1.三种帐户类型:network service帐户,本地系统帐户和专用的域用户帐户。
(1)域用户帐户(Local Service ):
在大多数的sql server 2005生产环境中,为sql server服务和sql server agent服务创建和使用权一个或两个专用的域用户帐户,使用域用户帐户允许这些服务与其它sql server安装通信,访问网络资源,以及与其它windows应用交互。可以手动授予域用户帐户sql server服务和sql server agent服务所需的权限,但这些帐户所需的全部权限,将自动地授予你在安装sql server 2005过程中分配帐户时指定的域用户帐户。
Local Service账户是预设的拥有最小权限的本地账户,并在网络凭证中具有匿名的身份。Local Service账户通常可以访问Local Service、Everyone组还有认证用户有权限访问的资源。
举例来说,以Local Service账户运行的服务主要有:Alerter、Remote Registry、Smart Card、SSDP,还有WebClient。
运行于此账户下的进程和运行于Network Service 账户下的进程的区别在于运行于Local Service 账户下的进程只能访问允许匿名访问的网络资源。运行于Local Service 下的账户使用的配置文件是HKUS-1-5-19 和 Documents and SettingsLocalService。
(2)network service帐户:
network service帐户是一个特殊的内置系统帐户,类似于己验证的用户帐户,该账户是为了使用机器账户在网络上的其他计算机上认证而设定的。但是他没有Local System 那么多的权限。 该账户是预设的拥有本机部分权限的本地账户,它能够以计算机的名义访问网络资源。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。Network Service账户通常可以访问Network Service、Everyone组,还有认证用户有权限访问的资源。运行于此账户下的进程使用网络账户配置文件 HKEY_USERSS-1-5-20 和 Documents and SettingsNetworkService。
举例来说,以Network Service账户运行的服务主要有:Distributed Transaction Coordinator、DNS Client、Performance Logs and Alerts,还有RPC Locator。
(3)本地系统帐户(Local System):
本地系统帐户是一个windows操作系统帐户,预设的拥有本机所有权限的本地账户,但是没有网络访问权限。该帐户可用于开发或测试不需要与其它服务器应用交互,也不需要使用任何网络资源的服务器,但由于授予该帐户的特权,不建议对sql service服务或sql service agent服务帐户使用此帐户。
该账户也隶属于本地 Administrators 用户组,因此所有本地 Administrators 用户能够进行的操作该账户也能够进行,其次,该账户还能够控制文件的权限(NTFS 文件系统)和注册表权限,甚至占据所有者权限来取得访问资格。运行于此账户下的进程使用的是HKEY_USERS.Default 账户配置,因此它不能够访问其他账户的配置。
(本文摘录部分博文)