Jak změnit účet služby SQL Server nebo SQL Server Agent bez použití SQL Enterprise Manager serveru SQL Server 2000 nebo SQL Server Správce konfigurace, SQL Server 2005

Souhrn

Při první instalaci Microsoft SQL Server spustit pod účtem Microsoft Windows NT, SQL Server nastaví pro tento účet systému Windows NT různé Windows uživatelská práva a oprávnění na určité soubory, složky a klíče registru. Pokud později změnit spouštěcí účet pro SQL Server (MSSQLServer service) a službou Agent serveru SQL Server pomocí SQL Server Enterprise Manager (SEM) nebo SQL Server Správce konfigurace (SSCM), SEM automaticky přiřadí požadovaná oprávnění a uživatelská práva systému Windows nové spouštěcí účet pro vás, takže nemusíte dělat žádné další kroky. Doporučujeme použít tento přístup změnit účet služby.

Poznámka: Na vzdáleném serveru, tato funkce je k dispozici v rámci SQL Server Enterprise Manager, musíte mít práva správce.

Pokud používáte doplněk služby v Ovládacích panelech nebo Nástroje pro správu změnit spouštěcí informace účtu MSSQLServer service nebo služba Agent serveru SQL, existují však další oprávnění a uživatelská práva, které je nutné nastavit.

Tento článek popisuje kroky, které je nutné provést při změně spouštěcí informace účtu služby pomocí doplňku.

Dříve než budete pokračovat, naleznete na následujících webech společnosti Microsoft a v článcích znalostní báze společnosti Microsoft:Microsoft Security Bulletin MS02-038
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx

Bulletin zabezpečení společnosti Microsoft MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx
322853 oprava: SQL Server uděluje nadbytečná oprávnění nebo šifrovací funkce obsahuje nekontrolované vyrovnávací paměti

Poznámka: Dodržování MS02-034 a MS02-038 odstraňuje existující pověření pro správu zvýšení chyby a pomáhá zabránit budoucí ty.

Změna serveru SQL Server nebo účet služby Agent serveru SQL pomocí doplňku služby namísto použití SQL Enterprise Manager nebo SQL Server Management Studio

Při změně účtu služby SQL Server nebo účet služby Agent serveru SQL pomocí doplňku služby namísto použití SEM nebo SSCM existují některé registru a systému souborů NTFS souboru systému oprávnění a uživatelská práva systému Windows musí být také nastavena. To platí zejména pro instalace serveru SQL Server 2005 Express Edition a SQL Server Desktop Engine (také známé jako MSDE 2000) vzhledem k tomu, že máte SEM nebo SSCM použít k provedení změny oprávnění. Existují tři konkrétní oblasti, které se musí zaměřit na:
  • Klíče registru.
  • Oprávnění systému souborů NTFS na disku.
  • Windows uživatelská práva.
Každý z nich je samostatně popsána v následujících odstavcích.

Klíče registru

Nastavení Úplné řízení pro spouštěcí účet pro služby MSSQLServer a SQLServerAgent služby (místní účet systému Microsoft Windows NT, nebo účet domény systému Windows NT) v klíčích registru, které jsou v následujícím seznamu. Podle následující podregistry tez klíče v tomto seznamu jsou klíče, kde jsou seznamy řízení přístupu (ACL) nastavení. Clustery postupujte podle tohoto kroku v každém uzlu v clusteru.

Oprávnění k úplnému řízení se vztahuje na následující klíče a všechny podřízené klíče:
  • Pojmenovaná instance:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\ <Název_instance>
  • Pro výchozí instance:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

Pokud používáte SQL Server 2005

Pojmenovaná instance nebo výchozí instance platí oprávnění Úplné řízení pro následující klíče a všechny podřízené klíče:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\90

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\ < MSSQL.x >
Poznámka: V tomto podklíči registru < MSSQL.x > je zástupný symbol pro odpovídající hodnota v systému. Můžete určit odpovídající hodnota systému z hodnoty položky registru s názvem jako název instance v následujícím podklíči registru. Pro výchozí instance název instance je MSSQLSERVER:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL\

Oprávnění systému souborů NTFS na disku

V těchto složkách systému souborů NTFS nastavena Úplné řízení pro spouštěcí účet pro služby MSSQLServer a SQLServerAgent služby (místní účet systému Windows NT, nebo účet domény systému Windows NT). Pro clustery musíte také upravit odpovídajících cest v každém počítači uzlu.

Zde je příklad pojmenovaná instance:
D:\Program Files\Microsoft SQL Server\MSSQL$ _instancename_\
Zde je příklad pro výchozí instance:
D:\Program Files\Microsoft SQL Server\MSSQL\
Také podsložky a soubory musí mít stejná oprávnění.

Pokud používáte SQL Server 2005

odpovídající složky je následující:
Jednotka: SQL Server\ \Program Files\Microsoft < MSSQL.1 > \MSSQL

Windows uživatelská práva

Obvykle výchozí instalace operačního systému poskytuje Místní skupině Administrators všech uživatelských práv, které SQL Server potřebuje ke správné funkci. Místní účty systému Windows NT nebo účty domény, které byly přidány do Místní skupiny Administrators, se záměrem je spouštěcí účet služby SQL Server, tudíž všechna uživatelská práva, která potřebují. Spuštění serveru SQL Server v rámci takových vysoká uživatelská práva však nedoporučujeme.

SQL Server 2005 Pokud nechcete SQL Server nebo SQL Server Agent spouštěcí účet být členem místní skupiny Administrators naleznete v části "Revizí WINDOWSNT práv a oprávnění uděleno pro Server účtů služeb serveru SQL" v tématu "Nastavení Up Windows Service účty" v SQL Server 2005 Books Online.

Pro SQL Server 2000 Pokud nechcete SQL Server nebo SQL Server Agent spouštěcí účet být členem Místní skupiny Administrators, potom spouštěcí účet pro služby MSSQLServer a SQLServerAgent služby (místní účet systému Windows NT, nebo účet domény systému Windows NT) musí mít tato uživatelská práva:
  • Jednat jako část operačního systému = SeTcbPrivilege
  • Obejít kontrolu procházet = SeChangeNotify
  • Uzamknout stránky v paměti = SeLockMemory
  • Přihlaste se jako dávková úloha = SeBatchLogonRight
  • Přihlaste se jako služba = SeServiceLogonRight
  • Nahradit Token úrovně procesu = SeAssignPrimaryTokenPrivilege
Poznámka: Pro programování pohodlí názvy práva uživatele systému Microsoft Windows NT jsou umístěny vedle úplný název uživatelské právo.

Poznámka: Inicializace rychlé souboru je dostupná pouze pokud účet služby SQL Server (MSSQLSERVER) uděleno právo SE_MANAGE_VOLUME_NAME. Mají toto právo členové skupiny Administrators systému Windows. Tyto členy můžete přidáním uživatelů do zásad zabezpečení provádět úlohy údržby svazku udělit toto oprávnění jiným uživatelům.

Různé kroky

Poznámka: Pokud výchozí NTFS oprávnění systému souborů v počítači byly změněny, ujistěte se, že spouštěcí účet serveru SQL Server má oprávnění Zobrazovat obsah složky na kořenové jednotce, kde jsou umístěny soubory protokolu a dat databáze serveru SQL Server.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

239759 chyba 5177 může být zvýšen při vytvoření databáze


Pokud účet, který služba MSSQLServer bude začínat jedním z následujících dvou účtů, musíte přidat spouštěcí účet MSSQLServer a SQLServerAgent služby nebo jak na serveru SQL Server sysadmin) role a udělit uživateli [Domain\NTaccount] přihlášení k serveru SQL Server.
  • Není členem v počítači Místní skupiny Administrators.
  • Přihlášení BUILTIN\Administrators SQL Server byl odebrán.
Například:
EXEC sp_grantlogin [Example\test]
Pak přidejte tento účet do sysadmin role:
EXEC sp_addsrvrolemember @loginame = [Example\test]    , @rolename =  'sysadmin'

Pokud používáte SQL Server společně s buď fulltextového vyhledávání nebo pomocí služby clusterů, změna účty při spuštění serveru SQL Server pomocí nic jiného, než SEM může způsobit několik problémů.

Pokud dojde k problémům s fulltextového vyhledávání nebo clustering, naleznete v části "Odkazy" tohoto článku pro další informace.

Pokud používáte ověřování Kerberos Security Support Provider Interface (SSPI) v prostředí serveru SQL Server 2000 a Microsoft Windows 2000, musí přetažení vaše staré hlavní název služby (SPN) a vytvořte nový řádek s informací o novém účtu. Naleznete v tématu "Zabezpečení účtu delegování" v SQL Server 2000 Books Online Další informace o tom, jak to provést pomocí SETSPN.

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

317746 fulltextové vyhledávání serveru SQL Server nenaplňuje katalogy

317232 události ID 1107 a 1079 zpráv dochází po změně hesla účtu Clusterové služby

295051 oprava: Změna SQL Server účet správce pro fulltextové vyhledávání umožňuje existující katalogy nepoužitelná

254321 clusterů serveru SQL Server úkoly, co nedělat případě a základní upozornění

239885 jak změnit účty služby na virtuálním serveru SQL

219264 pořadí instalace pro nastavení clustering SQL Server 7.0.

198168 BUG: při změně informací o účtu pro cluster serveru SQL Server, může dojít k problémům

Další informace naleznete na následujícím webu společnosti Microsoft:
Vlastnosti

ID článku: 283811 - Poslední kontrola: 23. 1. 2017 - Revize: 1

Váš názor