【文章內(nèi)容簡(jiǎn)介】 用 SQL Server 2016 或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是 Windows Server 2012 R2 或更高版本。 裝有 Windows Server 2012 R2 的服務(wù)器需要應(yīng)用KB 2998082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請(qǐng)參閱組托管服務(wù)帳戶說(shuō)明域管理員必須先在 Active Directory 中創(chuàng)建組托管服務(wù)帳戶，然后 SQL Server 安裝程序才能將其用于 SQL Server 服務(wù)。 虛擬帳戶Windows Server 2008 R2 和 Windows 7 中的虛擬帳戶是“托管的本地帳戶” ，此類帳戶提供以下功能以簡(jiǎn)化服務(wù)管理。 虛擬帳戶是自動(dòng)管理的，并且虛擬帳戶可以訪問(wèn)域環(huán)境中的網(wǎng)絡(luò)。 如果在 Windows Server 2008 R2 或 Windows 7 上安裝 SQL Server 時(shí)對(duì)服務(wù)帳戶使用默認(rèn)值，則將使用將實(shí)例名稱用作服務(wù)名稱的虛擬帳戶，格式為NT SERVICE\SERVICENAME。 以虛擬帳戶身份運(yùn)行的服務(wù)通過(guò)使用計(jì)算機(jī)帳戶的憑據(jù)（格式為domain_name\puter_name$）訪問(wèn)網(wǎng)絡(luò)資源。 當(dāng)指定一個(gè)虛擬帳戶以啟動(dòng) SQL Server 時(shí)，應(yīng)將密碼留空。 如果虛擬帳戶無(wú)法注冊(cè)服務(wù)主體名稱 (SPN)，則手動(dòng)注冊(cè)該 SPN。 有關(guān)手動(dòng)注冊(cè) SPN 的詳細(xì)信息，請(qǐng)參閱手動(dòng)注冊(cè) SPN。說(shuō)明虛擬帳戶不能用于 SQL Server 故障轉(zhuǎn)移群集實(shí)例，因?yàn)樘摂M帳戶在群集的每個(gè)節(jié)點(diǎn)不會(huì)有相同 SID。下表列出了虛擬帳戶名稱的示例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫(kù)引擎服務(wù)的默認(rèn)實(shí)例NT SERVICE\MSSQLSERVER名為 數(shù)據(jù)庫(kù)引擎 的的服務(wù)的命名實(shí)例NT SERVICE\MSSQL$PAYROLLSQL Server 代理服務(wù)，位于以下默認(rèn)實(shí)例上： SQL ServerNT SERVICE\SQLSERVERAGENTSQL Server 的 SQL Server 的的NT SERVICE\SQLAGENT$PAYROLL有關(guān)托管服務(wù)帳戶和虛擬帳戶的詳細(xì)信息，請(qǐng)參閱服務(wù)帳戶分步指南的托管服務(wù)和虛擬帳戶概念部分以及托管服務(wù)帳戶常見(jiàn)問(wèn)題解答 (FAQ)。安全說(shuō)明始終用盡可能低的用戶權(quán)限運(yùn)行 SQL Server 服務(wù)。 就會(huì)使用MSA或virtual account 當(dāng)無(wú)法使用 MSA 和虛擬帳戶時(shí)，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于 SQL Server 服務(wù)。 對(duì)不同的 SQL Server 服務(wù)使用單獨(dú)的帳戶。 不要向 SQL Server 服務(wù)帳戶或服務(wù)組授予其他權(quán)限。 在支持服務(wù) SID 的情況下，將通過(guò)組成員身份或直接將權(quán)限授予服務(wù) SID。自動(dòng)啟動(dòng)除了具有用戶帳戶外，每項(xiàng)服務(wù)還有用戶可控制的三種可能的啟動(dòng)狀態(tài)： 已禁用服務(wù)已安裝但當(dāng)前未運(yùn)行。 手動(dòng)服務(wù)已安裝，但僅當(dāng)另一個(gè)服務(wù)或應(yīng)用程序需要該服務(wù)的功能時(shí)才啟動(dòng)。 自動(dòng)服務(wù)由操作系統(tǒng)自動(dòng)啟動(dòng)。在安裝過(guò)程中，啟動(dòng)狀態(tài)處于選中狀態(tài)。 當(dāng)安裝命名實(shí)例時(shí)， SQL Server Browser 服務(wù)應(yīng)設(shè)置為自動(dòng)啟動(dòng)。在無(wú)人參與的安裝過(guò)程中配置服務(wù)下表顯示了可以在安裝過(guò)程中配置的 SQL Server 服務(wù)。 對(duì)于無(wú)人參與的安裝，可以在配置文件中或在命令提示符下使用開(kāi)關(guān)。SQL Server 服務(wù)名稱無(wú)人參與安裝的開(kāi)關(guān)*MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent**AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPEReportServerRSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegration ServicesISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPESQL Server Distributed Replay 控制器DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSSQL Server Distributed Replay 客戶端DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、CLTRESULTDIRR Services (Indatabase)EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS*有關(guān)無(wú)人參與安裝的詳細(xì)信息和示例語(yǔ)法，請(qǐng)參閱從命令提示符安裝 SQL Server 2016。**SQL Server 代理服務(wù)在 SQL Server Express 實(shí)例和具有高級(jí)服務(wù)的 SQL Server Express 實(shí)例上處于禁用狀態(tài)。防火墻端口在大多數(shù)情況下，首次安裝時(shí)，可以通過(guò)與 數(shù)據(jù)庫(kù)引擎 安裝在相同計(jì)算機(jī)上的 SQL Server Management Studio 等此類工具連接 SQL Server。 SQL Server 安裝程序不會(huì)在 Windows 防火墻中打開(kāi)端口。 在將數(shù)據(jù)庫(kù)引擎配置為偵聽(tīng) TCP 端口，并且在 Windows 防火墻中打開(kāi)適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無(wú)法從其他計(jì)算機(jī)建立連接。 有關(guān)詳細(xì)信息，請(qǐng)參閱配置 Windows 防火墻以允許 SQL Server 訪問(wèn)。服務(wù)權(quán)限服務(wù)配置和訪問(wèn)控制SQL Server 2016 會(huì)為它的每項(xiàng)服務(wù)啟用 Perservice SID，以提供深層服務(wù)隔離與防御。 Perservice SID 從服務(wù)名稱派生得到，對(duì)該服務(wù)是唯一的。 例如，數(shù)據(jù)庫(kù)引擎 服務(wù)的服務(wù) SID 名稱可能是NT Service\MSSQL$InstanceName。 通過(guò)服務(wù)隔離，可直接訪問(wèn)特定的對(duì)象，而無(wú)需運(yùn)行高特權(quán)帳戶，也不會(huì)削弱為對(duì)象提供的安全保護(hù)水平。 通過(guò)使用包含服務(wù) SID 的訪問(wèn)控制項(xiàng)， SQL Server 服務(wù)可限制對(duì)其資源的訪問(wèn)。說(shuō)明：在 Windows 7 和 Windows Server 2008（可能為英文頁(yè)面）R2 上，Perservice SID 可以是服務(wù)使用的虛擬帳戶。Windows 特權(quán)和權(quán)限為啟動(dòng)服務(wù)分配的帳戶需要對(duì)于服務(wù)的啟動(dòng)、停止和暫停權(quán)限 SQL Server 安裝程序?qū)⒆詣?dòng)分配此權(quán)限。 首先，安裝遠(yuǎn)程服務(wù)器管理工具 (RSAT)下表說(shuō)明 SQL Server 安裝程序?yàn)?SQL Server 組件使用的 Perservice SID 或本地 Windows 組請(qǐng)求的權(quán)限。SQL Server 服務(wù)SQL Server 安裝程序授予的權(quán)限SQL Server 數(shù)據(jù)庫(kù)引擎設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實(shí)例：NT SERVICE\MSSQLSERVER。 命名實(shí)例：NT SERVICE\MSSQL$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級(jí)別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過(guò)遍歷檢查(SeChangeNotifyPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaPrivilege)啟動(dòng) SQL 編寫器的權(quán)限讀取事件日志服務(wù)的權(quán)限讀取遠(yuǎn)程過(guò)程調(diào)用服務(wù)的權(quán)限SQL Server 代理：*（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實(shí)例：NT Service\SQLSERVERAGENT。 命名實(shí)例：NT Service\SQLAGENT$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)替換進(jìn)程級(jí)別標(biāo)記(SeAssignPrimaryTokenPrivilege)跳過(guò)遍歷檢查(SeChangeNotifyPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaPrivilege)SSAS設(shè)置用戶帳戶 ：（所有權(quán)限都授予本地 Windows 組。 默認(rèn)實(shí)例：SQLServerMSASUser$ComputerName$MSSQLSERVER。 命名實(shí)例：SQLServerMSASUser$ComputerName$InstanceName。 Power Pivot for SharePoint 實(shí)例：SQLServerMSASUser$ComputerName$PowerPivot。）以服務(wù)身份登錄(SeServiceLogonRight)僅適用于表格：增加進(jìn)程工作集(SeIncreaseWorkingSetPrivilege)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuotaSizePrivilege)鎖定內(nèi)存中的頁(yè)(SeLockMemoryPrivilege) 僅當(dāng)完全關(guān)閉分頁(yè)時(shí)才需要。僅適用于故障轉(zhuǎn)移群集安裝：提高計(jì)劃優(yōu)先級(jí)(SeIncreaseBasePriorityPrivilege)SSRS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實(shí)例：NT SERVICE\ReportServer。 命名實(shí)例：NT SERVICE\$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)SSIS設(shè)置用戶帳戶 ：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實(shí)例和命名實(shí)例：NT SERVICE\MsDtsServer130。 Integration Services 沒(méi)有針對(duì)命名實(shí)例的單獨(dú)進(jìn)程。）以服務(wù)身份登錄(SeServiceLogonRight)應(yīng)用程序事件日志的寫入權(quán)限。跳過(guò)遍歷檢查(SeChangeNotifyPrivilege)身份驗(yàn)證后模擬客戶端(SeImpersonatePrivilege)全文搜索：（所有權(quán)限都將授予 Perservice SID。 默認(rèn)實(shí)例：NT Service\MSSQLFDLauncher。 命名實(shí)例：NT Service\ MSSQLFDLauncher$InstanceName。）以服務(wù)身份登錄(SeServiceLogonRight)調(diào)整進(jìn)程的內(nèi)存配額(SeIncreaseQuota