISSVCPASSWORDSSVCSTARTUPTYPESQLServer Distributed ReplayDRU_CTLR CTLRSVCACCOUNT CTLRSVCPASSWORD控制器CTLRSTARTUPTYPE3TLRUSERSSQLServer

34、 Distributed ReplayDRU_CLT、 CLTSVCACCOUNT CLTSVCPASSWORDSQL Server服务名称无人参与安装的开关*客户端CLTSTARTUPTYPE CLTCTLRNAME CLTWORKINGDIRCLTRESULTDIRR Services (In-database)EXTSVCACCOUNEXTSVCPASSWORADVANCEDANALYTICS*有关无人参与安装的详细信息和示例语法，请参阅从命令提示符安装SQL Server 2016 。*SQL Server 代理服务在 SQL Server Express实例和具有高级服务的SQL S

35、erver Express 实例上处于禁用状态。防火墙端口在大多数情况下，首次安装时，可以通过与数据库引擎 安装在相同计算机上的SQL ServerManagement Studio 等此类工具连接 SQL Server。SQL Server安装程序不会在 Windows防火 墙中打开端口。在将数据库引擎配置为侦听TCP端口，并且在Windows防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。有关详细信息，请参阅配置Windows防火墙以允许SQL Server 访问。服务权限服务配置和访问控制SQL Server 2016 会为它的每项服务启用Per-service SID，

36、以提供深层服务隔离与防御。Per-service SID从服务名称派生得到，对该服务是唯一的。例如，数据库引擎 服务的服务SID名称可能是NT ServiceMSSQL$ <InstanceName。 通过服务隔离，可直接访问特定的对象，而无需运行高特权帐户，也不会削弱为对象提供的安全保护水平。通过使用包含服务SID的访问控制项，SQL Server服务可限制对其资源的访问。说明： 在 Windows 7 和 Windows Server 2008（可能为英文页面）R2 上, Per-service SID 可以是服务使用的虚拟帐户Win dows特权和权限为启动服务分配的帐户需要对于服

37、务的自动分配此权限。首先，安装远程服务器管理工具（RSAT）下表说明 SQL Server 安装程序为 SQL Server 组件使用的 Per-service SID 或本地 Windows组请求的权限。SQL Server 服务SQL Server安装程序授予的权限SQLServer数据库引擎设置用户帐户：（所有权限都将授予 Per-service SID。 默认实例：NTSERVICE'MSSQLSERVER命名实例：NTSERVICEMSSQL$stanceName。）以 服 务 身 份 登 录 (SeServiceLogo nRight)替换进程级别标记(SeAssig nP

38、rimaryToke nPrivilege)跳过遍历检查(SeCha ngeNotifyPrivilege)调整进程的内存配额(Seln creaseQuotaPrivilege)启动SQL编写器的权限 读取事件日志服务的权限读取远程过程调用服务的权限SQL Server代理：* (所有权限都将授予Per-service SID 。 默认实例： NTServiceSQLSERVERAGENT 命名实例：NTServiceSQLAGENT$ I nsta nceName。)以 服 务 身 份 登 录 (SeServiceLogo nRight) 替换进程级 别标记(SeAssig nPrimar

39、yToke nPrivilege)跳 过 遍 历 检 查 (SeCha ngeNotifyPrivilege)调整进SSAS设置用户帐户：(所有权限都授予本地Win dows 组。默认实例：SQLServerMSASUser$ComputerNam$MSSQLSERVE。命 名 实 例：SQLServerMSASUser$ComputerNam$I nsta nceNam e。 Power Pivot for SharePoint 实例： SQLServerMSASUser$ComputerNam$PowerPivot 。 )程 的 内 存 配 额(Seln creaseQuotaPrivil

40、ege)以 服 务 身 份 登 录 (SeServiceLogonRight) 仅适用于表R格：增加进程工作集(SeI ncreaseWorki ngSetPrivilege)调整进程的内存配额(SeI ncreaseQuotaSizePrivilege)锁 定 内 存 中 的 页(SeLockMemoryPrivilege)- 仅当完全关闭分页时才需要。仅适用于故障转移 群集安装： 提高计划优先级(Se In creaseBasePriorityPrivilege)SSRS设置用户帐户 ：(所有权限都将授予以 服 务 身 份 登 录Per-service SID。 默认实例： NT (SeS

41、erviceLogonRight)SERVICE'ReportServer 。 命名实例：NTSERVICE'S nsta nceName。)SSIS设置用户帐户 ：(所有权限都将授予以 服 务 身 份 登 录Per-service SID 。默认实例和命名实例：SERVICEMsDtsServer130 。In tegrationServices没有针对命名实例的单独进程。）NT (SeServiceLogo nRight)应用程序事件日志的写入权限。跳过遍历检查(SeCha ngeNotifyPrivilege)身份验证 后 模拟 客 户 端(SeImpers on ate

42、Privilege)全文搜索：（所有权限都将授予Per-serviceSID。默认实例：NTService'MSSQLFDLauncher。 命 名 实 例： NT ServiceMSSQLFDLau ncher$nsta nceNama)以 服 务 身 份 登 录 (SeServiceLogo nRight)调整进程的内存配额(SelncreaseQuotaPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)SQL Server Browser :（所有权限都授予本地以服务身份登录Windows组。默认实例或命名实例：(SeServiceLogo nRi

43、ght)SQLServer2005SQLBrowserUser $ComputerNameSQL Server Browser 没有针对命名实例的单独进程。）SQL Server VSS编写器：（所有权限都将授予SQLWriter服务在具有所需的所有权限Per-service SID 。默认实例或命名实例：NT的LOCAL SYSTEM帐户下运行。SQLServiceSQLWriter 。 SQL Server VSS 编与器没Server安装程序不检查此服务或为其有针对命名实例的单独进程。）授予权限。SQL Server分布式重播控制器:以 服 务 身 份 登 录(SeServiceLogo

44、 nRight)SQL Server分布式重播客户端:启动板:以服务身份登录(SeServiceLogo nRight)以服务身份登录(SeServiceLogo nRight)替换进程级别标记(SeAssig nPrimaryToke nPrivilege)跳过遍历检查(SeCha ngeNotifyPrivilege)调整进程的内存配额(Seln creaseQuotaPrivilege)授予 SQL Server Per-service SID 或本地 Windows 组的文件系统权限SQLServer服务帐户必须具有对资源的访问权限。为Per-service SID或本地 Window

45、s组设置了访问控制列表。重要事项对于故障转移群集安装，必须为本地帐户的 ACL设置共享磁盘上的资源。下表显示了 SQL Server安装程序设置的 ACL:服务帐户针对文件和文件夹访问MSSQLServerIn stidMSSQLbackup宀完全控制In stidMSSQLbi nn读 取 和 执 行服务帐户针对文件和文件夹访问In stidMSSQLdata宀完全控制In stidMSSQLFTData宀完全控制In stidMSSQLI nstall读 取 和 执 行In stidMSSQLLog宀完全控服务帐户针对文件和文件夹访问制In stidMSSQLRepldata宀完全控制13

46、0shared读 取 和 执 行In stidMSSQLTemplate Data(仅限 SQLServer Express )读取SQLServerAge nt*In stidMSSQLbi nn宀完全控服务帐户针对文件和文件夹访问制In stidMSSQLbi nn宀完全控制In stidMSSQLLog读取、写入、删 除 和 执 行130com读取和服务帐户针对文件和文件夹访问执行130shared读 取 和 执 行130sharedErrordumps读 取 和 写 入ServerName'Eve ntLog宀完全控制服务帐户针对文件和文件夹访问FTSIn stidMSSQLF

47、TData宀完全控制In stidMSSQLFTRef读 取 和 执 行130shared读 取 和 执 行130sharedErrordumps读取服务帐户针对文件和文件夹访问和写入In stidMSSQLl nstall读 取 和 执 行In stidMSSQLjobs读 取 和 写 入MSSQLServerOLAPservice130sharedASCo nfig宀完全控服务帐户针对文件和文件夹访问制In stid'OLAP读 取 和 执 行In stidOlapData宀完全控制In stidOlapLog读 取 和 写 入服务帐户针对文件和文件夹访问In stidOLAPBa

48、ckup读 取 和 写 入In stidOLAPTemp读 取 和 写 入130sharedErrordumps读 取 和 写 入SQLServerReportServerUsIn stidReport ing Services'Log Files读服务帐户针对文件和文件夹访问er取、写入、删 除In stid'Report ingServices'ReportServer读 取 和 执 行In stidReporti ngservices'Reportserver宀完全控制In stidReporti ngservices'Reportserver读取服务帐户针对文件和文件夹访问In stid'Report ingServices'reportMa nage