Configuration des comptes de service Windows
Mis à jour : 12 décembre 2006
Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Microsoft Windows. Cette rubrique présente la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant une installation de SQL Server.
Remarque relative à la sécurité Exécutez systématiquement les services SQL Server en utilisant les droits d'utilisateur les plus faibles possible.
Selon les composants Microsoft SQL Server 2005 que vous décidez d'installer, le programme d'installation de SQL Server 2005 installe les services suivants :
- Services de base de données SQL Server : service pour le moteur de base de données relationnel SQL Server.
- Agent SQL Server : exécute des travaux, surveille SQL Server, déclenche des alertes et autorise l'automatisation de certaines tâches administratives.
.gif "ms143504.note(fr-fr,SQL.90).gif")
Remarque :Pour que SQL Server et l'Agent SQL Server fonctionnent comme des services dans Windows, un compte d'utilisateur Windows doit leur être attribué. En règle générale, SQL Server et l'Agent SQL Server reçoivent le même compte d'utilisateur, à savoir le compte système local ou un compte d'utilisateur de domaine. Cependant, vous pouvez personnaliser les paramètres pour chaque service durant le processus d'installation. Pour plus d'informations sur la personnalisation des informations de compte pour chaque service, consultez Compte de service. - Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel.
- Reporting Services : gère, exécute, restitue, planifie et remet des rapports.
- Notification Services : plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications.
- Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.
- Recherche de texte intégral : crée rapidement des index de texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.
- Navigateur SQL Server : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients.
- SQL Server Active Directory Helper : publie et gère les services SQL Server dans Active Directory.
- SQL Writer : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).
Le reste de cette rubrique est constitué des sections suivantes :
- Configuration des services proposés dans le programme d'installation de SQL Server
- Utilisation des comptes de démarrage pour les services SQL Server
- Identification des services dépendant et ne dépendant pas des instances
- Vérification des droits et privilèges NT accordés aux comptes de services SQL Server
- Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
- Récapitulation des autorisations Windows pour les services SQL Server
- Récapitulation des considérations supplémentaires
- Noms de services localisés
Configuration des services proposés dans le programme d'installation de SQL Server
Durant l'installation de SQL Server, vous pouvez configurer certains services SQL Server à l'aide du compte de démarrage et déterminer si le service démarre automatiquement. Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier d'installation ou à partir de l'invite de commandes.
| Nom du service SQL Server | Configurable dans l'Assistant Installation ? | Commutateurs pour les installations sans assistance1 |
|---|---|---|
MSSQLSERVER |
Oui |
SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART |
SQLServerAgent |
Oui |
AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART |
MSSQLServerOLAPService |
Oui |
ASACCOUNT, ASPASSWORD, ASAUTOSTART |
ReportServer |
Oui |
RSACCOUNT, RSPASSWORD, RSAUTOSTART |
SQLBrowser |
Oui |
SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2 |
1Pour plus d'informations sur les installations à distance et sans assistance, accompagnées d'exemples de syntaxe, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.
2SQLBROWSERAUTOSTART peut être spécifié même si le navigateur SQL Server est déjà installé.
Les services suivants ne peuvent pas être configurés lors de l'installation. Ils sont installés avec les paramètres par défaut :
- Notification Services
- Integration Services
- Recherche de texte intégral
- Active Directory Helper
- SQL Writer
Utilisation des comptes de démarrage pour les services SQL Server
Pour démarrer et s'exécuter, chaque service de SQL Server 2005 doit posséder un compte d'utilisateur. Les comptes d'utilisateurs peuvent être des comptes système intégrés ou des comptes d'utilisateurs de domaine.
Outre qu'il doit posséder un compte d'utilisateur, chaque service a trois états de démarrage possibles, que les utilisateurs peuvent contrôler :
- Désactivé Le service est installé mais pas en cours d'exécution.
- Manuel Le service est installé mais ne démarrera que lorsqu'un autre service ou une autre application aura besoin de lui.
- Automatique Le service est démarré par le système d'exploitation après chargement des pilotes de périphériques lors du démarrage.
Le tableau ci-dessous indique les comptes par défaut et optionnels pour chaque service SQL Server, ainsi que les états de démarrage de chaque service.
| Nom du service SQL Server | Compte par défaut | Comptes optionnels | Type de démarrage | État par défaut après l'installation |
|---|---|---|---|---|
SQL Server |
SQL Server Express Edition sous Windows 2000 : Système local SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service réseau Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1 |
SQL Server Express Edition : Utilisateur de domaine, Système local, Service réseau1 Toutes les autres éditions : Utilisateur de domaine, Système local, Service réseau1 |
Automatique2 |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique |
Agent SQL Server |
Utilisateur de domaine3 |
Utilisateur de domaine, Système local, Service réseau1,6 |
Désactivé Automatique uniquement si l'utilisateur choisit le démarrage automatique |
Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique |
Analysis Services |
Utilisateur de domaine3 |
Utilisateur de domaine, Système local, Service réseau, Service local |
Automatique |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique |
Reporting Services |
Utilisateur de domaine3 |
Utilisateur de domaine, Système local, Service réseau, Service local |
Automatique |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique |
Notification Services4 |
Non applicable |
Non applicable |
Non applicable |
Non applicable |
Integration Services |
Windows 2000 : système local Tous les autres systèmes d'exploitation pris en charge : Service réseau |
Utilisateur de domaine, Système local, Service réseau, Service local |
Automatique |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique. |
Recherche de texte intégral |
Même compte que SQL Server |
Utilisateur de domaine, Système local, Service réseau, Service local |
Manuel |
Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique. |
Navigateur SQL Server |
SQL Server Express Edition sous Windows 2000 : Système local SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service local Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1,3 |
Utilisateur de domaine, Système local, Service réseau, Service local |
Désactivé5 Automatique uniquement si l'utilisateur choisit le démarrage automatique. |
Arrêté5 Démarré uniquement si l'utilisateur choisit le démarrage automatique. |
SQL Server Active Directory Helper |
Service réseau |
Système local, Service réseau |
Désactivé |
Arrêté |
SQL Writer |
Système local |
Système local |
Automatique |
Démarré |
1Important Microsoft recommande de ne pas utiliser le compte Service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL Server.
2Définissez comme manuel dans les configurations de cluster avec basculement.
3Pour les installations sans assistance, cette propriété est obligatoire. Si celle-ci n'est pas spécifiée, l'installation échouera. Pour spécifier le système local, utilisez SQLAccount=LocalSystem ou ASAccount=LocalSystem. Pour plus d'informations et pour un exemple de syntaxe sur les installations à distance et sans assistance, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.
4 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après l'installation, consultez la rubrique « Configuration des services Windows de Notification Services » dans la documentation en ligne de SQL Server 2005.
5Pour les installations de cluster avec basculement, le navigateur SQL Server est défini en démarrage automatique, et démarre par défaut à la fin de l'installation.
6Pour plus d'informations sur les comptes Windows pris en charge pour l'Agent SQL Server, consultez Types de comptes Windows pris en charge que vous pouvez utiliser pour exécuter le service SQL Server Agent dans SQL Server 2005.
| Important : |
|---|
| Pour les installations de cluster avec basculement, les comptes de système local et de service local ne sont pas autorisés pour les services cluster tels que SQL Server, Agent SQL Server et SSAS. Pour plus d'informations, consultez Avant l'installation du clustering avec basculement. Pour les installations SQL Server 2005 dans des configurations côte à côte avec des versions antérieures de SQL Server, les services SQL Server 2005 doivent utiliser des comptes figurant uniquement dans le groupe global des domaines. En outre, les comptes utilisés par les services SQL Server 2005 ne doivent pas figurer dans le groupe local Administrateurs. Ne pas se conformer à cette consigne entraînera un comportement de sécurité inattendu. |
Utilisation d'un compte d'utilisateur de domaine
Un compte d'utilisateur de domaine peut être préférable si le service doit interagir avec les services réseau. De nombreuses activités de serveur à serveur ne peuvent s'exercer qu'avec un compte utilisateur de domaine, par exemple :
- appels de procédures distantes ;
- réplication ;
- sauvegarde sur des lecteurs réseau ;
- jointures hétérogènes faisant intervenir des sources de données distantes ;
- fonctionnalités de messagerie de l'Agent SQL Server et SQL Mail. Cette restriction s'applique si vous utilisez Microsoft Exchange. La plupart des autres systèmes de messagerie électronique requièrent également que des clients (les services SQL Server et Agent SQL Server) soient exécutés sur des comptes avec droits d'accès au réseau.
Utilisation du compte de service local
Le compte de service local est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service local bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou processus individuels serait compromis. Les services qui s'exécutent au moyen du compte de service local accèdent aux ressources réseau dans le cadre d'une session null sans informations d'identification.
Utilisation du compte de service réseau
Le compte de service réseau est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service réseau bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur.
| Important : |
|---|
| Microsoft recommande de ne pas utiliser le compte de service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL. |
Utilisation du compte de système local
Le compte de système local possède des privilèges élevés ; soyez prudent lorsque vous assignez des autorisations de système local à des comptes de service SQL Server.
.gif "ms143504.security(fr-fr,SQL.90).gif") Remarque relative à la sécurité : |
|---|
| Pour accroître la sécurité de votre installation SQL Server, exécutez les services SQL Server sous un compte Windows local avec les privilèges les plus faibles possible. |
Modification des comptes d'utilisateur
Pour modifier le mot de passe ou d'autres propriétés d'un service quelconque lié à SQL Server, utilisez le Gestionnaire de configuration SQL Server. Si votre mot de passe Windows change, veillez à modifier également les paramètres des services SQL Server dans Windows. Si vous utilisez Kerberos et s'il est activé, veillez à actualiser la propriété d'annuaire SPN (Service Principal Name) d'Active Directory.
Pour plus d'informations, consultez Modification des mots de passe et des comptes d'utilisateur. Pour plus d'informations sur l'utilisation du complément Services dans Microsoft Windows afin de modifier les comptes de service SQL Server, consultez Comment faire pour modifier le compte de service de SQL Server ou de l'Agent SQL Server sans utiliser SQL Enterprise Manager dans SQL Server 2000 ou le Gestionnaire de configuration SQL Server dans SQL Server 2005.
Identification des services dépendant et ne dépendant pas des instances
Certains services SQL Server sont dépendants de l'instance, d'autres non. Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server, et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances installées de SQL Server ; ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.
Dans Microsoft SQL Server 2005, les services dépendant d'une instance sont les suivants :
- SQL Server
- Agent SQL Server
- Analysis Services
- Reporting Services
- Recherche de texte intégral
Dans SQL Server 2005, les services ne dépendant pas d'une instance sont les suivants :
- Notification Services
- Integration Services
- Navigateur SQL Server
- SQL Server Active Directory Helper
- SQL Writer
Vérification des droits et privilèges Windows NT accordés aux comptes de services SQL Server
Le programme d'installation de SQL Server crée des groupes d'utilisateurs pour différents services SQL Server et y ajoute les comptes de service appropriés. Ces groupes facilitent l'octroi des autorisations nécessaires pour exécuter les services SQL Server et d'autres exécutables, et aident à sécuriser les fichiers SQL Server. Notez que des noms de groupes uniques sont requis lors de l'installation de SQL Server 2005 sur un contrôleur de domaine.
Les groupes d'utilisateurs créés par le programme d'installation de SQL Server reçoivent les droits et privilèges Windows NT ci-dessous.
| Service SQL Server | Groupe d'utilisateurs | Autorisations par défaut accordées par le programme d'installation de SQL Server |
|---|---|---|
SQL Server |
Instance par défaut : SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSSQLUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000) Ouvrir une session en tant que tâche (SeBatchLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) Autorisation de démarrer SQL Server Active Directory Helper Autorisation de démarrer SQL Writer |
Agent SQL Server |
Instance par défaut : SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005SQLAgentUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000) Ouvrir une session en tant que tâche (SeBatchLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) |
Analysis Services |
Instance par défaut : SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSOLAPUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
Reporting Services1 |
Instance par défaut : SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER et SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005ReportServerUser$ComputerName$InstanceName et SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
Notification Services2 |
Instance par défaut ou instance nommée : SQLServer2005NotificationServicesUser$ComputerName |
Non applicable |
Integration Services |
Instance par défaut ou instance nommée : SQLServer2005DTSUser$ComputerName |
Ouvrir une session en tant que service (SeServiceLogonRight) Autorisation d'écrire dans le journal des événements d'application Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Créer des objets globaux (SeCreateGlobalPrivilege) Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege) |
Recherche de texte intégral |
Instance par défaut : SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSFTEUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
Navigateur SQL Server |
Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$ComputerName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
SQL Server Active Directory Helper |
Instance par défaut ou instance nommée : SQLServer2005MSSQLServerADHelperUser$ComputerName |
Aucune3 |
SQL Writer |
Non applicable |
Aucune3 |
1Pour Reporting Services, le programme d'installation de SQL Server doit également créer les groupes d'utilisateurs SQLServer2005ReportingServicesWebServiceUser$InstanceName et SQLServer2005ASP.NETUser et leur accorder des listes de contrôle d'accès (ACL). Pour plus d'informations, consultez la section ci-dessous relative aux listes de contrôle d'accès.
2 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.
3 Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.
Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
Les comptes de service SQL Server 2005 doivent avoir accès aux ressources. Des listes de contrôle d'accès (ACL) sont définies au niveau des groupes d'utilisateurs. Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.
| Important : |
|---|
| Pour les installations de clusters avec basculement, les ressources des disques partagés ne peuvent être attribuées à aucune ACL d'un groupe d'utilisateurs local. Ces ressources doivent être attribuées à une ACL de compte local. |
| Compte de service pour | Fichiers et dossiers | Accès |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Contrôle total |
|
Instid\MSSQL\binn |
Lecture, exécution |
|
Instid\MSSQL\data |
Contrôle total |
|
Instid\MSSQL\FTData |
Contrôle total |
|
Instid\MSSQL\Install |
Lecture, exécution |
|
Instid\MSSQL\Log |
Contrôle total |
|
Instid\MSSQL\Repldata |
Contrôle total |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
|
90\com |
Lecture, exécution |
|
Instid\MSSQL\Template Data (uniquement SQL Server Express) |
Lecture |
SQLServerAgent |
Instid\MSSQL\binn |
Contrôle total |
|
Instid\MSSQL\Log |
Contrôle total |
|
Instid\MSSQL\jobs |
Contrôle total |
|
90\com |
Lecture, exécution |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
FTS |
Instid\MSSQL\FTData |
Contrôle total |
|
Instid\MSSQL\FTRef |
Lecture, exécution |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
|
Instid\MSSQL\Install |
Lecture, exécution |
MSSQLServerOLAPservice |
90\shared |
Lecture, exécution |
|
90\shared\msmdlocal.ini |
Contrôle total |
|
Instid\OLAP |
Lecture, exécution |
|
Instid\Olap\Data |
Contrôle total |
|
Instid\Olap\Log |
Lecture, écriture |
|
90\shared\Errordumps |
Lecture, écriture |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
Lecture, écriture, suppression |
|
Instid\Reporting Services\ReportServer |
Lecture, exécution |
|
Instid\Reportingservices\Reportserver\global.asax |
Contrôle total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lecture, écriture |
|
Instid\Reporting Services\reportManager |
Lecture, exécution |
|
Instid\Reporting Services\RSTempfiles |
Lecture, écriture |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
Lecture, écriture, suppression |
|
Instid\Reporting Services\ReportServer |
Lecture, exécution |
|
Instid\Reportingservices\Reportserver\global.asax |
Contrôle total |
|
InstID\Reporting Services\reportservice.asmx |
Contrôle total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lecture, écriture, suppression |
|
Instid\Reporting Services\reportManager |
Lecture, exécution |
|
Instid\Reporting Services\RSTempfiles |
Lecture, écriture |
|
Instid\Reporting Services\reportManager\pages |
Lecture |
|
Instid\Reporting Services\reportManager\Styles |
Lecture |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
Lecture |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
Notification services |
90\Notification services |
Lecture, exécution, listage du contenu des dossiers |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
Lecture |
|
90\dts\binn |
Lecture, exécution |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
Navigateur SQL Server |
90\shared\msmdlocal.ini |
Lecture |
|
90\shared |
Lecture, exécution |
|
90\shared\Errordumps |
Lecture, écriture |
MSADHekper |
Non applicable (s'exécute comme les comptes intégrés) |
|
SQLWriter |
Non applicable (s'exécute en tant que système local) |
|
Utilisateur |
Instid\MSSQL\binn |
Lecture, exécution |
|
Instid\Reporting Services\ReportServer |
Lecture, exécution |
|
Instid\Reportingservices\Reportserver\global.asax |
Lecture |
|
InstID\Reporting Services\reportservice.asmx |
Lecture, exécution |
|
Instid\Reporting Services\reportManager |
Lecture, exécution |
|
Instid\Reporting Services\reportManager\pages |
Lecture |
|
Instid\Reporting Services\reportManager\Styles |
Lecture |
|
90\dts |
Lecture, exécution |
|
90\tools |
Lecture, exécution |
|
80\tools |
Lecture, exécution |
|
90\sdk |
Lecture |
|
Microsoft SQL Server\90\Setup Bootstrap |
Lecture, exécution |
Outre les comptes de démarrage des services SQL Server, il peut être nécessaire d'accorder des autorisations de contrôle d'accès à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie des listes ACL supplémentaires définies par le programme d'installation de SQL Server.
| Composant demandeur | compte | Resource | Permissions |
|---|---|---|---|
MSSQLServer |
Utilisateurs du journal des performances |
Instid\MSSQL\binn |
Lister le contenu des dossiers |
|
Utilisateurs de l'Analyseur de performances |
Instid\MSSQL\binn |
Lister le contenu des dossiers |
|
Utilisateurs du journal des performances |
Instid\MSSQL\binn\sqlctr90.dll |
Lecture, exécution |
|
Utilisateurs de l'Analyseur de performances |
Instid\MSSQL\binn\sqlctr90.dll |
Lecture, exécution |
|
Administrateur uniquement |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
Contrôle total |
|
Administrateurs |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Contrôle total |
|
Systeme |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Contrôle total |
|
Users |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Lecture, exécution |
Reporting services |
<Compte de service Web du serveur de rapports> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Identité du pool d'applications du Gestionnaire de rapports |
<install>\Reporting Services\ReportManager |
Lecture |
|
Compte ASP.NET |
<install>\Reporting Services\ReportManager |
Lecture |
|
Tout le monde |
<install>\Reporting Services\ReportManager |
Lecture |
|
Identité du pool d'applications du Gestionnaire de rapports |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lecture |
|
Compte ASP.NET |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lecture |
|
Tout le monde |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lecture |
|
Identité du pool d'applications du Gestionnaire de rapports |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lecture |
|
Compte ASP.NET |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lecture |
|
Tout le monde |
<install>\Reporting Services\ReportManager\Styles\*.* |
Lecture |
|
Identité du pool d'applications du Gestionnaire de rapports |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lecture |
|
Compte ASP.NET |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lecture |
|
Tout le monde |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lecture |
|
<Compte de service Web du serveur de rapports> |
<install>\Reporting Services\ReportServer |
Lecture |
|
<Compte de service Web du serveur de rapports> |
<install>\Reporting Services\ReportServer\global.asax |
Complète |
|
Tout le monde |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Service réseau |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
Complète |
|
Tout le monde |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Compte des services Windows ReportServer |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tout le monde |
Clés Report Server (ruche Instid) |
Demander la valeur Énumérer les sous-clés Notifier Contrôle en lecture |
|
Utilisateur de Terminal Services |
Clés Report Server (ruche Instid) |
Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture |
|
Utilisateurs avec pouvoir |
Clés Report Server (ruche Instid) |
Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture |
1Ceci est l'espace de noms du fournisseur WMI.
Récapitulation des autorisations Windows pour les services SQL Server
Ce tableau donne les noms des services, le terme utilisé pour faire référence aux instances par défaut et nommées de SQL Server, une description de la fonction du service et les autorisations minimales requises.
Nom affiché
Nom du service
Description
Autorisations requises
SQL Server (InstanceName)
Instance par défaut : MSSQLSERVER
Instance nommée : MSSQL$InstanceName
Moteur de base de données SQL Server.
Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlservr.exe.
Un compte utilisateur local est recommandé.
Autorisations minimales
Fonctionnalité
Compte de démarrage du service MSSQLServer
Le compte doit se trouver dans la liste des comptes dotés des autorisations « Liste du dossier » sur le lecteur racine où est installé SQL Server, et sur la racine de tout autre lecteur dans lequel des fichiers SQL Server sont stockés.
Remarque :
Les autorisations « Liste du dossier » sur le lecteur racine ne sont pas obligatoirement héritées par les sous-dossiers.
Compte de démarrage du service MSSQLServerCe compte doit avoir des autorisations de « Contrôle total » sur tous les dossiers dans lesquels résideront des fichiers de données ou des fichiers journaux (.mdf, .ndf, .ldf).
SQL Server Agent (InstanceName)
Instance par défaut : SQLServerAgent
Instance nommée : SQLAgent$InstanceName
Exécute les tâches, surveille SQL Server, déclenche les alertes et permet d'automatiser certaines tâches administratives.
Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlagent90.exe.
Autorisations minimales
Fonctionnalité
Le compte doit être membre du rôle serveur fixe sysadmin.
Le compte doit avoir les autorisations Windows suivantes1Ouvrir une session en tant que service. Ouvrir une session en tant que tâche. Remplacer un jeton au niveau du processus. Changer les quotas de mémoire d'un processus. Agir dans le cadre du système d'exploitation Outrepasser le contrôle de parcours.
Services Analysis Services (InstanceName)
Instance par défaut : MSSQLServerOLAPService
Instance nommée : MSOLAP$InstanceName
Service qui fournit des fonctionnalités OLAP (online analytical processing) et d'exploitation de données pour les applications d'aide à la décision.
Le chemin d'accès au fichier exécutable est \OLAP\Bin\msmdsrv.exe.
Report Server
Instance par défaut : ReportServer
Instance nommée : ReportServer$InstanceName
Gère, exécute, rend, planifie et livre les rapports.
Le chemin d'accès au fichier exécutable est \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Notification Services
Notification Services est une plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications. Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.
Integration Services
Instance par défaut ou instance nommée : MSDTSServer
Assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.
Le chemin d'accès au fichier exécutable est \DTS\Binn\msdtssrv.exe.
Navigateur SQL Server
Instance par défaut ou instance nommée : SQLBrowser
Service de résolution de noms qui fournit les informations de connexion SQL Server pour les ordinateurs clients. Ce service est partagé entre plusieurs instances SQL Server et SSIS.
Le chemin d'accès au fichier exécutable est \90\shared\sqlbrowser.exe.
Recherche de texte intégral de Microsoft (MSFTESQL)
Instance par défaut : MSFTESQL
Instance nommée : MSFTESQL$InstanceName
Crée rapidement des index en texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.
Le chemin d'accès au fichier exécutable est \MSSQL\Binn\msftesql.exe.
SQL Server Active Directory Helper
Instance par défaut ou instance nommée : MSSQLServerADHelper
Publie et gère les services SQL Server dans Windows Active Directory.
Le chemin d'accès au fichier exécutable est \90\Shared\sqladhelper.exe.
SQL Writer
SQLWriter
Permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume). Il existe une seule instance du service SQL Writer pour toutes les instances SQL Server sur le serveur.
Le chemin d'accès au fichier exécutable est \90\Shared\sqlwriter.exe.
1Pour plus d'informations sur la façon de vérifier que chaque autorisation Windows nécessaire est définie, consultez Procédure : vérifier les autorisations pour les services SQL Server.
Récapitulation des considérations supplémentaires
Le tableau qui suit indique les autorisations nécessaires pour que les services SQL Server soient en mesure de fournir des fonctionnalités supplémentaires.
| Service/Application | Fonctionnalité | Autorisation requise |
|---|---|---|
SQL Server (MSSQLSERVER) |
Écrire sur MailSlot avec xp_sendmail. |
Privilèges d'écriture sur le réseau. |
SQL Server (MSSQLSERVER) |
Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server. |
Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus. |
Agent SQL Server (MSSQLSERVER) |
Utiliser la fonctionnalité de redémarrage automatique |
Doit être membre du groupe local Administrateurs. |
Assistant Paramétrage du moteur de base de données |
Règle les bases de données pour des performances de requête optimales. |
À la première utilisation, un utilisateur doté des privilèges d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs propriétaires de tables (utilisateurs dbo) peuvent utiliser l'Assistant Paramétrage du moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du moteur de base de données » dans la documentation en ligne de SQL Server 2005. |
| Important : |
|---|
| Avant toute mise à niveau vers SQL Server 2005, activez l'authentification Windows pour l'Agent SQL Server et vérifiez que le compte de service SQL Server Agent est membre du groupe SQL Server sysadmin. |
Noms de services localisés
Le tableau ci-dessous indique les noms de services dans la version localisée de Microsoft Windows.
| Langue | Nom du service local | Nom du service réseau | Nom du système local | Nom du groupe Admin |
|---|---|---|---|---|
Anglais Chinois simplifié Chinois traditionnel Coréen Japonais |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Allemand |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Français |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Italien |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Espagnol |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russe |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
Voir aussi
Référence
Compte de service
Comptes de service (Clusters)
Concepts
Considérations sur la sécurité pour une installation SQL Server
Aide et Informations
Assistance sur SQL Server 2005
Historique des modifications
| Version | Historique |
|---|---|
12 décembre 2006 |
|
17 juillet 2006 |
|
5 décembre 2005 |
|