Em uma instalação SQL padrão, a conta do mecanismo é NT Service\MSSQLSERVER e a conta do agente é NT Service\SQLSERVERAGENT
Na segurança SQL, posso ver os dois listados como logins com função sysadmin.
Eles também têm as permissões de segurança necessárias nas várias pastas automaticamente.
Se eu alterar a conta do mecanismo e do agente por meio do gerenciador de configuração para contas locais ou de domínio (como meudomínio\sqlengine, meudomínio\sqlagent), então:
Preciso criar essas contas na segurança SQL e atribuir a função sysadmin a elas?
Existem outras etapas de postagem (como qualquer outra atribuição de permissões - como a seguir: https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/configure-windows-service-accounts-and- permissions?view=sql-server-ver16#Windows - ou isso é aplicado implicitamente por meio da conta virtual?)?
Posso excluir as 2 contas de serviço NT acima dos meus logins do SQL Server?
A razão para perguntar é que - eu sei que nos bastidores o mecanismo SQL faz uso da NT SERVICE\MSSQLSERVERconta sid de serviço, e o agente faz uso de , para as várias permissões de pasta (dados/ log NT SERVICE\SQLSERVERAGENT/etc.) e privilégios e direitos do Windows como Log in as a service,, Replace a process level tokenetc. Mas ele ainda usa essa conta virtual para acessar as pastas/arquivos mesmo depois de alterar a conta de serviço do mecanismo do servidor SQL para uma conta de usuário de domínio?
Quando alterei a conta de serviço do servidor SQL por meio do gerenciador de configuração para uma conta de usuário de domínio, ela não fez alterações automáticas nos dados, na pasta de log ou nas permissões de arquivo. O pop-up de segurança de pasta/arquivo sempre foi exibido MSSQLSERVER(não a conta de usuário do domínio) e o servidor SQL funciona perfeitamente bem.
Isso significa que o mecanismo do servidor SQL usa NT SERVICE\MSSQLSERVER mesmo que a conta de serviço do mecanismo SQL seja alterada para uma conta de usuário de domínio?
Essas contas (NT SERVICE\MSSQLSERVER, NT SERVICE\SQLSERVERAGENT) são conhecidas como contas virtuais e mantêm as permissões conforme você observou ao usar o gerenciador de configuração para alterar a conta e as coisas continuam funcionando. Você pode ler a documentação oficial no link a seguir, é bastante longo, então não é possível reproduzir todo o conteúdo aqui, além do link parecer ser atualizado regularmente.
https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/configure-windows-service-accounts-and-permissions?view=sql-server-ver16#VA_Desc