Configurar contas de serviço e permissões do Windows
Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL Server com o Windows. Este tópico descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração de serviços do SQL Server que você pode definir durante e após a instalação do SQL Server.
Contents
Este tópico está dividido nas seguintes seções:
Serviços instalados pelo SQL Server
Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:
Serviços de Banco de Dados do SQL Server - o serviço para o Mecanismo de Banco de Dados relacional do SQL Server. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
SQL Server Agent: executa trabalhos, monitora o SQL Server, dispara alertas e habilita a automação de algumas tarefas administrativas. O serviço SQL Server Agent está presente, mas desabilitado em instâncias do SQL Server Express. O arquivo executável é <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Analysis Services - fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence. O arquivo executável é <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Reporting Services - gerencia, executa, cria, agenda e entrega relatórios. O arquivo executável é <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services - dá suporte para gerenciamento de armazenamento e execução de pacotes do Integration Services. O caminho executável é <MSSQLPATH\>120\DTS\Binn\MsDtsSrvr.exe
SQL Server Browser: o serviço de resolução de nomes que fornece informações de conexão do SQL Server para computadores cliente. O caminho do executável é c:\Arquivos de Programas (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
Pesquisa de texto completo: cria rapidamente índices de texto completo sobre o conteúdo e propriedades de dados estruturados e semiestruturados para fornecer filtragem de documentos e quebra de palavras para o SQL Server.
Gravador do SQL : permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume).
Controlador do SQL Server Distributed Replay: fornece orquestração de reprodução de rastreamento em vários computadores cliente do Distributed Replay.
Cliente do SQL Server Distributed Replay - um ou mais computadores cliente do Distributed Replay que funcionam junto com um controlador do Distributed Replay para simular cargas de trabalho simultâneas em relação a uma instância do Mecanismo de Banco de Dados do SQL Server.
Propriedades e configuração do serviço
As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas de usuário de domínio, contas de usuário locais, contas de serviço gerenciado, contas virtuais ou contas de sistema internas. Para ser iniciado e executado, cada serviço no SQL Server precisa ter uma conta de inicialização configurada durante a instalação.
Esta seção descreve as contas que podem ser configuradas para iniciar os serviços SQL Server, os valores padrão usados pela Instalação do SQL Server, o conceito de SIDs por serviço, as opções de inicialização e a configuração de firewall.
Contas de serviço padrão
A tabela a seguir lista as contas de serviço padrão usadas pela instalação ao instalar todos os componentes. As contas padrão listadas são as contas recomendadas, exceto como observado.
Servidor autônomo ou controlador de domínio
Componente | Windows Server 2008 | Windows 7 e Windows Server 2008 R2 e superiores |
---|---|---|
Mecanismo de Banco de Dados | SERVIÇO DE REDE | Conta Virtual * |
SQL Server Agent | SERVIÇO DE REDE | Conta Virtual * |
SSAS | SERVIÇO DE REDE | Conta Virtual * |
SSIS | SERVIÇO DE REDE | Conta Virtual * |
SSRS | SERVIÇO DE REDE | Conta Virtual * |
Controlador do SQL Server Distributed Replay | SERVIÇO DE REDE | Conta Virtual * |
Cliente do SQL Server Distributed Replay | SERVIÇO DE REDE | Conta Virtual * |
Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta Virtual |
SQL Server Browser | SERVIÇO LOCAL | SERVIÇO LOCAL |
Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
* Quando recursos externos ao computador SQL Server são necessários, a Microsoft recomenda o uso de uma MSA (Conta de Serviço Gerenciado), configurada com os privilégios mínimos necessários.
Instância de cluster de failover do SQL Server
Componente | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Mecanismo de Banco de Dados | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SQL Server Agent | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SSAS | Nenhum. Forneça uma conta de usuário de domínio . | Forneça uma conta de usuário de domínio . |
SSIS | SERVIÇO DE REDE | Conta Virtual |
SSRS | SERVIÇO DE REDE | Conta Virtual |
Iniciador FD (Pesquisa de texto completo) | SERVIÇO LOCAL | Conta Virtual |
SQL Server Browser | SERVIÇO LOCAL | SERVIÇO LOCAL |
Gravador VSS do SQL Server | SISTEMA LOCAL | SISTEMA LOCAL |
Alterando as propriedades da conta
Importante
- Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelo Mecanismo de Banco de Dados do SQL Server ou serviços do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager executa configurações adicionais, como a atualização do repositório de segurança local do Windows, que protege a chave mestra do serviço do Mecanismo de Banco de Dados. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta, mas não alteram todas as configurações necessárias.
- Para instâncias do Analysis Services implantadas em um farm do SharePoint, sempre use a Administração Central do SharePoint para alterar as contas de servidor dos aplicativos de serviço PowerPivot e do serviço Analysis Services. As configurações e permissões associadas serão atualizadas para usar as novas informações da conta quando você usar a Administração Central.
- Para alterar as opções do Reporting Services, use a Ferramenta de Configuração do Reporting Services.
Novos tipos de conta disponíveis com o Windows 7 e o Windows Server 2008 R2
O Windows 7 e o Windows Server 2008 R2 têm dois novos tipos de contas virtuais e contas de serviço chamadas contas de serviço gerenciado (MSA). As contas de serviço gerenciado e as contas virtuais são projetadas para fornecer aplicativos cruciais, como o SQL Server, com o isolamento de suas próprias contas, eliminando a necessidade de um administrador administrar manualmente o SPN (Nome da Entidade de Serviço) e as credenciais dessas contas. Isso facilita bastante o gerenciamento de usuários de contas de serviço, senhas e SPNs a longo prazo.
Contas de serviços gerenciados
Uma MSA é um tipo de conta de domínio criada e gerenciada pelo controlador de domínio. Ela é atribuída a um único computador membro para a execução de um serviço. A senha é gerenciada automaticamente pelo controlador de domínio. Não é possível usar uma MSA para fazer logon em um computador, mas um computador pode usar uma MSA para iniciar um serviço do Windows. Uma MSA tem a capacidade de registrar SPN com o Active Directory. Uma MSA é nomeada com um sufixo $ , por exemplo, DOMAIN\ACCOUNTNAME$. Ao especificar uma MSA, deixe a senha em branco. Como um MSA é atribuído a um único computador, não pode ser usado em diferentes nós de um cluster do windows.
Observação
A MSA precisa ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la nos serviços SQL Server.
Contas de serviços gerenciados de grupo
Uma conta de serviço gerenciado de grupo é uma MSA para vários servidores. O Windows gerencia uma conta de serviço para os serviços executados em um grupo de servidores. O Active Directory atualiza automaticamente a senha da conta de serviço gerenciado de grupo sem reiniciar os serviços. Você pode configurar os serviços do SQL Server para usar uma entidade de conta de serviço gerenciado de grupo. A partir do SQL Server 2014, o SQL Server dá suporte a contas de serviço gerenciado de grupo para instâncias autônomas.
Para usar uma conta de serviço gerenciado de grupo para o SQL Server 2014 ou posterior, o sistema operacional precisa ser o Windows Server 2012 R2 ou posterior. Servidores com o Windows Server 2012 R2 requerem que o KB 2998082 seja aplicado de forma que os serviços possam fazer logon sem interrupção imediatamente após uma alteração de senha.
Para obter mais informações, consulte Contas de Serviço Gerenciado de grupo
Observação
A conta de serviço gerenciado de grupo deve ser criada no Active Directory pelo administrador de domínio antes que a instalação do SQL Server possa usá-la para serviços do SQL Server.
-
As contas virtuais (começando com o Windows Server 2008 R2 e no Windows 7) são contas locais gerenciadas que fornecem os recursos a seguir para simplificar a administração do serviço. A conta virtual é autogerenciada e pode acessar a rede em um ambiente de domínio. Se o valor padrão for usado nas contas de serviço durante a instalação do SQL Server, será usada uma conta virtual que usa o nome da instância como o nome do serviço, no formato NT SERVICE\<SERVICENAME>. Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$. Ao especificar uma conta virtual para iniciar o SQL Server, deixe a senha em branco. Se a conta virtual não registra o SPN (Nome da Entidade de Serviço), registre-o manualmente. Para obter mais informações sobre como registrar um SPN manualmente, confira Registro manual de SPN.
Observação
As contas virtuais não podem ser usadas para a Instância de Cluster de Failover do SQL Server, pois a conta virtual não teria o mesmo SID em cada nó do cluster.
A tabela a seguir lista exemplos de nomes de contas virtuais.
Serviço Nome da conta virtual Instância padrão do serviço Mecanismo de Banco de Dados NT SERVICE\MSSQLSERVER A instância nomeada de um serviço do Mecanismo de Banco de Dados chamado PAYROLL NT SERVICE\MSSQL$PAYROLL O serviço SQL Server Agent na instância padrão do SQL Server NT SERVICE\SQLSERVERAGENT O serviço SQL Server Agent em uma instância do SQL Server chamada PAYROLL NT SERVICE\SQLAGENT$PAYROLL
Para obter mais informações sobre Contas de Serviço Gerenciado e Contas Virtuais, consulte a seção Managed service account and virtual account concepts (Conceitos de conta de serviço gerenciado e conta virtual) do Service Accounts Step-by-Step Guide (Guia passo a passo de contas de serviço) e Managed Service Accounts Frequently Asked Questions (FAQ)(Perguntas frequentes sobre contas de serviço gerenciado).
Observação de segurança: sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis. Use um MSA ou uma conta virtual quando possível. Quando a MSA e as contas virtuais não forem possíveis, use uma conta de usuário ou conta de domínio específica de baixo privilégio em vez de uma conta compartilhada para serviços do SQL Server. Use contas separadas para serviços SQL Server diferentes. Não conceda permissões adicionais à conta de serviço do SQL Server ou aos grupos de serviços. As permissões serão concedidas por meio da associação de grupo ou diretamente a um SID de serviço, onde um SID de serviço tiver suporte.
Inicialização automática
Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:
Desabilitado O serviço está instalado, mas não está em execução atualmente.
Manual O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar de sua funcionalidade.
Automático O serviço é iniciado automaticamente pelo sistema operacional.
O estado de inicialização é selecionado durante a instalação. Ao instalar uma instância nomeada, o serviço SQL Server Browser deve estar pronto para iniciar automaticamente.
Configurando serviços durante a instalação autônoma
A tabela a seguir mostra os serviços SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.
Nome do serviço SQL Server | Interruptores para instalações autônomas1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
Controlador do SQL Server Distributed Replay | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
Cliente do SQL Server Distributed Replay | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
1 Para obter mais informações e sintaxe de exemplo para instalações autônomas, consulte Instalar o SQL Server 2014 no prompt de comando.
2 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.
Porta do firewall
Na maioria dos casos, quando inicialmente instalado, o Mecanismo de Banco de Dados pode ser conectado por ferramentas como o SQL Server Management Studio instalado no mesmo computador do que o SQL Server. A Instalação do SQL Server não abre portas no firewall do Windows. Talvez não sejam possíveis conexões de outros computadores até que o Mecanismo de Banco de Dados seja configurado para ouvir em uma porta TCP e a porta apropriada seja aberta para conexões no firewall do Windows. Para obter mais informações sobre como fazer isso, veja Configurar o Firewall do Windows para permitir acesso ao SQL Server.
Permissões de serviço
Esta seção descreve as permissões que a Instalação do SQL Server configura para as SIDs por serviço dos serviços SQL Server.
Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
Permissões do sistema de arquivos relacionadas a locais de disco incomuns
Configuração de serviço e controle de acesso
O SQL Server 2014 habilita o SID por serviço para cada um de seus serviços para fornecer isolamento e defesa de serviço em profundidade. O SID por serviço é derivado do nome do serviço e é exclusivo ao serviço. Por exemplo, um nome SID de serviço para o serviço Mecanismo de Banco de Dados pode ser NT Service\MSSQL$<InstanceName.> O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha uma SID de serviço, um serviço SQL Server pode restringir o acesso aos recursos.
Observação
No Windows 7 e no Windows Server 2008 R2 (e posterior), o SID por serviço pode ser a conta virtual usada pelo serviço.
Para a maioria dos componentes, o SQL Server configura a ACL para a conta por serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser efetuada sem a necessidade de repetir o processo da ACL do recurso.
Ao instalar o SSAS, será criado um SID por serviço para o serviço Analysis Services. Um grupo local do Windows é criado, nomeado no formato SQLServerMSASUser$computer_name$instance_name. O SID NT SERVICE\MSSQLServerOLAPService por serviço recebe permissão de associação no grupo local do Windows, e o grupo local do Windows recebe as permissões apropriadas na ACL. Se a conta usada para iniciar o serviço Analysis Services for alterada, o SQL Server Configuration Manager deverá alterar algumas permissões do Windows (como o direito de fazer logon como um serviço), mas as permissões atribuídas ao grupo local do Windows ainda estarão disponíveis sem nenhuma atualização, pois o SID por serviço não foi alterado. Esse método permite que o serviço Analysis Services seja renomeado durante atualizações.
Durante a instalação do SQL Server, a Instalação do SQL Server cria grupos locais do Windows para o SSAS e o serviço Navegador do SQL Server. Nesses serviços, o SQL Server configura a ACL para os grupos locais do Windows.
Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviços durante a instalação ou atualização.
Privilégios e direitos do Windows
A conta atribuída para iniciar um serviço precisa da permissão Iniciar, parar e pausar para o serviço. O programa de Instalação do SQL Server atribui automaticamente essa permissão. Primeiro instale as Ferramentas de Administração de Servidor Remoto. Consulte o artigo sobre as Ferramentas de Administração de Servidor Remoto para Windows 7.
A tabela a seguir mostra as permissões que a Instalação do SQL Server solicita para as SIDs por serviço ou para os grupos locais do Windows usados pelos componentes do SQL Server.
Serviço do SQL Server | Permissões concedidas pela Instalação do SQL Server |
---|---|
Mecanismo de Banco de Dados do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\MSSQLSERVER. Instância nomeada: **NT SERVICE\MSSQL$**InstanceName.) |
Fazer logon como um serviço (SeServiceLogonRight) Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Permissão para iniciar o Gravador do SQL Permissão para ler o serviço Log de Eventos Permissão para ler o serviço Chamada de Procedimento Remoto |
Agente do SQL Server: 1 (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\SQLSERVERAGENT. Instância nomeada: NT Service\SQLAGENT$InstanceName). |
Fazer logon como um serviço (SeServiceLogonRight) Substituir um token no nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) |
SSAS: (Todos os direitos são concedidos a um grupo local do Windows. Instância padrão: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instância nomeada: SQLServerMSASUser$ComputerName$InstanceName. Instância do PowerPivot para SharePoint: SQLServerMSASUser$ComputerName$PowerPivot.) |
Fazer logon como um serviço (SeServiceLogonRight) Somente tabular: Aumentar conjunto de trabalho de processo (SeIncreaseWorkingSetPrivilege) Ajustar cotas de memória para um processo (SeIncreaseQuotaSizePrivilege) Bloquear páginas na memória (SeLockMemoryPrivilege): isso é necessário somente quando a paginação está totalmente desativada. Somente para instalações de cluster de failover: Aumentar a prioridade de planejamento (SeIncreaseBasePriorityPrivilege) |
SSRS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT SERVICE\ReportServer. Instância nomeada: NT SERVICE\$InstanceName.) |
Fazer logon como um serviço (SeServiceLogonRight) |
SSIS: (Todos os direitos são concedidos ao SID por serviço. Instância padrão e instância nomeada: NT SERVICE\MsDtsServer120. O Integration Services não tem um processo separado para uma instância nomeada.) |
Fazer logon como um serviço (SeServiceLogonRight) Permissão para gravar no log de eventos do aplicativo. Ignorar a verificação completa (SeChangeNotifyPrivilege) Representar um cliente após autenticação (SeImpersonatePrivilege) |
Pesquisa de texto completo: (Todos os direitos são concedidos ao SID por serviço. Instância padrão: NT Service\MSSQLFDLauncher. Instância nomeada: NT Service\ MSSQLFDLauncher$InstanceName). |
Fazer logon como um serviço (SeServiceLogonRight) Ajustar quotas de memória para um processo (SeIncreaseQuotaPrivilege) Ignorar a verificação completa (SeChangeNotifyPrivilege) |
SQL Server Browser: (Todos os direitos são concedidos a um grupo local do Windows. Instância padrão ou nomeada: SQLServer2005SQLBrowserUser$ComputerName. O Navegador do SQL Server não tem um processo separado para uma instância nomeada.) |
Fazer logon como um serviço (SeServiceLogonRight) |
Gravador VSS do SQL Server: (Todos os direitos são concedidos ao SID por serviço. Instância padrão ou nomeada: NT Service\SQLWriter. O Gravador VSS do SQL Server não tem um processo separado para uma instância nomeada.) |
O SQLWriter é executado sob a conta LOCAL SYSTEM que tem todas as permissões exigidas. A instalação do SQL Server não verifica nem concede permissões para esse serviço. |
Controlador do SQL Server Distributed Replay: | Fazer logon como um serviço (SeServiceLogonRight) |
Cliente do SQL Server Distributed Replay: | Fazer logon como um serviço (SeServiceLogonRight) |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express.
Permissões do sistema de arquivos concedidas a SIDs por serviço do SQL Server ou a grupos locais do Windows
As contas de serviço do SQL Server precisam ter acesso aos recursos. As listas de controle de acesso são definidas para o SID por serviço ou para o grupo local do Windows.
Importante
Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.
A seguinte tabela mostra as ACLs que são definidas pela Instalação do SQL Server:
Conta de serviço para | Arquivos e pastas | Acesso |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Controle total |
Instid\MSSQL\binn | Leitura, Execução | |
Instid\MSSQL\data | Controle total | |
Instid\MSSQL\FTData | Controle total | |
Instid\MSSQL\Install | Leitura, Execução | |
Instid\MSSQL\Log | Controle total | |
Instid\MSSQL\Repldata | Controle total | |
120\shared | Leitura, Execução | |
Instid\MSSQL\Template Data (somente SQL Server Express) | Ler | |
SQLServerAgent1 | Instid\MSSQL\binn | Controle total |
Instid\MSSQL\binn | Controle total | |
Instid\MSSQL\Log | Leitura, Gravação, Exclusão, Execução | |
120\com | Leitura, Execução | |
120\shared | Leitura, Execução | |
120\shared\Errordumps | Leitura, Gravação | |
ServerName\EventLog | Controle total | |
FTS | Instid\MSSQL\FTData | Controle total |
Instid\MSSQL\FTRef | Leitura, Execução | |
120\shared | Leitura, Execução | |
120\shared\Errordumps | Leitura, Gravação | |
Instid\MSSQL\Install | Leitura, Execução | |
Instid\MSSQL\jobs | Leitura, Gravação | |
MSSQLServerOLAPService | 120\shared\ASConfig | Controle total |
Instid\OLAP | Leitura, Execução | |
Instid\Olap\Data | Controle total | |
Instid\Olap\Log | Leitura, Gravação | |
Instid\OLAP\Backup | Leitura, Gravação | |
Instid\OLAP\Temp | Leitura, Gravação | |
120\shared\Errordumps | Leitura, Gravação | |
ReportServer | Instid\Reporting Services\Log Files | Leitura, Gravação, Exclusão |
Instid\Reporting Services\ReportServer | Leitura, Execução | |
Instid\Reporting Services\ReportServer\global.asax | Controle total | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Ler | |
Instid\Reporting Services\reportManager | Leitura, Execução | |
Instid\Reporting Services\RSTempfiles | Leitura, Gravação, Execução, Exclusão | |
120\shared | Leitura, Execução | |
120\shared\Errordumps | Leitura, Gravação | |
MSDTSServer100 | 120\dts\binn\MsDtsSrvr.ini.xml | Ler |
120\dts\binn | Leitura, Execução | |
120\shared | Leitura, Execução | |
120\shared\Errordumps | Leitura, Gravação | |
SQL Server Browser | 120\shared\ASConfig | Ler |
120\shared | Leitura, Execução | |
120\shared\Errordumps | Leitura, Gravação | |
SQLWriter | N/A (Executado como sistema local) | |
Usuário | Instid\MSSQL\binn | Leitura, Execução |
Instid\Reporting Services\ReportServer | Leitura, Execução, Listar Conteúdo de Pastas | |
Instid\Reporting Services\ReportServer\global.asax | Ler | |
Instid\Reporting Services\reportManager | Leitura, Execução | |
Instid\Reporting Services\ReportManager\pages | Ler | |
Instid\Reporting Services\ReportManager\Styles | Ler | |
120\dts | Leitura, Execução | |
120\tools | Leitura, Execução | |
100\tools | Leitura, Execução | |
90\tools | Leitura, Execução | |
80\tools | Leitura, Execução | |
120\sdk | Ler | |
Microsoft SQL Server\120\Setup Bootstrap | Leitura, Execução | |
Controlador do SQL Server Distributed Replay | <ToolsDir>\DReplayController\Log\ (diretório vazio) | Leitura, Execução, Listar Conteúdo de Pastas |
<ToolsDir>\DReplayController\DReplayController.exe | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\resources|Ler, Executar, Listar Conteúdo da Pasta | ||
<ToolsDir>\DReplayController\{todas as dlls} | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\DReplayController.config | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayController\IRDefinition.xml | Leitura, Execução, Listar Conteúdo de Pastas | |
Cliente do SQL Server Distributed Replay | <ToolsDir>\DReplayClient\Log|Ler, Executar, Listar Conteúdo da Pasta | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\resources|Ler, Executar, Listar Conteúdo da Pasta | ||
<ToolsDir>\DReplayClient\ (todas as dlls) | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\DReplayClient.config | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Leitura, Execução, Listar Conteúdo de Pastas | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Leitura, Execução, Listar Conteúdo de Pastas |
1 O serviço SQL Server Agent está desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.
Quando os arquivos de banco de dados são armazenados em um local definido pelo usuário, você deve conceder acesso ao SID por serviço para esse local. Para obter mais informações sobre como conceder permissões para um SID por serviço, consulte Configurar permissões do sistema de arquivos para acesso ao mecanismo de banco de dados.
Permissões do sistema de arquivos concedidas a outros grupos ou contas de usuário do Windows
Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou a outras contas do serviço do SQL Server. A tabela a seguir lista as ACLs adicionais que são definidas pela Instalação do SQL Server.
Componente solicitante | Conta | Recurso | Permissões |
---|---|---|---|
MSSQLServer | Usuários do Log de Desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta |
Usuários do monitor de desempenho | Instid\MSSQL\binn | Listar conteúdo da pasta | |
Usuários do Log de Desempenho, Usuários do Monitor de Desempenho | \WINNT\system32\sqlctr120.dll | Leitura, Execução | |
Somente Administrador | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 | Controle total | |
Administradores, Sistema | \tools\binn\schemas\sqlserver\2004\07\showplan | Controle total | |
Usuários | \tools\binn\schemas\sqlserver\2004\07\showplan | Leitura, Execução | |
Reporting Services | Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\LogFiles | Delete (excluir) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Conta de serviço do Windows do servidor de relatório, todos | <install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*,< install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* | Leitura, Execução | |
Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\ReportServer | Ler | |
Conta do serviço Servidor de Relatório do Windows | <install>\Reporting Services\ReportServer\global.asax | Completo | |
Todos | <install>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Conta de Serviços do Windows do Servidor de Relatório | <install>\Reporting Services\ReportServer\rsreportserver.config | Delete (excluir) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Todos | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Enumerar Subchaves Notificar Controle de Leitura |
|
Usuários dos Serviços de Terminal | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchave Notificar Excluir Controle de Leitura |
|
Usuários Avançados | Chaves do Servidor de Relatório (ramificação Instid) | Consultar Valor Definir Valor Criar Subchave Enumerar Subchaves Notificar Excluir Controle de Leitura |
1 Este é o namespace do provedor WMI.
Permissões do sistema de arquivos relacionadas a locais de disco incomuns
A unidade padrão de locais para instalação é systemdrive, normalmente a unidade C. Quando tempdb ou bancos de dados de usuários são instalados
Unidade não padrão
Quando instalado em uma unidade local que não seja a unidade padrão, o SID por serviço deve ter acesso ao local do arquivo. A Instalação do SQL Server provisionará o acesso necessário.
Compartilhamento de rede
Quando bancos de dados são instalados em um compartilhamento de rede, a conta de serviço deve ter acesso ao local do arquivo do usuário e aos bancos de dados tempdb. A Instalação do SQL Server não pode provisionar o acesso a um compartilhamento de rede. O usuário deve provisionar o acesso a um local de tempdb para a conta de serviço antes de executar a instalação. O usuário deve provisionar o acesso ao local do banco de dados de usuário antes de criar o banco de dados.
Observação
Contas virtuais não podem ser autenticadas em um local remoto. Todas as contas virtuais usam a permissão da conta de máquina. Provisione a conta do computador no formato <domain_name>\<computer_name>$.
Revisando considerações adicionais
A tabela a seguir mostra as permissões necessárias para que os serviços SQL Server forneçam funcionalidade adicional.
Serviço/Aplicativo | Funcionalidade | Permissão necessária |
---|---|---|
SQL Server (MSSQLSERVER) | Gravar em um slot de email usando xp_sendmail. | Permissões de gravação de rede. |
SQL Server (MSSQLSERVER) | Executar o xp_cmdshell para um usuário que não seja um administrador do SQL Server. | Atuar como parte do sistema operacional e substituir um token de nível de processo. |
SQL Server Agent (MSSQLSERVER) | Usar o recurso de reinicialização automática. | Deve ser um membro do grupo local Administradores. |
Mecanismo de Banco de Dados Orientador de Otimização | Ajusta bancos de dados para desempenho ideal de consulta. | No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar somente as tabelas que eles possuem. Para obter mais informações, confira "Inicialização do Orientador de Otimização do Mecanismo de Banco de Dados no primeiro uso" nos Manuais Online do SQL Server. |
Importante
Antes de atualizar o SQL Server, habilite a Autenticação do Windows para o SQL Server Agent e verifique a configuração padrão necessária: se a conta de serviço do SQL Server Agent é membro do grupo SQL Serversysadmin.
Permissões de Registro
O hive do registro é criado em HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> para componentes com reconhecimento de instância. Por exemplo
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL12. MinhaInstância
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL12. MinhaInstância
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.120
O registro também mantém um mapeamento do ID da instância para o nome da instância. O mapeamento do ID da instância para o nome da instância é mantido como segue:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Nomes de Instância\SQL] "Nome_da_Instância"="MSSQL12"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Nomes de Instância\OLAP] "Nome_da_Instância"="MSASSQL12"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Nomes de Instância\RS] "Nome_da_Instância"="MSRSSQL12"
WMI
O WMI (Instrumentação de Gerenciamento do Windows) deve poder se conectar ao Mecanismo de Banco de Dados. Para dar suporte a isso, o SID por serviço do provedor WMI do Windows (NT SERVICE\winmgmt) é provisionado no Mecanismo de Banco de Dados.
O provedor WMI do SQL requer as seguintes permissões:
Associação nas funções de banco de dados fixas db_ddladmin ou db_owner no banco de dados msdb.
PermissãoCREATE DDL EVENT NOTIFICATION no servidor.
PermissãoCREATE TRACE EVENT NOTIFICATION no Mecanismo de Banco de Dados.
PermissãoVIEW ANY DATABASE no nível do servidor.
A instalação do SQL Server cria um namespace do WMI do SQL e concede permissão de leitura à SID do serviço do SQL Server Agent.
Pipes nomeados
Durante toda a instalação, a Instalação do SQL Server fornece acesso ao Mecanismo de Banco de Dados do SQL Server via protocolo de memória compartilhada, que é um pipe nomeado local.
Provisionamento
Esta seção descreve como as contas são provisionadas em vários componentes do SQL Server.
Provisionamento do Mecanismo de Banco de Dados
As contas a seguir são adicionadas como logons no Mecanismo de Banco de Dados do SQL Server.
Entidades de segurança do Windows
Durante a instalação, a Instalação do SQL Server requer que pelo menos uma conta de usuário seja nomeada como membro da função de servidor fixa sysadmin.
Conta sa
A conta sa está sempre presente como um logon do Mecanismo de Banco de Dados e é membro da função de servidor fixa sysadmin. Quando o Mecanismo de Banco de Dados é instalado usando apenas a Autenticação do Windows (ou seja, quando a Autenticação do SQL Server não está habilitada), o logon sa ainda está presente, mas está desabilitado. Para obter informações sobre como habilitar a conta sa , consulte Alterar modo de autenticação do servidor.
Logon e privilégios de SID por serviço do SQL Server
O SID por serviço do serviço SQL Server é provisionado como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
Logon e privilégios do SQL Server Agent
A SID por serviço do serviço SQL Server Agent é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
Grupos de Disponibilidade Always On e instância e privilégios de Cluster de Failover do SQL
Ao instalar o Mecanismo de Banco de Dados como Grupos de Disponibilidade AlwaysOn ou FCI (Instância de Cluster de Failover do SQL), O SISTEMA LOCAL é provisionado no Mecanismo de Banco de Dados. O logon LOCAL SYSTEM recebe a permissão ALTER ANY AVAILABILITY GROUP ( para Grupos de Disponibilidade Always On) e a permissão VIEW SERVER STATE ( para SQL FCI).
Gravador e privilégios do SQL
A SID por serviço do serviço Gravador VSS do SQL Server é provisionada como um logon do Mecanismo de Banco de Dados. O logon do SID por serviço é membro da função de servidor fixa sysadmin .
WMI e privilégios do SQL
A Instalação do SQL Server provisiona a conta NT SERVICE\Winmgmt como um logon do Mecanismo de Banco de Dados e a adiciona à função de servidor fixa sysadmin.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada como membro da função de banco de dados RSExecRole . Para obter mais informações, confira Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do SSRS).
Provisionamento SSAS
Os requisitos da conta do serviço SSAS variam, dependendo de como o servidor está implantado. Se você estiver instalando o PowerPivot para SharePoint, a Instalação do SQL Server exigirá que você configure o serviço do Analysis Services para ser executado em uma conta de domínio. Contas de domínio são necessárias para dar suporte ao recurso de conta gerenciada criada no SharePoint. Por esse motivo, a Instalação do SQL Server não fornece uma conta de serviço padrão, como uma conta virtual, para uma instalação do PowerPivot para SharePoint. Para obter mais informações sobre o provisionamento do PowerPivot for SharePoint, consulte Configurar contas de serviço PowerPivot.
Para todas as outras instalações autônomas do SSAS, você pode provisionar o serviço para ser executado em uma conta de domínio, conta de sistema interna, conta gerenciada ou conta virtual. Para obter mais informações sobre o provisionamento de conta, confira Configurar contas de serviço (Analysis Services).
Para instalações clusterizadas, especifique uma conta de domínio ou uma conta de sistema interna. Não há suporte para contas gerenciadas nem contas virtuais em clusters de failover do SSAS.
Todas as instalações do SSAS requerem que você especifique um administrador do sistema da instância do Analysis Services. São provisionados privilégios de administrador na função Servidor do Analysis Services.
Provisionamento SSRS
A conta especificada durante a instalação é provisionada no Mecanismo de Banco de Dados como membro da função de banco de dados RSExecRole. Para obter mais informações, confira Configurar a Conta de Serviço do Servidor de Relatório (Gerenciador de Configurações do SSRS).
Atualizando a partir de versões anteriores
Esta seção descreve as alterações feitas durante a atualização de uma versão anterior do SQL Server.
O SQL Server 2014 requer o Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 ou Windows 8.1, . Qualquer versão anterior do SQL Server em execução em uma versão inferior do sistema operacional precisa ter o sistema operacional atualizado antes de atualizar o SQL Server.
Durante a atualização do SQL Server 2005 para o SQL Server 2014, a Instalação do SQL Server configurará o SQL Server da seguinte maneira.
O Mecanismo de Banco de Dados é executado com o contexto de segurança do SID por serviço. A SID por serviço recebe acesso às pastas de arquivos da instância do SQL Server (como DATA) e às chaves do Registro do SQL Server.
O SID por serviço do Mecanismo de Banco de Dados é provisionado no Mecanismo de Banco de Dados como membro da função de servidor fixa sysadmin.
As SIDs por serviço são adicionadas aos grupos locais do Windows do SQL Server, a menos que o SQL Server seja uma Instância de Cluster de Failover.
Os recursos do SQL Server permanecem provisionados nos grupos locais do Windows do SQL Server.
O grupo Windows local para serviços é renomeado de SQLServer2005MSSQLUser$<computer_name>$<instance_name> para SQLServerMSSQLUser$<computer_name>$<instance_name>. Os locais de arquivos de bancos de dados migrados terão ACEs (Entradas de Controle de Acesso) para os grupos locais do Windows. Os locais de arquivos dos novos bancos de dados terão ACEs para o SID por serviço.
Durante a atualização do SQL Server 2008, a Instalação do SQL Server preservará as ACEs para o SID por serviço do SQL Server 2008.
Para uma Instância de Cluster de Failover do SQL Server, a ACE da conta de domínio configurada para o serviço será mantida.
Apêndice
Esta seção contém informações adicionais sobre os serviços SQL Server.
Descrição de contas de serviço
A conta de serviço é a conta usada para iniciar um serviço do Windows, como o Mecanismo de Banco de Dados do SQL Server.
Contas disponíveis com qualquer sistema operacional
Além da nova MSA e das contas virtuais descritas anteriormente, as contas a seguir podem ser usadas.
Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio, como os compartilhamentos de arquivos, ou usar conexões de servidor vinculado com outros computadores que estejam executando o SQL Server, você poderá usar uma conta de domínio com privilégios mínimos. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio. Essa conta deve ser pré-criada pela administração do domínio do ambiente.
Observação
Se você configurar o aplicativo para usar uma conta de domínio, poderá isolar os privilégios para o aplicativo, mas deverá gerenciar senhas manualmente ou criar uma solução personalizada para gerenciar essas senhas. Muitos aplicativos de servidor usam essa estratégia para melhorar a segurança, mas essa estratégia exige administração e complexidade adicionais. Nessas implantações, os administradores de serviço passam um período considerável de tempo em tarefas de manutenção, como gerenciar senhas de serviço e os nomes principais de serviço (SPNs), que são necessários para autenticação Kerberos. Além disso, essas tarefas de manutenção podem interromper o serviço.
Se o computador não fizer parte de um domínio, é recomendável usar uma conta de usuário local sem permissões de administrador do Windows.
A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos. Os serviços que são executados como a conta Serviço Local acessam os recursos de rede em uma sessão nula, sem credenciais. Lembre-se de que não há suporte para a conta de Serviço Local para os serviços SQL Server ou SQL Server Agent. Não há suporte para o Serviço Local como a conta que executa esses serviços porque é um serviço compartilhado e todos os outros serviços em execução no serviço local teriam acesso de administrador do sistema ao SQL Server. O nome real da conta é NT AUTHORITY\LOCAL SERVICE.
A conta de Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços executados como a conta de Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador no formato <domain_name>\<computer_name>$. O nome real da conta é NT AUTHORITY\NETWORK SERVICE.
A conta Sistema Local é uma conta interna com privilégios altos. Ela tem privilégios extensos no sistema local e funciona como o computador na rede. O nome real da conta é NT AUTHORITY\SYSTEM.
Identificando serviços com e sem reconhecimento de instância
Os serviços com reconhecimento de instância são associados a uma instância específica do SQL Server e têm os próprios hives de Registro. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.
Os serviços com reconhecimento de instância no SQL Server incluem o seguinte:
SQL Server
SQL Server Agent
Esteja ciente de que o serviço SQL Server Agent está desabilitado em instâncias de SQL Server Express e SQL Server Express com Serviços Avançados.
Serviços de análise 1
Reporting Services
Pesquisa de texto completo
Os serviços sem reconhecimento de instância no SQL Server incluem o seguinte:
Integration Services
SQL Server Browser
Gravador do SQL
1 O Analysis Services no modo integrado do SharePoint é executado como 'PowerPivot' como uma única instância nomeada. O nome da instância é fixo. Não é possível especificar um nome diferente. É possível instalar apenas uma instância do Analysis Services executada como 'PowerPivot' em cada servidor físico.
Nomes de serviços localizados
A tabela a seguir mostra nomes de serviços que são exibidos por versões localizadas do Windows.
Linguagem | Nome do serviço local | Nome do serviço de rede | Nome do sistema local | Nome do grupo Admin. |
---|---|---|---|---|
Inglês Chinês simplificado Chinês tradicional Coreano Japonês |
NT AUTHORITY\LOCAL SERVICE | NT AUTHORITY\NETWORK SERVICE | NT AUTHORITY\SYSTEM | BUILTIN\Administradores |
Alemão | NT-AUTORITÄT\LOKALER DIENST | NT-AUTORITÄT\NETZWERKDIENST | NT-AUTORITÄT\SYSTEM | VORDEFINIERT\Administratoren |
Francês | AUTORITE NT\SERVICE LOCAL | AUTORITE NT\SERVICE RÉSEAU | AUTORITE NT\SYSTEM | BUILTIN\Administradores |
Italiano | NT AUTHORITY\SERVIZIO LOCALE | NT AUTHORITY\SERVIZIO DI RETE | NT AUTHORITY\SYSTEM | BUILTIN\Administradores |
Espanhol | NT AUTHORITY\SERVICIO LOC | NT AUTHORITY\SERVICIO DE RED | NT AUTHORITY\SYSTEM | BUILTIN\Administradores |
Russo | NT AUTHORITY\LOCAL SERVICE | NT AUTHORITY\NETWORK SERVICE | NT AUTHORITY\SYSTEM | BUILTIN\Администраторы |
Conteúdo relacionado
Considerações sobre segurança para uma instalação do SQL Server
Locais de arquivos para instâncias padrão e nomeadas do SQL Server