로그인

Select the product you need help with

HOWTO: SQL Server 2000에서 SQL 엔터프라이즈 관리자를 사용하지 않고 SQL Server 또는 SQL Server 에이전트 서비스 계정 변경

Microsoft Windows NT 계정에서 실행하기 위해 Microsoft SQL Server를 처음에 설치하면 SQL Server에서 해당 Windows NT 계정을 대상으로 특정 파일, 폴더 및 레지스트리 키에 대한 다양한 Windows 사용자 권한과 사용 권한을 설정합니다. 나중에 SQL Server 엔터프라이즈 관리자(SEM)를 사용하여 SQL Server(MSSQLServer 서비스) 및 SQL Server 에이전트 서비스의 시작 계정을 변경하면 SEM이 필요한 모든 사용 권한과 Windows 사용자 권한을 새 시작 계정에 자동으로 할당하므로 다른 작업을 할 필요가 없습니다. 이것이 서비스 계정을 변경하는 데 사용하기에 적합한 방법입니다.

하지만 제어판이나 관리 도구에 있는 서비스 애플릿을 사용하여 MSSQLServer 서비스나 SQL Server 에이전트 서비스에 대한 시작 계정 정보를 변경하는 경우에는 수동으로 설정해야 하는 추가 사용 권한과 사용자 권한이 있습니다.

이 문서에서는 서비스 애플릿을 사용하여 시작 계정 정보를 변경할 때 수행해야 하는 단계에 대해 설명합니다.

이 문서의 나머지 부분을 읽기 전에 다음 Microsoft 웹 사이트를 방문하여 Microsoft 기술 자료의 문서를 참조하십시오.

Microsoft Security Bulletin MS02-038

(http://www.microsoft.com/korea/technet/security/bulletin/MS02-038.asp)

SQL Server 2000 유틸리티 내의 검사되지 않은 버퍼로 인해 코드가 실행될 수 있음(Q316333)

Microsoft Security Bulletin MS02-034

(http://www.microsoft.com/korea/technet/security/bulletin/MS02-034.asp)

SQL Server 관련 누적형 패치(Q316333)

322853

(http://support.microsoft.com/kb/322853/ )

FIX: SQL Server가 불필요한 사용 권한을 부여하거나 암호화 기능에 검사되지 않은 버퍼가 있다

316333

(http://support.microsoft.com/kb/316333/ )

INF: SQL Server 2000 서비스 팩 2의 보안 업데이트

참고 MS02-034 및 MS02-038을 준수하면 기존 관리 자격 증명 승격 취약점이 제거되고 이후의 취약점 발생을 방지하는 데 도움이 됩니다.

SQL 엔터프라이즈 관리자 대신 서비스 애플릿을 사용하여 SQL Server 또는 SQL Server 에이전트 서비스 계정 변경

SEM 대신 서비스 애플릿을 사용하여 SQL Server 서비스 계정이나 SQL Server 에이전트 서비스 계정을 변경하는 경우 추가로 설정해야 할 특정 레지스트리, NTFS 파일 시스템 권한 및 Microsoft Windows 사용자 권한이 있습니다. 이것은 사용 권한을 변경하는 데 사용할 SEM이 없는 SQL Server Desktop Engine(MSDE 2000이라고도 함) 설치에 특히 해당하는 사항입니다. 세 가지 특정 영역을 집중적으로 살펴봐야 합니다.

레지스트리 키
디스크에 대한 NTFS 권한
Windows 사용자 권한

각각에 대해서는 뒷부분에서 별도로 설명합니다.

레지스트리 키

다음 목록에 있는 레지스트리 키에서 MSSQLServer 서비스와 SQLServerAgent 서비스의 시작 계정(로컬 Microsoft Windows NT 계정 또는 도메인 Windows NT 계정)에 대해 모든 권한을 설정합니다. 다음 하이브에는 액세스 제어 목록(ACL)이 설정되는 키가 있습니다. 클러스터의 경우 클러스터의 각 노드에서 이 단계를 수행하십시오.

모든 권한 사용 권한은 다음 키와 그 하위 키에 모두 적용됩니다.

명명된 인스턴스의 경우:
HKEY_LOCAL_MACHINE\Software\Clients\Mail

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<Instancename>

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

HKEY_LOCAL_MACHINE\Software\Microsoft\Search
기본 인스턴스의 경우:
HKEY_LOCAL_MACHINE\Software\Clients\Mail

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

HKEY_LOCAL_MACHINE\Software\Microsoft\MSDTC

HKEY_LOCAL_MACHINE\Software\Microsoft\Search

참고 다음 키는 예외적으로 하위 키에 대한 사용 권한이 설정되지 않습니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Perflib

디스크에 대한 NTFS 권한

NTFS 폴더에 대한 MSSQLServer 서비스와 SQLServerAgent 서비스의 시작 계정(로컬 Windows NT 계정 또는 도메인 Windows NT 계정)에 대해 모든 권한을 설정합니다. 클러스터의 경우 각 컴퓨터 노드에서 해당하는 경로도 수정해야 합니다.

명명된 인스턴스의 예는 다음과 같습니다.

D:\Program Files\Microsoft SQL Server\MSSQL$_instancename_\

기본 인스턴스의 예는 다음과 같습니다.

D:\Program Files\Microsoft SQL Server\MSSQL\

하위 폴더와 파일에도 동일한 사용 권한이 있어야 합니다.

Windows 사용자 권한

일반적으로 운영 체제의 기본 설치에서는 SQL Server가 제대로 작동하는 데 필요한 모든 사용자 권한을 로컬 Administrators 그룹에 부여합니다. 따라서 SQL Server 서비스의 기본 계정으로 사용하기 위해 로컬 Administrators 그룹에 추가된 로컬 Windows NT 계정이나 도메인 계정은 필요한 모든 사용자 권한을 갖습니다. 하지만 이렇게 높은 수준의 사용자 권한에서 SQL Server를 실행하는 것은 좋지 않습니다.

SQL Server 또는 SQL Server 에이전트 시작 계정이 로컬 Administrators 그룹의 구성원인 것을 원하지 않으면 MSSQLServer 서비스와 SQLServerAgent 서비스의 시작 계정(로컬 Windows NT 계정 또는 도메인 Windows NT 계정)이 다음과 같은 사용자 권한을 갖고 있어야 합니다.

운영 체제의 일부로 작업 = SeTcbPrivilege
트래버스 확인 통과 = SeChangeNotify
할당량 증가 = SeIncreaseQuotaPrivilege
메모리의 페이지 잠그기 = SeLockMemory
일괄 작업으로 로그온 = SeBatchLogonRight
서비스로 로그온 = SeServiceLogonRight
프로세스 수준의 토큰 바꾸기 = SeAssignPrimaryTokenPrivilege

참고 프로그래밍 편의를 위해 Microsoft Windows NT 사용자 권한 이름은 사용자 권한의 전체 이름 옆에 있습니다.

기타 단계

참고 컴퓨터의 기본 NTFS 권한이 변경되었으면 SQL Server 시작 계정이 SQL Server 데이터베이스 데이터와 로그 파일이 있는 루트 드라이브에 대한 폴더 목록 권한을 갖고 있는지 확인하십시오.

자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

239759

(http://support.microsoft.com/kb/239759/ )

PRB: 데이터베이스를 만들 때 오류 5177이 발생할 수 있다

MSSQLServer 서비스가 시작되는 계정은 다음 중 하나입니다.

컴퓨터의 로컬 Administrators 그룹 구성원이 아닙니다.

또는
BUILTIN\Administrators SQL Server 로그인이 제거되었습니다.

MSSQLServer 또는 SQLServerAgent 서비스의 시작 계정이나 두 서비스의 시작 계정을 모두 SQL Server 시스템 관리자(sysadmin) 역할에 추가해야 합니다. [Domain\NTaccount] 사용자에게 SQL Server에 대한 로그온을 부여하십시오. 예를 들면 다음과 같습니다.

EXEC sp_grantlogin [Example\test]

그런 다음 이 계정을 sysadmin 역할에 추가하십시오.

EXEC sp_addsrvrolemember @loginame = [Example\test] 
   , @rolename =  'sysadmin'

전체 텍스트 검색이나 클러스터링과 함께 SQL Server를 사용하고 있는 경우 SQL Server 시작 계정을 SEM 이외의 것으로 변경하면 몇 가지 문제가 발생할 수 있습니다.

전체 텍스트 검색이나 클러스터링과 관련된 문제가 발생한 경우 자세한 내용은 이 문서의 "참조" 절을 참조하십시오.

SQL Server 2000과 Microsoft Windows 2000 환경에서 Kerberos 보안 지원 공급자 인터페이스(SSPI) 인증을 사용하는 경우에는 기존 서비스 사용자 이름(SPN)을 삭제한 다음 새 계정 정보로 새 SPN을 만들어야 합니다. SETSPN을 사용하여 이 작업을 수행하는 방법에 대한 자세한 내용은 SQL Server 2000 온라인 설명서에서 "보안 계정 위임" 항목을 참조하십시오.