none
关于SQL服务账户 RRS feed

  • 问题

  • 请教个非常简单的问题:
    在安装SQL时,要求配置服务的启动账户。请问下3种启动账户:本地系统、本地服务、指定账户,有什么不同的地方,在什么环境下使用。
    谢谢了
    2009年7月22日 3:30

答案

  • 主要涉及 sql server 访问外部数据的权限控制 (安全性考虑)

    例如, 如果你想要在 sql server 中通过 xp_cmdshell, 或者 oppenrowset 之类操作一个网络目录的权限, 则应该用指定帐户, ,因为本地系统和本地服务都不具有访问网络资源的权限

    下面是摘自联机帮助上的相关说明:

    若要启动和运行 SQL Server 中的每项服务,这些服务都必须有一个在安装过程中配置的帐户。用于启动和运行 SQL Server 的启动帐户可以是内置系统帐户、本地用户帐户或域用户帐户。

    Domain User 帐户

    如果服务必须与网络服务进行交互,则访问类似于文件共享的域资源;如果服务使用到运行 SQL Server 的其他计算机的链接服务器连接,则可以使用具有最低特权的域帐户。许多服务器到服务器的活动只能使用域用户帐户来执行。此帐户应由域管理员在您的环境内预先创建。

    Local User 帐户

    如果计算机不在域中,则建议您使用不具有 Windows 管理员权限的本地用户帐户。

    Local Service 帐户

    Local Service 帐户是一个内置帐户,与 Users 组的成员具有相同级别的资源和对象访问权限。如果有个别服务或进程的安全性受到威胁,则此有限访问权限有助于保护系统的安全性。以 Local Service 帐户身份运行的服务将以一个没有凭据的 Null 会话形式访问网络资源。请注意,SQL Server 或 SQL Server Agent 服务不支持 Local Service 帐户。该帐户的实际名称为 "NT AUTHORITY\Local Service account"。

    Network Service 帐户

    Network Service 帐户是一个内置帐户,比 Users 组的成员拥有更多的对资源和对象的访问权限。以 Network Service 帐户身份运行的服务将使用计算机帐户的凭据访问网络资源。该帐户的实际名称为 "NT AUTHORITY\NetworkService"。

    Local System 帐户

    Local System 是一个具有高特权的内置帐户。它对本地系统有许多权限并作为网络上的计算机。该帐户的实际名称为 "NT AUTHORITY\System"。

    除了具有用户帐户外,每项服务还有用户可控制的三种可能的启动状态:

    2009年7月22日 4:22