sqlserver服务账户和权限管理配置

《sqlserver服务账户和权限管理配置》由会员分享，可在线阅读，更多相关《sqlserver服务账户和权限管理配置（76页珍藏版）》请在装配图网上搜索。

1、大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C 盘安装 Windows的情况下最新的四个版本的路径。SQLServer2016C:WindowsSysWOW64SQLServerManager13.mscSQLServer2014C:WindowsSysWOW64SQLServerManager12.mscSQLServer2012C:WindowsSysWOW64SQLServerManager11.mscSQLServer2008C:WindowsSysWOW64SQLServerManager10.msc安装的服务 SQLServer根据您决定安装的组件，S

2、QLServer安装程序将安装以下服务：?SQLServerDatabaseServices- 用于 SQLServer关系数据库引擎的服务。可执行文件为MSSQLBinnsqlservr.exe。?SQLServer代理 - 执行作业、 监视 SQLServer 、激发警报以及允许自动执行某些管理任务。SQLServer代理服务在SQLServerExpress的实例上存在，但处于禁用状态。可执行文件为 MSSQLBinnsqlagent.exe。?AnalysisServices- 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。可执行文件为 OLAPBinmsmdsrv.

3、exe。?ReportingServices- 管理、执行、创建、计划和传递报表。可执行文件为ReportingServicesReportServerBinReportingServicesService.exe 。?IntegrationServices- 为 IntegrationServices包的存储和执行提供管理支持。可执行文件的路径是 130DTSBinnMsDtsSrvr.exe?SQLServerBrowser- 向客户端计算机提供SQLServer连接信息的名称解析服务。可执行文件的路径为c:ProgramFiles(x86)MicrosoftSQLServer90Shar

4、edsqlbrowser.exe?全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引，从而为SQLServer提供文档筛选和断字功能。?SQL 编写器 - 允许备份和还原应用程序在卷影复制服务(VSS) 框架中运行。?SQLServer分布式重播控制器- 跨多个分布式重播客户端计算机提供跟踪重播业务流程。?SQLServerDistributedReplay客户端 -与 DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实例的并发工作负荷的一台或多台DistributedReplay客户端计算机。?SQLServer受信任的启动板- 用于托管Mic

5、rosoft提供的外部可执行文件的可信服务，例如作为 RServices(In-database)的一部分安装的R 运行时。附属进程可由启动板进程启动，但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。服务属性和配置用于启动和运行SQLServer的启动帐户可以是域用户帐户 、本地用户帐户、托管服务帐户、虚拟帐户 或内置系统帐户。若要启动和运行SQLServer中的每项服务，这些服务都必须有一个在安装过程中配置的启动帐户。默认服务帐户下表列出了安装程序在安装所有组件时使用的默认服务帐

6、户。列出的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或域控制器Windows7和WindowsServer2008（可能为组件WindowsServer2008（可能为英文页面）英文页面） R2 及更高版本数据库引擎NETWORK SERVICE虚拟帐户 *SQLServer代理NETWORK SERVICE虚拟帐户 *SSASNETWORK SERVICE虚拟帐户 *SSISNETWORK SERVICE虚拟帐户 *SSRSNETWORK SERVICE虚拟帐户 *SQLServer分布式NETWORK SERVICE虚拟帐户 *Windows7和WindowsServer200

7、8（可能为组件WindowsServer2008（可能为英文页面）英文页面） R2 及更高版本重播控制器SQLServer分布式NETWORK SERVICE虚拟帐户 *重播客户端FD 启动器（全文搜LOCAL SERVICE虚拟帐户索）SQLServerBrowseLOCAL SERVICELOCAL SERVICErSQLServerVSS编LOCAL SYSTEMLOCAL SYSTEM写器高级分析扩展NTSERVICEMSSQLLaunchpa dNTSERVICEMSSQLLaunchpa d* 当需要 SQLServer 计算机外部的资源时， Microsoft 建议使用配置了必需

8、的最小特权的托管服务帐户 (MSA) 。SQLServer故障转移群集实例WindowsServer2008（可能WindowsServer2008（可能为组件为英文页面）英文页面） R2数据库引擎无。提供 域用户 帐户。提供 域用户 帐户。SQLServer代理无。提供 域用户 帐户。提供 域用户 帐户。SSAS无。提供 域用户 帐户。提供 域用户 帐户。SSISNETWORK SERVICE虚拟帐户SSRSNETWORK SERVICE虚拟帐户FD 启动器（全文搜索）LOCAL SERVICE虚拟帐户SQLServerBrowserLOCAL SERVICELOCAL SERVICEWin

9、dowsServer2008（可能WindowsServer2008（可能为组件为英文页面）英文页面）R2SQLServerVSS编写LOCAL SYSTEMLOCAL SYSTEM器更改帐户属性重要事项?始终使用SQLServer工具（例如SQLServer配置管理器）来更改SQLServer数据库引擎或 SQLServer代理服务使用的帐户，或更改帐户的密码。除了更改帐户名称以外， SQLServer配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的Windows本地安全存储区。其他工具（例如Windows服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。?对于您

10、在SharePoint场中部署的AnalysisServices实例，始终使用SharePoint管理中心为 PowerPivot服务应用程序和AnalysisServices服务更改服务器帐户。使用管理中心时，关联的设置和权限将更新为使用新的帐户信息。?若要更改ReportingServices选项，请使用ReportingServices配置工具。托管服务帐户、组托管服务帐户和虚拟帐户托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如SQLServer ）提供其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称(SPN) 和凭据。这就使得管理服务帐户用户、密码和

11、SPN 的过程变得简单得多。?托管服务帐户托管服务帐户(MSA) 是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用MSA登录到计算机，但计算机可以使用MSA来启动 Windows服务。 MSA可以向ActiveDirectory注册服务主体名称 (SPN) 。MSA 的名称中有一个$ 后缀，例如DOMAINACCOUNTNAME$。在指定 MSA 时，请将密码留空。因为将MSA 分配给单个计算机，它不能用于Windows群集的不同节点。说明域管理员必须先在ActiveDirectory中创建 MSA ，然后 SQLServer 安装程

12、序才能将其用于SQLServer 服务。?组托管服务帐户组托管服务帐户是针对多个服务器的MSA 。Windows为在一组服务器上运行的服务管理服务帐户。ActiveDirectory自动更新组托管服务帐户密码，而不重启服务。你可以配置 SQLServer服务以使用组托管服务帐户主体。SQLServer2016对于独立实例、故障转移群集实例和可用性组，在WindowsServer2012R2和更高版本上支持组托管服务帐户。若要使用SQLServer2016或更高版本的组托管服务帐户，操作系统必须是WindowsServer2012R2或更高版本。装有WindowsServer2012R2的服务器

13、需要应用 KB 2998082 ，以便服务可以在密码更改后立即登录而不中断。有关详细信息，请参阅 组托管服务帐户说明域管理员必须先在ActiveDirectory中创建组托管服务帐户，然后SQLServer 安装程序才能将其用于SQLServer 服务。?虚拟帐户WindowsServer2008R2和 Windows7中的虚拟帐户是“托管的本地帐户”，此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。如果在WindowsServer2008R2或 Windows7上安装 SQLServer时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟

14、帐户，格式为 。以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为$ ）访问网络资源。当指定一个虚拟帐户以启动SQLServer时，应将密码留空。如果虚拟帐户无法注册服务主体名称(SPN) ，则手动注册该SPN 。有关手动注册SPN 的详细信息，请参阅手动注册SPN 。说明虚拟帐户不能用于SQLServer 故障转移群集实例，因为虚拟帐户在群集的每个节点不会有相同SID。下表列出了虚拟帐户名称的示例。服务虚拟帐户名称数据库引擎服务的默认实例NTSERVICEMSSQLSERVER名为数据库引擎的的服务的命名实例NTSERVICEMSSQL$PAYROLLSQLServer代理服务，位于以

15、下默认实例NTSERVICESQLSERVERAGENT上： SQLServerSQLServer的 SQLServer的的NTSERVICESQLAGENT$PAYROLL安全说明 始终用尽可能低的用户权限运行SQLServer服务。就会使用MSA 或 virtual account。当无法使用MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于SQLServer服务。对不同的SQLServer服务使用单独的帐户。不要向SQLServer服务帐户或服务组授予其他权限。在支持服务SID 的情况下，将通过组成员身份或直接将权限授予服务SID 。防火墙端口在大多数情况下，首次

16、安装时，可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。 SQLServer安装程序不会在Windows防火墙中打开端口。在将数据库引擎配置为侦听TCP 端口，并且在 Windows防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。配置Windows服务帐户和权限SQLServer2016其他版本适用于： SQLServer2016SQLServer中的每个服务表示一个进程或一组进程，用于通过Windows管理 SQLServer操作的身份验证。 本主题介绍此SQLServer版本中服务的默认配置，以及可

17、以在SQLServer安装过程中以及安装之后设置的SQLServer服务的配置选项。本主题将帮助高级用户了解服务帐户的详细信息。大多数服务及其属性可通过使用SQLServer配置管理器进行配置。以下是在C 盘安装 Windows的情况下最新的四个版本的路径。SQLServer2016C:WindowsSysWOW64SQLServerManager13.mscSQLServer2014C:WindowsSysWOW64SQLServerManager12.mscSQLServer2012C:WindowsSysWOW64SQLServerManager11.mscSQLServer2008C:

18、WindowsSysWOW64SQLServerManager10.msc安装的服务 SQLServer根据您决定安装的组件，SQLServer安装程序将安装以下服务：?SQLServerDatabaseServices- 用于 SQLServer关系数据库引擎的服务。可执行文件为MSSQLBinnsqlservr.exe。?SQLServer代理 - 执行作业、 监视 SQLServer 、激发警报以及允许自动执行某些管理任务。SQLServer代理服务在SQLServerExpress的实例上存在，但处于禁用状态。可执行文件为 MSSQLBinnsqlagent.exe。?Analysis

19、Services- 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。可执行文件为 OLAPBinmsmdsrv.exe。?ReportingServices- 管理、执行、创建、计划和传递报表。可执行文件为ReportingServicesReportServerBinReportingServicesService.exe 。?IntegrationServices- 为 IntegrationServices包的存储和执行提供管理支持。可执行文件的路径是 130DTSBinnMsDtsSrvr.exe?SQLServerBrowser- 向客户端计算机提供SQLServer

20、连接信息的名称解析服务。可执行文件的路径为c:ProgramFiles(x86)MicrosoftSQLServer90Sharedsqlbrowser.exe?全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引，从而为SQLServer提供文档筛选和断字功能。?SQL 编写器 - 允许备份和还原应用程序在卷影复制服务(VSS) 框架中运行。?SQLServer分布式重播控制器- 跨多个分布式重播客户端计算机提供跟踪重播业务流程。?SQLServerDistributedReplay客户端 -与 DistributedReplay控制器一起来模拟针对SQLServer数据库引擎实

21、例的并发工作负荷的一台或多台DistributedReplay客户端计算机。?SQLServer受信任的启动板- 用于托管Microsoft提供的外部可执行文件的可信服务，例如作为 RServices(In-database)的一部分安装的R 运行时。附属进程可由启动板进程启动，但将根据单个实例的配置进行资源调控。启动板服务在其自己的用户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。附属进程将在执行过程中按需创建和销毁。服务属性和配置用于启动和运行SQLServer的启动帐户可以是域用户帐户 、本地用户帐户、托管服务帐户、虚拟帐户 或内置系统帐户。若要启动和运行SQLServ

22、er中的每项服务，这些服务都必须有一个在安装过程中配置的启动帐户。此部分介绍可配置为启动SQLServer服务的帐户、SQLServer安装程序使用的默认值、Per-serviceSID的概念、启动选项以及配置防火墙。?默认服务帐户?自动启动?配置服务启动类型?防火墙端口默认服务帐户下表列出了安装程序在安装所有组件时使用的默认服务帐户。列出的默认帐户是建议使用的帐户，但特殊注明的除外。独立服务器或域控制器Windows7和WindowsServer2008（可能为组件WindowsServer2008（可能为英文页面）英文页面） R2 及更高版本数据库引擎NETWORK SERVICE虚拟帐户

23、 *SQLServer代理NETWORK SERVICE虚拟帐户 *SSASNETWORK SERVICE虚拟帐户 *SSISNETWORK SERVICE虚拟帐户 *SSRSNETWORK SERVICE虚拟帐户 *SQLServer分布式NETWORK SERVICE虚拟帐户 *重播控制器SQLServer分布式NETWORK SERVICE虚拟帐户 *重播客户端Windows7和WindowsServer2008（可能为组件WindowsServer2008（可能为英文页面）英文页面） R2 及更高版本FD 启动器（全文搜LOCAL SERVICE虚拟帐户索）SQLServerBrows

24、eLOCAL SERVICELOCAL SERVICErSQLServerVSS编LOCAL SYSTEMLOCAL SYSTEM写器高级分析扩展NTSERVICEMSSQLLaunchpa dNTSERVICEMSSQLLaunchpa d* 当需要 SQLServer 计算机外部的资源时， Microsoft 建议使用配置了必需的最小特权的托管服务帐户 (MSA) 。SQLServer故障转移群集实例WindowsServer2008（可能WindowsServer2008（可能为组件为英文页面）英文页面） R2数据库引擎无。提供 域用户 帐户。提供 域用户 帐户。SQLServer代理无

25、。提供 域用户 帐户。提供 域用户 帐户。SSAS无。提供 域用户 帐户。提供 域用户 帐户。SSISNETWORK SERVICE虚拟帐户SSRSNETWORK SERVICE虚拟帐户FD 启动器（全文搜索）LOCAL SERVICE虚拟帐户SQLServerBrowserLOCAL SERVICELOCAL SERVICESQLServerVSS编写LOCAL SYSTEMLOCAL SYSTEMWindowsServer2008（可能WindowsServer2008（可能为组件为英文页面）英文页面） R2器更改帐户属性重要事项?始终使用 SQLServer工具（例如 SQLServer

26、配置管理器）来更改SQLServer 数据库引擎或 SQLServer代理服务使用的帐户，或更改帐户的密码。 除了更改帐户名称以外， SQLServer 配置管理器还可以执行其他配置，例如，更新保护数据库引擎的服务主密钥的 Windows 本地安全存储区。其他工具（例如Windows 服务控制管理器）可以更改帐户名称，但不更改所有必需的设置。?对于您在 SharePoint场中部署的 AnalysisServices 实例，始终使用 SharePoint 管理中心为 PowerPivot服务应用程序和 AnalysisServices服务更改服务器帐户。使用管理中心时，关联的设置和权限将更新为

27、使用新的帐户信息。?选项，请使用ReportingServices配置工具。若要更改 ReportingServices托管服务帐户、组托管服务帐户和虚拟帐户托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如SQLServer ）提供其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称(SPN) 和凭据。这就使得管理服务帐户用户、密码和SPN 的过程变得简单得多。?托管服务帐户托管服务帐户(MSA) 是一种由域控制器创建和管理的域帐户。它分配给单个成员计算机以用于运行服务。域控制器将自动管理密码。您不能使用MSA登录到计算机，但计算机可以使用MSA来启动 Windo

28、ws服务。 MSA可以向ActiveDirectory注册服务主体名称 (SPN) 。MSA 的名称中有一个$ 后缀，例如DOMAINACCOUNTNAME$。在指定 MSA 时，请将密码留空。因为将MSA 分配给单个计算机，它不能用于Windows群集的不同节点。说明域管理员必须先在ActiveDirectory中创建 MSA ，然后 SQLServer 安装程序才能将其用于SQLServer 服务。?组托管服务帐户组托管服务帐户是针对多个服务器的MSA 。Windows为在一组服务器上运行的服务管理服务帐户。ActiveDirectory自动更新组托管服务帐户密码，而不重启服务。你可以配置

29、 SQLServer服务以使用组托管服务帐户主体。SQLServer2016对于独立实例、故障转移群集实例和可用性组，在WindowsServer2012R2和更高版本上支持组托管服务帐户。若要使用SQLServer2016或更高版本的组托管服务帐户，操作系统必须是WindowsServer2012R2或更高版本。装有WindowsServer2012R2的服务器需要应用 KB 2998082 ，以便服务可以在密码更改后立即登录而不中断。有关详细信息，请参阅 组托管服务帐户说明域管理员必须先在ActiveDirectory中创建组托管服务帐户，然后SQLServer 安装程序才能将其用于SQL

30、Server 服务。?虚拟帐户WindowsServer2008R2和 Windows7中的虚拟帐户是“托管的本地帐户”，此类帐户提供以下功能以简化服务管理。虚拟帐户是自动管理的，并且虚拟帐户可以访问域环境中的网络。如果在WindowsServer2008R2或 Windows7上安装 SQLServer时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格式为 。以虚拟帐户身份运行的服务通过使用计算机帐户的凭据（格式为$ ）访问网络资源。当指定一个虚拟帐户以启动SQLServer时，应将密码留空。如果虚拟帐户无法注册服务主体名称(SPN) ，则手动注册该SPN 。有关手动注册S

31、PN 的详细信息，请参阅手动注册SPN 。说明虚拟帐户不能用于SQLServer 故障转移群集实例，因为虚拟帐户在群集的每个节点不会有相同SID。下表列出了虚拟帐户名称的示例。服务虚拟帐户名称服务虚拟帐户名称数据库引擎服务的默认实例NTSERVICEMSSQLSERVER名为数据库引擎的的服务的命名实例NTSERVICEMSSQL$PAYROLLSQLServer代理服务，位于以下默认实例NTSERVICESQLSERVERAGENT上： SQLServerSQLServer的 SQLServer的的NTSERVICESQLAGENT$PAYROLL有关托管服务帐户和虚拟帐户的详细信息，请参阅

32、 服务帐户分步指南的托管服务和虚拟帐户概念部分以及 托管服务帐户常见问题解答(FAQ) 。安全说明 始终用尽可能低的用户权限运行SQLServer服务。就会使用MSA 或 virtual account。当无法使用MSA和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将共享帐户用于SQLServer服务。对不同的SQLServer服务使用单独的帐户。不要向 SQLServer服务帐户或服务组授予其他权限。在支持服务SID 的情况下，将通过组成员身份或直接将权限授予服务SID 。自动启动除了具有用户帐户外，每项服务还有用户可控制的三种可能的启动状态：?已禁用 服务已安装但当前未运行。?手动

33、 服务已安装，但仅当另一个服务或应用程序需要该服务的功能时才启动。?自动 服务由操作系统自动启动。在安装过程中，启动状态处于选中状态。当安装命名实例时，SQLServerBrowser服务应设置为自动启动。在无人参与的安装过程中配置服务下表显示了可以在安装过程中配置的SQLServer服务。对于无人参与的安装，可以在配置文件中或在命令提示符下使用开关。SQLServer服务名称无人参与安装的开关*MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent*AGTSVCACCOUNT、AGTSVCPASSWORD

34、、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPEReportServerRSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegrationServicesISSVCACCOUNT、ISSVCPASSWORD、SQLServer服务名称无人参与安装的开关*ISSVCSTARTUPTYPESQLServerDistributedReplayDRU_CTLR、CTLRSVCACCOUNT、控制器CTLRSVCPASSWORD、CTLRSTAR

35、TUPTYPE、CTLRUSERSSQLServerDistributedReplayDRU_CLT 、CLTSVCACCOUNT、CLTSVCPASSWORD 、客户端CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、 CLTRESULTDIRRServices(In-database)EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS* 有关无人参与安装的详细信息和示例语法，请参阅从命令提示符安装SQL Server 2016。*SQLServer代理服务在SQLServerExpress实例和具有高级服务的SQLS

36、erverExpress实例上处于禁用状态。防火墙端口在大多数情况下，首次安装时，可以通过与数据库引擎安装在相同计算机上的SQLServerManagementStudio等此类工具连接SQLServer。 SQLServer安装程序不会在Windows防火墙中打开端口。在将数据库引擎配置为侦听TCP 端口，并且在 Windows防火墙中打开适当的端口进行连接之前，将无法从其他计算机建立连接。有关详细信息，请参阅配置Windows防火墙以允许SQL Server访问。服务权限服务配置和访问控制SQLServer2016会为它的每项服务启用Per-serviceSID，以提供深层服务隔离与防御。

37、Per-serviceSID从服务名称派生得到，对该服务是唯一的。例如，数据库引擎服务的服务SID名称可能是NTServiceMSSQL$。通过服务隔离， 可直接访问特定的对象，而无需运行高特权帐户，也不会削弱为对象提供的安全保护水平。通过使用包含服务SID 的访问控制项， SQLServer服务可限制对其资源的访问。说明： 在 Windows7和 WindowsServer2008（可能为英文页面）R2 上， Per-serviceSID可以是服务使用的虚拟帐户。Windows特权和权限为启动服务分配的帐户需要对于服务的启动、停止和暂停权限。 SQLServer安装程序将自动分配此权限。首先

38、，安装远程服务器管理工具(RSAT)下表说明SQLServer安装程序为SQLServer组件使用的Per-serviceSID或本地Windows组请求的权限。SQLServer安装程序授予的权SQLServer服务限SQLServer数据库引擎设置用户帐户：以服务身份登录(SeServiceLogonRight)（ 所 有 权 限 都 将 授 予Per-serviceSID。 默 认 实 例 ：NTSERVICEMSSQLSERVER。命名实例：替换进程级别标记SQLServer安装程序授予的权SQLServer服务限NTSERVICEMSSQL$InstanceName。）(SeAssi

39、gnPrimaryTokenPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)调整进 程的内存配额(SeIncreaseQuotaPrivilege)启动 SQL 编写器的权限读取事件日志服务的权限读取远程过程调用服务的权限SQLServer 代理： *以服务 身 份登录(SeServiceLogonRight)（ 所 有 权 限 都 将 授 予 Per-serviceSID。 默 认 实 例 ：NTServiceSQLSERVERAGENT。 命 名 实 例 ：替换进 程 级 别标记NTServiceSQLAGENT$InstanceName。）(SeAssi

40、gnPrimaryTokenPrivilege)跳过遍历检查SQLServer安装程序授予的权SQLServer服务限(SeChangeNotifyPrivilege)调整进 程的内存配额(SeIncreaseQuotaPrivilege)SSAS 设置用户帐户：（ 所 有 权 限 都授 予 本地Windows组 。 默认实例 ：SQLServerMSASUser$ComputerName$MSSQLSERVER。命名实例：SQLServerMSASUser$ComputerName$ InstanceName。PowerPivotforSharePoint实例：SQLServerMSASUs

41、er$ComputerName$ PowerPivot。）以服务身份登录(SeServiceLogonRight)仅适用于表格：增加进程工作集(SeIncreaseWorkingSetPrivilege)调整进 程的内存配额(SeIncreaseQuotaSizePrivilege)锁定内存中的页(SeLockMemoryPrivilege)-仅当完全关闭分页时才需要。SQLServer安装程序授予的权SQLServer服务限仅适用于故障转移群集安装：提高计划优先级(SeIncreaseBasePriorityPrivilege)SSRS 设置用户帐户：以服务身份登录(SeServiceLog

42、onRight)（ 所 有 权 限 都 将 授 予Per-serviceSID。 默 认 实 例 ：NTSERVICEReportServer。命名实例：NTSERVICE$InstanceName。）SSIS 设置用户帐户：以服务身份登录(SeServiceLogonRight)（所有权限都将授予Per-serviceSID。默认实例和命名实例：NTSERVICEMsDtsServer130。应用程序事件日志的写入权限。IntegrationServices没有针对命名实例的单独进程。）跳过遍历检查(SeChangeNotifyPrivilege)身 份 验 证 后 模 拟 客 户 端SQL

43、Server安装程序授予的权SQLServer服务限(SeImpersonatePrivilege)全文搜索：以 服 务 身 份 登录(SeServiceLogonRight)（ 所 有 权 限 都 将 授 予 Per-serviceSID 。 默 认 实 例 ：NTServiceMSSQLFDLauncher。 命 名 实 例 ：调 整 进 程 的 内 存 配 额NTServiceMSSQLFDLauncher$InstanceName 。）(SeIncreaseQuotaPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)SQLServerBrowser：以服

44、务身份登录(SeServiceLogonRight)（所有权限都授予本地例Windows组。默认实例或命名实：SQLServer2005SQLBrowserUser$ComputerName。 SQLServerBrowser 没有针对命名实例的单独进程。 ）SQLServerVSS编写器：SQLWriter服务在具有所需的所有权限的LOCALSYSTEM帐（所有权限都将授予Per-serviceSID。默认实例或命名实SQLServer安装程序授予的权SQLServer服务限例： NTServiceSQLWriter。SQLServerVSS编写器没户下运行。 SQLServer安装程序有针

45、对命名实例的单独进程。）不检查此服务或为其授予权限。SQLServer分布式重播控制器：以服务身份登录(SeServiceLogonRight)SQLServer分布式重播客户端：以服务身份登录(SeServiceLogonRight)启动板：以服务身份登录(SeServiceLogonRight)替换进程级别标记(SeAssignPrimaryTokenPrivilege)跳过遍历检查(SeChangeNotifyPrivilege)调整进 程的内存配额SQLServer安装程序授予的权SQLServer服务限(SeIncreaseQuotaPrivilege)*SQLServer代理服务在SQLServerExpress的实例上处于禁用状态。授予 SQLServerPer-serviceSID或本地 Window