DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 283811 - Última revisão: quarta-feira, 11 de Fevereiro de 2009 - Revisão: 11.2

 

Nesta página

Sumário

Quando instala o Microsoft SQL Server para ser executado sob uma conta do Microsoft Windows NT pela primeira vez, conjuntos de SQL Server para que o Windows NT conta vários direitos de utilizador do Windows e as permissões de determinados ficheiros, pastas e chaves de registo. Se posteriormente alterar a conta de início para o SQL Server (o serviço MSSQLServer) e o serviço de agente do SQL Server utilizando o SQL Server Enterprise Manager (SEM) ou o SQL Server Configuration Manager (SSCM), SEM automaticamente atribui todas as permissões necessárias e direitos de utilizador Windows para a nova conta de início para o utilizador para que não tem de fazer mais alguma coisa. Recomendamos que utilize esta é a abordagem para alterar a conta de serviço.

Nota Tem de ter direitos de administrador no servidor remoto para esta funcionalidade esteja disponível no SQL Server Enterprise Manager.

No entanto, se utilizar o suplemento de Serviços no painel de controlo ou em Ferramentas administrativas para alterar a informação de conta arranque para o MSSQLServer serviço ou o serviço de agente do SQL Server, existem mais permissões e direitos de utilizador tem de definir.

Este artigo descreve os passos que tem de tomar quando altera as informações da conta de arranque utilizando os Serviços de suplementos.

Antes de continuar, visite os seguintes Web sites da Microsoft e visualizar os artigos na base de dados de conhecimento da Microsoft: do boletim de segurança Microsoft MS02-038
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx (http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx)

Boletim de segurança Microsoft MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx (http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx)
CORRECÇÃO 322853  (http://support.microsoft.com/kb/322853/ ) : SQL Server concede permissões desnecessárias ou uma função de encriptação contém memórias intermédias não verificadas
Nota Cumprimento MS02-034 e MS02-038 remove vulnerabilidades de elevação de credenciais administrativas existente e ajuda a evitar futuras.

Alterar o SQL Server ou a conta de serviço SQL Server Agent utilizando o suplemento de serviços em vez de utilizar o SQL Enterprise Manager ou o SQL Server Management Studio

Se alterar a conta do serviço SQL Server ou a conta do serviço SQL Server Agent utilizando o suplemento de Serviços em vez de utilizar SEM ou SSCM, existem determinadas de registo e ficheiros NTFS sistema permissões e direitos de utilizador Microsoft Windows que também tem de ser definidos. Isto é especialmente verdadeiro para SQL Server Desktop Engine (também conhecido como MSDE 2000) ou instalações do SQL Server 2005 Express Edition porque não tem SEM ou SSCM para utilizar para efectuar as alterações de permissões. Existem três áreas específicas deve concentrar-se:
  • Chaves de registo.
  • Permissões de sistema de ficheiros NTFS no disco.
  • Direitos de utilizador do Windows.
Cada um é abordado separadamente nos parágrafos seguintes.

Chaves de registo

Definir o Controlo total para a conta de início para o serviço MSSQLServer e o serviço SQLServerAgent (uma conta local do Microsoft Windows NT, ou uma conta de domínio do Windows NT) nas chaves de registo incluídos na lista que se segue. Em ramos de registo seguintes, as chaves de thes nesta lista são as chaves em listas de controlo de acesso (ACL, Access Control List) estão definidas. Para clusters, siga este passo em todos os nós no cluster.

Permissão Controlo total aplica-se as seguintes chaves e todas as chaves subordinadas:
  • Para uma instância nomeada:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\ <Instancename >
  • Para uma instância predefinida:
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

Se estiver a utilizar o SQL Server 2005

Para uma instância nomeada ou uma instância predefinida, aplica-se a permissão Controlo total às seguintes chaves e todas as chaves subordinadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\90

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<MSSQL.x>
Nota Nesta subchave do registo, <MSSQL.x> é um marcador para o valor correspondente para o sistema. É possível determinar o valor correspondente para o sistema a partir do valor da entrada de registo é denominado como nome da instância na seguinte subchave de registo. Para uma instância predefinida, o nome de instância é MSSQLSERVER:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL\

Permissões do sistema de ficheiros NTFS no disco

Defina Controlo total para a conta de arranque para o serviço MSSQLServer e o serviço SQLServerAgent (ou um local Windows NT conta, ou de domínio Windows NT) nestas pastas NTFS. Para clusters, terá de modificar os caminhos correspondentes em cada nó do computador.

Eis um exemplo para uma instância nomeada:
_Instancename_\ D:\Program Files\Microsoft SQL Server\MSSQL $
Eis um exemplo de uma instância predefinida:
D:\Program Files\Microsoft SQL Server\MSSQL\
Subpastas e ficheiros também tem de ter as mesmas permissões.

Se estiver a utilizar o SQL Server 2005

a pasta correspondente é o seguinte:
Drive: \Programas\Microsoft SQL Server\<MSSQL.1>\MSSQL

Direitos de utilizador do Windows

Normalmente, a instalação predefinida do sistema operativo confere o Grupo de administradores local todos os direitos de utilizador do SQL Server necessita para funcionar correctamente. Por conseguinte, conta locais contas de Windows NT ou contas de domínio que tenham sido adicionadas ao Grupo de administradores local , com a intenção de ser o arranque para o SQL Server serviço, de ter todos os direitos de utilizador que necessitam. No entanto, não recomendamos que execute o SQL Server nesses direitos de utilizador alta.

Para o SQL Server 2005, se não pretende que o SQL Server ou a conta de arranque do agente do SQL Server seja um membro do grupo de administradores local, consulte a secção de "Revisão Windows NT direitos e privilégios concedido para SQL Server contas de serviço" no tópico "Definições para serviço de contas do Windows" no SQL Server 2005 Books Online.

Para o SQL Server 2000, se não pretender que o SQL Server ou a conta de arranque do agente do SQL Server seja um membro do Grupo de administradores local , em seguida, a conta de início para o serviço MSSQLServer e o serviço SQLServerAgent (uma conta local do Windows NT, ou uma conta de domínio do Windows NT) tem de ter estes direitos de utilizador:
  • Actuar como parte do sistema operativo = SeTcbPrivilege
  • Ignorar verificação transversal = SeChangeNotify
  • Bloquear páginas na memória = SeLockMemory
  • Inicie sessão como tarefa batch = SeBatchLogonRight
  • Inicie sessão como um serviço = SeServiceLogonRight
  • Substituir um token de nível de processo = SeAssignPrimaryTokenPrivilege
Nota Para sua comodidade de programação, os nomes de direitos de utilizador do Microsoft Windows NT encontram-se junto ao nome completo do direito de utilizador.

Nota Inicialização de ficheiro instantâneas só está disponível se a conta do serviço SQL Server (MSSQLSERVER) foi concedida o direito SE_MANAGE_VOLUME_NAME. Os membros do grupo Administradores do Windows têm este direito. Estes membros podem conceder este direito a outros utilizadores adicionando os utilizadores a política de segurança de realizar tarefas de manutenção de volume.

Diversos passos

Nota Se a predefinição permissões de sistema de ficheiros NTFS no computador foram alteradas, certifique-se que a conta de arranque do SQL Server tem permissão de Pasta da lista activada unidade raiz da base de onde o SQL Server dados dados e os ficheiros de registo são localizados.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
239759  (http://support.microsoft.com/kb/239759/ ) Erro 5177 pode ser aumentado quando criar bases de dados

Se a conta que o serviço MSSQLServer vai estiver para começar uma das seguintes duas contas, terá de adicionar a conta de início para o MSSQLServer e os serviços SQLServerAgent ou ambos, para o SQL Server sysadmin ) função e conceder ao utilizador [Domain\NTaccount] um início de sessão para o SQL Server.
  • Não um membro do Grupo de administradores local do do computador.
  • O início de sessão BUILTIN\Administradores SQL Server foi removido.
Por exemplo:
EXEC sp_grantlogin [Example\test]
em seguida, adicionar essa conta à função sysadmin :
EXEC sp_addsrvrolemember @loginame = [Example\test] 
   , @rolename =  'sysadmin'

Se estiver a utilizar do SQL Server juntamente com qualquer procura em texto completo ou com clustering, alterar as contas de arranque do SQL Server utilizando algo diferente SEM poderá provocar vários problemas.

Se tiver problemas com procura em texto completo ou clusters, consulte a secção "Referências" deste artigo para obter mais informações.

Se estiver a utilizar autenticação SSPI (Security Support Provider Interface) Kerberos num ambiente de SQL Server 2000 e Microsoft Windows 2000, tem de largar o antigo nome de principal serviço (SPN) e, em seguida, crie um novo com as novas informações de conta. Consulte o tópico "Segurança conta delegação" no SQL Server 2000 Books Online para mais informações sobre como utilizar SETSPN para efectuar este procedimento.

Referências

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
317746  (http://support.microsoft.com/kb/317746/ ) Procura em texto completo do SQL Server não preencher catálogos
317232  (http://support.microsoft.com/kb/317232/ ) Mensagens de ID 1107 e 1079 evento ocorrer depois de alterar a palavra-passe da conta do serviço de cluster
295051  (http://support.microsoft.com/kb/295051/ ) CORRECÇÃO: Alterar o SQL Server conta para não-administrador para procura em texto completo facilita catálogos existentes inutilizável
254321  (http://support.microsoft.com/kb/254321/ ) Procedimentos do SQL Server em cluster, recomendados e avisos básicos
239885  (http://support.microsoft.com/kb/239885/ ) Como alterar contas de serviço num servidor virtual SQL
219264  (http://support.microsoft.com/kb/219264/ ) Ordem de instalação do SQL Server 7.0, o programa de configuração de clusters
198168  (http://support.microsoft.com/kb/198168/ ) Erro: Problemas poderão ocorrer quando alterar informações de conta de cluster do SQL Server
Para mais informações, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/cc966496.aspx (http://technet.microsoft.com/en-us/library/cc966496.aspx)

A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL 2005 Server Workgroup
Palavras-chave: 
kbmt kbinfo kbsql2005cluster kbhowtomaster KB283811 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 283811  (http://support.microsoft.com/kb/283811/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft