将 SQL Server Express 与您的业务应用程序一起部署时，应使用什么用户来使用 SQL Server 代理服务？

Question

我们正在使用 .NET 应用程序部署 SQL Server Express，即我们自己的 SQL Server Express 实例会在应用程序的设置过程中自动安装。

在无人值守安装过程中，可以指定用于 SQL Server 代理的用户帐户（通过命令行参数 /AGTSVCACCOUNT，该参数是非可选的）。但是，似乎所有选项要么 (a) 不可行，要么 (b) Microsoft 不推荐：

• NT AUTHORITY\NetworkService 和 NT AUTHORITY\LocalService：这些选项域控制器不支持。 （在终端服务器环境中，我们的业务应用程序有时安装在域控制器上。我知道这不是最佳实践，但这正是我们的客户有时所做的。）

• NT AUTHORITY\System：微软表示：“提供本地系统帐户选项只是为了向后兼容。本地系统帐户具有 SQL Server 代理不需要的权限，请避免将 SQL Server 代理作为本地系统帐户运行。"

• 自动创建新的本地 Windows 或域用户：我认为这不是一个可行的选择。作为用户，如果我在计算机上安装的简单业务应用程序自动创建一个新的用户帐户，我会认为这是相当具有侵入性的。无论如何，应该使用哪个密码？一些预定义的、硬编码的值（=安全噩梦）？一些新的随机密码（= 管理噩梦）？

• 要求用户提供或创建帐户：在许多情况下，在家庭计算机上安装软件的“简单用户”既不知道也不关心它是什么“用户帐户”，因此这也不是一个选项。不管怎样，用户为什么要为他正在安装的业务应用程序的一些内部实现细节（SQL Server 代理服务）而烦恼？

我错过了什么明显的事情吗？是否有一些关于如何解决此问题的成熟最佳实践？

Answer 1

为什么您认为 SQL Server 代理帐户是静默 SQL Server Express 安装的非可选参数？我已经多次以静默方式安装 SQL Server Express，而从未指定 /AGTSVCACCOUNT 选项。

此外，SQL Server Express甚至不支持SQL Server Agent，即使仍然安装了SQL Server Agent服务，它也会被安装程序禁用。

Answer 2

为了合理选择服务应使用哪个帐户，必须能够确定服务的需求，即服务成功运行所需的 Windows 权限。了解这一点后，您就可以确定哪些服务帐户具有满足这些要求的权限集。

我不会为您提供笼统的答案，而是为您提供一些可能有助于您做出决定的信息

• 此页面包含说明
  角色和权限
  与每个帐户关联
• 本页介绍了 SQL Server 代理服务和 Windows所需的权限

上述内容均未涉及如何最好地处理域控制器上 SQL Server 的安装。不幸的是，这不是我很了解的领域，所以我不会冒着传播错误信息的风险试图解决这个问题。

顺便说一句，SQL Server 代理服务的目的是代表 SQL Server 运行计划作业。如果您的应用程序没有使用 SQL Server 代理支持的任何功能，您可能会考虑禁用该服务以减少 SQL Server 的表面积

我意识到这不是对所提出问题的完整答案，但我希望它有所帮助