Настройка учетных записей службы Windows и разрешений

Каждая служба в SQL Server представляет собой процесс или набор процессов для управления проверкой подлинности при выполнении операций SQL Server в операционной системе Windows. В этой статье описана стандартная конфигурация служб в текущем выпуске SQL Server, а также параметры конфигурации служб SQL Server, которые можно настроить во время установки SQL Server и после нее. Эта статья дает возможность опытным пользователям детальнее ознакомиться с учетными записями служб.

Большинство служб и их свойств можно настроить с помощью диспетчера конфигурации SQL Server. Ниже приведены расположения последних четырех версий этого диспетчера при установке Windows на диск C.

Версия SQL Server путь SQL Server 2019 C:\Windows\SysWOW64\SQLServerManager15.msc SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.msc SQL Server 2016 C:\Windows\SysWOW64\SQLServerManager13.msc SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc

Службы, устанавливаемые с SQL Server

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы.

Службы SQL Server Database Services — служба для SQL Server реляционного Компонент Database Engine. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

Агент SQL Server — предназначен для выполнения заданий, наблюдения за SQL Server, предупреждения о нештатных ситуациях. Кроме того, позволяет автоматизировать некоторые задачи по администрированию. Служба агента SQL Server присутствует, но отключена на экземплярах SQL Server Express. Путь к исполняемому файлу: <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

Службы Analysis Services — предоставляет средства оперативной аналитической обработки (OLAP) и средства интеллектуального анализа данных для приложений бизнес-аналитики. Путь к исполняемому файлу: <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

Службы Reporting Services — предназначены для выполнения, создания, планирования, доставки отчетов и управления ими. Путь к исполняемому файлу: <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

Службы Integration Services — обеспечивают поддержку управления хранением и выполнением пакетов служб Службы Integration Services. Путь к исполняемому файлу: <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe.

Службы Integration Services может включать дополнительные службы для развертываний с горизонтальным увеличением масштаба. См. дополнительные сведения в руководствах по Настройка развертывания служб Integration Services (SSIS) с горизонтальным увеличением масштаба.

Обозреватель SQL Server — служба разрешения имен, которая предоставляет клиентским компьютерам сведения о подключении к SQL Server. Путь к исполняемому файлу: c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

Полнотекстовый поиск — быстро создает полнотекстовые индексы содержимого и свойства структурированных и полуструктурированных данных, чтобы обеспечить фильтрацию документа и разбиение по словам для SQL Server.

Модуль записи SQL — служит для резервного копирования и восстановления приложений для работы в составе платформы служб теневого копирования томов (VSS).

Контроллер распределенного воспроизведения SQL Server — обеспечивает согласование воспроизведения трассировки по нескольким клиентским компьютерам распределенного воспроизведения.

Клиент распределенного воспроизведения SQL Server — один или несколько клиентских компьютеров распределенного воспроизведения, работающих вместе с контроллером распределенного воспроизведения для имитации параллельных рабочих нагрузок на экземпляре Компонент SQL Server Database Engine.

Панель запуска SQL Server — доверенная служба, в которой находятся внешние исполняемые файлы, предоставляемые корпорацией Майкрософт, такие как среда выполнения R или Python, установленная как часть служб R Services или служб машинного обучения. Вспомогательные процессы могут запускаться при работе панели запуска, однако они регулируются ресурсами в зависимости от конфигурации отдельного экземпляра. Служба панели запуска выполняется с использованием собственной учетной записи, и каждому вспомогательному процессу для конкретной зарегистрированной среды выполнения присваивается учетная запись пользователя панели запуска. Вспомогательные процессы создаются и удаляются по запросу во время выполнения.

Панель запуска не может создавать используемые ею учетные записи, если вы установили SQL Server на компьютере, который используется в качестве контроллера домена. Таким образом, программа установки служб R Services (в базе данных) или служб машинного обучения (в базе данных) завершается сбоем на контроллере домена.

SQL Server PolyBase Engine — позволяет применять распределенные запросы к внешним источникам данных.

Служба перемещения данных SQL Server PolyBase — позволяет перемешать данные между SQL Server и внешними источниками данных, а также между узлами SQL в группах горизонтального масштабирования PolyBase.

Службы CEIP, устанавливаемые с SQL Server

В зависимости от компонентов, которые выбраны для установки, программа установки SQL Server устанавливает следующие службы CEIP.

• SQLTELEMETRY — программа улучшения качества программного обеспечения, которая отправляет данные телеметрии ядра СУБД обратно в корпорацию Майкрософт.
• SSASTELEMETRY — программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSAS обратно в корпорацию Майкрософт.
• SSISTELEMETRY — программа улучшения качества программного обеспечения, которая отправляет данные телеметрии SSIS обратно в корпорацию Майкрософт.

Свойства и настройка служб

В качестве стартовых учетных записей автоматического запуска, используемых для запуска и выполнения SQL Server, могут использоваться учетные записи пользователей домена, учетные записи локальных пользователей, управляемые учетные записи служб, виртуальные учетные записи или встроенные системные учетные записи. Для запуска и выполнения каждая служба SQL Server должна иметь стартовую учетную запись автоматического запуска, настраиваемую во время установки.

Для экземпляров отказоустойчивого кластера для SQL Server 2016 и более поздних версий в качестве стартовых учетных записей SQL Server можно использовать учетные записи пользователя домена или групповые управляемые учетные записи служб.

В этом разделе описываются учетные записи, которые могут быть настроены для запуска служб SQL Server, значения, используемые по умолчанию при установке SQL Server, понятие идентификаторов безопасности служб, параметры запуска и настройка брандмауэра.

В следующей таблице перечислены учетные записи служб по умолчанию, используемые программой установки при установке всех компонентов. Перечисленные учетные записи по умолчанию являются рекомендуемыми, если не указано иное.

Изолированный сервер или контроллер домена

Компонент Windows Server 2008 Windows 7 и Windows Server 2008 R2 и выше Компонент Database Engine СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Агент SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Службы SSAS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* ** Integration Services СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Службы SSRS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Контроллер распределенного воспроизведения SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Клиент распределенного воспроизведения SQL Server СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись* Средство запуска FD (полнотекстовый поиск) ЛОКАЛЬНАЯ СЛУЖБА Виртуальная учетная запись Обозреватель SQL Server ЛОКАЛЬНАЯ СЛУЖБА ЛОКАЛЬНАЯ СЛУЖБА Модуль записи VSS SQL Server ЛОКАЛЬНАЯ СИСТЕМА ЛОКАЛЬНАЯ СИСТЕМА Расширения углубленной аналитики NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad Ядро PolyBase СЕТЕВАЯ СЛУЖБА СЕТЕВАЯ СЛУЖБА Служба перемещения данных PolyBase СЕТЕВАЯ СЛУЖБА СЕТЕВАЯ СЛУЖБА

* Если требуются ресурсы за пределами компьютера SQL Server, Microsoft рекомендует использовать управляемую учетную запись службы (MSA), которой предоставлены следующие необходимые разрешения. ** При установке на контроллере домена виртуальная учетная запись не поддерживается как учетная запись службы.

Экземпляр отказоустойчивого кластера SQL Server

Компонент Windows Server 2008 Windows Server 2008 R2 Компонент Database Engine Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена . Агент SQL Server Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена . Службы SSAS Нет. Укажите учетную запись пользователя домена . Укажите учетную запись пользователя домена . Integration Services СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись Службы SSRS СЕТЕВАЯ СЛУЖБА Виртуальная учетная запись Средство запуска FD (полнотекстовый поиск) ЛОКАЛЬНАЯ СЛУЖБА Виртуальная учетная запись Обозреватель SQL Server ЛОКАЛЬНАЯ СЛУЖБА ЛОКАЛЬНАЯ СЛУЖБА Модуль записи VSS SQL Server ЛОКАЛЬНАЯ СИСТЕМА ЛОКАЛЬНАЯ СИСТЕМА

• Всегда используйте средства SQL Server, такие как диспетчер конфигурации SQL Server, для изменения учетной записи, используемой Компонент SQL Server Database Engine или службами агента SQL Server, или для изменения пароля учетной записи. В дополнение к изменению имени учетной записи диспетчер конфигурации SQL Server выполняет дополнительную настройку, например обновление локального хранилища безопасности Windows, которое защищает главный ключ службы для Компонент Database Engine. Другие средства, такие как диспетчер управления службами Windows, могут изменить имя учетной записи, но не изменяют все необходимые параметры.
• Для экземпляров служб Службы Analysis Services , развертываемых на ферме SharePoint, изменение учетных записей сервера для приложений Служба Power Pivot и Службы Analysis Servicesследует всегда выполнять с помощью центра администрирования SharePoint. Связанные настройки и разрешения обновляются для обеспечения возможности использования новых учетных данных при работе с центром администрирования.
• Чтобы изменить параметры служб Службы Reporting Services , используйте средство настройки служб Reporting Services.

Управляемые учетные записи служб, групповые управляемые учетные записи служб и виртуальные учетные записи разработаны для обеспечения важных приложений, таких как SQL Server, с изоляцией собственных учетных записей, устраняя необходимость в ручном администрировании имени участника-службы (SPN) и учетных данных для этих учетных записей. Это намного упрощает долгосрочное управление пользователями учетных записей служб, паролями и именами SPN.

Управляемые учетные записи служб

Управляемая учетная запись службы (MSA) — это тип учетной записи домена, создаваемый и управляемый контроллером домена. Она назначается отдельному компьютеру-участнику для использования при запуске службы. Управление паролем осуществляет автоматически контроллер домена. MSA нельзя использовать для входа на компьютер, но компьютер может использовать MSA для запуска службы Windows. MSA имеет возможность зарегистрировать имя участника-службы (SPN) в Active Directory при наличии разрешений на чтение и запись servicePrincipalName. Учетной записи MSA присваивается имя с суффиксом $ , например DOMAIN\ACCOUNTNAME$ . При указании MSA следует оставить поле пароля пустым. Поскольку учетная запись MSA назначается одному компьютеру, ее нельзя использовать на разных узлах кластера Windows.

Учетная запись MSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.

Групповые управляемые учетные записи служб

Групповая управляемая учетная запись службы (gMSA) — это управляемая учетная запись службы для нескольких серверов. Windows управляет такой учетной записью для служб, работающих на группе серверов. Active Directory обновляет пароль групповой управляемой учетной записи службы автоматически, не перезапуская при этом службы. Службы SQL Server можно настроить для использования основного экземпляра групповой управляемой учетной записи службы. Начиная с версии SQL Server 2014, SQL Server поддерживает групповые управляемые учетные записи службы для изолированных экземпляров, а с версии SQL Server 2016 — для экземпляров отказоустойчивого кластера и для групп доступности.

Для работы с gMSA в SQL Server 2014 или более поздней версии требуется ОС Windows Server 2012 R2 или более поздней версии. На серверах под управлением Windows Server 2012 R2 нужно применить исправление KB 2998082, чтобы службы могли выполнять вход после изменения пароля, не нарушая работу системы.

Дополнительные сведения см. в статье Групповые управляемые учетные записи служб для Windows Server 2016 и более поздних версий. Для предыдущих версий Windows Server см. статью Групповые управляемые учетные записи служб.

Учетная запись gMSA должна быть создана в Active Directory администратором домена до того, как ее сможет использовать программа установки SQL Server для служб SQL Server.

Virtual Accounts

Виртуальные учетные записи (начиная с Windows Server 2008 R2 и Windows 7) — это управляемые локальные учетные записи , которые предоставляют следующие возможности для упрощения администрирования служб. Управление виртуальной учетной записью осуществляется автоматически, и она может получать доступ к сети в среде домена. Если установка SQL Server выполняется со значением по умолчанию для учетных записей служб, используется виртуальная учетная запись с именем, соответствующим имени экземпляра, в формате NT SERVICE\ <SERVICENAME> . Службы, запускаемые от имени виртуальных учетных записей, получают доступ к сетевым ресурсам с использованием учетных данных учетной записи компьютера в формате <имя_домена> \ <имя_компьютера> $ . При указании виртуальной учетной записи для запуска SQL Server оставьте поле пароля пустым. Если для виртуальной учетной записи не удалось зарегистрировать имя участника-службы (SPN), выполните регистрацию вручную. Дополнительные сведения о регистрации SPN вручную см. в статье Регистрация имени участника-службы для соединений Kerberos.

Виртуальные учетные записи не могут использоваться для экземпляра отказоустойчивого кластера SQL Server, так как у виртуальной учетной записи будет отличаться идентификатор безопасности на каждом узле кластера.

В следующей таблице перечислены примеры имен виртуальных учетных записей.

Дополнительные сведения об управляемых учетных записях служб и виртуальных учетных записях см. в разделе Основные понятия управляемых учетных записей служб и виртуальных учетных записейПошагового руководства по учетным записям служб , а также в документе Вопросы и ответы по управляемым учетным записям служб.

Всегда запускайте службы SQL Server с наименьшими пользовательскими правами. По возможности используйте управляемую учетную запись службы, групповую управляемую учетную запись службы или виртуальную учетную запись. Если использование управляемых учетных записей служб, групповых управляемых учетных записей служб и виртуальных учетных записей невозможно, используйте специальную учетную запись пользователя с ограниченными правами доступа или учетную запись домена вместо общей учетной записи для служб SQL Server. Используйте отдельные учетные записи для разных служб SQL Server. Не предоставляйте дополнительные разрешения учетной записи службы SQL Server или группам службы. Разрешения идентификатору безопасности службы будут предоставлены через членство в группе или напрямую самому идентификатору службы там, где поддерживается идентификатор службы.

Кроме учетной записи каждая служба имеет три возможных типа запуска, которыми могут управлять пользователи.

• Отключено . Служба установлена, но в данный момент не запущена.
• Вручную. Служба установлена, но будет запущена тогда, когда потребуется другой службе или приложению.
• Автоматически . Служба автоматически запускается операционной системой.

Тип запуска выбирается во время установки. При установке именованного экземпляра службу обозревателя SQL Server следует настроить на автоматический запуск.

В таблице ниже приведены службы SQL Server, которые могут быть настроены в ходе установки. Для автоматической установки можно задать параметры в файле конфигурации или командной строке.

Имя службы SQL Server Параметры для автоматической установки* MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE SQLServerAgent** AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE Службы Integration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE Контроллер распределенного воспроизведения SQL Server DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS Клиент распределенного воспроизведения SQL Server DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR R Services или службы машинного обучения (Майкрософт) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS*** Ядро PolyBase PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

* Дополнительные сведения и примеры синтаксиса для автоматической установки см. в руководстве по установке SQL Server 2016 из командной строки.

**Служба агента SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.

***Настройка учетной записи для панели запуска с помощью одних только параметров сейчас не поддерживается. Используйте диспетчер конфигурации SQL Server, чтобы изменить учетную запись и другие параметры службы.

Обычно при начальной установке компонента Компонент Database Engine к нему можно подключаться с помощью таких средств, как среда SQL Server Management Studio, установленных на том же компьютере, что и SQL Server. Программа установки SQL Server не открывает порты в брандмауэре Windows. Соединение с другими компьютерами может оказаться невозможным, пока компонент Компонент Database Engine будет настроен для прослушивания TCP-порта, закрытого для соединений в брандмауэре Windows. Дополнительные сведения см. в статье Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Разрешения службы

В этом разделе описаны разрешения, которые настраиваются в программе установки SQL Server для идентификаторов безопасности служб SQL Server.

SQL Server позволяет обеспечить изоляцию и всестороннюю защиту, предоставляя идентификатор безопасности для каждой службы. Идентификатор безопасности службы создается на основе имени службы и является уникальным для этой службы. Например, именем идентификатора безопасности службы для именованного экземпляра службы Компонент Database Engine может быть NT Service\MSSQL$ <InstanceName> . Изоляция служб обеспечивает доступ к конкретным объектам без необходимости использования учетной записи с высоким уровнем привилегий или ослабления защиты этих объектов. Используя запись управления доступом, содержащую идентификатор безопасности службы, служба SQL Server может ограничить доступ к своим ресурсам.

В Windows 7 и Windows Server 2008 R2 (и более поздних версиях) удостоверением безопасности службы может быть виртуальная учетная запись, используемая этой службой.

Для большинства компонентов SQL Server настраивает список управления доступом для учетной записи службы непосредственно, поэтому изменение учетной записи службы можно выполнить без необходимости повторения обработки списка управления доступом к ресурсу.

При установке служб Службы SSASсоздается удостоверение безопасности для службы Службы Analysis Services . Создается локальная группа Windows с именем в формате SQLServerMSASUser$ имя_компьютера $ имя_экземпляра. Удостоверению безопасности службы NT SERVICE\MSSQLServerOLAPService предоставляется членство в локальной группе Windows, а локальной группе Windows — соответствующие разрешения в списке управления доступом. В случае изменения учетной записи, используемой для запуска службы Службы Analysis Services, диспетчер конфигурации SQL Server должен изменить некоторые разрешения Windows (например, право на вход в качестве службы), но разрешения, назначенные локальной группе Windows, будут все равно доступны без обновления, так как идентификатор безопасности службы не был изменен. Этот метод позволяет переименовывать службу Службы Analysis Services во время обновлений.

Во время установки SQL Server программа установки создает локальную группу Windows для Службы SSAS и службы обозревателя SQL Server. Для этих служб SQL Server настраивает список управления доступом к локальным группам Windows.

В зависимости от конфигурации службы учетная запись службы или ее идентификатор безопасности добавляется как элемент группы служб во время установки или обновления.

Учетной записи, назначенной для запуска службы, необходимы разрешения на запуск, остановку и приостановку службы. Они автоматически назначаются программой установки SQL Server. Сначала установите средства администрирования удаленного сервера (RSAT). См. раздел Средства администрирования удаленного сервера для Windows 10.

В следующей таблице перечислены разрешения, которые запрашивает программа установки SQL Server для удостоверений безопасности служб или локальных групп Windows, используемых компонентами SQL Server.

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Разрешение на запуск модуля записи SQL Writer

Разрешение на чтение службы журнала событий

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

Только для табличного режима:

Увеличение рабочего набора процесса (SeIncreaseWorkingSetPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Блокировка страниц в памяти (SeLockMemoryPrivilege) — это право доступа требуется только в случае полного отключения функции разбиения по страницам.

Только для установок отказоустойчивого кластера:

Разрешение на запись в журнал событий приложений

Обход проходной проверки (SeChangeNotifyPrivilege)

Назначение квот памяти процессам (SeIncreaseQuotaPrivilege)

Замена токена уровня процесса (SeAssignPrimaryTokenPrivilege)

Обход проходной проверки (SeChangeNotifyPrivilege)

*Служба агента SQL Server отключена на экземплярах SQL Server Express.

Учетные записи служб SQL Server должны иметь доступ к ресурсам. Списки управления доступом задаются для каждого удостоверения безопасности службы или локальной группы Windows.

В конфигурации с отказоустойчивым кластером ресурсы на общих дисках должны быть включены в список управления доступом для локальной учетной записи.

В следующей таблице показаны списки управления доступом, настраиваемые программой установки SQL Server.

Учетная запись службы для Файлы и папки Доступ MSSQLServer Instid\MSSQL\backup Полный доступ Instid\MSSQL\binn Чтение и выполнение Instid\MSSQL\data Полный доступ Instid\MSSQL\FTData Полный доступ Instid\MSSQL\Install Чтение и выполнение Instid\MSSQL\Log Полный доступ Instid\MSSQL\Repldata Полный доступ 130\shared Чтение и выполнение Instid\MSSQL\Template Data (толькоSQL Server Express ) Чтение SQLServerAgent* Instid\MSSQL\binn Полный доступ Instid\MSSQL\Log Чтение, запись, удаление и выполнение 130\com Чтение и выполнение 130\shared Чтение и выполнение 130\shared\Errordumps Чтение и запись ServerName\EventLog Полный доступ FTS Instid\MSSQL\FTData Полный доступ Instid\MSSQL\FTRef Чтение и выполнение 130\shared Чтение и выполнение 130\shared\Errordumps Чтение и запись Instid\MSSQL\Install Чтение и выполнение Instid\MSSQL\jobs Чтение и запись MSSQLServerOLAPService 130\shared\ASConfig Полный доступ Instid\OLAP Чтение и выполнение Instid\Olap\Data Полный доступ Instid\Olap\Log Чтение и запись Instid\OLAP\Backup Чтение и запись Instid\OLAP\Temp Чтение и запись 130\shared\Errordumps Чтение и запись ReportServer Instid\Reporting Services\Log Files Чтение, запись и удаление Instid\Reporting Services\ReportServer Чтение и выполнение Instid\Reporting Services\ReportServer\global.asax Полный доступ Instid\Reporting Services\ReportServer\rsreportserver.config Чтение Instid\Reporting Services\RSTempfiles Чтение, запись, выполнение и удаление Instid\Reporting Services\RSWebApp Чтение и выполнение 130\shared Чтение и выполнение 130\shared\Errordumps Чтение и запись MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml Чтение 130\dts\binn Чтение и выполнение 130\shared Чтение и выполнение 130\shared\Errordumps Чтение и запись Обозреватель SQL Server 130\shared\ASConfig Чтение 130\shared Чтение и выполнение 130\shared\Errordumps Чтение и запись SQLWriter н/д (запускается с учетной записью локальной системы) Пользователь Instid\MSSQL\binn Чтение и выполнение Instid\Reporting Services\ReportServer Чтение и выполнение, список содержимого папки Instid\Reporting Services\ReportServer\global.asax Чтение Instid\Reporting Services\RSWebApp Чтение и выполнение, список содержимого папки 130\dts Чтение и выполнение 130\tools Чтение и выполнение 100\tools Чтение и выполнение 90\tools Чтение и выполнение 80\tools Чтение и выполнение 130\sdk Чтение Microsoft SQL Server\130\Setup Bootstrap Чтение и выполнение Контроллер распределенного воспроизведения SQL Server <ToolsDir>\DReplayController\Log\ (пустой каталог) Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayController\DReplayController.exe Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayController\resources|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayController\ Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayController\DReplayController.config Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayController\IRTemplate.tdf Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayController\IRDefinition.xml Чтение и выполнение, список содержимого папки Клиент распределенного воспроизведения SQL Server <ToolsDir>\DReplayClient\Log|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayClient\DReplayClient.exe Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayClient\resources|Чтение, выполнение, просмотр содержимого папки <ToolsDir>\DReplayClient\ (все DLL-библиотеки) Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayClient\DReplayClient.config Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayClient\IRTemplate.tdf Чтение и выполнение, список содержимого папки <ToolsDir>\DReplayClient\IRDefinition.xml Чтение и выполнение, список содержимого папки Панель запуска %binn Чтение и выполнение ExtensiblilityData Полный доступ Log\ExtensibilityLog Полный доступ

*Служба агента SQL Server отключена на экземплярах SQL Server Express и SQL Server Express с дополнительными службами.

Когда файлы базы данных хранятся в определяемом пользователем расположении, идентификатору безопасности службы необходимо предоставить доступ к этому расположению. Дополнительные сведения о предоставлении разрешений файловой системы идентификаторам безопасности служб см. в статье Настройка разрешений файловой системы для доступа к компоненту ядра СУБД.

Некоторые управляющие разрешения на доступ могут быть предоставлены для встроенных и других учетных записей служб SQL Server. В следующей таблице перечислены дополнительные списки управления доступом, настраиваемые программой установки SQL Server.