Konfigurieren von Dienstkonten (Analysis Services)
Die produktweite Kontobereitstellung wird in Konfigurieren von Windows-Dienstkonten und -berechtigungen dokumentiert, einem Thema, das umfassende Dienstkontoinformationen für alle SQL Server-Dienste, einschließlich Analysis Services, bereitstellt. Dort erfahren Sie alles über gültige Kontotypen, beim Setup zugewiesene Windows-Berechtigungen, Dateisystemberechtigungen, Registrierungsberechtigungen und vieles mehr.
Dieses Thema enthält zusätzliche Informationen für Analysis Services, einschließlich zusätzlicher Berechtigungen, die für tabellarische und gruppierte Installationen erforderlich sind. Außerdem werden Berechtigungen behandelt, die zur Unterstützung von Servervorgängen erforderlich sind. Sie können beispielsweise Verarbeitungs- und Abfrageoperationen so konfigurieren, dass sie über das Dienstkonto ausgeführt werden. In diesem Fall müssen Sie zusätzliche Berechtigungen gewähren.
Ein zusätzlicher Konfigurationsschritt, der hier nicht dokumentiert ist, besteht darin, einen Dienstprinzipalnamen (Service Principal Name, SPN) für den Analysis Services-instance und das Dienstkonto zu registrieren. Dieser Schritt ermöglicht Pass-Through-Authentifizierung von Clientanwendungen zu Back-End-Datenquellen in Double-Hop-Szenarien. Dieser Schritt kann bei Diensten verwendet werden, die für eingeschränkte Kerberos-Delegierung konfiguriert sind. Weitere Anweisungen finden Sie unter Configure Analysis Services for Kerberos constrained delegation .
Kontoempfehlungen für die Anmeldung
In einem Failovercluster sollten alle Instanzen von Analysis Services so konfiguriert werden, dass sie ein Windows-Domänenbenutzerkonto verwenden. Weisen Sie dasselbe Konto für alle Instanzen zu. Weitere Informationen finden Sie unter Clustern von Analysis Services .
Eigenständige Instanzen sollten das virtuelle Standardkonto verwenden: NT Service\MSSQLServerOLAPService für die Standardinstanz oder NT Service\MSOLAP$Instanzname für eine benannte Instanz. Diese Empfehlung gilt für Analysis Services-Instanzen in allen Servermodi, Windows Server 2008 R2 und höher für das Betriebssystem und SQL Server 2012 und höher für Analysis Services vorausgesetzt.
Erteilen von Berechtigungen für Analysis Services
Dieser Abschnitt erläutert die Berechtigungen, die Analysis Services für lokale, interne Vorgänge wie das Starten der ausführbaren Datei, das Lesen der Konfigurationsdatei und das Laden von Datenbanken aus dem Datenverzeichnis benötigt. Wenn Sie stattdessen Anleitungen zum Festlegen von Berechtigungen für den Zugriff auf externe Daten und Interoperabilität mit anderen Diensten und Anwendungen suchen, finden Sie weitere Informationen unter Erteilen zusätzlicher Berechtigungen für bestimmte Servervorgänge weiter unten in diesem Thema.
Für die internen Vorgänge ist der Berechtigungsinhaber in Analysis Services nicht das Anmeldekonto, sondern eine lokale Windows-Sicherheitsgruppe, die bei der Einrichtung erstellt wird und die Pro-Dienst-SID enthält. Das Zuweisen von Berechtigungen für die Sicherheitsgruppe deckt sich mit früheren Versionen von Analysis Services. Darüber hinaus können sich Anmeldekonten mit der Zeit ändern, aber die Pro-Dienst-SID und die lokale Sicherheitsgruppe bleiben für die Lebensdauer der Serverinstallation gleich. Für Analysis Services macht dies die Sicherheitsgruppe statt des Anmeldekontos die bessere Wahl für die Aufnahme von Berechtigungen. Wenn Sie manuell Berechtigungen für die Dienstinstanz erteilen, egal ob Dateisystemberechtigungen oder Windows-Berechtigungen, erteilen Sie der für die Serverinstanz erstellten lokalen Sicherheitsgruppe die Berechtigungen.
Der Name der Sicherheitsgruppe folgt einem Muster. Das Präfix ist immer SQLServerMSASUser$
, gefolgt vom Computernamen, und endet mit dem Instanznamen. Die Standardinstanz ist MSSQLSERVER
. Eine benannte Instanz ist der Name, der während des Einrichtens festgelegt wurde.
Sie finden diese Sicherheitsgruppe in den lokalen Sicherheitseinstellungen:
Ausführen von compmgmt.msc | Lokale Benutzer und Gruppen | Gruppen |
SQLServerMSASUser$
<Servername>$MSSQLSERVER
(für eine Standard-instance).Doppelklicken Sie auf die Sicherheitsgruppe, um deren Mitglieder anzuzeigen.
Die einzige Mitglieder der Gruppe ist die Pro-Dienst-SID. Rechts daneben ist das Anmeldekonto. Den Namen des Anmeldekontos ist kosmetischer Natur, um einen Kontext für die Pro-Dienst-SID anzugeben. Wenn Sie später das Anmeldekonto ändern und dann zu dieser Seite zurückkehren, werden Sie feststellen, dass die Sicherheitsgruppe und die Pro-Dienst-SID nicht geändert wurden, aber die Anmeldekontobezeichnung anders ist.
Windows-Berechtigungen, die dem Analysis Services-Dienstkonto zugewiesen sind
Analysis Services benötigt Berechtigungen vom Betriebssystem für das Starten des Dienstes sowie das Anfordern von Systemressourcen. Die Anforderungen variieren je nach Servermodus und sind außerdem abhängig davon, ob die Instanz gruppiert ist. Details zu Windows-Berechtigungen finden Sie unter Privileges und Privilege Constants (Windows) .
Alle Instanzen von Analysis Services erfordern die Berechtigung Anmelden als Dienst (SeServiceLogonRight). SQL Server-Setup weist die Berechtigung dem Dienstkonto zu, das Sie bei der Installation angegeben haben. Bei Servern, die im mehrdimensionalen oder im Data Mining-Modus ausgeführt werden, ist dies die einzige Windows-Berechtigung, die für das Analysis Services-Dienstkonto für eigenständige Serverinstallationen benötigt wird. Außerdem ist es die einzige Berechtigung, die beim Setup für Analysis Services konfiguriert wird. Für gruppierte und tabellarische Instanzen müssen Sie Windows-Berechtigungen manuell hinzufügen.
Failoverclusterinstanzen im tabellarischen oder multidimensionalen Modus erfordern außerdem ein Anheben der Zeitplanungspriorität (SeIncreaseBasePriorityPrivilege).
Tabellarische Instanzen nutzen die folgenden drei zusätzlichen Privilegien, die nach der Installation der Instanz manuell hinzugefügt werden müssen.
Arbeitssatz eines Prozesses vergrößern (SeIncreaseWorkingSetPrivilege) | Dieses Privileg ist standardmäßig für alle Benutzer über die Benutzer -Sicherheitsgruppe verfügbar. Wenn Sie einen Server sperren, indem Sie Berechtigungen für diese Gruppe entfernen, kann Analysis Services möglicherweise nicht gestartet werden, und protokolliert diesen Fehler: "Eine erforderliche Berechtigung wird nicht vom Client gehalten." Wenn dieser Fehler auftritt, stellen Sie die Berechtigung für Analysis Services wieder her, indem Sie sie der entsprechenden Analysis Services-Sicherheitsgruppe gewähren. |
Anpassen von Speicherkontingenten für einen Prozess (SeIncreaseQuotaSizePrivilege) | Diese Berechtigung wird verwendet, um mehr Speicherplatz anzufordern, wenn ein Prozess nicht über ausreichende Ressourcen verfügt, um die Ausführung abschließen zu können, in Abhängigkeit von den für die Instanz festgelegten Arbeitsspeicherschwellenwerten. |
Sperren von Seiten im Speicher (SeLockMemoryPrivilege) | Diese Berechtigung ist nur erforderlich, wenn die Auslagerung vollständig ausgeschaltet wird. Standardmäßig verwendet eine tabellarische Serverinstanz die Windows-Auslagerungsdatei. Sie können dieses Verhalten jedoch ändern, indem Sie VertiPaqPagingPolicy auf 0 einstellen.VertiPaqPagingPolicy auf 1 (Standard) weist die tabellarische Serverinstanz an, die Windows-Auslagerungsdatei zu verwenden. Belegungen sind nicht gesperrt, sodass Windows erforderliche Auslagerungen vornehmen kann. Da die Auslagerung verwendet wird, ist das Sperren von Seiten im Speicher nicht erforderlich. Daher müssen Sie für die Standardkonfiguration (wobei VertiPaqPagingPolicy = 1) den Sperrseiten im Arbeitsspeicher keine Berechtigungen für eine tabellarische instance erteilen.VertiPaqPagingPolicy bis 0. Wenn Sie die Auslagerung für Analysis Services ausschalten, werden Belegungen gesperrt, wenn die Berechtigung Sperren von Seiten im Speicher gewährt wurde. Bei dieser Einstellungen und mit der Berechtigung Sperren von Seiten im Speicher kann Windows keine Speicherbelegungen für Analysis Services auslagern, wenn im System nicht genügend Arbeitsspeicher vorhanden ist. Analysis Services basiert auf der Berechtigung Seiten im Speicher sperren als Erzwingung hinter VertiPaqPagingPolicy = 0. Beachten Sie, dass das Ausschalten der Windows-Auslagerung nicht empfohlen wird. Dadurch treten mehr Fehler aufgrund von nicht ausreichendem Arbeitsspeicher bei Vorgängen auf, die mit Auslagerung erfolgreich ausgeführt worden wären. Weitere Informationen zu VertiPaqPagingPolicy finden Sie unter Speichereigenschaften. |
So können Sie Windows-Berechtigungen mit dem Dienstkonto anzeigen oder hinzufügen
Führen Sie GPEDIT.msc aus und wählen Sie Richtlinie für "Lokaler Computer" | Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Zuweisen von Benutzerrechten.
Überprüfen Sie vorhandene Richtlinien, die enthalten
SQLServerMSASUser$
. Hierbei handelt es sich um eine lokale Sicherheitsgruppe auf Computern mit einer Analysis Services-Installation. Diese Sicherheitsgruppe erhält sowohl Windows-Berechtigungen als auch Dateiordnerberechtigungen. Doppelklicken Sie auf die Richtlinie Anmelden als Dienst , um anzuzeigen, wie die Sicherheitsgruppe im System angegeben wurde. Der vollständige Name der Sicherheitsgruppe variiert abhängig davon, ob Sie Analysis Services als benannte Instanz installiert haben. Nutzen Sie diese Sicherheitsgruppe, statt des Dienstkontos, wenn Sie Kontoberechtigungen hinzufügen.Klicken Sie mit der rechten Maustaste auf Arbeitssatz eines Prozesses vergrößern , und wählen Sie Eigenschaftenaus, um Kontoberechtigungen in GPEDIT hinzuzufügen.
Klicken Sie auf Benutzer oder Gruppe hinzufügen.
Geben Sie die Benutzergruppe für die Analysis Services-Instanz ein. Beachten Sie, dass das Dienstkonto ein Mitglied der lokalen Sicherheitsgruppe ist. Daher müssen Sie den Namen des lokalen Computers als Domäne des Kontos voranstellen.
Die folgende Liste enthält zwei Beispiele für eine Standardinstanz. Diese heißt "Tabular" auf einem Computer namens "SQL01-WIN12", wobei der Computername die lokale Domäne ist.
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$MSSQLSERVER
SQL01-WIN12\SQL01-WIN12$SQLServerMSASUser$TABULAR
Wiederholen Sie dies für Anpassen des Arbeitsspeicherkontingents für einen Prozessund optional für Sperren von Seiten im Speicher oder Erhöhen der Zeitplanungspriorität.
Hinweis
In vorherigen Versionen von Setup wurde das Analysis Services-Dienstkonto versehentlich der Gruppe Leistungsprotokollbenutzer hinzugefügt. Obwohl das Problem behoben wurde, kann diese unnötige Gruppenmitgliedschaft in vorhandenen Installationen noch bestehen. Da das Analysis Services-Dienstkonto keine Mitgliedschaft in der Gruppe Leistungsprotokollbenutzer erfordert, können Sie es aus der Gruppe entfernen.
Dateisystemberechtigungen, die dem Analysis Services-Dienstkonto zugewiesen sind
Hinweis
Eine Liste der Berechtigungen für die einzelnen Programmordner finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen .
Informationen zu Dateiberechtigungen im Zusammenhang mit der IIS-Konfiguration und Analysis Services finden Sie unter Konfigurieren des HTTP-Zugriffs auf Analysis Services in Internetinformationsdienste (IIS) 8.0 .
Alle Dateisystemberechtigungen, die für Servervorgänge erforderlich sind, – einschließlich der erforderlichen Berechtigung für das Laden und Entladen von Datenbanken in einem festgelegten Datenordner – werden während der Installation von SQL Server Setup zugewiesen.
Der Berechtigungsinhaber für Datendateien, ausführbare Programmdateien, Konfigurationsdateien, Protokolldateien und temporäre Dateien ist eine lokale Sicherheitsgruppe, die von SQL Server Setup erstellt wurde.
Für jede installierte Instanz gibt es nur eine Sicherheitsgruppe. Die Sicherheitsgruppe ist nach dem instance benannt: entweder SQLServerMSASUser$MSSQLSERVER für die Standard-instance oder SQLServerMSASUser$
<servername>$<instancename> für einen benannten instance. Diese Sicherheitsgruppe erhält von Setup die Dateiberechtigungen, die zum Ausführen von Servervorgängen erforderlich sind. An den Sicherheitsberechtigungen für das Verzeichnis \MSAS12.MSSQLSERVER\OLAP\BIN erkennen Sie, dass die Sicherheitsgruppe (und nicht das Dienstkonto oder dessen Pro-Dienst-SID (Sicherheits-ID)) die Berechtigungen für dieses Verzeichnis besitzt.
Die Sicherheitsgruppe enthält nur ein Mitglied: die Sicherheits-ID (SID) pro Dienst des Analysis Services-instance Startkontos. Setup fügt die Pro-Dienst-SID zur lokalen Sicherheitsgruppe hinzu. Die Verwendung einer Sicherheitsgruppe mit SID-Mitgliedschaft macht einen kleinen, aber wichtigen Unterschied dabei aus, wie SQL Server Setup im Vergleich mit der Datenbank-Engine Analysis Services bereitstellt.
Wenn Sie vermuten, dass Dateiberechtigungen beschädigt sind, führen Sie folgende Schritte aus, um sicherzustellen, dass der Dienst immer noch korrekt bereitgestellt wird:
Verwenden Sie das Service Control-Befehlszeilentool (sc.exe), um die SID einer Standarddienstinstanz zu erhalten.
SC showsid MSSqlServerOlapService
Verwenden Sie bei einer benannten Instanz (mit Instanzname Tabular) folgende Syntax:
SC showsid MSOlap$Tabular
Verwenden Sielokale Benutzer- und Gruppengruppen | des Computer-Managers | , um die Mitgliedschaft der Sicherheitsgruppe SQLServerMSASUser$<servername>$<instancename> zu überprüfen.
Die Mitglieds-SID sollte der Pro-Dienst-SID aus Schritt 1 entsprechen.
Verwenden von Windows Explorer | Program Files | Microsoft SQL Server | MSASxx.MSSQLServer | OLAP | bin, um zu überprüfen, ob der Sicherheitsgruppe in Schritt 2 die Sicherheitseigenschaften des Ordners gewährt werden.
Hinweis
SIDs sollten niemals entfernt oder geändert werden. Informationen zum Wiederherstellen einer dienstspezifischen SID, die versehentlich gelöscht wurde, finden Sie unter https://support.microsoft.com/kb/2620201.
Weitere Informationen zu Pro-Dienst-SIDs
Jedes Windows-Konto verfügt über eine zugeordnete SID, allerdings können Dienste ebenfalls eine SID aufweisen, die daher Pro-Dienst-SID genannt wird. Eine Pro-Dienst-SID wird erstellt, wenn die Dienstinstanz installiert ist. Sie ist das eindeutige, feste Element des Dienstes. Die Pro-Dienst-SID ist eine lokale, auf Computerebene aus dem Dienstnamen generierte SID. Auf einer Standardinstanz lautet der benutzerfreundliche Name NT SERVICE\MSSQLServerOLAPService.
Eine Pro-Dienst-SID bietet den Vorteil, dass das allgemein sichtbare Anmeldekonto beliebig geändert werden kann, ohne dass sich dies auf die Dateiberechtigungen auswirkt. Angenommen, Sie haben zwei Analysis Services-Instanzen in Form einer Standardinstanz und einer benannten Instanz installiert, die beide unter demselben Windows-Benutzerkonto ausgeführt werden. Solange das Anmeldekonto freigegeben ist, wird jede Dienstinstanz eine eindeutige Pro-Dienst-SID haben. Diese SID unterscheidet sich von der SID des Anmeldekontos. Die Pro-Dienst-SID wird für Dateiberechtigungen und Windows-Berechtigungen verwendet. Im Gegensatz dazu dient die Anmeldekonto-SID für Authentifizierungs- und Autorisierungsszenarien ─ verschiedene SIDs für verschiedene Zwecke.
Da die SID unveränderlich ist, können während der Installation eines Dienstes erstellte Dateisystem-ACLs beliebig oft verwendet werden, und zwar unabhängig von der Anzahl der Änderungen am Kontonamen. Darüber hinaus bieten ACLs, in denen Berechtigungen per SID angegeben sind, zusätzliche Sicherheit, da sie gewährleisten, dass der Zugriff auf ausführbare Programmdateien und Datenordner ausschließlich über eine einzelne Dienstinstanz erfolgt. Dies gilt selbst dann, wenn weitere Dienste unter demselben Konto ausgeführt werden.
Gewähren zusätzlicher Analysis Services-Berechtigungen für spezifische Servervorgänge
Analysis Services führt einige Aufgaben im Sicherheitskontext des Dienstkontos (oder Anmeldekontos) aus, das zum Starten von Analysis Services verwendet wird, und führt andere Aufgaben im Sicherheitskontext des Benutzers aus, der die Aufgabe anfordert.
In der folgenden Tabelle werden zusätzliche Berechtigungen beschrieben, die zum Ausführen von Tasks über das Dienstkonto erforderlich sind.
Servervorgang | Arbeitselement | Begründung |
---|---|---|
Remotezugriff auf externe relationale Datenquellen | Erstellen eines Datenbankanmeldenamens für das Dienstkonto | Verarbeitung bezieht sich auf den Datenabruf aus einer externen Datenquelle (in der Regel eine relationale Datenbank), die anschließend in eine Analysis Services-Datenbank geladen wird. Eine der Anmeldeinformationsoptionen für das Abrufen externer Daten besteht darin, das Dienstkonto zu verwenden Diese Anmeldeinformationsoption kann nur verwendet werden, wenn Sie eine Datenbankanmeldung für das Dienstkonto erstellen und Leseberechtigungen für die Quelldatenbank erteilen. Weitere Informationen dazu, wie die Dienstkontooption für diese Aufgabe verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – Multidimensional). Dieselben Identitätswechseloptionen sind auch verfügbar, wenn ROLAP als Speichermodus verwendet wird. In diesem Fall muss das Konto außerdem über Schreibzugriff auf die Quelldaten verfügen, damit die ROLAP-Partitionen verarbeitet (d. h. Aggregationen gespeichert) werden können. |
DirectQuery | Erstellen eines Datenbankanmeldenamens für das Dienstkonto | DirectQuery ist eine Tabellenfunktion zum Abfragen externer Datasets, die entweder zu groß für das tabellarische Modell sind oder andere Merkmale aufweisen, für die DirectQuery besser als die Standardoption für die arbeitsspeicherinterne Speicherung geeignet ist. Eine der im DirectQuery-Modus verfügbaren Verbindungsoptionen besteht in der Verwendung des Dienstkontos. Auch in diesem Fall kann die Option nur verwendet werden, wenn das Dienstkonto über eine Datenbankanmeldung sowie über Leseberechtigungen für die Zieldatenquelle verfügt. Weitere Informationen dazu, wie die Dienstkontooption für diese Aufgabe verwendet wird, finden Sie unter Festlegen von Identitätswechseloptionen (SSAS – Multidimensional). Alternativ können Daten mithilfe der Anmeldeinformationen des aktuellen Benutzers abgerufen werden. Da diese Option in den meisten Fällen eine Double-Hop-Verbindung umfasst, sollte das Dienstkonto unbedingt für die eingeschränkte Kerberos-Delegierung konfiguriert werden, sodass das Dienstkonto Identitäten an einen Downstreamserver delegieren kann. Weitere Informationen finden Sie unter Configure Analysis Services for Kerberos constrained delegation. |
Remotezugriff auf andere SSAS-Instanzen | Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sind | Remotepartitionen und verweisen auf verknüpfte Objekte auf anderen Analysis Services-Remoteinstanzen sind beide Systemfunktionen, die Berechtigungen auf einem Remotecomputer oder Remotegerät erfordern. Beim Erstellen und Auffüllen von Remotepartitionen oder Einrichten eines verknüpften Objekts wird der Vorgang im Sicherheitskontext des aktuellen Benutzers ausgeführt. Wenn Sie diese Vorgänge anschließend automatisieren, greift Analysis Services im Sicherheitskontext des Dienstkontos auf Remoteinstanzen zu. Um auf verknüpfte Objekte auf einer Remote-instance von Analysis Services zugreifen zu können, muss das Anmeldekonto über die Berechtigung zum Lesen der entsprechenden Objekte auf dem Remote-instance verfügen, z. B. Lesezugriff auf bestimmte Dimensionen. Entsprechend muss das Dienstkonto bei Verwendung von Remotepartitionen über Administratorrechte für die Remoteinstanz verfügen. Diese Berechtigungen werden auf der Analysis Services-Remoteinstanz unter Verwendung von Rollen erteilt, durch die einem bestimmten Objekt zulässige Vorgänge zugeordnet werden. Anweisungen zum Erteilen von Vollzugriffsberechtigungen, die Verarbeitungs- und Abfragevorgänge ermöglichen, finden Sie unter Erteilen von Datenbankberechtigungen (Analysis Services). Weitere Informationen zu Remotepartitionen finden Sie unter Erstellen und Verwalten einer Remotepartition (Analysis Services). |
Rückschreiben | Hinzufügen des Dienstkontos zu Analysis Services-Datenbankrollen, die auf dem Remoteserver definiert sind | Wenn die in mehrdimensionalen Modellen verwendbare Rückschreibefunktion in Clientanwendungen aktiviert ist, können während der Datenanalyse neue Datenwerte erstellt werden. Wenn das Rückschreiben innerhalb einer Dimension oder eines Cubes aktiviert ist, muss das Analysis Services-Dienstkonto über Schreibberechtigungen für die Rückschreibtabelle in der Quelldatenbank SQL Server relationalen Datenbank verfügen. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, muss das Analysis Services-Dienstkonto auch über die Berechtigung Tabellenerstellung innerhalb der angegebenen SQL Server Datenbank verfügen. |
Schreiben in eine Abfrageprotokolltabelle in einer SQL Server relationalen Datenbank | Erstellen eines Datenbankanmeldenamens für das Dienstkonto und Zuweisen von Schreibrechten für die Abfrageprotokolltabelle | Sie können die Abfrageprotokollierung aktivieren, um in einer Datenbanktabelle Verwendungsdaten für nachfolgende Analysen zu sammeln. Das Analysis Services-Dienstkonto muss über Schreibberechtigungen für die Abfrageprotokolltabelle in der angegebenen SQL Server Datenbank verfügen. Wenn diese Tabelle noch nicht vorhanden ist und erstellt werden muss, muss das Analysis Services-Anmeldekonto auch über die Berechtigungen zum Erstellen von Tabellen innerhalb der angegebenen SQL Server Datenbank verfügen. Weitere Informationen finden Sie unter Improve SQL Server Analysis Services Performance with the Usage Based Optimization Wizard (Blog) (Verbessern der Leistung von SQL Server Analysis Services mit dem Assistenten für die verwendungsbasierte Optimierung) und Query Logging in Analysis Services (Blog)(Abfrageprotokollierung in Analysis Services). |
Weitere Informationen
Konfigurieren von Windows-Dienstkonten und -Berechtigungen
SQL Server-Dienstkonto und pro Dienst-SID (Blog)
SQL Server verwendet eine Dienst-SID, um die Dienstisolation bereitzustellen (KB-Artikel)
Zugriffstoken (MSDN)
Sicherheits-IDs (MSDN)
Zugriffstoken (Wikipedia)
Zugriffssteuerungslisten (Wikipedia)