De SQL Server- of SQL Server Agent-account wijzigen zonder gebruikmaking van SQL Enterprise Manager in SQL Server 2000 of SQL Server Configuration Manager in SQL Server 2005

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 283811
Dit artikel is eerder gepubliceerd onder NL283811
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Wanneer u Microsoft SQL Server installeert voor uitvoering met een Microsoft Windows NT-account, worden voor die account verschillende Windows-gebruikersrechten en -machtigingen voor bepaalde bestanden, mappen en registersleutels ingesteld door SQL Server . Als u de opstartaccount voor SQL Server (de MSSQLServer-service) en de SQL Server Agent-service later wijzigt met behulp van SQL Server Enterprise Manager (SEM) of SQL Server Configuration Manager (SSCM), worden door SEM automatisch alle vereiste machtigingen en Windows-gebruikersrechten toegewezen aan de nieuwe opstartaccount, zodat u niets hoeft te doen. Wij raden u aan de account voor de service op deze manier te wijzigen.

Opmerking U moet beschikken over beheerdersrechten op de externe server om deze functionaliteit te kunnen gebruiken binnen SQL Server Enterprise Manager.

Als u echter de invoegtoepassing Services in het Configuratiescherm of in Systeembeheer gebruikt om de gegevens van de opstartaccount voor de MSSQLServer-service of de SQL Server Agent-service te wijzigen, moet u aanvullende machtigingen en gebruikersrechten instellen.

In dit artikel worden de stappen beschreven die u moet uitvoeren voor het wijzigen van de opstartaccount via het onderdeel Services.

Bezoek voordat u verdergaat de volgende Microsoft-websites en bekijk de artikelen in de Microsoft Knowledge Base:
Microsoft Beveiligingsbulletin MS02-038
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx

Microsoft Security Bulletin MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx
322853FIX: SQL Server verleent onnodige machtigingen of een gecodeerde functie bevat niet-gecontroleerde buffers
316333SQL Server 2000-beveiligingsupdate voor Service Pack 2
Opmerking Als wordt voldaan aan MS02-034 en MS02-038, kunnen kwaadwillende gebruikers niet meer via bestaande lekken op onrechtmatige wijze in het bezit komen van hogere beheerdersreferenties en zal dit ook in de toekomst niet meer mogelijk zijn.

De account van SQL Server of de SQL Server Agent-service wijzigen via de invoegtoepassing Services in plaats van SQL Enterprise Manager of SQL Server Management Studio

Als u de serviceaccount van SQL Server of van SQL Server Agent wijzigt met de invoegtoepassing Services in plaats van met SEM of SSCM, moet u ook bepaalde register- en NTFS-bestandssysteemmachtigingen en Microsoft Windows-gebruikersrechten instellen. Dit geldt vooral voor installaties van SQL Server Desktop Engine (ook wel MSDE 2000 genoemd) of SQL Server 2005 Express Edition omdat u hierbij niet over SEM of SSCM beschikt om de wijzigingen in de machtigingen uit te voeren. Er zijn drie specifieke onderdelen die van belang zijn:
  • Registersleutels
  • Machtigingen voor het NTFS-bestandssysteem op de schijf
  • Windows-gebruikersrechten
Deze drie onderdelen worden hierna afzonderlijk toegelicht.

Registersleutels

In de onderstaande registersleutels moet u voor de opstartaccount voor de MSSQLServer-service en de SQLServerAgent-service (een lokale Microsoft Windows NT-account of een Windows NT-domeinaccount) de machtiging Volledig beheer instellen. Onder de volgende onderdelen zijn de sleutels in deze lijst de sleutels waarin ACL's (Access Control Lists) worden ingesteld. Voor clusters moet u deze stap uitvoeren op elk knooppunt in het cluster.

De machtiging Volledig beheer geldt voor de volgende sleutels en alle onderliggende sleutels:
  • Voor een benoemd exemplaar:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<naamexemplaar>
  • Voor een standaardexemplaar:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

SQL Server 2005

In het geval van een benoemd exemplaar of een standaardexemplaar wordt de machtiging Volledig beheer toegepast op de volgende sleutels en alle onderliggende sleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\90


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<MSSQL.x>
Opmerking In deze registersubsleutel is <MSSQL.x> een tijdelijke aanduiding voor de bijbehorende waarde voor het systeem. U kunt deze waarde vaststellen aan de hand van de waarde van de registervermelding die in de volgende registersubsleutel wordt vermeld als exemplaarnaam. De exemplaarnaam voor een standaardexemplaar is MSSQLSERVER:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL\

Machtigingen voor het NTFS-bestandssysteem op de schijf

Voor de onderstaande NTFS-mappen moet u voor de opstartaccount voor de MSSQLServer-service en de SQLServerAgent-service (een lokale Microsoft Windows NT-account of een Windows NT-domeinaccount) de machtiging Volledig beheer instellen. Voor clusters moet u tevens de bijbehorende paden op elk computerknooppunt aanpassen.

Hier ziet u een voorbeeld van een benoemd exemplaar:
D:\Program Files\Microsoft SQL Server\MSSQL$_naamexemplaar_\
Hier ziet u een voorbeeld van een standaardexemplaar:
D:\Program Files\Microsoft SQL Server\MSSQL\
Submappen en bestanden moeten dezelfde machtigingen hebben.

SQL Server 2005

Dit is de bijbehorende map:
station:\Program Files\Microsoft SQL Server\<MSSQL.1>\MSSQL

Windows-gebruikersrechten

Bij een standaardinstallatie van het besturingssysteem krijgt de lokale groep Administrators alle gebruikersrechten die SQL Server nodig heeft om goed te kunnen werken. Dit betekent dat lokale Windows NT-accounts of domeinaccounts die aan deze groep zijn toegevoegd om te fungeren als de opstartaccount voor de SQL Server-service, automatisch over alle benodigde gebruikersrechten beschikken. Het wordt echter afgeraden SQL Server met gebruikersrechten van een dergelijk hoog niveau uit te voeren.

Als u niet wilt dat de opstartaccount voor SQL Server of de SQL Server Agent-service deel uitmaakt van de lokale groep Administrators, moet de opstartaccount voor de MSSQLServer-service en de SQLServerAgent-service (een lokale Windows NT-account of een Windows NT-domeinaccount) deze gebruikersrechten hebben:
  • Act as Part of the Operating System = SeTcbPrivilege
  • Bypass Traverse Checking = SeChangeNotify
  • Lock Pages In Memory = SeLockMemory
  • Log on as a Batch Job = SeBatchLogonRight
  • Log on as a Service = SeServiceLogonRight
  • Replace a Process Level Token = SeAssignPrimaryTokenPrivilege
Opmerking Voor het overzicht tijdens het programmeren worden namen van Microsoft Windows NT-gebruikersrechten weergegeven naast de volledige naam van het gebruikersrecht.

Overige stappen

Opmerking Als de standaardmachtigingen voor het NTFS-bestandssysteem op uw computer zijn gewijzigd, moet voor de SQL Server-opstartaccount de machtiging Map weergeven zijn ingeschakeld voor het hoofdstation met de SQL Server-databasegegevens en -logboekbestanden.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
239759Fout 5177 doet zich voor bij het maken van databases

Als de opstartaccount voor de MSSQLServer-service een van de volgende twee accounts is, moet u de opstartaccount voor de service MSSQLServer of SQLServerAgent, of beide, toevoegen aan de SQL Server-rol sysadmin) en de gebruiker [Domain\NTaccount] aanmeldingsrechten geven voor SQL Server.
  • Geen lid van de lokale groep Administrators van de computer.
  • De aanmelding BUILTIN\Administrators SQL Server is verwijderd.
Voorbeeld:
EXEC sp_grantlogin [Voorbeeld\test]
Voeg die account vervolgens toe aan de rol sysadmin:
EXEC sp_addsrvrolemember @loginame = [Voorbeeld\test] 
   , @rolename =  'sysadmin'

Als u SQL Server gebruikt met de functie Zoeken in volledige tekst of clustering, kunnen er diverse problemen optreden wanneer u de SQL Server-opstartaccounts niet aanpast met SEM.

Zie de sectie 'Verwijzingen' van dit artikel als er problemen optreden bij het gebruik van de functie Zoeken in volledige tekst of clustering.

Als u SSPI-verificatie (Kerberos Security Support Provider Interface) gebruikt in een omgeving met SQL Server 2000 en Microsoft Windows 2000, moet u de oude SPN (Service Principal Name) verwijderen en een nieuwe SPN maken met de nieuwe accountgegevens. In het onderwerp 'Security Account Delegation' in de online boekbestanden van SQL Server 2000 kunt u lezen hoe u dit kunt doen met SETSPN.

Referenties

Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
317746Catalogi worden niet ingevuld bij zoeken in volledige tekst in SQL Server
317232Berichten over gebeurtenis-id 1107 en 1079 verschijnen na het wijzigen van het wachtwoord voor de clusterserviceaccount
295051FIX: Bestaande catalogi worden onbruikbaar bij het wijzigen van een SQL Server-account in niet-beheerder voor het zoeken in volledige tekst
254321Aanbevelingen, afgeraden procedures en algemene waarschuwingen voor SQL Server-clusters
239885Serviceaccounts wijzigen op een virtuele SQL-server
219264Volgorde van installatie voor SQL Server 7.0-clusters
198168Fout: Er treden problemen op bij het wijzigen van accountgegevens voor een SQL Server-cluster
Ga voor meer informatie naar de volgende Microsoft-website:
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sqlc2.mspx

Eigenschappen

Artikel ID: 283811 - Laatste beoordeling: dinsdag 15 februari 2011 - Wijziging: 10.3
Trefwoorden: 
kbsqlmanagementtools kbinfo kbsql2005cluster kbhowtomaster KB283811

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com