Nt service mssqlserver какой пароль
For SQL Server 2012, I have a SQL Server Service running using the NT Service\MSSQLSERVER, as shown below:
From looking around at other posts, it looks like this is not a "real" windows account that I could login as, but it’s a service account.
I’d like to try running the default SQL Server service as a Windows domain account. However, I notice in the screenshot above, the NT Service\MSSQLSERVER user has a "password" in the password field, and I don’t know what that value is.
If I try using a Windows domain account to run this service, and then decide I want to go back to it using NT Service\MSSQLSERVER, am I going to be able to do that without knowing the password to that user? Does it even *have* a password? I’m concerned, because if I type in NT Service\MSSQLSERVER in the Account Name: box, the password field becomes blank.
In other words, everything works right now. But I’m afraid if I change the user for the SQL Service, I’m afraid I won’t be able to change it back.
Nt service mssqlserver какой пароль
Лучший отвечающий
Вопрос
I’m trying to test access with denali ctp3 (on a standalone win7 pc). I had used the sql server Configuration Manager to switch the logon account of MSSQLSERVER service from the default of
"NT SERVICE\MSSQLSERVER"
to a local windows user account. That worked fine.
But how do I switch it back? If I select MSSQLSERVER as the log on account, Configuration Manager refuses to save the change without a password, but I am not aware of what the password would be for NT SERVICE\MSSQLSERVER.
Ответы
Thank you for testing. ok, I think I can say where the bug is now more precisely. If you type "NT Service\MSSQLSERVER" after pressing the browse button (and press the check names button to confirm it is a valid account name), then you get "Invalid parameter" (presumably b/c no password was typed, and you can’t save the change). If you type "NT Service\MSSQLSERVER" manually under "account name" (without going into the "browse" section), then you don’t get an error message when saving, as in this case the (unknown) password is automagically filled in.
I will update my connect item.
- Помечено в качестве ответа TechVsLife2 20 августа 2011 г. 4:33
Все ответы
It must have been "Network Service" and not "NT Service\MSSQLSERVER" earlier, please verify the same.
To Change it back to "Network Service" — From SQL Server Configuration Manager, you need to select "Network Service" from "Built-in account", it won’t ask for password.
I can confirm that it was nt service\MSSQLSERVER listed originally in Configuration Manager, NOT network service.
For example. see.
Yes, "NT SERVICE\MSSQLSERVER" is an account that is used by SQL Service Service, but it is not the account that is used to start-up the SQL Service Service,
you can find which accounts can be used to start the SQL Service Service here : Setting Up Windows Service Accounts under section "Using Startup Accounts for SQL Server Services"
"NT SERVICE\MSSQLSERVER" is added to security group SQLServerMSSQLUser$MACHINE_NAME$INSTANCE_NAME for ACL.
thanks, the behavior has apparently changed in denali, and in any case the use of Config Manager would be recommended. Read Rick Byham’s post in this thread:
http://social.msdn.microsoft.com/Forums/en-US/sqlsecurity/thread/9e6bb2de-8fd0-45de-ab02-d59bbe05f72e/
When I started Sql Config Manager, it had
nt service\MSSQLSERVER listed there as the default logon for the Sql Server service. I switched it there to a local user (for access), and I want to switch it back for testing access to the original logon as, but Config Manager won’t let me (without prompting for a password—seems like a bug). How do I change it back to the default?
ok, posted on connect as a bug.
I think it’s a bug, but please correct me if not; it appears the default was a windows 7 managed local account (virtual account) for sql server, but Configuration Manager won’t let me "leave the password blank" (not that I would know what password to use anyway):
Virtual accounts in Windows Server 2008 R2 and Windows 7 are managed local accounts that provide the following features to simplify service administration. The virtual account is auto-managed, and the virtual account can access the network in a domain environment. If the default value is used for the service accounts during SQL Server setup on Windows Server 2008 R2 or Windows 7, a virtual account using the instance name as the service name is used, in the format NT SERVICE\ <SERVICENAME> . Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name> \ <computer_name> $. When specifying a virtual account to start SQL Server, leave the password blank .
Взламываем Windows Server через 1С
Сегодня мы расскажем, как можно получить права локального администратора на сервере MS Windows Server 2016 через незащищенную базу 1С: Предприятие 8. Мы уверены в том, что данный кейс будет интересен, как специалистам по информационной безопасности, так и системным администраторам. В конце Вас ждет бонус.
Во время выполнения внутреннего тестирования на проникновение мы столкнулись с крайне редкой ситуацией, в сети Заказчика не было обнаружено ни одной уязвимости с помощью автоматизированных сканеров уязвимостей. ДИБ (Департамент информационной безопасности) Заказчика тщательно «пропылесосил» все свои активы и этим закрыл большинство стандартных векторов атак. Мы смогли реализовать несколько сценариев и о самом интересном рассказываем.
Получение учетных данных для MS SQL Server
Сканируя ресурсы в сети, мы обнаружили кластер серверов 1С: Предприятия 8:
Данный кластер не был защищен паролем и к нему удалось подключиться с помощью стандартной консоли для администрирования серверов 1С Предприятия.
Функционал консоли администрирования серверов 1С позволяет настраивать 1С сервер и работать с информационными базами, в том числе просматривать все созданные базы на сервере. Таким образом, был получен список информационных баз, расположенных на данном сервере:
Проанализировав все базы, мы обнаружили, что база perf не защищена паролем.
Вход в базу perf можно выполнить без пароля, пользователь по умолчанию обладает правами администратора. После входа в базу выясняется, что она содержит конфигурацию «Нагрузочный тест TPC-1C», предназначенную для тестирования производительности сервера 1С.
В конфигурации для тестирования производительности требуется указать учетные данные для подключения к серверу баз данных. Учетные данные сохраняются в информационной базе. В нашем случае так и произошло, системный администратор не удалил учетные данные после выполнения тестов производительности:
Мы столкнулись с проблемой, пароль скрыт. Не придумав решения лучше, было решено просто отключить свойство «РежимПароля» для поля «SQL пароль». Для этого открыли информационную базу в режиме конфигуратора. С помощью следующей схемы «Конфигурация -> Поддержка -> Настройка поддержки» сняли конфигурацию с поддержки, чтобы появилась возможность изменить форму в конфигурации:
Далее нашли форму с отображением учетных данных и отключили свойство «РежимПароля» для поля «SQL пароль»:
Сохранив изменения и запустив отладку, нажали клавишу F5. После запуска конфигурации, открыв форму с учетными данными, увидели долгожданный пароль:
Прекрасно, половина дела сделана.
Получение доступа к выполнению команд на сервере
Для проверки валидности учетных данных мы использовали модуль «auxiliary/scanner/mssql/mssql_login» из Metasploit Framework, логин и пароль успешно подошли к MS SQL Server, расположенному на том же сервере:
Пользователь sa по умолчанию имеет максимально возможные права, это позволяет выполнить команды операционной системы через функцию xp_cmdshell. Для проверки этой возможности мы воспользуемся модулем «mssql _exec» из Metasploit Framework:
Как видно на снимке экрана у нас есть возможность выполнять команды на сервере в контексте пользователя «nt service\mssqlserver».
Повышение привилегий в системе
Осталось повысить привилегии на сервере. Для этого откроем сессию meterpreter, используя модуль «exploit/windows/mssql/mssql_payload» из Metasploit Framework:
После того как консоль meterpreter открылась, загрузим модуль incognito:
Модуль incognito позволяет красть токены пользователей, тем самым можно выдать себя за другого пользователя и повысить привилегии в системе.
Как видно на снимке экрана выше интересующие нас токены недоступны.
Нам потребуется применить эксплойт RottenPotato, чтобы привилегированный токен стал доступен. Токен становится доступен на непродолжительное время, нужно действовать очень быстро, чтобы не упустить шанс.
Скачаем эксплойт RottenPotato по ссылке и загрузим его через meterpreter.
Запустим эксплойт командой: execute -cH -f ./rottenpotato.exe. Видим, что в списке доступных токенов появился новый – «NT AUTHORITY\СИСТЕМА» Переключимся на него командой: impersonate_token «NT AUTHORITY\\СИСТЕМА» и нам, наконец, удается получить максимальные права на сервере.
На снимке экрана продемонстрирован процесс повышения привилегий:
Отлично, система успешно скомпрометирована.
Бонус
Предположим, что учетные данные для подключения к серверу баз данных не сохранены в информационной базе или была обнаружена вовсе пустая база без конфигурации. Что тогда, спросите Вы?
Специально для этой ситуации мы создали конфигурацию 1C-Shell, которая позволяет выполнять команды на сервере 1С в контексте пользователя USR1CV8, от имени которого работает сервер 1С.
Скачиваем конфигурацию 1C-Shell. Открываем найденную информационную базу в Конфигураторе.
Выбираем Администрирование — Загрузить информационную базу и указываем файл 1C-Shell.dt.
Внимание! Все данные в этой информационной базе будут удалены!
После загрузки новой конфигурации открываем базу 1C. Вводим пароль MArS6M для пользователя Kraud и получаем возможность выполнять команды на сервере 1С.
Таким образом, если мы найдем незащищенную информационную базу, то сразу переходим к этапу повышения привилегий в системе.
Настройка учетных записей службы Windows и разрешений Configure Windows Service Accounts and Permissions
- 03/17/2020
- Чтение занимает 31 мин
-
Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions) Применимо к: Applies to: SQL Server SQL Server (все поддерживаемые версии) SQL Server SQL Server (all supported versions)
Каждая служба в SQL Server SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server SQL Server в операционной системе Windows. Each service in SQL Server SQL Server represents a process or a set of processes to manage authentication of SQL Server SQL Server operations with Windows. В этом разделе описана конфигурация по умолчанию служб данного выпуска SQL Server SQL Server , а также параметры конфигурации служб SQL Server SQL Server , которые можно настроить во время и после установки SQL Server SQL Server . This topic describes the default configuration of services in this release of SQL Server SQL Server , and configuration options for SQL Server SQL Server services that you can set during and after SQL Server SQL Server installation. Этот раздел дает возможность опытным пользователям детальнее ознакомиться с учетными записями служб. This topic helps advanced users understand the details of the service accounts.
Большинство служб и их свойств можно настроить с помощью диспетчера конфигурации SQL Server SQL Server . Most services and their properties can be configured by using SQL Server SQL Server Configuration Manager. Ниже приведены расположения последних четырех версий этого диспетчера при установке Windows на диск C. Here are the paths to the last four versions when Windows is installed on the C drive.
Версия SQL Server SQL Server version путь Path SQL Server 2017 SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.msc C:\Windows\SysWOW64\SQLServerManager14.msc SQL Server SQL Server 2016 2016 C:\Windows\SysWOW64\SQLServerManager13.msc C:\Windows\SysWOW64\SQLServerManager13.msc SQL Server 2014 (12.x) SQL Server 2014 (12.x) C:\Windows\SysWOW64\SQLServerManager12.msc C:\Windows\SysWOW64\SQLServerManager12.msc SQL Server 2012 (11.x) SQL Server 2012 (11.x) C:\Windows\SysWOW64\SQLServerManager11.msc C:\Windows\SysWOW64\SQLServerManager11.msc SQL Server 2008 SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.msc C:\Windows\SysWOW64\SQLServerManager10.msc Службы, устанавливаемые с SQL Server SQL Server Services Installed by SQL Server SQL Server
В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server SQL Server устанавливает следующие службы. Depending on the components that you decide to install, SQL Server SQL Server Setup installs the following services:
SQL Server SQL Server Database Services — служба реляционного компонента SQL Server SQL Server в Компонент Database Engine Database Engine . SQL Server SQL Server Database Services — The service for the SQL Server SQL Server relational Компонент Database Engine Database Engine . Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe. The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
Агент SQL Server SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server SQL Server , предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию. SQL Server SQL Server Agent — Executes jobs, monitors SQL Server SQL Server , fires alerts, and enables automation of some administrative tasks. Служба агента SQL Server SQL Server присутствует, но отключена на экземплярах SQL Server Express SQL Server Express . The SQL Server SQL Server Agent service is present but disabled on instances of SQL Server Express SQL Server Express . Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe. The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Службы Analysis Services Analysis Services — предоставляет средства оперативной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики. Службы Analysis Services Analysis Services — Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. Путь к исполняемому файлу: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe. The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Службы Reporting Services Reporting Services — предназначены для выполнения, создания, планирования, доставки отчетов и управления ими. Службы Reporting Services Reporting Services — Manages, executes, creates, schedules, and delivers reports. Путь к исполняемому файлу: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe. The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Службы Integration Services Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Службы Integration Services Integration Services . Службы Integration Services Integration Services — Provides management support for Службы Integration Services Integration Services package storage and execution. Путь к исполняемому файлу: <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe. The executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe
Службы Integration Services Integration Services может включать дополнительные службы для развертываний с горизонтальным увеличением масштаба. may include additional services for scale out deployments. См. дополнительные сведения в руководствах по Настройка развертывания служб Integration Services (SSIS) с горизонтальным увеличением масштаба. For more information, see Walkthrough: Set up Integration Services (SSIS) Scale Out.
Браузер SQL Server SQL Server — служба разрешения имен, которая предоставляет сведения о соединении с SQL Server SQL Server клиентским компьютерам. SQL Server SQL Server Browser — The name resolution service that provides SQL Server SQL Server connection information for client computers. Путь к исполняемому файлу: c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe The executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
Полнотекстовый поиск — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server SQL Server . Full-text search — Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL Server SQL Server .
Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS). SQL Writer — Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.
Контроллер распределенного воспроизведения SQL Server SQL Server — обеспечивает согласование воспроизведения трассировки по нескольким клиентским компьютерам распределенного воспроизведения. SQL Server SQL Server Distributed Replay Controller — Provides trace replay orchestration across multiple Distributed Replay client computers.
Клиент распределенного воспроизведения SQL Server SQL Server — один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре Компонент SQL Server Database Engine SQL Server Database Engine . SQL Server SQL Server Distributed Replay Client — One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Компонент SQL Server Database Engine SQL Server Database Engine .
Панель запуска SQL Server SQL Server Launchpad — доверенная служба, в которой находятся внешние исполняемые файлы, предоставляемые корпорацией Майкрософт, такие как среда выполнения R или Python, установленная как часть служб R Services или служб машинного обучения. Панель запуска SQL Server SQL Server Launchpad — A trusted service that hosts external executables that are provided by Microsoft, such as the R or Python runtimes installed as part of R Services or Machine Learning Services. Вспомогательные процессы могут запускаться при работе панели запуска, однако они регулируются ресурсами в зависимости от конфигурации отдельного экземпляра. Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. Служба панели запуска выполняется с использованием собственной учетной записи, и каждому вспомогательному процессу для конкретной зарегистрированной среды выполнения присваивается учетная запись пользователя панели запуска. The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. Вспомогательные процессы создаются и удаляются по запросу во время выполнения. Satellite processes are created and destroyed on demand during execution time.
Панель запуска не может создавать используемые ею учетные записи, если вы установили SQL Server на компьютере, который используется в качестве контроллера домена. Launchpad cannot create the accounts it uses if you install SQL Server on a computer that is also used as a domain controller. Таким образом, программа установки служб R Services (в базе данных) или служб машинного обучения (в базе данных) завершается сбоем на контроллере домена. Hence, setup of R Services (In-Database) or Machine Learning Services (In-Database) fails on a domain controller.
SQL Server PolyBase Engine — позволяет применять распределенные запросы к внешним источникам данных. SQL Server PolyBase Engine — Provides distributed query capabilities to external data sources.
Служба перемещения данных SQL Server PolyBase — позволяет перемешать данные между SQL Server и внешними источниками данных, а также между узлами SQL в группах горизонтального масштабирования PolyBase. SQL Server PolyBase Data Movement Service — Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.
Свойства и настройка служб Service Properties and Configuration
В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server SQL Server , могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записиили встроенные системные учетные записи. Startup accounts used to start and run SQL Server SQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Для запуска и выполнения каждая служба SQL Server SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки. To start and run, each service in SQL Server SQL Server must have a startup account configured during installation.
В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server SQL Server , значения, используемые при установке SQL Server SQL Server по умолчанию, понятие удостоверений безопасности служб, параметры запуска и настройка брандмауэра. This section describes the accounts that can be configured to start SQL Server SQL Server services, the default values used by SQL Server SQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.
Учетные записи служб по умолчанию Default Service Accounts
В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. The following table lists the default service accounts used by setup when installing all components. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное. The default accounts listed are the recommended accounts, except as noted.
Изолированный сервер или контроллер домена Stand-alone Server or Domain Controller
Компонент Component Windows Server 2008 Windows Server 2008 Windows 7 и Windows Server 2008 Windows Server 2008 R2 и выше Windows 7 and Windows Server 2008 Windows Server 2008 R2 and higher Компонент Database Engine Database Engine СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Агент SQL Server SQL Server SQL Server SQL Server Agent СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Службы SSAS SSAS СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* ** Virtual Account* ** Integration Services SSIS СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Службы SSRS SSRS СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Контроллер распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Controller СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Клиент распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Client СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись* Virtual Account* Средство запуска FD (полнотекстовый поиск) FD Launcher (Full-text Search) ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE Виртуальная учетная запись Virtual Account Браузер SQL Server SQL Server SQL Server SQL Server Browser ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE службы синхронизации контроля версий SQL Server SQL Server ; SQL Server SQL Server VSS Writer ЛОКАЛЬНАЯ СИСТЕМА LOCAL SYSTEM ЛОКАЛЬНАЯ СИСТЕМА LOCAL SYSTEM Расширения углубленной аналитики Advanced Analytics Extensions NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad Ядро PolyBase PolyBase Engine СЕТЕВАЯ СЛУЖБА NETWORK SERVICE СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Служба перемещения данных PolyBase PolyBase Data Movement Service СЕТЕВАЯ СЛУЖБА NETWORK SERVICE СЕТЕВАЯ СЛУЖБА NETWORK SERVICE * Если требуются ресурсы за пределами компьютера SQL Server SQL Server , Microsoft Microsoft рекомендует использовать управляемую учетную запись службы (MSA), которой предоставлены следующие необходимые разрешения. *When resources external to the SQL Server SQL Server computer are needed, Microsoft Microsoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary. ** При установке на контроллере домена виртуальная учетная запись не поддерживается как учетная запись службы. ** When installed on a Domain Controller, a virtual account as the service account is not supported.
Экземпляр отказоустойчивого кластера SQL Server SQL Server Failover Cluster Instance
Компонент Component Windows Server 2008 Windows Server 2008 Windows Server 2008 Windows Server 2008 R2 R2 Компонент Database Engine Database Engine Нет. None. Укажите учетную запись пользователя домена . Provide a domain user account. Укажите учетную запись пользователя домена . Provide a domain user account. Агент SQL Server SQL Server SQL Server SQL Server Agent Нет. None. Укажите учетную запись пользователя домена . Provide a domain user account. Укажите учетную запись пользователя домена . Provide a domain user account. Службы SSAS SSAS Нет. None. Укажите учетную запись пользователя домена . Provide a domain user account. Укажите учетную запись пользователя домена . Provide a domain user account. Integration Services SSIS СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись Virtual Account Службы SSRS SSRS СЕТЕВАЯ СЛУЖБА NETWORK SERVICE Виртуальная учетная запись Virtual Account Средство запуска FD (полнотекстовый поиск) FD Launcher (Full-text Search) ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE Виртуальная учетная запись Virtual Account Браузер SQL Server SQL Server SQL Server SQL Server Browser ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE ЛОКАЛЬНАЯ СЛУЖБА LOCAL SERVICE службы синхронизации контроля версий SQL Server SQL Server ; SQL Server SQL Server VSS Writer ЛОКАЛЬНАЯ СИСТЕМА LOCAL SYSTEM ЛОКАЛЬНАЯ СИСТЕМА LOCAL SYSTEM Изменение свойств учетной записи Changing Account Properties
- Всегда используйте такие средства SQL Server SQL Server , как диспетчер конфигурации SQL Server SQL Server , для изменения учетной записи, используемой службами Компонент SQL Server Database Engine SQL Server Database Engine или агентом SQL Server SQL Server , либо для изменения пароля учетной записи. Always use SQL Server SQL Server tools such as SQL Server SQL Server Configuration Manager to change the account used by the Компонент SQL Server Database Engine SQL Server Database Engine or SQL Server SQL Server Agent services, or to change the password for the account. В дополнение к изменению имени учетной записи диспетчер конфигурации SQL Server SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для компонента Компонент Database Engine Database Engine . In addition to changing the account name, SQL Server SQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Компонент Database Engine Database Engine . Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры. Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
- Для экземпляров служб Службы Analysis Services Analysis Services , развертываемых на ферме SharePoint, изменение учетных записей сервера для приложений Служба Power Pivot Power Pivot service и Службы Analysis Services Analysis Services service следует всегда выполнять с помощью центра администрирования SharePoint. For Службы Analysis Services Analysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Служба Power Pivot Power Pivot service applications and the Службы Analysis Services Analysis Services service . Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования. Associated settings and permissions are updated to use the new account information when you use Central Administration.
- Чтобы изменить параметры служб Службы Reporting Services Reporting Services , используйте средство настройки служб Reporting Services. To change Службы Reporting Services Reporting Services options, use the Reporting Services Configuration Tool.
Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи Managed Service Accounts, Group Managed Service Accounts, and Virtual Accounts
Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL Server SQL Server , с изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей. Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL Server SQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN. These make long term management of service account users, passwords and SPNs much easier.
Управляемые учетные записи служб Managed Service Accounts
Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Она назначается отдельному компьютеру-участнику для использования при запуске службы. It is assigned to a single member computer for use running a service. Управление паролем осуществляет автоматически контроллер домена. The password is managed automatically by the domain controller. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. MSA имеет возможность зарегистрировать имя участника-службы (SPN) в Active Directory при наличии разрешений на чтение и запись servicePrincipalName. An MSA has the ability to register a Service Principal Name (SPN) within Active Directory when given read and write servicePrincipalName permissions. MSA присваивается имя с суффиксом $ , например DOMAIN\ACCOUNTNAME$ . A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. При указании MSA следует оставить поле пароля пустым. When specifying a MSA, leave the password blank. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows. Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.
Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server SQL Server для служб SQL Server SQL Server . The MSA must be created in the Active Directory by the domain administrator before SQL Server SQL Server setup can use it for SQL Server SQL Server services.
Групповые управляемые учетные записи служб Group Managed Service Accounts
Групповая управляемая учетная запись службы — это управляемая учетная запись службы для нескольких серверов. A Group Managed Service Account is an MSA for multiple servers. Windows управляет такой учетной записью для служб, работающих на группе серверов. Windows manages a service account for services running on a group of servers. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы. Active Directory automatically updates the group managed service account password without restarting services. Службы SQL Server можно настроить на использование основного экземпляра групповой управляемой учетной записи службы. You can configure SQL Server services to use a group managed service account principal. Начиная с версии SQL Server 2014, решение поддерживает групповые управляемые учетные записи службы для изолированных экземпляров, а с версии SQL Server 2016 — для экземпляров отказоустойчивого кластера и для групп доступности. Beginning with SQL Server 2014, SQL Server supports group managed service accounts for standalone instances, and SQL Server 2016 and later for failover cluster instances, and availability groups.
Для работы с групповыми управляемыми учетными записями служб в SQL Server 2014 и более поздних версий требуется операционная система Windows Server 2012 R2 или более поздней версии. To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Серверам с Windows Server 2012 R2 должно быть выделено 2998082 КБ , чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы. Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.
Прежде чем программа установки SQL Server SQL Server сможет использовать групповую управляемую учетную запись службы для служб SQL Server SQL Server , администратор домена должен создать такую учетную запись в Active Directory. The group managed service account must be created in the Active Directory by the domain administrator before SQL Server SQL Server setup can use it for SQL Server SQL Server services.
Virtual Accounts Virtual Accounts
Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб. Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Если установка SQL Server SQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате NT SERVICE\ <SERVICENAME> . If the default value is used for the service accounts during SQL Server SQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Службы, запускаемые от имени виртуальных учетных записей, получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена> \ <имя_компьютера> $ . Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. При указании виртуальной учетной записи для запуска SQL Server SQL Server оставьте поле пароля пустым. When specifying a virtual account to start SQL Server SQL Server , leave the password blank. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos. For more information on registering a SPN manually, see Manual SPN Registration.
Виртуальные учетные записи не могут использоваться для экземпляра отказоустойчивого кластера SQL Server SQL Server , так как у виртуальной учетной записи будет отличаться идентификатор безопасности на каждом узле кластера. Virtual accounts cannot be used for SQL Server SQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.
В следующей таблице перечислены примеры имен виртуальных учетных записей. The following table lists examples of virtual account names.
Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записейПошагового руководства по учетным записям служб , а также в документе Вопросы и ответы по управляемым учетным записям служб. For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).
Примечание по безопасности. Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. Always run SQL Server services by using the lowest possible user rights. По возможности используйте управляемую учетную запись службы или виртуальную учетную запись. Security Note: Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. Если использование управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL Server SQL Server . When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL Server SQL Server services. Используйте отдельные учетные записи для разных служб SQL Server SQL Server . Use separate accounts for different SQL Server SQL Server services. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server SQL Server или группам службы. Do not grant additional permissions to the SQL Server SQL Server service account or the service groups. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы. Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.
Автоматический запуск Automatic startup
Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи. In addition to having user accounts, every service has three possible startup states that users can control:
- Отключено . Служба установлена, но в данный момент не запущена. Disabled The service is installed but not currently running.
- Вручную . Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению. Manual The service is installed, but will start only when another service or application needs its functionality.
- Автоматически . Служба автоматически запускается операционной системой. Automatic The service is automatically started by the operating system.
Тип запуска выбирается во время установки. The startup state is selected during setup. При установке именованного экземпляра службу браузера SQL Server SQL Server следует настроить на автоматический запуск. When installing a named instance, the SQL Server SQL Server Browser service should be set to start automatically.
Настройка служб во время автоматической установки Configuring services during unattended installation
В таблице ниже приведены службы SQL Server SQL Server , которые могут быть настроены в ходе установки. The following table shows the SQL Server SQL Server services that can be configured during installation. Для автоматической установки можно задать параметры в файле конфигурации или командной строке. For unattended installations, you can use the switches in a configuration file or at a command prompt.
Имя службы SQL Server SQL Server service name Параметры для автоматической установки* Switches for unattended installations* MSSQLSERVER MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE SQLServerAgent** SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE MSSQLServerOLAPService MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE ReportServer ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE Службы Integration Services Integration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE Контроллер распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS Клиент распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR R Services или службы машинного обучения (Майкрософт) R Services or Machine Learning Services EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS*** EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS*** Ядро PolyBase PolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE * Дополнительные сведения и примеры синтаксиса для автоматической установки см. в руководстве по установке SQL Server 2016 из командной строки. *For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.
**Служба агента SQL Server SQL Server отключена на экземплярах SQL Server Express SQL Server Express и SQL Server Express SQL Server Express с дополнительными службами. **The SQL Server SQL Server Agent service is disabled on instances of SQL Server Express SQL Server Express and SQL Server Express SQL Server Express with Advanced Services.
*** Настройка учетной записи для панели запуска с помощью одних только параметров сейчас не поддерживается. ***Setting the account for Launchpad through the switches alone is not currently supported. Используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись и другие параметры службы. Use SQL Server Configuration Manager to change the account and other service settings.
Порт брандмауэра Firewall Port
Обычно при начальной установке компонента Компонент Database Engine Database Engine к нему можно подключаться с помощью таких средств, как среда SQL Server Management Studio SQL Server Management Studio , установленных на том же компьютере, что и SQL Server SQL Server . In most cases, when initially installed, the Компонент Database Engine Database Engine can be connected to by tools such as SQL Server Management Studio SQL Server Management Studio installed on the same computer as SQL Server SQL Server . Программа установки SQL Server SQL Server не открывает порты брандмауэра Windows. SQL Server SQL Server Setup does not open ports in the Windows firewall. Соединение с другими компьютерами может оказаться невозможным, пока компонент Компонент Database Engine Database Engine будет настроен для прослушивания TCP-порта, закрытого для соединений в брандмауэре Windows. Connections from other computers may not be possible until the Компонент Database Engine Database Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server. For more information, see Configure the Windows Firewall to Allow SQL Server Access.
Разрешения службы Service Permissions
В этом разделе описаны разрешения, которые настраивает программа установки SQL Server SQL Server для удостоверений безопасности служб SQL Server SQL Server . This section describes the permissions that SQL Server SQL Server Setup configures for the per-service SID’s of the SQL Server SQL Server services.
Настройка служб и управление доступом Service Configuration and Access Control
SQL Server 2019 (15.x) SQL Server 2019 (15.x) позволяет обеспечить изоляцию и всестороннюю защиту идентификатора безопасности каждой службы. enables per-service SID for each of its services to provide service isolation and defense in depth. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. The per-service SID is derived from the service name and is unique to that service. Например, имя SID службы для службы Компонент Database Engine Database Engine должно иметь формат NT Service\MSSQL$ <InstanceName> . For example, a service SID name for the Компонент Database Engine Database Engine service might be NT Service\MSSQL$<InstanceName>. Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Используя запись управления доступом, содержащую удостоверение безопасности службы, служба SQL Server SQL Server может ограничить доступ к своим ресурсам. By using an access control entry that contains a service SID, a SQL Server SQL Server service can restrict access to its resources.
В Windows 7 и Windows Server 2008 Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой. On Windows 7 and Windows Server 2008 Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.
Для большинства компонентов SQL Server SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу. For most components SQL Server SQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.
При установке служб Службы SSAS SSAS создается удостоверение безопасности для службы Службы Analysis Services Analysis Services . When installing Службы SSAS SSAS , a per-service SID for the Службы Analysis Services Analysis Services service is created. Создается локальная группа Windows с именем в формате SQLServerMSASUser$ имя_компьютера $ имя_экземпляра. A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. Удостоверению безопасности службы NT SERVICE\MSSQLServerOLAPService предоставляется членство в локальной группе Windows, а локальной группе Windows — соответствующие разрешения в списке управления доступом. The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. В случае изменения учетной записи, используемой для запуска службы Службы Analysis Services Analysis Services , диспетчер конфигурации SQL Server SQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как удостоверение безопасности службы не было изменено. If the account used to start the Службы Analysis Services Analysis Services service is changed, SQL Server SQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Этот метод позволяет переименовывать службу Службы Analysis Services Analysis Services во время обновлений. This method allows the Службы Analysis Services Analysis Services service to be renamed during upgrades.
Во время установки SQL Server SQL Server программа установки SQL Server SQL Server создает локальные группы Windows для службы Службы SSAS SSAS и службы браузера SQL Server SQL Server . During SQL Server SQL Server installation, SQL Server SQL Server Setup creates a local Windows groups for Службы SSAS SSAS and the SQL Server SQL Server Browser service. Для этих служб SQL Server SQL Server настраивает список управления доступом к локальным группам Windows. For these services, SQL Server SQL Server configures the ACL for the local Windows groups.
В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления. Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.
Права доступа и права Windows Windows Privileges and Rights
Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. The account assigned to start a service needs the Start, stop and pause permission for the service. Они автоматически назначаются программой установки SQL Server SQL Server . The SQL Server SQL Server Setup program automatically assigns this. Сначала установите средства администрирования удаленного сервера (RSAT). First install Remote Server Administration Tools (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 7. See Remote Server Administration Tools for Windows 7.
В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server SQL Server . The following table shows permissions that SQL Server SQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL Server SQL Server components.
Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Replace a process-level token (SeAssignPrimaryTokenPrivilege)
Обход проходной проверки (SeChangeNotifyPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege)
Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Разрешение на запуск модуля записи SQL Writer Permission to start SQL Writer
Разрешение на чтение службы журнала событий Permission to read the Event Log service
Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Replace a process-level token (SeAssignPrimaryTokenPrivilege)
Обход проходной проверки (SeChangeNotifyPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege)
Только для табличного режима: For tabular only:
Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege) Increase a process working set (SeIncreaseWorkingSetPrivilege)
Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам. Lock pages in memory (SeLockMemoryPrivilege) — this is needed only when paging is turned off entirely.
Только для установок отказоустойчивого кластера: For failover cluster installations only:
Разрешение на запись в журнал событий приложений Permission to write to application event log.
Обход проходной проверки (SeChangeNotifyPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege)
Назначение квот памяти процессам (SeIncreaseQuotaPrivilege) Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege) Replace a process-level token (SeAssignPrimaryTokenPrivilege)
Обход проходной проверки (SeChangeNotifyPrivilege) Bypass traverse checking (SeChangeNotifyPrivilege)
* Служба агента SQL Server SQL Server отключена на экземплярах SQL Server Express SQL Server Express . *The SQL Server SQL Server Agent service is disabled on instances of SQL Server Express SQL Server Express .
Разрешения файловой системы, предоставляемые для SQL Server согласно SID-идентификаторам служб или локальным группам Windows File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups
Учетные записи служб SQL Server SQL Server должны иметь доступ к ресурсам. SQL Server SQL Server service accounts must have access to resources. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows. Access control lists are set for the per-service SID or the local Windows group.
В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи. For failover cluster installations, resources on shared disks must be set to an ACL for a local account.
В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server SQL Server . The following table shows the ACLs that are set by SQL Server SQL Server Setup:
Учетная запись службы для Service account for Файлы и папки Files and folders Доступ Access MSSQLServer MSSQLServer Instid\MSSQL\backup Instid\MSSQL\backup Полный доступ Full control Instid\MSSQL\binn Instid\MSSQL\binn Чтение и выполнение Read, Execute Instid\MSSQL\data Instid\MSSQL\data Полный доступ Full control Instid\MSSQL\FTData Instid\MSSQL\FTData Полный доступ Full control Instid\MSSQL\Install Instid\MSSQL\Install Чтение и выполнение Read, Execute Instid\MSSQL\Log Instid\MSSQL\Log Полный доступ Full control Instid\MSSQL\Repldata Instid\MSSQL\Repldata Полный доступ Full control 130\shared 130\shared Чтение и выполнение Read, Execute Instid\MSSQL\Template Data (только SQL Server Express SQL Server Express ) Instid\MSSQL\Template Data ( SQL Server Express SQL Server Express only) Чтение Read SQLServerAgent* SQLServerAgent* Instid\MSSQL\binn Instid\MSSQL\binn Полный доступ Full control Instid\MSSQL\Log Instid\MSSQL\Log Чтение, запись, удаление и выполнение Read, Write, Delete, Execute 130\com 130\com Чтение и выполнение Read, Execute 130\shared 130\shared Чтение и выполнение Read, Execute 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write ServerName\EventLog ServerName\EventLog Полный доступ Full control FTS FTS Instid\MSSQL\FTData Instid\MSSQL\FTData Полный доступ Full control Instid\MSSQL\FTRef Instid\MSSQL\FTRef Чтение и выполнение Read, Execute 130\shared 130\shared Чтение и выполнение Read, Execute 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write Instid\MSSQL\Install Instid\MSSQL\Install Чтение и выполнение Read, Execute Instid\MSSQL\jobs Instid\MSSQL\jobs Чтение и запись Read, Write MSSQLServerOLAPService MSSQLServerOLAPservice 130\shared\ASConfig 130\shared\ASConfig Полный доступ Full control Instid\OLAP Instid\OLAP Чтение и выполнение Read, Execute Instid\Olap\Data Instid\Olap\Data Полный доступ Full control Instid\Olap\Log Instid\Olap\Log Чтение и запись Read, Write Instid\OLAP\Backup Instid\OLAP\Backup Чтение и запись Read, Write Instid\OLAP\Temp Instid\OLAP\Temp Чтение и запись Read, Write 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write ReportServer ReportServer Instid\Reporting Services\Log Files Instid\Reporting Services\Log Files Чтение, запись и удаление Read, Write, Delete Instid\Reporting Services\ReportServer Instid\Reporting Services\ReportServer Чтение и выполнение Read, Execute Instid\Reporting Services\ReportServer\global.asax Instid\Reporting Services\ReportServer\global.asax Полный доступ Full control Instid\Reporting Services\ReportServer\rsreportserver.config Instid\Reporting Services\ReportServer\rsreportserver.config Чтение Read Instid\Reporting Services\RSTempfiles Instid\Reporting Services\RSTempfiles Чтение, запись, выполнение и удаление Read, Write, Execute, Delete Instid\Reporting Services\RSWebApp Instid\Reporting Services\RSWebApp Чтение и выполнение Read, Execute 130\shared 130\shared Чтение и выполнение Read, Execute 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write MSDTSServer100 MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml 130\dts\binn\MsDtsSrvr.ini.xml Чтение Read 130\dts\binn 130\dts\binn Чтение и выполнение Read, Execute 130\shared 130\shared Чтение и выполнение Read, Execute 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write Браузер SQL Server SQL Server SQL Server SQL Server Browser 130\shared\ASConfig 130\shared\ASConfig Чтение Read 130\shared 130\shared Чтение и выполнение Read, Execute 130\shared\Errordumps 130\shared\Errordumps Чтение и запись Read, Write SQLWriter SQLWriter н/д (запускается с учетной записью локальной системы) N/A (Runs as local system) Пользователь User Instid\MSSQL\binn Instid\MSSQL\binn Чтение и выполнение Read, Execute Instid\Reporting Services\ReportServer Instid\Reporting Services\ReportServer Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents Instid\Reporting Services\ReportServer\global.asax Instid\Reporting Services\ReportServer\global.asax Чтение Read Instid\Reporting Services\RSWebApp Instid\Reporting Services\RSWebApp Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents 130\dts 130\dts Чтение и выполнение Read, Execute 130\tools 130\tools Чтение и выполнение Read, Execute 100\tools 100\tools Чтение и выполнение Read, Execute 90\tools 90\tools Чтение и выполнение Read, Execute 80\tools 80\tools Чтение и выполнение Read, Execute 130\sdk 130\sdk Чтение Read Microsoft SQL Server\130\Setup Bootstrap Microsoft SQL Server\130\Setup Bootstrap Чтение и выполнение Read, Execute Контроллер распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Controller <ToolsDir>\DReplayController\Log\ (пустой каталог) <ToolsDir>\DReplayController\Log\ (empty directory) Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayController\DReplayController.exe <ToolsDir>\DReplayController\DReplayController.exe Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents <ToolsDir>\DReplayController\ <все DLL-библиотеки><ToolsDir>\DReplayController\ Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayController\DReplayController.config <ToolsDir>\DReplayController\DReplayController.config Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayController\IRTemplate.tdf <ToolsDir>\DReplayController\IRTemplate.tdf Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayController\IRDefinition.xml <ToolsDir>\DReplayController\IRDefinition.xml Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents Клиент распределенного воспроизведения SQL Server SQL Server SQL Server SQL Server Distributed Replay Client <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\DReplayClient.exe <ToolsDir>\DReplayClient\DReplayClient.exe Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\ (все DLL-библиотеки) <ToolsDir>\DReplayClient\ (all dlls) Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\DReplayClient.config <ToolsDir>\DReplayClient\DReplayClient.config Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\IRTemplate.tdf <ToolsDir>\DReplayClient\IRTemplate.tdf Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents <ToolsDir>\DReplayClient\IRDefinition.xml <ToolsDir>\DReplayClient\IRDefinition.xml Чтение и выполнение, список содержимого папки Read, Execute, List Folder Contents Панель запуска Launchpad %binn %binn Чтение и выполнение Read, Execute ExtensiblilityData ExtensiblilityData Полный доступ Full control Log\ExtensibilityLog Log\ExtensibilityLog Полный доступ Full control * Служба агента SQL Server SQL Server отключена на экземплярах SQL Server Express SQL Server Express и SQL Server Express SQL Server Express с дополнительными службами. *The SQL Server SQL Server Agent service is disabled on instances of SQL Server Express SQL Server Express and SQL Server Express SQL Server Express with Advanced Services.
Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД. For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.
Разрешения файловой системы, предоставляемые другим учетным записям или группам Windows File System Permissions Granted to Other Windows User Accounts or Groups
Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server SQL Server . Some access control permissions might have to be granted to built-in accounts or other SQL Server SQL Server service accounts. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server SQL Server . The following table lists additional ACLs that are set by SQL Server SQL Server Setup.
