【文章內(nèi)容簡介】 用 SQL Server 2016 或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是 Windows Server 2012 R2 或更高版本。 裝有 Windows Server 2012 R2 的服務(wù)器需要應(yīng)用KB 2998082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請參閱組托管服務(wù)帳戶說明域管理員必須先在 Active Directory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。 虛擬帳戶Windows Server 2008 R2 和 Windows 7 中的虛擬帳戶是“托管的本地帳戶” ，此類帳戶提供以下功能以簡化服務(wù)管理。 虛擬帳戶是自動管理的，并且虛擬帳戶可以訪問域環(huán)境中的網(wǎng)絡(luò)。 如果在 Windows Server 2008 R2 或 Windows 7 上安裝 SQL Server 時對服務(wù)帳戶使用默認(rèn)值，則將使用將實例名稱用作服務(wù)名稱的虛擬帳戶，格式為NT SERVICE\SERVICENAME。 以虛擬帳戶身份運行的服務(wù)通過使用計算機帳戶的憑據(jù)（格式為domain_name\puter_name$）訪問網(wǎng)絡(luò)資源。 當(dāng)指定一個虛擬帳戶以啟動 SQL Server 時，應(yīng)將密碼留空。 如果虛擬帳戶無法注冊服務(wù)主體名稱 (SPN)，則手動注冊該 SPN。 有關(guān)手動注冊 SPN 的詳細(xì)信息，請參閱手動注冊 SPN。說明虛擬帳戶不能用于 SQL Server 故障轉(zhuǎn)移群集實例，因為虛擬帳戶在群集的每個節(jié)點不會有相同 SID。下表列出了虛擬帳戶名稱的示例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實例NT SERVICE\MSSQLSERVER名為 數(shù)據(jù)庫引擎 的的服務(wù)的命名實例NT SERVICE\MSSQL$PAYROLLSQL Server 代理服務(wù)，位于以下默認(rèn)實例上： SQL ServerNT SERVICE\SQLSERVERAGENTSQL Server 的 SQL Server 的的NT SERVICE\SQLAGENT$PAYROLL有關(guān)托管服務(wù)帳戶和虛擬帳戶的詳細(xì)信息，請參閱服務(wù)帳戶分步指南的托管服務(wù)和虛擬帳戶概念部分以及托管服務(wù)帳戶常見問題解答 (FAQ)。安全說明始終用盡可能低的用戶權(quán)限運行 SQL Server 服務(wù)。 就會使用MSA或virtual account 當(dāng)無法使用 MSA 和虛擬帳戶時，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQL Server 服務(wù)。 對不同的 SQL Server 服務(wù)使用單獨的帳戶。 不要向 SQL Server 服務(wù)帳戶或服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù) SID。自動啟動除了具有用戶帳戶外，每項服務(wù)還有用戶可控制的三種可能的啟動狀態(tài)： 已禁用服務(wù)已安裝但當(dāng)前未運行。 手動服務(wù)已安裝，但僅當(dāng)另一個服務(wù)或應(yīng)用程序需要該服務(wù)的功能時才啟動。 自動服務(wù)由操作系統(tǒng)自動啟動。在安裝過程中，啟動狀態(tài)處于選中狀態(tài)。 當(dāng)安裝命名實例時， SQL Server Browser 服務(wù)應(yīng)設(shè)置為自動啟動。在無人參與的安裝過程中配置服務(wù)下表顯示了可以在安裝過程中配置的 SQL Server 服務(wù)。 對于無人參與的安裝，可以在配置文件中或在命令提示符下使用開關(guān)。SQL Server 服務(wù)名稱無人參與安裝的開關(guān)*MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent**AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPEReportServerRSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegration ServicesISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPESQL Server Distributed Replay 控制器DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSSQL Server Distributed Replay 客戶端DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、CLTRESULTDIRR Services (Indatabase)EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS*有關(guān)無人參與安裝的詳細(xì)信息和示例語法，請參閱從命令提示符安裝 SQL Server 2016。**SQL Server 代理服務(wù)在 SQL Server Express 實例和具有高級服務(wù)的 SQL Server Express 實例上處于禁用狀態(tài)。防火墻端口在大多數(shù)情況下，首次安裝時，可以通過與 數(shù)據(jù)庫引擎 安裝在相同計算機上的 SQL Server Management Studio 等此類工具連接 SQL Server。 SQL Server 安裝程序不會在 Windows 防火墻中打開端口。 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 端口，并且在 Windows 防火墻中打開適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無法從其他計算機建立連接。 有關(guān)詳細(xì)信息，請參閱配置 Windows 防火墻以允許 SQL Server 訪問。服務(wù)權(quán)限服務(wù)配置和訪問控制SQL Server 2016 會為它的每項服務(wù)啟用 Perservice SID，以提供深層服務(wù)隔離與防御。 Perservice SID 從服務(wù)名稱派生得到，對該服務(wù)是唯一的。 例如，數(shù)據(jù)庫引擎 服務(wù)的服務(wù) SID 名稱可能是NT Service\MSSQL$InstanceName。 通過服務(wù)隔離，可直接訪問特定的對象，而無需運行高特權(quán)帳戶，也不會削弱為對象提供的安全保護水平。 通過使用包含服務(wù) SID 的訪問控制項， SQL Server 服務(wù)可限制對其資源的訪問。說明：在 Windows 7 和 Windows Server 2008（可能為英文頁面）R2 上，Perservice SID 可以是服務(wù)使用的虛擬帳戶。Windows 特權(quán)和權(quán)限為啟動服務(wù)分配的帳戶需要對于服務(wù)的啟動、停止和暫停權(quán)限 SQL Server 安裝程序?qū)⒆詣臃峙浯藱?quán)限。 首先，安裝遠(yuǎn)程服務(wù)器管理工具 (RSAT)下表說明 SQL Server 安裝程序為 SQL Server 組件使用的 Perservice SID 或本地 Windows 組請求的權(quán)限。SQL Server 服務(wù)SQL Server 安裝程序授予的權(quán)限SQL Server 數(shù)據(jù)庫引擎設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實例：NT SERVICE\MSSQLSERVER。 命名實例：NT SERVICE\MSSQL$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過遍歷檢查(SeChangeNotifyPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaPrivilege)啟動 SQL 編寫器的權(quán)限讀取事件日志服務(wù)的權(quán)限讀取遠(yuǎn)程過程調(diào)用服務(wù)的權(quán)限SQL Server 代理：*（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實例：NT Service\SQLSERVERAGENT。 命名實例：NT Service\SQLAGENT$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過遍歷檢查(SeChangeNotifyPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaPrivilege)SSAS設(shè)置用戶帳戶 ：（所有權(quán)限都授予本地 Windows 組。 默認(rèn)實例：SQLServerMSASUser$ComputerName$MSSQLSERVER。 命名實例：SQLServerMSASUser$ComputerName$InstanceName。 Power Pivot for SharePoint 實例：SQLServerMSASUser$ComputerName$PowerPivot。）以服務(wù)身份登錄(SeServiceLogonRight)僅適用于表格：增加進(jìn)程工作集(SeIncreaseWorkingSetPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaSizePrivilege)鎖定內(nèi)存中的頁(SeLockMemoryPrivilege) 僅當(dāng)完全關(guān)閉分頁時才需要。僅適用于故障轉(zhuǎn)移群集安裝：提高計劃優(yōu)先級(SeIncreaseBasePriorityPrivilege)SSRS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實例：NT SERVICE\ReportServer。 命名實例：NT SERVICE\$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)SSIS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實例和命名實例：NT SERVICE\MsDtsServer130。 Integration Services 沒有針對命名實例的單獨進(jìn)程。）以服務(wù)身份登錄(SeServiceLogonRight)應(yīng)用程序事件日志的寫入權(quán)限。跳過遍歷檢查(SeChangeNotifyPrivilege)身份驗證后模擬客戶端(SeImpersonatePrivilege)全文搜索：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實例：NT Service\MSSQLFDLauncher。 命名實例：NT Service\ MSSQLFDLauncher$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuota