SQL Server verwendet eine Dienst-SID Dienstisolation sicherstellen

Gilt für: SQL Server 2008 EnterpriseSQL Server 2008 R2 Enterprise

Zusammenfassung


Microsoft SQL Server mithilfe eine Sicherheitsgruppe Zugriff auf Zugriffssteuerungslisten (ACLs) anstatt direkt mit dem Dienstkonto festgelegt. Daher kann das Dienstkonto ändern erfolgen ohne Ressource ACL Prozess wiederholen. Die Gruppe kann eine lokale Sicherheitsgruppe, einer Domänensicherheitsgruppe oder Service Security Identifier (SID). Bei der SQL Server-Installation erstellt SQL Server Setup eine Dienstgruppe für jede SQL Server-Komponente. Diese Gruppen vereinfachen den Berechtigungen, die SQL Server-Dienste und andere ausführbare Dateien und Hilfedateien sichere SQL Server erforderlich sind. Je nach Konfiguration des Dienstes wird das Dienstkonto für einen Dienst oder eine SID als Mitglied der Dienstgruppe während einer Installation oder einer Aktualisierung hinzugefügt.

Microsoft SQL Server ermöglicht eine pro Dienst-SID für jedes auf Windows Server 2008 oder Windows Vista-basierten Betriebssysteme in Microsoft SQL Server 2008 und Microsoft SQL Server 2008 R2 Dienstisolation und Verteidigung. Pro Dienst-SID vom Dienstnamen abgeleitet und eindeutige ist. Beispielsweise könnten ein Dienst-SID-Name für SQL Server-Dienst folgende:
NT Service\MSSQL$< InstanceName >
Dienstisolation ermöglicht den Zugriff auf bestimmte Objekte ohne ein hoch privilegiertes Konto oder Herabsetzen der Sicherheit des Objekts. Verwenden einen Eintrag, der eine Dienst-SID enthält, kann ein SQL Server-Dienst Zugriff auf seine Ressourcen einschränken.

Für eigenständige Instanzen von SQL Server unter Windows Vista und Windows Server 2008-Betriebssysteme wird Service-SIDs der Dienstgruppe hinzugefügt und die Dienst-SID für SQL Server Engine und SQL Server Agent hinzugefügt als Benutzername der Serverrolle Sysadmin.

Für SQL Server-Failoverclusterinstanzen unter Windows Vista und Windows Server 2008-Betriebssystemen standardmäßig SQL Server Setup verwendet die Dienst-SID und SQL Server und Betriebssystem Ressource ACLs auf die Dienst-SID.

Weitere Informationen


Durch Entfernen des Dienstes SID Benutzernamen oder aus der Serverrolle Sysadmin löschen, Probleme für die verschiedenen Komponenten von SQL Server, die SQL Server-Datenbank-Engine verbunden. Die folgenden: ProblemeFür eine Standardinstanz von SQL Server korrigieren Sie dies, indem die Dienst-SID hinzufügen. Verwenden Sie hierzu die folgende Transact-SQL-Befehle:
CREATE LOGIN [NT SERVICE\MSSQLSERVER] VON WINDOWS MIT DEFAULT_DATABASE [Master] = DEFAULT_LANGUAGE = [Us_english]
GO
EXEC Master... Sp_addsrvrolemember @loginame = N'NT SERVICE\MSSQLSERVER', @rolename = N'sysadmin'
GO
CREATE LOGIN [NT SERVICE\SQLSERVERAGENT] VON WINDOWS MIT DEFAULT_DATABASE [Master] = DEFAULT_LANGUAGE = [Us_english]
GO
EXEC Master... Sp_addsrvrolemember @loginame = N'NT SERVICE\SQLSERVERAGENT', @rolename = N'sysadmin'
GO

Für eine benannte Instanz von SQL Server können Sie diese Situation korrigieren, die Dienst-SID hinzufügen. Verwenden Sie hierzu die folgende Transact-SQL-Befehle:
CREATE LOGIN [NT SERVICE\MSSQL$ SQL2008R2] VON WINDOWS MIT DEFAULT_DATABASE [Master] = DEFAULT_LANGUAGE = [Us_english]
GO
EXEC Master... Sp_addsrvrolemember @loginame = N'NT SERVICE\MSSQL$ SQL2008R2 ", @rolename = N'sysadmin'
GO
CREATE LOGIN [NT SERVICE\SQLAgent$ SQL2008R2] VON WINDOWS MIT DEFAULT_DATABASE [Master] = DEFAULT_LANGUAGE = [Us_english]
GO
EXEC Master... Sp_addsrvrolemember @loginame = N'NT SERVICE\SQLAgent$ SQL2008R2 ", @rolename = N'sysadmin'
GO

Hinweis In diesem Beispiel ist SQL2008R2 den Namen der SQL Server.

Die folgende Tabelle enthält weitere Informationen zu den Produkten und Tools, die für diese Bedingung auf die Instanz von SQL Server und der Versionen SQL Server die Regel ausgewertet wird automatisch überprüft.
Regel-softwareRegel-TitelBeschreibungProduktversionen, die Regel ausgewertet wird
System Center AdvisorSQL Server-Dienst-SID ist nicht im richtigen Zustand vorhandenSystem Center Advisor bestimmt, ob zwei Service SIDs, die während der Installation bereitgestellt werden mit derselben Konfiguration vorhanden. Entfernte Anmeldung SID Dienst deaktiviert oder Serverrolle Sysadmin entfernt generiert System Center Advisor eine Warnung für diese Instanz von SQL Server. Überprüfen Sie die Informationen im Abschnitt "Daten" der Warnung Berater und Wiederherstellen Sie die Dienst-SID auf die ursprüngliche Konfiguration.SQL Server 2008
SQL Server 2008 R2