Selezionare un account per il servizio SQL Server Agent
L'account di avvio del servizio definisce l'account di Microsoft Windows in cui viene eseguito SQL Server Agent e le relative autorizzazioni di rete. SQL Server Agent viene eseguito con un account utente specificato. Per selezionare un account per il servizio SQL Server Agent, usare Gestione configurazione SQL Server, in cui è possibile scegliere tra le opzioni seguenti:
Account predefinito. è possibile scegliere da un elenco di account di servizio Windows predefiniti riportati di seguito:
Account disistema locale . il nome di questo account è NT AUTHORITY\System. Si tratta di un account potente con accesso illimitato a tutte le risorse del sistema locale. È un membro del gruppo Administrators di Windows nel computer locale ed è quindi membro del ruolo predefinito del server sysadmin SQL Server
Importante
L'opzione Account di sistema locale deve essere usata esclusivamente per garantire la compatibilità con le versioni precedenti. L'account di sistema locale dispone di autorizzazioni non necessarie per SQL Server Agent. Evitare di eseguire SQL Server Agent con l'account di sistema locale. Per migliorare la sicurezza, utilizzare un account di dominio di Windows con le autorizzazioni elencate nella sezione seguente, "Autorizzazioni dell'account di dominio di Windows".
Account seguente. Consente di specificare l'account di dominio di Windows usato per l'esecuzione del servizio SQL Server Agent. È consigliabile scegliere un account utente di Windows che non sia un membro del gruppo Administrators di Windows. Tuttavia, esistono limitazioni per l'uso dell'amministrazione multiserver quando l'account del servizio SQL Server Agent non è membro del gruppo Administrators locale. Per ulteriori informazioni, vedere 'Tipi di account del servizio supportati' più avanti in questo argomento.
Autorizzazioni dell'account di dominio di Windows
Per migliorare la sicurezza, selezionare l'opzione Account seguenteche consente di specificare un account di dominio di Windows. L'account di dominio di Windows specificato deve disporre delle autorizzazioni seguenti:
- In tutte le versioni di Windows è necessario disporre dell'autorizzazione per l'accesso come servizio (SeServiceLogonRight).
Nota
L'account del servizio SQL Server Agent deve far parte del gruppo accesso compatibile con Windows 2000 nel controller di dominio o i processi di proprietà degli utenti di dominio che non sono membri del gruppo Amministratori di Windows avrà esito negativo.
Nei server Windows l'account eseguito dal servizio di SQL Server Agent, in quanto richiede le autorizzazioni seguenti per supportare SQL Server Agent proxy.
Autorizzazione a ignorare i controlli di attraversamento (SeChangeNotifyPrivilege)
Autorizzazione a sostituire un token a livello di processo (SeAssignPrimaryTokenPrivilege)
Autorizzazione a modificare le quote di memoria per un processo (SeIncreaseQuotaPrivilege)
Autorizzazione ad accedere tramite il tipo di accesso batch (SeBatchLogonRight)
Nota
Se l'account non dispone delle autorizzazioni necessarie per supportare i proxy, solo i membri del ruolo predefinito del server sysadmin possono creare i processi.
Nota
Per ricevere una notifica di avviso WMI, è necessario che l'account del servizio SQL Server Agent abbia ricevuto l'autorizzazione per lo spazio dei nomi che contiene gli eventi WMI e disponga dell'autorizzazione ALTER ANY EVENT NOTIFICATION.
Appartenenze ai ruoli di SQL Server
L'account usato per l'esecuzione del servizio SQL Server Agent deve essere membro dei ruoli di SQL Server seguenti:
L'account deve essere membro del ruolo predefinito del server sysadmin .
Per usare l'elaborazione dei processi multiserver, l'account deve essere membro del ruolo TargetServersRole del database msdb nel server master.
Tipi di account di servizio supportati
Nella tabella seguente sono elencati i tipi di account di Windows che è possibile usare per il servizio SQL Server Agent.
Tipo di account di servizio | Server non cluster | Server di cluster | Controller di dominio (non cluster) |
---|---|---|---|
Account di dominio di Microsoft Windows (membro del gruppo Administrators di Windows) | Supportato | Supportato | Supportato |
Account di dominio di Windows (non amministrativo) | Supportato1 | Supportato1 | Supportato1 |
Account Servizio di rete (NT AUTHORITY\NetworkService) | Supportato1, 3, 4 | Non supportato | Non supportate |
Account Utente locale (non amministrativo) | Supportato1 | Non supportate | Non applicabile |
Account Sistema locale (NT AUTHORITY\System) | Supportato2 | Non supportato | Supportato2 |
Account Servizio locale (NT AUTHORITY\NetworkService) | Non supportate | Non supportato | Non supportato |
1 Vedere Limitazione 1 seguente.
2 Vedere Limitazione 2 di seguito.
3 Vedere Limitazione 3 di seguito.
4 Vedere Limitazione 4 di seguito.
Limitazione 1: utilizzo di account non amministrativi per l'amministrazione multiserver
È possibile che l'integrazione nei server di destinazione non riesca e venga visualizzato il messaggio di errore "Operazione di integrazione non riuscita".
Per risolvere questo errore, riavviare sia SQL Server che i servizi di SQL Server Agent. Per altre informazioni, vedere Avviare, arrestare, sospendere, riprendere, riavviare i servizi SQL Server.
Limitazione 2: utilizzo dell'account Sistema locale per l'amministrazione multiserver
Quando il servizio SQL Server Agent viene eseguito con l'account Sistema locale, l'amministrazione multiserver è supportata solo quando sia il server master che il server di destinazione risiedono nello stesso computer. Se si utilizza questa configurazione, quando si integrano i server di destinazione nel server master viene restituito il messaggio seguente:
"Verifica che l'account di avvio dell'agente per <nome_computer_server_destinazione> disponga dei diritti per l'accesso come server di destinazione".
Questo messaggio può essere ignorato. L'operazione di integrazione verrà completata correttamente. Per altre informazioni, vedere Creare un ambiente multiserver.
Limitazione 3: utilizzo dell'account Servizio di rete quando è un utente di SQL Server
SQL Server Agent potrebbe non avviarsi correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete e a quest'ultimo è stato esplicitamente consentito l'accesso a un'istanza di SQL Server come utente di SQL Server.
Per risolvere il problema, riavviare il computer in cui SQL Server è in esecuzione. È necessario eseguire questa operazione una sola volta.
Limitazione 4: utilizzo dell'account Servizio di rete quando SQL Server Reporting Services è in esecuzione sullo stesso computer
SQL Server Agent potrebbe non avviarsi correttamente se si esegue il servizio SQL Server Agent con l'account Servizio di rete nello stesso computer in cui è in esecuzione anche Reporting Services.
Per risolvere questo problema, riavviare il computer in cui è in esecuzione SQL Server e quindi riavviare sia SQL Server che i servizi di SQL Server Agent. È necessario eseguire questa operazione una sola volta.
Attività comuni
Per specificare l'account di avvio del servizio SQL Server Agent
Per specificare il profilo di posta di SQL Server Agent
Nota
Usare Gestione configurazione SQL Server per specificare che SQL Server Agent deve essere avviato all'avvio del sistema operativo.
Vedere anche
Configurare account di servizio e autorizzazioni di Windows
Procedure per la gestione dei servizi (Gestione configurazione SQL Server)
Implementazione della sicurezza di SQL Server Agent