Изменение учетной записи службы SQL Server или агента SQL Server без использования SQL Enterprise Manager в SQL Server 2000 или диспетчера конфигурации SQL Server в SQL Server 2005

Переводы статьи Переводы статьи
Код статьи: 283811 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

При первой установке Microsoft SQL Server для выполнения от имени учетной записи Microsoft Windows NT SQL Server устанавливает для этой учетной записи Windows NT различные разрешения и права пользователей Windows для определенных файлов, папок и разделов реестра. При последующем изменении начальной учетной записи службы SQL Server (служба MSSQLServer) и агента SQL Server Agent с помощью SQL Server Enterprise Manager (SEM) или диспетчера конфигурации SQL Server (SSCM) SEM автоматически устанавливает новой начальной учетной записи все необходимые разрешения и права пользователей Windows, поэтому нет необходимости выполнять дополнительные действия. Рекомендуется использовать этот способ изменения учетной записи службы.

Примечание. Чтобы эти функции SQL Server Enterprise Manager были доступными, необходимо иметь права администратора на удаленном сервере.

Однако при использовании надстройки Службы панели управления или компонента Администрирование для изменения сведений начальной учетной записи службы MSSQLServer или службы агента SQL Server необходимо установить дополнительные разрешения и права пользователей.

В данной статье описаны пошаговые инструкции для изменения сведений начальной учетной записи с помощью надстройки Службы.

Предварительно обратитесь на следующие веб-узлы корпорации Майкрософт и к следующим статьям базы знаний Майкрософт:
Бюллетень по безопасности Microsoft MS02-038
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx

Бюллетень по безопасности MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx
322853 FIX: SQL Server предоставляет излишние права; переполнение буфера в функции шифрования (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316333 Обновление безопасности для SQL Server 2000 с пакетом обновления 2 (SP2)
Примечание. Соблюдение бюллетеней по безопасности MS02-034 и MS02-038 устраняет уязвимости при превышении прав администратора и предотвращает их появление в будущем.

Изменение учетной записи службы SQL Server или агента SQL Server с помощью надстройки служб вместо использования SQL Enterprise Manager ил SQL Server Management Studio

При изменении учетной записи службы SQL Server Service или агента SQL Server с помощью надстройки Службы вместо использования SEM или SSCM также необходимо установить определенные разрешения на доступ к разделам реестра и разрешения файловой системы NTFS, а также права пользователей Microsoft Windows. Это особенно важно для установок SQL Server Desktop Engine (также называется MSDE 2000) и SQL Server 2005 Express Edition, поскольку для изменения разрешений нельзя использовать SEM и SSCM. Следует обратить внимание на три определенных области.
  • Разделы реестра.
  • Разрешения файловой системы NTFS для диска.
  • Права пользователей Windows.
Эти две области отдельно рассматриваются в следующих абзацах.

Разделы реестра

Для начальной учетной записи служб MSSQLServer и SQLServerAgent (локальная учетная запись Microsoft Windows NT и учетная запись домена Windows NT) установите значение Полный доступ для следующих разделов реестра. Для следующих кустов реестра для перечисленных разделов установлены списки управления доступом (ACL). Для кластеров выполните это действие на каждом узле кластера.

Полный доступ предоставляется следующим разделам и всем дочерним разделам.
  • Для именованного экземпляра:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<имя_экземпляра>
  • Для экземпляра по умолчанию:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

При использовании SQL Server 2005

Для именованного экземпляра или экземпляра по умолчанию для следующих разделов и всех дочерних разделов предоставляется полный доступ.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\90


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<MSSQL.x>
Примечание. Здесь <MSSQL.x> — это соответствующее значение для вашей системы. Соответствующее значение для системы можно определить с помощью параметра реестра с именем экземпляра в следующем разделе реестра. Для экземпляра по умолчанию именем экземпляра является MSSQLSERVER:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL\

Разрешения файловой системы NTFS для диска

Установите Полный доступ для начальной учетной записи служб MSSQLServer и SQLServerAgent (локальная учетная запись Windows NT или учетная запись домена Windows NT) в этих папках NTFS. Для кластеров также необходимо изменить соответствующие папки на всех узлах компьютера.

Ниже приведен пример именованного экземпляра:
D:\Program Files\Microsoft SQL Server\MSSQL$_instancename_\
Ниже приведен пример экземпляра по умолчанию:
D:\Program Files\Microsoft SQL Server\MSSQL\
Подпапки и файлы должны иметь эти же разрешения.

При использовании SQL Server 2005

соответствующая папка следующая:
Диск:\Program Files\Microsoft SQL Server\<MSSQL.1>\MSSQL

Права пользователей Windows

Обычно установка операционной системы по умолчанию предоставляет локальной группе администраторов все права пользователей, необходимые для правильной работы SQL. Поэтому локальные учетные записи Windows NT и учетные записи доменов, добавленные в локальную группу администраторов с целью стать начальной учетной записью для службы SQL Server, имеют все необходимые права пользователей. Однако запуск SQL Server с такими большими правами не рекомендуется.

Для SQL Server 2005, если начальная учетная запись SQL Server или агента SQL Server Agent не должна являться членом локальной группы администраторов, см. раздел «Reviewing Windows NT Rights and Privileges Granted for SQL Server Service Accounts» (Обзор прав и привилегий Windows NT, предоставляемых учетных записям службы SQL Server ) в теме «Setting Up Windows Service Accounts» (Настройка учетных записей служб Windows) руководства SQL Server 2005 Books Online.

Для SQL Server 2000, если начальная учетная запись SQL Server или агента SQL Server не должна являться членом локальной группы администраторов, начальная учетная запись для служб MSSQLServer и SQLServerAgent (локальная учетная запись Windows NT или учетная запись домена Windows NT) должна иметь следующие права пользователя.
  • Работа в режиме операционной системы = SeTcbPrivilege
  • Обход перекрестной проверки = SeChangeNotify
  • Блокировка страниц в памяти = SeLockMemory
  • Вход в качестве пакетного задания = SeBatchLogonRight
  • Вход в качестве службы = SeServiceLogonRight
  • Замена маркера уровня процесса = SeAssignPrimaryTokenPrivilege
Примечание. Для удобства программирования названия прав пользователей Microsoft Windows NT расположены рядом с полным названием права пользователя.

Различные действия

Примечание. При изменении разрешений файловой системы NTFS по умолчанию необходимо убедиться, что для начальной учетной записи в корневом каталоге, в котором находятся база данных SQL Server и файлы журнала, установлено разрешение Список папок.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
239759 При создании баз данных может возникать ошибка 5177 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Если учетная запись, в которой выполняется запуск службы MSSQLServer, является одной из следующих двух учетных записей, необходимо добавить учетную запись для службы MSSQLServer или SQLServerAgent или их обеих в рольsysadmin)SQL Server и предоставить пользователю [Domain\NTaccount] право на вход в SQL Server.
  • Запишите членов локальной группы администраторов компьютера.
  • Учетная запись SQL Server BUILTIN\Administrators удалена.
Например:
EXEC sp_grantlogin [Example\test]
Затем, добавьте учетную запись в роль sysadmin:
EXEC sp_addsrvrolemember @loginame = [Example\test] 
   , @rolename =  'sysadmin'

При использовании SQL Server вместе с полнотекстовым поиском или кластеризацией изменение начальных учетных записей SQL Server не с помощью SEM может привести к ряду проблем.

При возникновении проблем с полнотекстовым поиском или кластеризацией см. раздел «Ссылки» этой статьи для получения дополнительных сведений.

При использовании проверки подлинности Kerberos в интерфейсе поставщика поддержки безопасности (SSPI) в SQL Server 2000 или среде Microsoft Windows 2000 необходимо удалить старое имя участника службы (SPN) и создать новое со сведениями новой учетной записи. Дополнительные сведения об использовании средства SETSPN для этих целей см. в разделе «Security Account Delegation» руководства SQL Server 2000 Books Online.

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
317746 Полнотекстовый поиск SQL Server не заполняет каталоги (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
317232 При изменении пароля учетной записи службы кластеров появляются сообщения с кодами событий 1107 и 1079 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
295051 FIX: Установка для учетной записи SQL Server не административных прав для полнотекстового поиска делает невозможным использование существующих каталогов (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
254321 Запрещающие, обязующие и основные предупреждения кластерного SQL Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
239885 Изменение учетных записей служб на виртуальном сервере SQL (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
219264 Очередность установки кластеризации SQL Server 7.0 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
198168 ОШИБКА: При изменении сведений учетной записи для кластера SQL Server могут возникнуть проблемы (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sqlc2.mspx

Свойства

Код статьи: 283811 - Последний отзыв: 15 мая 2011 г. - Revision: 11.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Ключевые слова: 
kbsqlmanagementtools kbinfo kbsql2005cluster kbhowtomaster KB283811

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com