sql server 服务账户和权限管理配置

admin管理员组

文章数量:1567560

2024年7月16日发(作者：)

大多数服务及其属性可通过使用 SQL Server 配置管理器进行配置。 以下是在 C 盘安装

Windows 的情况下最新的四个版本的路径。

SQL Server 2016 C:

SQL Server 2014 C:

SQL Server 2012 C:

SQL Server 2008 C:

安装的服务 SQL Server

根据您决定安装的组件，SQL Server 安装程序将安装以下服务：

 SQL Server Database Services - 用于 SQL Server 关系 数据库引擎 的服务。 可

执行文件为 。

 SQL Server 代理 - 执行作业、监视 SQL Server、激发警报以及允许自动执行某些管

理任务。 SQL Server 代理服务在 SQL Server Express 的实例上存在，但处于禁用状

态。 可执行文件为 。

 Analysis Services - 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功

能。 可执行文件为 。

 Reporting Services - 管理、执行、创建、计划和传递报表。 可执行文件为

Reporting

。

 Integration Services - 为 Integration Services 包的存储和执行提供管理支持。 可

执行文件的路径是

 SQL Server Browser - 向客户端计算机提供 SQL Server 连接信息的名称解析服务。

可执行文件的路径为 c:Program Files (x86)Microsoft SQL

 全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引，从而为 SQL

Server 提供文档筛选和断字功能。





SQL 编写器 - 允许备份和还原应用程序在卷影复制服务 (VSS) 框架中运行。

SQL Server 分布式重播控制器 - 跨多个分布式重播客户端计算机提供跟踪重播业务

流程。

 SQL Server Distributed Replay 客户端 - 与 Distributed Replay 控制器一起来模

拟针对 SQL Server 数据库引擎 实例的并发工作负荷的一台或多台 Distributed

Replay 客户端计算机。

 SQL Server 受信任的启动板 - 用于托管 Microsoft 提供的外部可执行文件的可信服

务，例如作为 R Services (In-database) 的一部分安装的 R 运行时。 附属进程可由

启动板进程启动，但将根据单个实例的配置进行资源调控。 启动板服务在其自己的用

户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。 附属进程

将在执行过程中按需创建和销毁。

服务属性和配置

用于启动和运行 SQL Server 的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、

虚拟帐户或内置系统帐户。 若要启动和运行 SQL Server 中的每项服务，这些服务都必须有一

个在安装过程中配置的启动帐户。

默认服务帐户

下表列出了安装程序在安装所有组件时使用的默认服务帐户。 列出的默认帐户是建议使用的帐

户，但特殊注明的除外。

独立服务器或域控制器

组件

Windows Server 2008（可能为英

文页面）

Windows 7 和 Windows Server 2008（可

能为英文页面） R2 及更高版本

数据库引擎

NETWORK SERVICE

虚拟帐户*

SQL Server 代

理

NETWORK SERVICE

虚拟帐户*

SSAS

NETWORK SERVICE

虚拟帐户*

SSIS

NETWORK SERVICE

虚拟帐户*

SSRS

NETWORK SERVICE

虚拟帐户*

SQL Server 分

布式重播控

NETWORK SERVICE

虚拟帐户*

组件

Windows Server 2008（可能为英

文页面）

Windows 7 和 Windows Server 2008（可

能为英文页面） R2 及更高版本

制器

SQL Server 分

布式重播客

户端

NETWORK SERVICE

虚拟帐户*

FD 启动器

LOCAL SERVICE

（全文搜索）

虚拟帐户

SQL Server LOCAL SERVICE

Browser

LOCAL SERVICE

SQL Server LOCAL SYSTEM

VSS 编写器

LOCAL SYSTEM

高级分析扩

展

NTSERVICEMSSQLLaunchpad

NTSERVICEMSSQLLaunchpad

*当需要 SQL Server 计算机外部的资源时，Microsoft 建议使用配置了必需的最小特权的托管

服务帐户 (MSA)。

SQL Server 故障转移群集实例

组件

Windows Server 2008（可能为英

文页面）

Windows Server 2008（可能为英文

页面） R2

组件

Windows Server 2008（可能为英

文页面）

Windows Server 2008（可能为英文

页面） R2

数据库引擎

无。 提供 域用户 帐户。

提供 域用户 帐户。

SQL Server 代理

无。 提供 域用户 帐户。

提供 域用户 帐户。

SSAS

无。 提供 域用户 帐户。

提供 域用户 帐户。

SSIS

NETWORK SERVICE

虚拟帐户

SSRS

NETWORK SERVICE

虚拟帐户

FD 启动器（全文搜

索）

LOCAL SERVICE

虚拟帐户

SQL Server Browser

LOCAL SERVICELOCAL SERVICE

SQL Server VSS 编

写器

LOCAL SYSTEMLOCAL SYSTEM

更改帐户属性

重要事项







始终使用 SQL Server 工具（例如 SQL Server 配置管理器）来更改 SQL Server 数据

库引擎 或 SQL Server 代理服务使用的帐户，或更改帐户的密码。 除了更改帐户名

称以外， SQL Server 配置管理器还可以执行其他配置，例如，更新保护 数据库引

擎的服务主密钥的 Windows 本地安全存储区。 其他工具（例如 Windows 服务控

制管理器）可以更改帐户名称，但不更改所有必需的设置。

对于您在 SharePoint 场中部署的 Analysis Services 实例，始终使用 SharePoint 管理

中心为 Power Pivot 服务 应用程序和 Analysis Services 服务更改服务器帐户。 使

用管理中心时，关联的设置和权限将更新为使用新的帐户信息。

若要更改 Reporting Services 选项，请使用 Reporting Services 配置工具。

托管服务帐户、组托管服务帐户和虚拟帐户

托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如 SQL Server）提供

其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称 (SPN) 和凭据。 这

就使得管理服务帐户用户、密码和 SPN 的过程变得简单得多。

 托管服务帐户

托管服务帐户 (MSA) 是一种由域控制器创建和管理的域帐户。 它分配给单个成员计算

机以用于运行服务。 域控制器将自动管理密码。 您不能使用 MSA 登录到计算机，但

计算机可以使用 MSA 来启动 Windows 服务。 MSA 可以向 Active Directory 注

册服务主体名称 (SPN)。 MSA 的名称中有一个 $ 后缀，例如

DOMAINACCOUNTNAME$。 在指定 MSA 时，请将密码留空。 因为将 MSA 分

配给单个计算机，它不能用于 Windows 群集的不同节点。

说明

域管理员必须先在 Active Directory 中创建 MSA，然后 SQL Server 安

装程序才能将其用于 SQL Server 服务。

 组托管服务帐户

组托管服务帐户是针对多个服务器的 MSA。 Windows 为在一组服务器上运行的服务

管理服务帐户。 Active Directory 自动更新组托管服务帐户密码，而不重启服务。 你

可以配置 SQL Server 服务以使用组托管服务帐户主体。 SQL Server 2016 对于独立

实例、故障转移群集实例和可用性组，在 Windows Server 2012 R2 和更高版本上支

持组托管服务帐户。

若要使用 SQL Server 2016 或更高版本的组托管服务帐户，操作系统必须是

Windows Server 2012 R2 或更高版本。 装有 Windows Server 2012 R2 的服务器

需要应用 KB 2998082，以便服务可以在密码更改后立即登录而不中断。

有关详细信息，请参阅组托管服务帐户

说明

域管理员必须先在 Active Directory 中创建组托管服务帐户，然后 SQL

Server 安装程序才能将其用于 SQL Server 服务。

 虚拟帐户

Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是“托管的本地帐户” ，此

类帐户提供以下功能以简化服务管理。 虚拟帐户是自动管理的，并且虚拟帐户可以访

问域环境中的网络。 如果在 Windows Server 2008 R2 或 Windows 7 上安装 SQL

Server 时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格

式为 NT SERVICE

。 以虚拟帐户身份运行的服务通过使用计算机

帐户的凭据（格式为

$）访问网络资源。 当指

定一个虚拟帐户以启动 SQL Server 时，应将密码留空。 如果虚拟帐户无法注册服务

主体名称 (SPN)，则手动注册该 SPN。 有关手动注册 SPN 的详细信息，请参阅 手

动注册 SPN。

说明

虚拟帐户不能用于 SQL Server 故障转移群集实例，因为虚拟帐户在群集

的每个节点不会有相同 SID。

下表列出了虚拟帐户名称的示例。

服务

虚拟帐户名称

数据库引擎服务的默认实例

NT SERVICEMSSQLSERVER

名为 数据库引擎 的 的服务的命名实例

NT SERVICEMSSQL$PAYROLL

SQL Server 代理服务，位于以下默认实例上： SQL

NT SERVICESQLSERVERAGENT

Server

服务

虚拟帐户名称

SQL Server 的 SQL Server 的 的

NT

SERVICESQLAGENT$PAYROLL

安全说明 始终用尽可能低的用户权限运行 SQL Server 服务。 就会使用 MSA 或 virtual

account 。 当无法使用 MSA 和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将

共享帐户用于 SQL Server 服务。 对不同的 SQL Server 服务使用单独的帐户。 不要向 SQL

Server 服务帐户或服务组授予其他权限。 在支持服务 SID 的情况下，将通过组成员身份或直

接将权限授予服务 SID。

防火墙端口

在大多数情况下，首次安装时，可以通过与 数据库引擎 安装在相同计算机上的 SQL Server

Management Studio 等此类工具连接 SQL Server。 SQL Server 安装程序不会在 Windows

防火墙中打开端口。 在将数据库引擎配置为侦听 TCP 端口，并且在 Windows 防火墙中打开

适当的端口进行连接之前，将无法从其他计算机建立连接。

配置 Windows 服务帐户和

权限

SQL Server 2016

其他版本

适用于： SQL Server 2016

SQL Server 中的每个服务表示一个进程或一组进程，用于通过 Windows 管理 SQL Server

操作的身份验证。 本主题介绍此 SQL Server版本中服务的默认配置，以及可以在 SQL Server

安装过程中以及安装之后设置的 SQL Server 服务的配置选项。 本主题将帮助高级用户了解服

务帐户的详细信息。

大多数服务及其属性可通过使用 SQL Server 配置管理器进行配置。 以下是在 C 盘安装

Windows 的情况下最新的四个版本的路径。

SQL Server 2016

C:

SQL Server 2014

C:

SQL Server 2012

C:

SQL Server 2008

C:

安装的服务 SQL Server

根据您决定安装的组件，SQL Server 安装程序将安装以下服务：

 SQL Server Database Services - 用于 SQL Server 关系 数据库引擎 的服务。 可

执行文件为 。

 SQL Server 代理 - 执行作业、监视 SQL Server、激发警报以及允许自动执行某些管

理任务。 SQL Server 代理服务在 SQL Server Express 的实例上存在，但处于禁用状

态。 可执行文件为 。

 Analysis Services - 为商业智能应用程序提供联机分析处理 (OLAP) 和数据挖掘功

能。 可执行文件为 。

 Reporting Services - 管理、执行、创建、计划和传递报表。 可执行文件为

Reporting

。

 Integration Services - 为 Integration Services 包的存储和执行提供管理支持。 可

执行文件的路径是

 SQL Server Browser - 向客户端计算机提供 SQL Server 连接信息的名称解析服务。

可执行文件的路径为 c:Program Files (x86)Microsoft SQL

 全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引，从而为 SQL

Server 提供文档筛选和断字功能。





SQL 编写器 - 允许备份和还原应用程序在卷影复制服务 (VSS) 框架中运行。

SQL Server 分布式重播控制器 - 跨多个分布式重播客户端计算机提供跟踪重播业务

流程。

 SQL Server Distributed Replay 客户端 - 与 Distributed Replay 控制器一起来模

拟针对 SQL Server 数据库引擎 实例的并发工作负荷的一台或多台 Distributed

Replay 客户端计算机。

 SQL Server 受信任的启动板 - 用于托管 Microsoft 提供的外部可执行文件的可信服

务，例如作为 R Services (In-database) 的一部分安装的 R 运行时。 附属进程可由

启动板进程启动，但将根据单个实例的配置进行资源调控。 启动板服务在其自己的用

户帐户下运行，特定注册运行时的各个附属进程将继承启动板的用户帐户。 附属进程

将在执行过程中按需创建和销毁。

服务属性和配置

用于启动和运行 SQL Server 的启动帐户可以是域用户帐户、本地用户帐户、托管服务帐户、

虚拟帐户或内置系统帐户。 若要启动和运行 SQL Server 中的每项服务，这些服务都必须有一

个在安装过程中配置的启动帐户。

此部分介绍可配置为启动 SQL Server 服务的帐户、SQL Server 安装程序使用的默认值、

Per-service SID 的概念、启动选项以及配置防火墙。









默认服务帐户

自动启动

配置服务启动类型

防火墙端口

默认服务帐户

下表列出了安装程序在安装所有组件时使用的默认服务帐户。 列出的默认帐户是建议使用的帐

户，但特殊注明的除外。

独立服务器或域控制器

组件

Windows Server 2008（可能为英

文页面）

Windows 7 和 Windows Server 2008（可

能为英文页面） R2 及更高版本

组件

Windows Server 2008（可能为英

文页面）

Windows 7 和 Windows Server 2008（可

能为英文页面） R2 及更高版本

数据库引擎

NETWORK SERVICE

虚拟帐户*

SQL Server 代

理

NETWORK SERVICE

虚拟帐户*

SSAS

NETWORK SERVICE

虚拟帐户*

SSIS

NETWORK SERVICE

虚拟帐户*

SSRS

NETWORK SERVICE

虚拟帐户*

SQL Server 分

布式重播控

制器

NETWORK SERVICE

虚拟帐户*

SQL Server 分

布式重播客

户端

NETWORK SERVICE

虚拟帐户*

FD 启动器

LOCAL SERVICE

（全文搜索）

虚拟帐户

组件

Windows Server 2008（可能为英

文页面）

Windows 7 和 Windows Server 2008（可

能为英文页面） R2 及更高版本

SQL Server LOCAL SERVICE

Browser

LOCAL SERVICE

SQL Server LOCAL SYSTEMLOCAL SYSTEM

VSS 编写器

高级分析扩

展

NTSERVICEMSSQLLaunchpad

NTSERVICEMSSQLLaunchpad

*当需要 SQL Server 计算机外部的资源时，Microsoft 建议使用配置了必需的最小特权的托管

服务帐户 (MSA)。

SQL Server 故障转移群集实例

组件

Windows Server 2008（可能为英

文页面）

Windows Server 2008（可能为英文

页面） R2

数据库引擎

无。 提供 域用户 帐户。

提供 域用户 帐户。

SQL Server 代理

无。 提供 域用户 帐户。

提供 域用户 帐户。

SSAS

无。 提供 域用户 帐户。

提供 域用户 帐户。

组件

Windows Server 2008（可能为英

文页面）

Windows Server 2008（可能为英文

页面） R2

SSIS

NETWORK SERVICE

虚拟帐户

SSRS

NETWORK SERVICE

虚拟帐户

FD 启动器（全文搜

索）

LOCAL SERVICE

虚拟帐户

SQL Server Browser

LOCAL SERVICELOCAL SERVICE

SQL Server VSS 编

写器

LOCAL SYSTEMLOCAL SYSTEM

更改帐户属性

重要事项







始终使用 SQL Server 工具（例如 SQL Server 配置管理器）来更改 SQL Server 数据

库引擎 或 SQL Server 代理服务使用的帐户，或更改帐户的密码。 除了更改帐户名

称以外， SQL Server 配置管理器还可以执行其他配置，例如，更新保护 数据库引

擎的服务主密钥的 Windows 本地安全存储区。 其他工具（例如 Windows 服务控

制管理器）可以更改帐户名称，但不更改所有必需的设置。

对于您在 SharePoint 场中部署的 Analysis Services 实例，始终使用 SharePoint 管理

中心为 Power Pivot 服务 应用程序和 Analysis Services 服务更改服务器帐户。 使

用管理中心时，关联的设置和权限将更新为使用新的帐户信息。

若要更改 Reporting Services 选项，请使用 Reporting Services 配置工具。

托管服务帐户、组托管服务帐户和虚拟帐户

托管服务帐户、组托管服务帐户和虚拟帐户设计用于向关键应用程序（例如 SQL Server）提供

其自己帐户的隔离，同时使管理员无需手动管理这些帐户的服务主体名称 (SPN) 和凭据。 这

就使得管理服务帐户用户、密码和 SPN 的过程变得简单得多。

 托管服务帐户

托管服务帐户 (MSA) 是一种由域控制器创建和管理的域帐户。 它分配给单个成员计算

机以用于运行服务。 域控制器将自动管理密码。 您不能使用 MSA 登录到计算机，但

计算机可以使用 MSA 来启动 Windows 服务。 MSA 可以向 Active Directory 注

册服务主体名称 (SPN)。 MSA 的名称中有一个 $ 后缀，例

如 DOMAINACCOUNTNAME$。 在指定 MSA 时，请将密码留空。 因为将 MSA

分配给单个计算机，它不能用于 Windows 群集的不同节点。

说明

域管理员必须先在 Active Directory 中创建 MSA，然后 SQL Server 安

装程序才能将其用于 SQL Server 服务。

 组托管服务帐户

组托管服务帐户是针对多个服务器的 MSA。 Windows 为在一组服务器上运行的服务

管理服务帐户。 Active Directory 自动更新组托管服务帐户密码，而不重启服务。 你

可以配置 SQL Server 服务以使用组托管服务帐户主体。 SQL Server 2016 对于独立

实例、故障转移群集实例和可用性组，在 Windows Server 2012 R2 和更高版本上支

持组托管服务帐户。

若要使用 SQL Server 2016 或更高版本的组托管服务帐户，操作系统必须是

Windows Server 2012 R2 或更高版本。 装有 Windows Server 2012 R2 的服务器

需要应用 KB 2998082，以便服务可以在密码更改后立即登录而不中断。

有关详细信息，请参阅组托管服务帐户

说明

域管理员必须先在 Active Directory 中创建组托管服务帐户，然后 SQL

Server 安装程序才能将其用于 SQL Server 服务。

 虚拟帐户

Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是“托管的本地帐户” ，此

类帐户提供以下功能以简化服务管理。 虚拟帐户是自动管理的，并且虚拟帐户可以访

问域环境中的网络。 如果在 Windows Server 2008 R2 或 Windows 7 上安装 SQL

Server 时对服务帐户使用默认值，则将使用将实例名称用作服务名称的虚拟帐户，格

式为 NT SERVICE

。 以虚拟帐户身份运行的服务通过使用计算机

帐户的凭据（格式为

$）访问网络资源。 当指

定一个虚拟帐户以启动 SQL Server 时，应将密码留空。 如果虚拟帐户无法注册服务

主体名称 (SPN)，则手动注册该 SPN。 有关手动注册 SPN 的详细信息，请参阅 手

动注册 SPN。

说明

虚拟帐户不能用于 SQL Server 故障转移群集实例，因为虚拟帐户在群集

的每个节点不会有相同 SID。

下表列出了虚拟帐户名称的示例。

服务

虚拟帐户名称

数据库引擎服务的默认实例

NT SERVICEMSSQLSERVER

名为 数据库引擎 的 的服务的命名实例

NT SERVICEMSSQL$PAYROLL

SQL Server 代理服务，位于以下默认实例上： SQL

NT SERVICESQLSERVERAGENT

Server

SQL Server 的 SQL Server 的 的

NT

SERVICESQLAGENT$PAYROLL

有关托管服务帐户和虚拟帐户的详细信息，请参阅服务帐户分步指南的托管服务和虚拟帐户概念

部分以及托管服务帐户常见问题解答 (FAQ)。

安全说明 始终用尽可能低的用户权限运行 SQL Server 服务。 就会使用 MSA 或 virtual

account 。 当无法使用 MSA 和虚拟帐户时，将使用特定的低特权用户帐户或域帐户，而不将

共享帐户用于 SQL Server 服务。 对不同的 SQL Server 服务使用单独的帐户。 不要向 SQL

Server 服务帐户或服务组授予其他权限。 在支持服务 SID 的情况下，将通过组成员身份或直

接将权限授予服务 SID。

自动启动

除了具有用户帐户外，每项服务还有用户可控制的三种可能的启动状态：







已禁用 服务已安装但当前未运行。

手动 服务已安装，但仅当另一个服务或应用程序需要该服务的功能时才启动。

自动 服务由操作系统自动启动。

在安装过程中，启动状态处于选中状态。 当安装命名实例时， SQL Server Browser 服务应设

置为自动启动。

在无人参与的安装过程中配置服务

下表显示了可以在安装过程中配置的 SQL Server 服务。 对于无人参与的安装，可以在配置文

件中或在命令提示符下使用开关。

SQL Server 服务名称

无人参与安装的开关*

MSSQLSERVER

SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPE

SQLServerAgent**

AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPE

SQL Server Distributed Replay

DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、

控制器

CTLRSTARTUPTYPE、CTLRUSERS

SQL Server 服务名称

无人参与安装的开关*

SQL Server Distributed Replay

DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、

客户端

CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、

CLTRESULTDIR

R Services (In-database)

EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS

*有关无人参与安装的详细信息和示例语法，请参阅从命令提示符安装 SQL Server 2016。

**SQL Server 代理服务在 SQL Server Express 实例和具有高级服务的 SQL Server Express

实例上处于禁用状态。

防火墙端口

在大多数情况下，首次安装时，可以通过与 数据库引擎 安装在相同计算机上的 SQL Server

Management Studio 等此类工具连接 SQL Server。 SQL Server 安装程序不会在 Windows

防火墙中打开端口。 在将数据库引擎配置为侦听 TCP 端口，并且在 Windows 防火墙中打开

适当的端口进行连接之前，将无法从其他计算机建立连接。 有关详细信息，请参阅配置

Windows 防火墙以允许 SQL Server 访问。

服务权限

服务配置和访问控制

SQL Server 2016 会为它的每项服务启用 Per-service SID，以提供深层服务隔离与防御。

Per-service SID 从服务名称派生得到，对该服务是唯一的。 例如，数据库引擎 服务的服务 SID

名称可能是 NT ServiceMSSQL$

。 通过服务隔离，可直接访问特定的对

象，而无需运行高特权帐户，也不会削弱为对象提供的安全保护水平。 通过使用包含服务 SID

的访问控制项， SQL Server 服务可限制对其资源的访问。

说明：在 Windows 7 和 Windows Server 2008（可能为英文页面）R2 上，Per-service SID

可以是服务使用的虚拟帐户。

Windows 特权和权限

为启动服务分配的帐户需要对于服务的 启动、停止和暂停权限 。 SQL Server 安装程序将自动

分配此权限。 首先，安装远程服务器管理工具 (RSAT)

下表说明 SQL Server 安装程序为 SQL Server 组件使用的 Per-service SID 或本地

Windows 组请求的权限。

SQL Server 服务

SQL Server 安装程序授予的权

限

SQL Server 数据库引擎设置用户帐户 ：

以服务身份登录

(SeServiceLogonRight)

（所有权限都将授予 Per-service SID。 默认实例：NT

SERVICEMSSQLSERVER。 命名实例：NT 替换进程级别标记

(SeAssignPrimaryTokenPrivilege)

SERVICEMSSQL$InstanceName。）

跳过遍历检查

(SeChangeNotifyPrivilege)

调整进程的内存配额

(SeIncreaseQuotaPrivilege)

启动 SQL 编写器的权限

读取事件日志服务的权限

读取远程过程调用服务的权限

SQL Server 服务

SQL Server 安装程序授予的权

限

SQL Server 代理： *

以服务身份登录

(SeServiceLogonRight)

（所有权限都将授予 Per-service SID。 默认实例：NT

ServiceSQLSERVERAGENT。 命名实例：NT 替换进程级别标记

(SeAssignPrimaryTokenPrivilege)

ServiceSQLAGENT$InstanceName。）

跳过遍历检

(SeChangeNotifyPrivilege)

查

调整进程的内存配额

(SeIncreaseQuotaPrivilege)

SSAS设置用户帐户 ：

（所有权限都授予本地 Windows 组。 默认实例：

SQLServerMSASUser$ComputerName$MSSQLSERVER。 命

名实例：

SQLServerMSASUser$ComputerName$InstanceName。

Power Pivot for SharePoint 实例：

SQLServerMSASUser$ComputerName$PowerPivot。）

以服务身份

(SeServiceLogonRight)

登录

仅适用于表格：

增加进程工作集

(SeIncreaseWorkingSetPrivilege)

调整进程的内存配额

(SeIncreaseQuotaSizePrivilege)

锁定内存中的页

(SeLockMemoryPrivilege) - 仅当

完全关闭分页时才需要。

仅适用于故障转移群集安装：

提高计划优先级

(SeIncreaseBasePriorityPrivilege)

SSRS设置用户帐户 ： 以服务身份登录

SQL Server 服务

SQL Server 安装程序授予的权

限

（所有权限都将授予 Per-service SID。 默认实例：NT

SERVICEReportServer。 命名实例：NT

SERVICE$InstanceName。）

(SeServiceLogonRight)

SSIS设置用户帐户 ：

（所有权限都将授予 Per-service SID。 默认实例和命名

实例：NT SERVICEMsDtsServer130。 Integration Services

没有针对命名实例的单独进程。）

以服务身份登录

(SeServiceLogonRight)

应用程序事件日志的写入权限。

跳过遍历检查

(SeChangeNotifyPrivilege)

身份验证后模拟客户端

(SeImpersonatePrivilege)

全文搜索：

以服务身份登录

(SeServiceLogonRight)

（所有权限都将授予 Per-service SID。 默认实例：NT

ServiceMSSQLFDLauncher。 命名实例：NT Service 调整进程的内存配额

(SeIncreaseQuotaPrivilege)

MSSQLFDLauncher$InstanceName。）

跳过遍历检查

(SeChangeNotifyPrivilege)

SQL Server Browser： 以服务身份

(SeServiceLogonRight)

（所有权限都授予本地 Windows 组。 默认实例或命名

实例：SQLServer2005SQLBrowserUser$ComputerName。

SQL Server Browser 没有针对命名实例的单独进程。）

登录

SQL Server 服务

SQL Server 安装程序授予的权

限

SQL Server VSS 编写器：

（所有权限都将授予 Per-service SID。 默认实例或命名

实例：NT ServiceSQLWriter。 SQL Server VSS 编写器没

有针对命名实例的单独进程。）

SQLWriter 服务在具有所需的所

有权限的 LOCAL SYSTEM 帐户

下运行。 SQL Server 安装程序不

检查此服务或为其授予权限。

SQL Server 分布式重播控制器：

以服务身份

(SeServiceLogonRight)

登录

SQL Server 分布式重播客户端：

以服务身份

(SeServiceLogonRight)

登录

启动板：

以服务身份

(SeServiceLogonRight)

登录

替换进程级别标记

(SeAssignPrimaryTokenPrivilege)

跳过遍历检查

(SeChangeNotifyPrivilege)

调整进程的内存配额

(SeIncreaseQuotaPrivilege)

*SQL Server 代理服务在 SQL Server Express 的实例上处于禁用状态。

授予 SQL Server Per-service SID 或本地 Windows 组的文

件系统权限

SQL Server 服务帐户必须具有对资源的访问权限。 为 Per-service SID 或本地 Windows 组

设置了访问控制列表。

重要事项

对于故障转移群集安装，必须为本地帐户的 ACL 设置共享磁盘上的资源。

下表显示了 SQL Server 安装程序设置的 ACL：

服务帐户针对 文件和文件夹

访

问

MSSQLServer InstidMSSQLbackup 完

全

控

制

InstidMSSQLbinn 读

取

和

执

行

InstidMSSQLdata 完

全

控

服务帐户针对 文件和文件夹

访

问

制

InstidMSSQLFTData 完

全

控

制

InstidMSSQLInstall 读

取

和

执

行

InstidMSSQLLog 完

全

控

制

InstidMSSQLRepldata 完

全

控

制

130shared 读

取

和

执

行

服务帐户针对 文件和文件夹

访

问

InstidMSSQLTemplate Data（仅限 SQL Server 读

Express） 取

SQLServerAgent* InstidMSSQLbinn 完

全

控

制

InstidMSSQLbinn 完

全

控

制

InstidMSSQLLog 读

取、

写

入、

删

除

和

执

行

130com 读

取

和

执

行

服务帐户针对 文件和文件夹

访

问

130shared 读

取

和

执

行

130sharedErrordumps 读

取

和

写

入

ServerNameEventLog 完

全

控

制

FTS InstidMSSQLFTData 完

全

控

制

InstidMSSQLFTRef 读

取

和

执

行

服务帐户针对 文件和文件夹

访

问

130shared 读

取

和

执

行

130sharedErrordumps 读

取

和

写

入

InstidMSSQLInstall 读

取

和

执

行

InstidMSSQLjobs 读

取

和

写

入

MSSQLServerOLAPser

vice

130sharedASConfig 完

全

控

制

服务帐户针对 文件和文件夹

访

问

InstidOLAP 读

取

和

执

行

InstidOlapData 完

全

控

制

InstidOlapLog 读

取

和

写

入

InstidOLAPBackup 读

取

和

写

入

InstidOLAPTemp 读

取

和

写

入

服务帐户针对 文件和文件夹

访

问

130sharedErrordumps 读

取

和

写

入

SQLServerReportSer

verUser

InstidReporting ServicesLog Files 读

取、

写

入、

删

除

InstidReporting ServicesReportServer 读

取

和

执

行

InstidReportingservicesReportservergloba

完

全

控

制

InstidReportingservicesReportserverRepor

读

取

服务帐户针对 文件和文件夹

访

问

InstidReporting ServicesreportManager 读

取

和

执

行

InstidReporting ServicesRSTempfiles 读

取、

写

入、

执

行、

删

除

130shared 读

取

和

执

行

130sharedErrordumps 读

取

和

写

入

MSDTSServer100 读

取

服务帐户针对 文件和文件夹

访

问

130dtsbinn 读

取

和

执

行

130shared 读

取

和

执

行

130sharedErrordumps 读

取

和

写

入

SQL Server 浏览者 130sharedASConfig 读

取

130shared 读

取

和

执

行

服务帐户针对 文件和文件夹

访

问

130sharedErrordumps 读

取

和

写

入

SQLWriter 不适用（以 Local System 身份运行）

用户 InstidMSSQLbinn 读

取

和

执

行

InstidReporting ServicesReportServer 读

取、

执

行

和

列

出

文

件

夹

内

容

InstidReportingservicesReportservergloba

读

取

服务帐户针对 文件和文件夹

访

问

InstidReporting ServicesReportManager 读

取

和

执

行

InstidReporting

ServicesReportManagerpages

读

取

InstidReporting

ServicesReportManagerStyles

读

取

130dts 读

取

和

执

行

130tools 读

取

和

执

行

100tools 读

取

和

执

服务帐户针对 文件和文件夹

访

问

行

90tools 读

取

和

执

行

80tools 读

取

和

执

行

130sdk 读

取

Microsoft SQL Server130Setup Bootstrap 读

取

和

执

行

SQL Server DReplayControllerLog（空目录） 读

Distributed Replay 取、

控制器 执

行

和

列

服务帐户针对 文件和文件夹

访

问

出

文

件

夹

内

容

DReplayControllerDReplayControl

读

取、

执

行

和

列

出

文

件

夹

内

容

DReplayControllerresources 读

取、

执

行

和

列

出

文

件

夹

内

容

服务帐户针对 文件和文件夹

访

问

DReplayController{all dlls} 读

取、

执

行

和

列

出

文

件

夹

内

容

DReplayControllerDReplayControl

读

取、

执

行

和

列

出

文

件

夹

内

容

读

取、

执

行

和

列

出

服务帐户针对 文件和文件夹

访

问

文

件

夹

内

容

DReplayControllerIRDefinition.x

ml

读

取、

执

行

和

列

出

文

件

夹

内

容

SQL Server DReplayClientLog

Distributed Replay

客户端

读

取、

执

行

和

列

出

文

件

夹

内

容

服务帐户针对 文件和文件夹

访

问

读

取、

执

行

和

列

出

文

件

夹

内

容

DReplayClientresources 读

取、

执

行

和

列

出

文

件

夹

内

容

DReplayClient (all dlls) 读

取、

执

行

和

列

出

服务帐户针对 文件和文件夹

访

问

文

件

夹

内

容

ig

读

取、

执

行

和

列

出

文

件

夹

内

容

读

取、

执

行

和

列

出

文

件

夹

内

容

服务帐户针对 文件和文件夹

访

问

读

取、

执

行

和

列

出

文

件

夹

内

容

启动板 %binn 读

取

和

执

行

ExtensiblilityData 完

全

控

制

LogExtensibiltityLog 完

全

控

制

SQL Server 代理服务在 SQL Server Express 实例和具有高级服务的 SQL Server Express

实例上处于禁用状态。

当数据库文件存储在用户定义的位置时，您必须授予每个服务 SID 访问该位置的权限。导航到

该文件夹位置，然后给相应的账户相应的权限.

授予其他 Windows 用户帐户或组的文件系统权限

可能还必须向内置帐户或其他 SQL Server 服务帐户授予某些访问控制权限。 下表列出了

SQL Server 安装程序设置的其他 ACL。

请求组件

帐户

资源

权限

MSSQLSe

rver

性能日志

用户

InstidMSSQLbinn

列出文件夹内容

性能监视

器用户

InstidMSSQLbinn

列出文件夹内容

性能日志

用户、性

能监视器

用户

读取和执行

仅限于管

理员

.rootMicrosoftSqlServerServerEvents

nstance_name>*

完全控制

管理员和

系统

toolsbinnschemassqlserver200407showpla

n

完全控制

请求组件

帐户

资源

权限

用户

toolsbinnschemassqlserver200407showpla

n

读取和执行

Reporting

Services

< 报表服

Reporting ServicesLogFiles

务器

Web 服

务帐户>

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_RE

AD

FILE_GENERIC_WR

ITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DAT

A

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRI

BUTES

FILE_WRITE_ATTRI

BUTES

报表管理

器应用程

Reporting

ServicesReportManager, Reporting

读取

请求组件

帐户

资源

权限

序池标

识、

帐户、

Everyone

ServicesReportManagerwebctrl_client1_0*。*

ServicesReportManagerPages*.*, Rep

orting

ServicesReportManagerStyles*.*, Rep

orting

报表管理

Reporting

器应用程ServicesReportManagerPages*。*

序池标识

读取

< 报表服

Reporting ServicesReportServer

务器

Web 服

务帐户>

读取

< 报表服

Reporting

务器

Web 服

务帐户>

Full

Everyone

Reporting

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRI

BUTES

请求组件

帐户

资源

权限

Network

Service

Reporting

Full

Everyone

Reporting

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_RE

AD

FILE_GENERIC_EX

ECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRI

BUTES

ReportSe

rver

Windows

服务帐户

Reporting

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_RE

AD

FILE_GENERIC_WR

ITE

FILE_READ_DATA

请求组件

帐户

资源

权限

FILE_WRITE_DATA

FILE_APPEND_DAT

A

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRI

BUTES

FILE_WRITE_ATTRI

BUTES

Everyone

报表服务器密钥（Instid 配置单元）

查询值

枚举子项

通知

读取控制

终端服务

用户

报表服务器密钥（Instid 配置单元）

查询值

设置值

创建子项

枚举子项

通知

删除

请求组件

帐户

资源

权限

读取控制

超级用户

报表服务器密钥（Instid 配置单元）

查询值

设置值

创建子项

枚举子项

通知

删除

读取控制

与非寻常磁盘位置相关的文件系统权限

当安装 tempdb 或用户数据库时，默认的安装位置驱动器为 systemdrive，通常是驱动器 C。

非默认的驱动器

当安装到不是默认驱动器的本地驱动器时，Per-service SID 必须对文件位置具有访问权限。

SQL Server 安装程序将设置所需的访问权限。

网络共享

当数据库安装到网络共享时，服务帐户必须对用户数据库和 tempdb 数据库的文件位置具有访

问权限。 SQL Server 安装程序无法设置对于网络共享的访问权限。 用户必须为服务帐户设置

对 tempdb 位置的访问权限，然后才能运行安装程序。 用户必须设置对用户数据库位置的访

问权限，然后才能创建数据库。

说明

虚拟帐户无法通过身份验证，因而无法访问远程位置。 所有虚拟帐户均使用计

算机帐户的权限。 以

$ 格式设置计算机帐

户。

设置

此部分介绍如何在各种 SQL Server 组件内设置帐户

 数据库引擎设置

o Windows 主体

o sa 帐户

o SQL Server Per-service SID 登录名和特权

o SQL Server 代理程序登录名和特权

o HADRON 和 SQL 故障转移群集实例和特权

o SQL 编写器和特权

o SQL WMI 和特权





SSAS 设置

SSRS 设置

数据库引擎设置

以下帐户将作为登录名添加到 SQL Server 数据库引擎中。

Windows 主体

在安装过程中， SQL Server 安装程序要求至少将一个用户帐户命名为 sysadmin 固定服务器

角色的成员。

sa 帐户

sa 帐户始终作为 数据库引擎 登录名存在，它是 sysadmin 固定服务器角色的成员。 当仅使

用 Windows 身份验证安装数据库引擎时（也即，当未启用 SQL Server 身份验证时），sa 登

录名仍然存在，但处于禁用状态

数据库引擎设置

以下帐户将作为登录名添加到 SQL Server 数据库引擎中。

Windows 主体

在安装过程中， SQL Server 安装程序要求至少将一个用户帐户命名为 sysadmin 固定服务器

角色的成员。

sa 帐户

sa 帐户始终作为 数据库引擎 登录名存在，它是 sysadmin 固定服务器角色的成员。 当仅使

用 Windows 身份验证安装数据库引擎时（也即，当未启用 SQL Server 身份验证时），sa 登

录名仍然存在，但处于禁用状态。 有关启用 sa 帐户的信息，请参阅更改服务器身份验证模式。

SQL Server Per-service SID 登录名和特权

SQL Server 服务的 Per-service SID 设置为一个数据库引擎登录名。 Per-service SID 登录

名是 sysadmin 固定服务器角色的成员。

SQL Server 代理程序登录名和特权

SQL Server 代理服务的 Per-service SID 设置为一个数据库引擎登录名。 Per-service SID 登

录名是 sysadmin 固定服务器角色的成员。

Always On 可用性组 和 SQL 故障转移群集实例和特权

当将 数据库引擎 安装为 Always On 可用性组 或 SQL 故障转移群集实例 (SQL FCI) 时，将

在 数据库引擎 中设置 LOCAL SYSTEM。LOCAL SYSTEM 登录名被授予 ALTER ANY

AVAILABILITY GROUP 权限（对于 Always On 可用性组）以及 VIEW SERVER STATE 权

限（对于 SQL FCI）。

SQL 编写器和特权

SQL Server VSS 编写器服务的 Per-service SID 设置为一个数据库引擎登录名。 Per-service

SID 登录名是 sysadmin 固定服务器角色的成员。

SQL WMI 和特权

SQL Server 安装程序将 NT SERVICEWinmgmt 帐户设置为 数据库引擎 登录名，并将其添

加到 sysadmin 固定服务器角色中。

SSRS 设置

在安装过程中指定的帐户将设置为 RSExecRole 数据库角色的成员。 有关详细信息，请参阅配

置报表服务器服务帐户（SSRS 配置管理器）。

SSAS 设置

SSAS 服务帐户要求各不相同，具体取决于您如何部署服务器。 如果您正在安装 Power Pivot

for SharePoint， SQL Server 安装程序会要求您将 Analysis Services 服务配置在域帐户下

运行。 为了支持 SharePoint 中内置的托管帐户功能，需要域帐户。 为此，SQL Server 安装

程序没有为 Power Pivot for SharePoint 安装提供默认服务帐户，如虚拟帐户。 有关设置

Power Pivot for SharePoint 的详细信息，请参阅配置 Power Pivot 服务帐户。

对于所有其他独立 SSAS 安装，您可以将服务设置为在域帐户、内置系统帐户、托管帐户或虚

拟帐户下运行。 有关帐户设置的详细信息，请参阅配置服务帐户 (Analysis Services)。

对于群集安装，您必须指定一个域帐户或一个内置系统帐户。 SSAS 故障转移群集既不支持托

管帐户，也不支持虚拟帐户。

所有 SSAS 安装均要求您指定 Analysis Services 实例的系统管理员。 管理员特权在

Analysis Services 的 “服务器” 角色中设置。

SSRS 设置

在安装过程中指定的帐户将在 数据库引擎 中设置为 RSExecRole 数据库角色的成员。

从早期版本升级

此部分介绍在从先前版本的 SQL Server升级的过程中进行的更改。

 SQL Server 2016 要求 Windows Server 2008（可能为英文页面） R2 SP1、Windows

Server 2012、Windows 8.0、Windows Server 2012 R2 或 Windows 8.1。 任何在

更低操作系统版本上运行的 SQL Server 先前版本在升级 SQL Server之前，都必须升

级操作系统。

 在将 SQL Server 2005 升级到 SQL Server 2016 的过程中，SQL Server 安装程序将

按以下方式配置 SQL Server。

o 数据库引擎使用 Per-service SID 的安全上下文运行。 将向 Per-service SID

授予针对 SQL Server 实例的文件夹（如 DATA）和 SQL Server 注册表项的

访问权限。

o 数据库引擎 的 Per-service SID 在 数据库引擎 中设置为 sysadmin 固定服

务器角色的成员。

o Per-service SID 将添加到本地 SQL Server Windows 组中，除非 SQL

Server 是故障转移群集实例。

o SQL Server 资源保持设置为本地 SQL Server Windows 组。

o 服务的本地 Windows 组已

从 SQLServer2005MSSQLUser$

$

重命名为SQLServerMSSQLUser$

$

。

已迁移的数据库的文件位置将具有本地 Windows 组的访问控制项 (ACE)。

新数据库的文件位置将具有 Per-service SID 的 ACE。

 从 SQL Server 2008 进行升级的过程中，SQL Server 安装程序将保留 SQL Server

2008 Per-service SID 的 ACE。



对于 SQL Server 故障转移群集实例，将保留为服务配置的域帐户的 ACE。

本文标签： 帐户服务实例虚拟配置