Come modificare l'account del servizio SQL Server o Agente SQL Server senza utilizzare SQL Enterprise Manager in SQL Server 2000 o SQL Server Configuration Manager in SQL Server 2005

Quando si installa Microsoft SQL Server per l'esecuzione in un account di Microsoft Windows NT per la prima, SQL Server imposta per che Windows NT dell'account diversi diritti utente di Windows e le autorizzazioni su determinati file, cartelle e chiavi del Registro di sistema. Se in seguito si modifica l'account di avvio per SQL Server (il servizio MSSQLServer) e il servizio Agente SQL Server utilizzando SQL Server Enterprise Manager (SEM) o SQL Server Configuration Manager (SSCM), SEM assegnato automaticamente tutte le necessarie autorizzazioni e diritti di utente di Windows al nuovo account di avvio per l'utente in modo che non debba eseguire altre operazioni. È consigliabile utilizzare questo è l'approccio per modificare l'account del servizio.

Nota È necessario disporre dei diritti di amministratore sul server remoto per questa funzionalità è disponibile in SQL Server Enterprise Manager.

Tuttavia, se si utilizza il componente aggiuntivo di servizi nel Pannello di controllo o in Strumenti di amministrazione per modificare le informazioni di account avvio per MSSQLServer servizio o il servizio Agente SQL Server, vi sono ulteriori autorizzazioni e diritti utente che è necessario impostare.

In questo articolo vengono descritti i passaggi da effettuare quando si modificano le informazioni di account di avvio mediante servizi aggiuntivi.

Prima di continuare, visitare i seguenti siti Web di Microsoft e visualizzare gli articoli della Microsoft Knowledge Base riportato di seguito: Bollettino Microsoft sulla sicurezza MS02-038
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx

(http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx)

Bollettino Microsoft sulla sicurezza MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx

(http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx)

322853

(http://support.microsoft.com/kb/322853/ )

FIX: SQL Server concede autorizzazioni non necessarie o una funzione di crittografia contiene buffer non controllati

Nota Conformi con MS02-034 e MS02-038 rimuove la vulnerabilità l'elevazione dei privilegi di credenziali amministrative esistenti e consente di evitare quelle future.

Modifica di SQL Server o l'account del servizio Agente SQL Server utilizzando il componente aggiuntivo servizi invece di utilizzare SQL Enterprise Manager o SQL Server Management Studio

Se si modifica l'account del servizio SQL Server o di un account del servizio Agente SQL Server utilizzando il componente aggiuntivo dei servizi invece delle SEM o SSCM, esistono alcune del Registro di sistema e NTFS file sistema autorizzazioni e diritti utente di Microsoft Windows che è necessario impostare. Si tratta soprattutto true per SQL Server Desktop Engine (anche noto come MSDE 2000) o le installazioni di SQL Server 2005 Express Edition in quanto non si dispone SEM o SSCM da utilizzare per eseguire le modifiche di autorizzazioni. Esistono tre aree specifiche che è necessario considerare:

• Chiavi del Registro di sistema.
• Autorizzazioni di sistema di file NTFS nel disco.
• Diritti utente di Windows.

Ciascuno di essi verrà trattato separatamente in paragrafi seguenti.

Chiavi del Registro di sistema

Impostare Controllo completo per l'account di avvio per il servizio MSSQLServer e il servizio SQLServerAgent (un account locale di Microsoft Windows NT, o un account di dominio Windows NT) nelle chiavi del Registro di sistema presenti nell'elenco riportato di seguito. Sotto il seguenti hive, chiavi thes questo elenco sono i tasti di dove sono impostati elenchi di controllo di accesso (ACL). Per i cluster, seguire questo passaggio per ogni nodo del cluster.

Autorizzazione Controllo completo sono valide per le chiavi riportate di seguito e tutte le chiavi figlio:

• Per un'istanza denominata:
  HKEY_LOCAL_MACHINE\Software\Clients\Mail
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\ <Instancename >
• Per un'istanza predefinita:
  HKEY_LOCAL_MACHINE\Software\Clients\Mail
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking
  

Se si utilizza SQL Server 2005

Per un'istanza denominata o un'istanza predefinita, riguarda l'autorizzazione Controllo completo le chiavi seguenti e tutte le chiavi figlio: Nota In questa sottochiave del Registro di sistema, <MSSQL.x> è un segnaposto per il valore corrispondente per il sistema. È possibile determinare il valore corrispondente per il sistema dal valore della voce del Registro di sistema che viene denominato come il nome dell'istanza nella seguente sottochiave del Registro di sistema. Per un'istanza predefinita, il nome di istanza è MSSQLSERVER:

Autorizzazioni di sistema di file NTFS nel disco

Impostare il Controllo completo per l'account di avvio per il servizio MSSQLServer e il servizio SQLServerAgent (entrambi un Windows NT locale account o un account di dominio Windows) su queste cartelle NTFS. Per i cluster, è necessario modificare anche i percorsi corrispondenti in ogni nodo del computer.

Qui è riportato un esempio per un'istanza denominata:Qui è riportato un esempio per un'istanza predefinita:Le sottocartelle e i file devono inoltre disporre di autorizzazioni stessi.

Se si utilizza SQL Server 2005

la cartella corrispondente è:
Drive: \Programmi\Microsoft SQL Server\<MSSQL.1>\MSSQL

Diritti utente di Windows

In genere, l'installazione predefinita di sistema operativo comporta il Gruppo Administrators locale tutti i diritti utente necessarie in SQL Server per funzionare correttamente. Di conseguenza, gli account Windows locali o account di dominio che sono stati aggiunti al Gruppo Administrators locale , con l'intento di essere l'avvio si account per il server SQL service, disporre di tutti i diritti utente che richiedono. Tuttavia, non è consigliabile eseguire SQL Server in tali diritti utente elevati.

Per SQL Server 2005, se non si desidera che SQL Server o l'account di avvio agente SQL Server sia un membro del gruppo Administrators locale, vedere la sezione di "Revisioni Windows diritti e privilegi concesso per SQL Server Service account" nella sezione "Impostazione di Windows Service Accounts" nella documentazione in linea di SQL Server 2005.

Per SQL Server 2000, se non si desidera che SQL Server o l'account di avvio agente SQL Server sia un membro del Gruppo Administrators locale , quindi l'account di avvio per il servizio MSSQLServer e il servizio SQLServerAgent (un account Windows locale o un account di dominio Windows NT) deve essere questi diritti utente:

• Agire come parte del sistema operativo = SeTcbPrivilege
• Ignorare controllo incrociato = SeChangeNotify
• Blocca pagine in memoria = SeLockMemory
• Accedere come processo batch = SeBatchLogonRight
• Accedere come un servizio = SeServiceLogonRight
• Sostituzione token a livello di processo = SeAssignPrimaryTokenPrivilege

Nota Per comodità di programmazione, i nomi di diritti utente di Microsoft Windows NT si trovano accanto al nome completo del diritto utente.

Nota Inizializzazione file immediata disponibile solo se l'account del servizio SQL Server (MSSQLSERVER) è stata concessa SE_MANAGE_VOLUME_NAME destra. I membri del gruppo Administrators di Windows dispongono di tale diritto. Questi membri è possono concedere questo diritto ad altri utenti aggiungendo gli utenti i criteri di protezione eseguire attività di manutenzione volume.

Operazioni varie

Nota Se il valore predefinito autorizzazioni di sistema di file NTFS nel computer sono stati modificati, assicurarsi che l'account di avvio di SQL Server disponga dell'autorizzazione di Cartella elenco attivata all'unità principale in cui SQL Server database i dati e i file di registro si trovano.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
Se l'account che il servizio MSSQLServer è iniziare con uno dei seguenti due conti, è necessario aggiungere l'account di avvio per MSSQLServer e i servizi Agente SQL Server o entrambi, per SQL Server sysadmin ) ruolo e concedere all'utente un accesso a SQL Server di [Domain\NTaccount].

• Non membro del Gruppo Administrators locale di del computer.
• L'account di accesso BUILTIN\Administrators di SQL Server è stato rimosso.

Ad esempio: aggiungere, tale account al ruolo sysadmin :
Se si utilizza SQL Server con una ricerca full-text o con il clustering, la modifica degli account di avvio di SQL Server utilizzando un valore diverso da SEM potrebbe causare problemi diversi.

Se si verificano problemi con ricerca full-text o cluster, vedere la sezione di "Riferimenti" di questo articolo per ulteriori informazioni.

Se si utilizza l'autenticazione SSPI (Security Support Provider Interface) di Kerberos in un ambiente SQL Server 2000 e Microsoft Windows 2000, è necessario eliminare il vecchio nome principale servizio (SPN) e quindi crearne uno nuovo con le nuove informazioni relative all'account. Vedere l'argomento "Delega di account di protezione" nella documentazione in linea di SQL Server 2000 per ulteriori informazioni su come utilizzare SETSPN per effettuare questa operazione.

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito: Per ulteriori informazioni, visitare il sito di Web di Microsoft: