Compartir vía


Seleccionar una cuenta para el servicio Agente SQL Server

Se aplica a: SQL Server Azure SQL Managed Instance

Importante

En Azure SQL Managed Instance, actualmente son compatibles la mayoría de las características del Agente SQL Server. Consulte Diferencias entre T-SQL de Azure SQL Managed Instance y SQL Server para más información.

La cuenta de inicio del servicio define la cuenta de Microsoft Windows en la que se ejecuta Agente SQL Server y sus permisos de red. Agente SQL Server se ejecuta como una cuenta de usuario especificada. Puede seleccionar una cuenta para el servicio Agente SQL Server mediante Administrador de configuración de SQL Server, donde puede elegir entre las siguientes opciones:

  • Cuenta integrada. Puede elegirla de una lista con las siguientes cuentas de servicio de Windows integradas:

    • Cuenta desistema local . El nombre de esta cuenta es NT AUTHORITY\System. Es una cuenta eficaz con acceso sin restricciones a todos los recursos del sistema local. Es miembro del grupo Administradores de Windows en el equipo local.

    Importante

    La opción Cuenta del sistema local se mantiene solo por motivos de compatibilidad con versiones anteriores. La cuenta de sistema local tiene permisos que Agente SQL Server no necesita. Evite ejecutar Agente SQL Server en la cuenta del sistema local. Para mejorar la seguridad, utilice una cuenta de dominio de Windows con los permisos que se enumeran en la sección siguiente, "Permisos de cuentas de dominio de Windows".

  • Esta cuenta. Permite especificar la cuenta de dominio de Windows en la que se ejecuta el servicio Agente SQL Server. Se recomienda que la cuenta de usuario de Windows que elija no sea miembro del grupo Administradores de Windows. Sin embargo, existen limitaciones en el uso de la administración multiservidor cuando la cuenta de servicio Agente SQL Server no es miembro del grupo local Administradores. Para obtener más información, vea “Tipos de cuenta de servicio compatibles” más adelante en este artículo.

Permisos de cuentas de dominio de Windows

Para mayor seguridad, seleccione Esta cuenta, que especifica una cuenta de dominio de Windows. La cuenta de dominio de Windows que especifique debe tener los permisos siguientes:

  • En todas las versiones de Windows, permiso para iniciar sesión como servicio (SeServiceLogonRight).

    Nota:

    La cuenta de servicio Agente SQL Server debe formar parte del grupo Acceso compatible con versiones anteriores de Windows 2000 en el controlador de dominio; de lo contrario, los trabajos que pertenecen a usuarios del dominio que no son miembros del grupo Administradores de Windows producirán un error.

  • En servidores de Windows, la cuenta con la que se ejecuta el servicio Agente SQL Server requiere los permisos siguientes para poder admitir servidores proxy del Agente SQL Server.

    • Permiso para omitir la comprobación de recorrido (SeChangeNotifyPrivilege)
    • Permiso para reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)
    • Permiso para ajustar cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege)
    • Permiso para tener acceso a este equipo desde la red (SeNetworkLogonRight)

Si la cuenta no tiene los permisos necesarios para admitir servidores proxy, solo los miembros del rol fijo de servidor sysadmin pueden crear trabajos.

Para recibir una notificación de alerta de Instrumental de administración de Windows (WMI), la cuenta de servicio para Agente SQL Server debe tener concedido permiso al espacio de nombres que contiene los eventos WMI y ALTER ANY EVENT NOTIFICATION.

Pertenencia a roles de SQL Server

De forma predeterminada, la cuenta de servicio de Agente SQL Server se asigna al SID de servicio de Agente SQL Server predeterminado (NT SERVICE\SQLSERVERAGENT), que es miembro del rol fijo de servidor sysadmin. La cuenta también debe ser miembro del rol de base de datos msdb TargetServersRole en el servidor maestro si se usa el procesamiento de trabajos multiservidor. El Asistente para servidor maestro agrega automáticamente la cuenta de servicio a este rol como parte del proceso de alta.

Tipos de cuenta de servicio compatibles

En la tabla siguiente se muestran los tipos de cuenta de Windows que se pueden usar para el servicio Agente SQL Server.

Tipo de cuenta de servicio Índice no agrupado Servidor en clúster Controlador de dominio (no agrupado)
Cuenta Windows dominio de Microsoft Windows (miembro del grupo de administradores de Windows) Compatible Admitido Compatible
Cuenta de dominio de Windows (no administrativa) Compatible

Consulte Limitación 1 más adelante en esta sección.
Compatible

Consulte Limitación 1 más adelante en esta sección.
Compatible

Consulte Limitación 1 más adelante en esta sección.
Cuenta de servicio de red (NT AUTHORITY\NetworkService) Compatible

Consulte Limitación 1, 3 y 4 más adelante en esta sección.
No se admite No compatible
Cuenta de usuario local (no administrativa) Compatible

Consulte Limitación 1 más adelante en esta sección.
No compatible No aplicable
Cuenta de sistema local (NT AUTHORITY\System) Compatible

Consulte Limitación 2 más adelante en esta sección.
No compatible Compatible

Consulte Limitación 2 más adelante en esta sección.
Cuenta de servicio local (NT AUTHORITY\LocalService) No se admite No compatible No compatible

Limitación 1: utilizar cuentas no administrativas para la administración multiservidor

Dar de alta servidores de destino en el servidor maestro puede producir un error acompañado del siguiente mensaje: The enlist operation failed.

Para resolver este error, reinicie los servicios SQL Server y Agente SQL Server. Para más información, consulte Inicio, detención, pausa, reanudación y reinicio de servicios de SQL Server.

Limitación 2: utilizar la cuenta de sistema local para la administración multiservidor

Solo se admite la administración multiservidor cuando el servicio Agente SQL Server se ejecuta bajo la cuenta de sistema local y tanto el servidor maestro como el servidor de destino residen en el mismo equipo. Si usa esta configuración, cuando lleve a cabo el alta de los servidores de destino en el servidor maestro se devuelve el siguiente mensaje:

Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.

Puede omitir este mensaje informativo. La operación de alta debe finalizar correctamente. Para obtener más información, vea Crear un entorno multiservidor.

Limitación 3: utilizar la cuenta de servicio de red cuando es un usuario de SQL Server

Se puede producir un error al iniciar el Agente SQL Server si ejecuta el servicio Agente SQL Server bajo una cuenta de servicio de red y es concedido explícitamente a esta cuenta acceso para iniciar sesión en una instancia de SQL Server como un usuario de SQL Server.

Para resolver este problema, reinicie el equipo donde se ejecuta SQL Server. Solo es necesario hacerlo una vez.

Limitación 4: utilizar la cuenta de servicio de red cuando SQL Server Reporting Services se ejecuta en el mismo equipo

Se puede producir un error al iniciar el Agente SQL Server si se ejecuta el servicio Agente SQL Server bajo la cuenta de servicio de red y Reporting Services también está ejecutándose en el mismo equipo.

Para resolver este problema, reinicie el equipo donde se ejecuta SQL Server y, a continuación, reinicie los servicios SQL Server y Agente SQL Server. Solo es necesario hacerlo una vez.

Tareas comunes

Use Administrador de configuración de SQL Server para especificar que Agente SQL Server debe iniciarse cuando se inicie el sistema operativo.