Поделиться через


Настройка учетных записей службы Windows и разрешений

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этом разделе описана конфигурация по умолчанию служб данного выпуска SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время и после установки SQL Server.

Содержание

Этот раздел состоит из следующих подразделов:

  • Службы, устанавливаемые с SQL Server

  • Свойства и настройка служб

    • Учетные записи служб по умолчанию

      • Изменение свойств учетной записи
    • Новые типы учетных записей, доступные в Windows 7 и Windows Server 2008 R2

    • Автоматический запуск

    • Настройка служб во время автоматической установки

    • Порт брандмауэра

  • Разрешения службы

    • Настройка служб и управление доступом

    • Права доступа и права Windows

    • Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows

    • Разрешение файловой системы, предоставляемое другим учетным записям или группам Windows

    • Разрешения файловой системы, связанные с нестандартными дисковыми расположениями

    • Обзор дополнительных вопросов

    • Разрешения для реестра

    • WMI

    • Именованные каналы

  • Провизионирование

    • Провизионирование работы компонента Database Engine

      • Участники Windows

      • Учетная запись sa

      • Вход на SQL Server и права доступа для удостоверений безопасности служб

      • Вход и права доступа агента SQL Server

      • Экземпляр и права доступа HADRON и отказоустойчивого кластера SQL Server

      • Модуль записи SQL и права доступа

      • SQL WMI и права доступа

    • Провизионирование служб SSAS

    • Провизионирование служб SSRS

  • Обновление с предыдущих версий

  • Приложение

    • Описание учетных записей служб

    • Идентификация зависимых и не зависимых от экземпляра служб

    • Локализованные имена служб

Службы, устанавливаемые с SQL Server

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.

  • SQL Server Database Services — служба реляционного компонента Ядро СУБД в SQL Server. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • Агент SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию. Служба агента SQL Server присутствует, но отключена на экземплярах SQL Server Express. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Службы Службы Analysis Services — предоставляют средства аналитической обработки в сети (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики. Путь к исполняемому файлу: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Службы Reporting Services — предназначены для создания, выполнения, создания, планирования, доставки отчетов и управления ими. Путь к исполняемому файлу: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Службы Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Службы Integration Services. Путь к исполняемому файлу: <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe.

  • Браузер SQL Server — служба разрешения имен, которая предоставляет сведения о соединении с SQL Server клиентским компьютерам. Путь к исполняемому файлу: c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.

  • Полнотекстовый поиск — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.

  • Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS).

  • Контроллер распределенного воспроизведения SQL Server — обеспечивает согласование воспроизведения трассировки по нескольким клиентским компьютерам распределенного воспроизведения.

  • Клиент распределенного воспроизведения SQL Server — один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре Компонент ядра СУБД SQL Server.

В начало

Свойства и настройка служб

В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server, могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Для запуска и выполнения каждая служба SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.

В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server, значения, используемые при установке SQL Server по умолчанию, понятие удостоверений безопасности служб, параметры запуска и настройка брандмауэра.

  • Учетные записи служб по умолчанию

  • Автоматический запуск

  • Настройка типа запуска службы

  • Порт брандмауэра

Учетные записи служб по умолчанию

В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.

Изолированный сервер или контроллер домена

Компонент

Windows Vista и Windows Server 2008

Windows 7 и Windows Server 2008 R2

Ядро СУБД

NETWORK SERVICE

Виртуальная учетная запись*

Агент SQL Server

NETWORK SERVICE

Виртуальная учетная запись*

Службы SSAS

NETWORK SERVICE

Виртуальная учетная запись*

SSIS

NETWORK SERVICE

Виртуальная учетная запись*

Службы SSRS

NETWORK SERVICE

Виртуальная учетная запись*

Контроллер распределенного воспроизведения SQL Server

NETWORK SERVICE

Виртуальная учетная запись*

Клиент распределенного воспроизведения SQL Server

NETWORK SERVICE

Виртуальная учетная запись*

Средство запуска FD (полнотекстовый поиск)

LOCAL SERVICE

Виртуальная учетная запись

Браузер SQL Server

LOCAL SERVICE

LOCAL SERVICE

службы синхронизации контроля версий SQL Server;

LOCAL SYSTEM

LOCAL SYSTEM

* Если требуются ресурсы, внешние по отношению к компьютеру с SQL Server, Майкрософт рекомендует использовать управляемую учетную запись службы (MSA), настроенную с минимальными правами доступа.

Экземпляр отказоустойчивого кластера SQL Server

Компонент

Windows Server 2008

Windows Server 2008 R2

Ядро СУБД

нет. Укажите учетную запись пользователя домена.

Укажите учетную запись пользователя домена.

Агент SQL Server

нет. Укажите учетную запись пользователя домена.

Укажите учетную запись пользователя домена.

Службы SSAS

нет. Укажите учетную запись пользователя домена.

Укажите учетную запись пользователя домена.

SSIS

NETWORK SERVICE

Виртуальная учетная запись

Службы SSRS

NETWORK SERVICE

Виртуальная учетная запись

Средство запуска FD (полнотекстовый поиск)

LOCAL SERVICE

Виртуальная учетная запись

Браузер SQL Server

LOCAL SERVICE

LOCAL SERVICE

службы синхронизации контроля версий SQL Server;

LOCAL SYSTEM

LOCAL SYSTEM

В начало

Изменение свойств учетной записи

Важное примечаниеВажно!
  • Всегда используйте такие средства SQL Server, как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой службами Компонент ядра СУБД SQL Server или агентом SQL Server, либо для изменения пароля учетной записи. В дополнение к изменению имени учетной записи диспетчер конфигурации SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для компонента Ядро СУБД. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.

  • Для экземпляров служб Службы Analysis Services, развертываемых на ферме SharePoint, изменение учетных записей сервера для приложений Служба PowerPivot и Служба Analysis Services следует всегда выполнять с помощью центра администрирования SharePoint. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.

  • Чтобы изменить параметры служб Reporting Services, используйте средство настройки служб Reporting Services.

В начало

Новые типы учетных записей, доступные в Windows 7 и Windows Server 2008 R2

Windows 7 и Windows Server 2008 R2 содержат два новых типа учетных записей служб, называемых управляемыми учетными записями служб (MSA) и виртуальными учетными записями. Управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL Server, изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.

  • Управляемые учетные записи служб

    Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. Она назначается отдельному компьютеру-участнику для использования при запуске службы. Управление паролем осуществляет автоматически контроллер домена. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. MSA имеет возможность регистрировать имя участника-службы (SPN) с помощью Active Directory. MSA присваивается имя с суффиксом $, например DOMAIN\ACCOUNTNAME$. При указании MSA следует оставить поле пароля пустым. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.

    ПримечаниеПримечание

    Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.

    ПримечаниеПримечание

    Групповые управляемые учетные записи служб в настоящее время не поддерживаются.

  • Виртуальные учетные записи

    Виртуальные учетные записи в Windows Server 2008 R2 и Windows 7 представляют собой управляемые локальные учетные записи, которые предоставляют следующие возможности для упрощения администрирования служб. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. Если во время установки SQL Server в Windows Server 2008 R2 или Windows 7 используется значение по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате NT SERVICE\<SERVICENAME>. Службы, запускаемые от имени виртуальных учетных записей, получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена>\<имя_компьютера>$. При указании виртуальной учетной записи для запуска SQL Server оставьте поле пароля пустым. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. Дополнительные сведения о регистрации имени участника-службы вручную см. в разделе Регистрация имя участника-службы для соединений Kerberos.

    ПримечаниеПримечание

    Для экземпляра SQL Server кластера отработки отказа нельзя использовать виртуальные учетные записи, поскольку на каждом узле кластера у виртуальной учетной записи разные идентификаторы безопасности SID.

    В следующей таблице перечислены примеры имен виртуальных учетных записей.

    Служба

    Имя виртуальной учетной записи

    Экземпляр по умолчанию службы компонента Ядро СУБД

    NT SERVICE\MSSQLSERVER

    Именованный экземпляр службы компонента Ядро СУБД с именем PAYROLL

    NT SERVICE\MSSQL$PAYROLL

    SQL Server Служба агента на экземпляре по умолчанию SQL Server

    NT SERVICE\SQLSERVERAGENT

    Служба агента SQL Server на экземпляре SQL Server с именем PAYROLL

    NT SERVICE\SQLAGENT$PAYROLL

Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записей Пошагового руководства по учетным записям служб, а также в документе Вопросы и ответы по управляемым учетным записям служб.

Примечание по безопасности.  Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. По возможности используйте управляемую учетную запись службы или виртуальную учетную запись. Если использование управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.

Автоматический запуск

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

  • Отключено. Служба установлена, но в данный момент не запущена.

  • Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.

  • Автоматически. Служба автоматически запускается операционной системой.

Тип запуска выбирается во время установки. При установке именованного экземпляра службу браузера SQL Server следует настроить на автоматический запуск.

Настройка служб во время автоматической установки

В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.

Имя службы SQL Server

Параметры для автоматической установки1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Службы Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

Контроллер распределенного воспроизведения SQL Server

DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS

Клиент распределенного воспроизведения SQL Server

DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Дополнительные сведения и образцы синтаксиса для автоматической установки см. в разделе Установка SQL Server 2012 из командной строки.

2Служба агента SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.

Порт брандмауэра

Обычно при начальной установке компонента Ядро СУБД к нему можно подключаться с помощью таких средств, как среда SQL Server Management Studio, установленных на том же компьютере, что и SQL Server. Программа установки SQL Server не открывает порты брандмауэра Windows. Соединение с другими компьютерами может оказаться невозможным, пока компонент Ядро СУБД будет настроен для прослушивания TCP-порта, закрытого для соединений в брандмауэре Windows. Дополнительные сведения см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

В начало

Разрешения службы

В этом разделе описаны разрешения, которые настраивает программа установки SQL Server для удостоверений безопасности служб SQL Server.

  • Настройка служб и управление доступом

  • Права доступа и права Windows

  • Разрешения файловой системы, предоставляемые удостоверениям безопасности служб SQL Server или локальным группам Windows для SQL Server

  • Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows

  • Разрешения файловой системы, связанные с нестандартными дисковыми расположениями

  • Обзор дополнительных вопросов

  • Разрешения для реестра

  • WMI

  • Именованные каналы

Настройка служб и управление доступом

SQL Server 2012 позволяет обеспечить изоляцию и всестороннюю защиту удостоверения безопасности каждой службы. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, именем удостоверения безопасности службы Ядро СУБД может быть NT Service\MSSQL$<имя_экземпляра>. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую удостоверение безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.

ПримечаниеПримечание

В Windows 7 и Windows Server 2008 R2 удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.

Для большинства компонентов SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.

При установке служб Службы SSAS создается удостоверение безопасности для службы Службы Analysis Services. Создается локальная группа Windows с именем в формате **SQLServerMSASUser$имя_компьютера$**имя_экземпляра. Удостоверению безопасности службы NT SERVICE\MSSQLServerOLAPService предоставляется членство в локальной группе Windows, а локальной группе Windows — соответствующие разрешения в списке управления доступом. В случае изменения учетной записи, используемой для запуска службы Службы Analysis Services, диспетчер конфигурации SQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как удостоверение безопасности службы не было изменено. Этот метод позволяет переименовывать службу Службы Analysis Services во время обновлений.

Во время установки SQL Server программа установки SQL Server создает локальные группы Windows для службы Службы SSAS и службы браузера SQL Server. Для этих служб SQL Server настраивает список управления доступом к локальным группам Windows.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.

Права доступа и права Windows

Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. Они автоматически назначаются программой установки SQL Server. Сначала установите средства администрирования удаленного сервера (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 7.

В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server.

Служба SQL Server

Разрешения, предоставляемые программой установки SQL Server

Компонент ядра СУБД SQL Server:

(Все права предоставляются удостоверению безопасности службы. Экземпляр по умолчанию: NT SERVICE\MSSQLSERVER. Именованный экземпляр: NT SERVICE\MSSQL$имя_экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход перекрестной проверки (SeChangeNotifyPrivilege)

Настройка квот памяти для процесса (SeIncreaseQuotaPrivilege)

Разрешение на запуск модуля записи SQL Writer

Разрешение на чтение службы журнала событий

Разрешение на чтение службы удаленного вызова процедур (RPC)

Агент SQL Server:1

(Все права предоставляются удостоверению безопасности службы. Экземпляр по умолчанию: NT Service\SQLSERVERAGENT. Именованный экземпляр: NT Service\SQLAGENT$имя_экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход перекрестной проверки (SeChangeNotifyPrivilege)

Настройка квот памяти для процесса (SeIncreaseQuotaPrivilege)

Службы SSAS:

(Все права предоставляются локальной группе Windows. Экземпляр по умолчанию: SQLServerMSASUser$имя_компьютера$MSSQLSERVER. Именованный экземпляр: SQLServerMSASUser$имя_компьютера$имя_экземпляра. Экземпляр PowerPivot для SharePoint: SQLServerMSASUser$имя_компьютера$PowerPivot.)

Вход в систему в качестве службы (SeServiceLogonRight)

Только для табличных:

Расширение рабочего набора процесса (SeIncreaseWorkingSetPrivilege)

Настройка квот памяти для процесса (SeIncreaseQuotaSizePrivilege)

Блокировка страниц в памяти (SeLockMemoryPrivilege) — требуется только в случае, если подкачка полностью выключена.

Только для отказоустойчивых кластеров:

Увеличение приоритета планирования (SeIncreaseBasePriorityPrivilege)

Службы SSRS:

(Все права предоставляются удостоверению безопасности службы. Экземпляр по умолчанию: NT SERVICE\ReportServer. Именованный экземпляр: NT SERVICE\$имя_экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

SSIS:

(Все права предоставляются удостоверению безопасности службы. Экземпляр по умолчанию и именованный экземпляр: NT SERVICE\MsDtsServer110. В службах Службы Integration Services нет отдельного процесса для именованного экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

Разрешение на запись в журнал событий приложений

Обход перекрестной проверки (SeChangeNotifyPrivilege)

Олицетворение клиента после проверки подлинности (SeImpersonatePrivilege)

Полнотекстовый поиск:

(Все права предоставляются удостоверению безопасности службы. Экземпляр по умолчанию: NT Service\MSSQLFDLauncher. Именованный экземпляр: NT Service\MSSQLFDLauncher$имя_экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

Настройка квот памяти для процесса (SeIncreaseQuotaPrivilege)

Обход перекрестной проверки (SeChangeNotifyPrivilege)

SQL Server Браузер:

(Все права предоставляются локальной группе Windows. Именованный или установленный по умолчанию экземпляр: SQLServer2005SQLBrowserUser$имя_компьютера. В браузере SQL Server нет отдельного процесса для именованного экземпляра.)

Вход в систему в качестве службы (SeServiceLogonRight)

SQL Server Модуль записи VSS:

(Все права предоставляются удостоверению безопасности службы. Именованный или установленный по умолчанию экземпляр: NT Service\SQLWriter. В модуле записи VSS SQL Server нет отдельного процесса для именованного экземпляра.)

Служба SQLWriter запускается под учетной записью LOCAL SYSTEM, которая имеет все необходимые разрешения. Программа установки SQL Server не проверяет и не предоставляет разрешения для данной службы.

SQL Server Контроллер распределенного воспроизведения:

Вход в систему в качестве службы (SeServiceLogonRight)

SQL Server Клиент распределенного воспроизведения:

Вход в систему в качестве службы (SeServiceLogonRight)

1 Служба агента SQL Server отключена на экземплярах SQL Server Express.

В начало

Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows

Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.

Важное примечаниеВажно!

В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.

Учетная запись службы для

Файлы и папки

Доступ

MSSQLServer

Instid\MSSQL\backup

Полный доступ

 

Instid\MSSQL\binn

Чтение и выполнение

 

Instid\MSSQL\data

Полный доступ

 

Instid\MSSQL\FTData

Полный доступ

 

Instid\MSSQL\Install

Чтение и выполнение

 

Instid\MSSQL\Log

Полный доступ

 

Instid\MSSQL\Repldata

Полный доступ

 

110\shared

Чтение и выполнение

 

Instid\MSSQL\Template Data (только SQL Server Express)

Чтение

SQLServerAgent1

Instid\MSSQL\binn

Полный доступ

 

Instid\MSSQL\binn

Полный доступ

 

Instid\MSSQL\Log

Чтение, запись, удаление и выполнение

 

110\com

Чтение и выполнение

 

110\shared

Чтение и выполнение

 

110\shared\Errordumps

Чтение и запись

ServerName\EventLog

Полный доступ

FTS

Instid\MSSQL\FTData

Полный доступ

 

Instid\MSSQL\FTRef

Чтение и выполнение

 

110\shared

Чтение и выполнение

 

110\shared\Errordumps

Чтение и запись

 

Instid\MSSQL\Install

Чтение и выполнение

Instid\MSSQL\jobs

Чтение и запись

MSSQLServerOLAPservice

110\shared\ASConfig

Полный доступ

 

Instid\OLAP

Чтение и выполнение

 

Instid\Olap\Data

Полный доступ

 

Instid\Olap\Log

Чтение и запись

 

Instid\OLAP\Backup

Чтение и запись

 

Instid\OLAP\Temp

Чтение и запись

 

110\shared\Errordumps

Чтение и запись

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Чтение, запись и удаление

 

Instid\Reporting Services\ReportServer

Чтение и выполнение

 

Instid\Reportingservices\Reportserver\global.asax

Полный доступ

 

Instid\Reportingservices\Reportserver\Reportserver.config

Чтение

 

Instid\Reporting Services\reportManager

Чтение и выполнение

 

Instid\Reporting Services\RSTempfiles

Чтение, запись, выполнение и удаление

 

110\shared

Чтение и выполнение

 

110\shared\Errordumps

Чтение и запись

MSDTSServer100

110\dts\binn\MsDtsSrvr.ini.xml

Чтение

 

110\dts\binn

Чтение и выполнение

 

110\shared

Чтение и выполнение

 

110\shared\Errordumps

Чтение и запись

Браузер SQL Server

110\shared\ASConfig

Чтение

 

110\shared

Чтение и выполнение

 

110\shared\Errordumps

Чтение и запись

SQLWriter

н/д (запускается с учетной записью локальной системы)

 

Пользователь

Instid\MSSQL\binn

Чтение и выполнение

 

Instid\Reporting Services\ReportServer

Чтение и выполнение, список содержимого папки

 

Instid\Reportingservices\Reportserver\global.asax

Чтение

 

Instid\Reporting Services\ReportManager

Чтение и выполнение

 

Instid\Reporting Services\ReportManager\pages

Чтение

 

Instid\Reporting Services\ReportManager\Styles

Чтение

 

110\dts

Чтение и выполнение

 

110\tools

Чтение и выполнение

100\tools

Чтение и выполнение

 

90\tools

Чтение и выполнение

 

80\tools

Чтение и выполнение

 

110\sdk

Чтение

 

Microsoft SQL Server\110\Setup Bootstrap

Чтение и выполнение

Контроллер распределенного воспроизведения SQL Server

<ToolsDir>\DReplayController\Log\ (пустой каталог)

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\DReplayController.exe

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\resources\

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\{все DLL-библиотеки}

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\DReplayController.config

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\IRTemplate.tdf

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayController\IRDefinition.xml

Чтение и выполнение, список содержимого папки

Клиент распределенного воспроизведения SQL Server

<ToolsDir>\DReplayClient\Log\

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\DReplayClient.exe

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\resources\

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\ (все DLL-библиотеки)

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\DReplayClient.config

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\IRTemplate.tdf

Чтение и выполнение, список содержимого папки

<ToolsDir>\DReplayClient\IRDefinition.xml

Чтение и выполнение, список содержимого папки

1Служба агента SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.

Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в разделе Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.

В начало

Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.

Запрашивающий компонент

Учетная запись

Ресурс

Разрешения

MSSQLServer

Пользователи журнала производительности

Instid\MSSQL\binn

Просмотр содержимого папки

 

Пользователи системного монитора

Instid\MSSQL\binn

Просмотр содержимого папки

 

Пользователи журнала производительности, пользователи системного монитора

\WINNT\system32\sqlctr110.dll

Чтение и выполнение

 

Только администратор

\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Полный доступ

 

Администраторы, система

\tools\binn\schemas\sqlserver\2004\07\showplan

Полный доступ

 

Пользователи

\tools\binn\schemas\sqlserver\2004\07\showplan

Чтение и выполнение

Reporting Services

<Учетная запись веб-службы сервера отчетов>

<каталог установки>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Удостоверение пула приложений диспетчера отчетов, учетная запись ASP.NET, все

<каталог_установки>\Reporting Services\ReportManager, <каталог_установки>\Reporting Services\ReportManager\Pages\*.*, <каталог_установки>\Reporting Services\ReportManager\Styles\*.*, <каталог_установки>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Чтение

 

Удостоверение пула приложений диспетчера отчетов

<каталог_установки>\Reporting Services\ReportManager\Pages\*.*

Чтение

 

<Учетная запись веб-службы сервера отчетов>

<каталог установки>\Reporting Services\ReportServer

Чтение

 

<Учетная запись веб-службы сервера отчетов>

<каталог установки>\Reporting Services\ReportServer\global.asax

Полный

 

Все

<каталог установки>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Сетевая служба

<каталог_установки>\Reporting Services\ReportServer\ReportService.asmx

Полный

 

Все

<каталог_установки>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Учетная запись службы Windows для сервера отчетов

<каталог установки>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Все

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Перечисление подразделов

Уведомление

Управление чтением

 

Пользователь служб терминала

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Установка значения

Создание подраздела

Перечисление подразделов

Уведомление

Удаление

Управление чтением

 

Опытные пользователи

Разделы реестра сервера отчетов (куст Instid)

Запрос значения

Установка значения

Создание подраздела

Перечисление подразделов

Уведомление

Удаление

Управление чтением

1Это пространство имен поставщика инструментария WMI.

В начало

Разрешения файловой системы, связанные с нестандартными дисковыми расположениями

Диском по умолчанию для установки является systemdrive, обычно это диск C. При установке базы данных tempdb или пользовательских баз данных

Диск не по умолчанию

При установке на локальный диск, который не является диском по умолчанию, удостоверение безопасности службы должно иметь доступ к расположению файлов. Программа установки SQL Server предоставит необходимый доступ.

Общая сетевая папка

При установке баз данных в общую сетевую папку учетная запись службы должна иметь доступ к расположению файлов пользовательских баз данных и базы данных tempdb. Программа установки SQL Server не может предоставить доступ к общей сетевой папке. Пользователь должен предоставлять учетной записи службы доступ к расположению базы данных tempdb до выполнения установки. Пользователь должен предоставить доступ к расположению пользовательской базы данных перед созданием базы данных.

ПримечаниеПримечание

Виртуальные учетные записи не могут проходить проверку подлинности в удаленном расположении. Все виртуальные учетные записи используют разрешение локальной учетной записи. Создайте локальную учетную запись в формате <имя_домена>\<имя_компьютера>$.

Обзор дополнительных вопросов

В следующей таблице перечислены разрешения, которые необходимы службам SQL Server для поддержки дополнительных функций.

Служба или приложение

Функциональность

Требуемое разрешение

SQL Server (MSSQLSERVER)

Запись в почтовый слот с помощью xp_sendmail.

Разрешения на запись по сети.

SQL Server (MSSQLSERVER)

Запуск xp_cmdshell пользователем, не являющимся администратором SQL Server.

Работа в качестве части операционной системы, а также замена токена уровня процесса.

Агент SQL Server (MSSQLSERVER)

Использование функции автоматического перезапуска.

Должен быть членом локальной группы Administrators.

Помощник по настройке ядра СУБД (Ядро СУБД)

Позволяет настраивать базы данных для оптимальной производительности запросов.

При первом запуске приложение должно быть инициализировано пользователем с учетными данными системного администратора. После инициализации пользователи dbo могут использовать помощник по настройке компонента Ядро СУБД для настройки только тех таблиц, владельцами которых они являются. Дополнительные сведения см. в разделе «Инициализация помощника по настройке ядра компонента Ядро СУБД при первом запуске» электронной документации по SQL Server.

Важное примечаниеВажно!

Перед обновлением SQL Server включите проверку подлинности Windows для агента служб SQL Server и проверьте требуемую конфигурацию по умолчанию: является ли учетная запись службы агента SQL Server членом группы SQL Server sysadmin.

В начало

Разрешения для реестра

Для компонентов, привязываемых к экземпляру, создается куст реестра в разделе реестра HKLM\Software\Microsoft\Microsoft SQL Server\<идентификатор_экземпляра>. Пример

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

В реестре также хранится сопоставление идентификаторов экземпляров с именами экземпляров. Сопоставление идентификатора экземпляра с именем экземпляра осуществляется следующим образом:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Инструментарий управления Windows (WMI) должен иметь возможность подключиться к компоненту Ядро СУБД. Для этого компонент Ядро СУБД предоставляет удостоверение безопасности службы поставщика WMI (NT SERVICE\winmgmt).

Поставщику SQL WMI необходимы следующие разрешения:

  • Членство в предопределенных ролях db_ddladmin или db_owner базы данных msdb.

  • Разрешение CREATE DDL EVENT NOTIFICATION на сервере.

  • Разрешение CREATE TRACE EVENT NOTIFICATION компонента Ядро СУБД.

  • Разрешение уровня сервера VIEW ANY DATABASE.

    Программа установки SQL Server создает пространство имен SQL WMI и предоставляет разрешение на чтение удостоверению безопасности службы агента SQL Server.

В начало

Именованные каналы

Во всех видах установки программа установки SQL Server предоставляет доступ к компоненту Компонент ядра СУБД SQL Server через протокол общей памяти, который является локальным именованным каналом.

В начало

Провизионирование

В этом разделе описывается, как выполняется провизионирование учетных записей внутри различных компонентов SQL Server.

  • Провизионирование работы компонента Database Engine

    • Участники Windows

    • Учетная запись sa

    • Вход на SQL Server и права доступа для удостоверений безопасности служб

    • Вход и права доступа агента SQL Server

    • Экземпляр и права доступа HADRON и отказоустойчивого кластера SQL Server

    • Модуль записи SQL и права доступа

    • SQL WMI и права доступа

  • Провизионирование служб SSAS

  • Провизионирование служб SSRS

Провизионирование работы компонента Database Engine

Следующие учетные записи добавляются в качестве имен входа в компонент Компонент ядра СУБД SQL Server.

Участники Windows

Во время установки программе установки SQL Server требуется наличие как минимум одной учетной записи пользователя, являющейся членом предопределенной роли сервера sysadmin.

Учетная запись sa

Учетная запись sa всегда присутствует в качестве имени входа в компонент Ядро СУБД и является членом предопределенной роли сервера sysadmin. Если компонент Ядро СУБД установлен с использованием только проверки подлинности Windows (то есть проверка подлинности SQL Server не включена), имя входа sa все равно будет присутствовать, но будет отключено. Сведения о включении учетной записи sa см. в разделе Изменение режима проверки подлинности сервера.

Вход на SQL Server и права доступа для удостоверений безопасности служб

Удостоверение безопасности службы SQL Server предоставляется в качестве имени входа в компонент Ядро СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin.

Вход и права доступа агента SQL Server

Удостоверение безопасности службы агента SQL Server предоставляется в качестве имени входа в компонент Ядро СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin.

Экземпляр и права доступа Группы доступности AlwaysOn и отказоустойчивого кластера SQL

При установке компонента Ядро СУБД в качестве Группы доступности AlwaysOn или отказоустойчивого кластера SQL (SQL FCI) учетная запись LOCAL SYSTEM предоставляется компоненту Ядро СУБД. Имени входа LOCAL SYSTEM предоставляется разрешение ALTER ANY AVAILABILITY GROUP (для Группы доступности AlwaysOn) и разрешение VIEW SERVER STATE (для SQL FCI).

Модуль записи SQL и права доступа

Удостоверение безопасности службы модуля записи VSS в SQL Server предоставляется в качестве имени входа в экземпляр Ядро СУБД. Имя входа удостоверения безопасности службы является членом предопределенной роли сервера sysadmin.

SQL WMI и права доступа

Программа установки SQL Server предоставляет учетную запись NT SERVICE\Winmgmt в качестве имени входа в компонент Ядро СУБД и добавляет ее в предопределенную роль сервера sysadmin.

Провизионирование служб SSRS

Учетная запись, указанная во время установки, предоставляется в качестве члена роли базы данных RSExecRole. Дополнительные сведения см. в разделе Настройка учетной записи службы сервера отчетов.

В начало

Провизионирование служб SSAS

Требования к учетной записи службы Службы SSAS различаются в зависимости от способа развертывания сервера. При установке PowerPivot для SharePoint программе установки SQL Server требуется, чтобы служба Службы Analysis Services запускалась под учетной записью домена. Учетные записи домена необходимы для поддержки механизма управляемых учетных записей, встроенного в SharePoint. По этой причине программа установки SQL Server не предоставляет учетную запись службы по умолчанию, например виртуальную учетную запись, для установки PowerPivot для SharePoint. Дополнительные сведения о провизионировании PowerPivot для SharePoint см. в разделе Указание учетных записей служб PowerPivot.

Для всех других случаев автономной установки служб Службы SSAS можно предоставить службу для запуска под учетной записью домена, встроенной системной учетной записью, управляемой или виртуальной учетной записью. Дополнительные сведения о провизионировании учетных записей см. в разделе Настройка учетных записей служб (службы Analysis Services).

Для кластерной установки необходимо указать учетную запись домена или встроенную системную учетную запись. Ни управляемые, ни виртуальные учетные записи не поддерживаются для отказоустойчивых кластеров служб Службы SSAS.

Для установки служб Службы SSAS необходимо указать системного администратора экземпляра Службы Analysis Services. Права администратора предоставляются роли Сервер служб Analysis Services.

Провизионирование служб SSRS

Учетная запись, указанная во время установки, предоставляется компоненту Ядро СУБД в качестве члена роли базы данных RSExecRole. Дополнительные сведения см. в разделе Настройка учетной записи службы сервера отчетов.

В начало

Обновление с предыдущих версий

В этом разделе описаны изменения, внесенные во время обновления предыдущей версии SQL Server.

  • Для SQL Server 2012 требуется Windows Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2. Для предыдущих версий SQL Server, работающих под управлением Windows XP или Windows Server 2003, перед обновлением SQL Server необходимо обновить операционную систему.

  • Во время обновления SQL Server 2005 до SQL Server 2012 программа установки SQL Server настроит SQL Server следующим образом.

    • Компонент Ядро СУБД запускается в контексте безопасности удостоверения безопасности службы. Удостоверению безопасности службы предоставляется доступ к папкам с файлами экземпляра SQL Server (например, DATA), а также к разделам реестра SQL Server.

    • Удостоверение безопасности службы компонента Ядро СУБД предоставляется компоненту Ядро СУБД в качестве члена предопределенной роли сервера sysadmin.

    • Удостоверение безопасности службы добавляется к локальным группам Windows для SQL Server, если SQL Server не является экземпляром отказоустойчивого кластера.

    • Ресурсы SQL Server остаются предоставленными локальным группам Windows для SQL Server.

    • Локальная группа Windows для служб переименовывается из SQLServer2005MSSQLUser$<имя_компьютера>$<имя_экземпляра> в SQLServerMSSQLUser$<имя_компьютера>$<имя_экземпляра>. Расположения файлов перенесенных баз данных будут иметь записи управления доступом (ACE) для локальных групп Windows. Расположения файлов для новых баз данных будут иметь записи ACE для удостоверения безопасности службы.

  • При обновлении с SQL Server 2008 программа установки SQL Server будет сохранять записи ACE для удостоверения безопасности службы SQL Server 2008.

  • Для экземпляра отказоустойчивого кластера SQL Server запись ACE учетной записи домена, настроенной для службы, будет сохранена.

В начало

Приложение

В данном разделе содержатся дополнительные сведения о службах SQL Server.

  • Описание учетных записей служб

  • Идентификация зависимых и не зависимых от экземпляра служб

  • Локализованные имена служб

Описание учетных записей служб

Учетной записью службы является учетная запись, используемая для запуска службы Windows, например Компонент ядра СУБД SQL Server.

Учетные записи, доступные в любой операционной системе

В дополнение к новым управляемым учетным записям служб и виртуальным учетным записям, описанным выше, могут использоваться следующие учетные записи.

Учетная запись пользователя домена

Если служба должна взаимодействовать с сетевыми службами, получать доступ к ресурсам домена (например, к общей папке) либо использовать соединения связанного сервера с другими компьютерами, работающими под управлением SQL Server, используйте учетную запись домена с минимальными правами доступа. Многие операции межсерверного взаимодействия могут быть выполнены только от учетной записи пользователя домена. Эта учетная запись должна быть создана предварительно администрацией домена в используемой среде.

ПримечаниеПримечание

При настройке приложения на использование учетной записи домена можно изолировать права доступа для приложения, при этом придется управлять паролями вручную или создать пользовательское решение для управления паролями. Эта стратегия помогает повысить безопасность многих серверных приложений, но повышает сложность и требует дополнительного администрирования. В этих случаях развертывания администраторы служб тратят значительное количество времени на выполнение задач обслуживания, таких как управление паролями служб и именами участников-служб (SPN), необходимыми для проверки подлинности Kerberos. Кроме того, задачи обслуживания могут нарушить работу службы.

Локальные учетные записи пользователей

Если компьютер не является частью домена, рекомендуется использовать учетную запись локального пользователя, не имеющую разрешений администратора Windows.

Учетная запись локальной службы

Учетная запись локальной службы является встроенной и имеет тот же уровень доступа к ресурсам и объектам, что и члены группы «Пользователи». Такой ограниченный доступ помогает защитить систему в случае нарушения безопасности отдельных служб или процессов. Службы, запускаемые с учетной записью локальной службы, получают доступ к сетевым ресурсам в качестве нулевого сеанса без использования учетных данных. Помните, что учетная запись локальной службы не поддерживается службами SQL Server или агента SQL Server. Локальная служба не поддерживается в качестве учетной записи для запуска этих служб, так как это общая служба, а любые другие службы, работающие под учетной записью локальной службы, получили бы доступ с правами администратора к SQL Server. Фактическое имя этой учетной записи — NT AUTHORITY\LOCAL SERVICE.

Учетная запись сетевой службы

Встроенная учетная запись сетевой службы имеет более высокий уровень доступа к ресурсам и объектам, чем члены группы «Пользователи». Службы, запускаемые от имени учетной записи сетевой службы, обращаются к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена>\<имя_компьютера>$. Фактическое имя этой учетной записи — NT AUTHORITY\NETWORK SERVICE.

Учетная запись Local System

Локальная система — это встроенная учетная запись, обладающая очень высокими правами доступа. Она имеет обширные права и выступает в качестве компьютера сети. Фактическое имя этой учетной записи — NT AUTHORITY\SYSTEM.

Идентификация зависимых и не зависимых от экземпляра служб

Служба, связанная с экземпляром, относится к конкретному экземпляру SQL Server, и ей выделяется отдельный куст реестра. Программа установки SQL Server позволяет для каждого компонента или службы установить несколько копий служб, привязанных к разным экземплярам. Службы, не связанные с экземплярами, являются общими для всех установленных экземпляров SQL Server. Они устанавливаются всего один раз, их параллельная установка не допускается.

С экземпляром связаны следующие службы SQL Server.

  • SQL Server

  • Агент SQL Server

    Необходимо помнить, что служба агента SQL Server отключена в экземплярах SQL Server Express и SQL Server Express with Advanced Services.

  • Службы Analysis Services 1

  • Reporting Services

  • Компонент Full-text Search

В число служб SQL Server, не связываемых с экземпляром, входят следующие.

  • Службы Integration Services

  • Браузер SQL Server

  • Модуль записи SQL

1Службы Analysis Services в режиме интеграции с SharePoint запускаются как единичный именованный экземпляр PowerPivot. Имя экземпляра фиксировано. Другое имя указать нельзя. На каждом физическом сервере может быть установлен только один экземпляр служб Analysis Services, запускаемый под именем PowerPivot.

В начало

Локализованные имена служб

В следующей таблице показаны имена служб, отображаемые в локализованных версиях Windows.

Язык

Имя для Local Service

Имя сетевой службы

Имя Local System

Имя группы администраторов

Английский

Китайский (упрощенный)

Китайский (традиционный)

Корейский

Японский

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Немецкий

NT-AUTORITДT\LOKALER DIENST

NT-AUTORITДT\NETZWERKDIENST

NT-AUTORITДT\SYSTEM

VORDEFINIERT\Administratoren

Французский язык

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RЙSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrators

Итальянский язык

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Испанский язык

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Русский язык

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

В начало

См. также

Анализ безопасности при установке SQL Server

Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server

Установка служб Master Data Services