Partager via


Configuration des comptes de service Windows

Mis à jour : 12 décembre 2006

Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Microsoft Windows. Cette rubrique présente la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant une installation de SQL Server.

Remarque relative à la sécurité   Exécutez systématiquement les services SQL Server en utilisant les droits d'utilisateur les plus faibles possible.

Selon les composants Microsoft SQL Server 2005 que vous décidez d'installer, le programme d'installation de SQL Server 2005 installe les services suivants :

  • Services de base de données SQL Server : service pour le moteur de base de données relationnel SQL Server.
  • Agent SQL Server : exécute des travaux, surveille SQL Server, déclenche des alertes et autorise l'automatisation de certaines tâches administratives.
    ms143504.note(fr-fr,SQL.90).gifRemarque :
    Pour que SQL Server et l'Agent SQL Server fonctionnent comme des services dans Windows, un compte d'utilisateur Windows doit leur être attribué. En règle générale, SQL Server et l'Agent SQL Server reçoivent le même compte d'utilisateur, à savoir le compte système local ou un compte d'utilisateur de domaine. Cependant, vous pouvez personnaliser les paramètres pour chaque service durant le processus d'installation. Pour plus d'informations sur la personnalisation des informations de compte pour chaque service, consultez Compte de service.
  • Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel.
  • Reporting Services : gère, exécute, restitue, planifie et remet des rapports.
  • Notification Services : plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications.
  • Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.
  • Recherche de texte intégral : crée rapidement des index de texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.
  • Navigateur SQL Server : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients.
  • SQL Server Active Directory Helper : publie et gère les services SQL Server dans Active Directory.
  • SQL Writer : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).

Le reste de cette rubrique est constitué des sections suivantes :

  • Configuration des services proposés dans le programme d'installation de SQL Server
  • Utilisation des comptes de démarrage pour les services SQL Server
  • Identification des services dépendant et ne dépendant pas des instances
  • Vérification des droits et privilèges NT accordés aux comptes de services SQL Server
  • Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
  • Récapitulation des autorisations Windows pour les services SQL Server
  • Récapitulation des considérations supplémentaires
  • Noms de services localisés

Configuration des services proposés dans le programme d'installation de SQL Server

Durant l'installation de SQL Server, vous pouvez configurer certains services SQL Server à l'aide du compte de démarrage et déterminer si le service démarre automatiquement. Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier d'installation ou à partir de l'invite de commandes.

Nom du service SQL Server Configurable dans l'Assistant Installation ? Commutateurs pour les installations sans assistance1

MSSQLSERVER

Oui

SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART

SQLServerAgent

Oui

AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART

MSSQLServerOLAPService

Oui

ASACCOUNT, ASPASSWORD, ASAUTOSTART

ReportServer

Oui

RSACCOUNT, RSPASSWORD, RSAUTOSTART

SQLBrowser

Oui

SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Pour plus d'informations sur les installations à distance et sans assistance, accompagnées d'exemples de syntaxe, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.

2SQLBROWSERAUTOSTART peut être spécifié même si le navigateur SQL Server est déjà installé.

Les services suivants ne peuvent pas être configurés lors de l'installation. Ils sont installés avec les paramètres par défaut :

  • Notification Services
  • Integration Services
  • Recherche de texte intégral
  • Active Directory Helper
  • SQL Writer

Utilisation des comptes de démarrage pour les services SQL Server

Pour démarrer et s'exécuter, chaque service de SQL Server 2005 doit posséder un compte d'utilisateur. Les comptes d'utilisateurs peuvent être des comptes système intégrés ou des comptes d'utilisateurs de domaine.

Outre qu'il doit posséder un compte d'utilisateur, chaque service a trois états de démarrage possibles, que les utilisateurs peuvent contrôler :

  • Désactivé   Le service est installé mais pas en cours d'exécution.
  • Manuel   Le service est installé mais ne démarrera que lorsqu'un autre service ou une autre application aura besoin de lui.
  • Automatique   Le service est démarré par le système d'exploitation après chargement des pilotes de périphériques lors du démarrage.

Le tableau ci-dessous indique les comptes par défaut et optionnels pour chaque service SQL Server, ainsi que les états de démarrage de chaque service.

Nom du service SQL Server Compte par défaut Comptes optionnels Type de démarrage État par défaut après l'installation

SQL Server

SQL Server Express Edition sous Windows 2000 : Système local

SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service réseau

Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1

SQL Server Express Edition : Utilisateur de domaine, Système local, Service réseau1

Toutes les autres éditions : Utilisateur de domaine, Système local, Service réseau1

Automatique2

Démarré

Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique

Agent SQL Server

Utilisateur de domaine3

Utilisateur de domaine, Système local, Service réseau1,6

Désactivé

Automatique uniquement si l'utilisateur choisit le démarrage automatique

Arrêté

Démarré uniquement si l'utilisateur choisit le démarrage automatique

Analysis Services

Utilisateur de domaine3

Utilisateur de domaine, Système local, Service réseau, Service local

Automatique

Démarré

Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique

Reporting Services

Utilisateur de domaine3

Utilisateur de domaine, Système local, Service réseau, Service local

Automatique

Démarré

Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique

Notification Services4

Non applicable

Non applicable

Non applicable

Non applicable

Integration Services

Windows 2000 : système local

Tous les autres systèmes d'exploitation pris en charge : Service réseau

Utilisateur de domaine, Système local, Service réseau, Service local

Automatique

Démarré

Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique.

Recherche de texte intégral

Même compte que SQL Server

Utilisateur de domaine, Système local, Service réseau, Service local

Manuel

Arrêté

Démarré uniquement si l'utilisateur choisit le démarrage automatique.

Navigateur SQL Server

SQL Server Express Edition sous Windows 2000 : Système local

SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service local

Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1,3

Utilisateur de domaine, Système local, Service réseau, Service local

Désactivé5

Automatique uniquement si l'utilisateur choisit le démarrage automatique.

Arrêté5

Démarré uniquement si l'utilisateur choisit le démarrage automatique.

SQL Server Active Directory Helper

Service réseau

Système local, Service réseau

Désactivé

Arrêté

SQL Writer

Système local

Système local

Automatique

Démarré

1Important   Microsoft recommande de ne pas utiliser le compte Service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL Server.

2Définissez comme manuel dans les configurations de cluster avec basculement.

3Pour les installations sans assistance, cette propriété est obligatoire. Si celle-ci n'est pas spécifiée, l'installation échouera. Pour spécifier le système local, utilisez SQLAccount=LocalSystem ou ASAccount=LocalSystem. Pour plus d'informations et pour un exemple de syntaxe sur les installations à distance et sans assistance, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.

4 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après l'installation, consultez la rubrique « Configuration des services Windows de Notification Services » dans la documentation en ligne de SQL Server 2005.

5Pour les installations de cluster avec basculement, le navigateur SQL Server est défini en démarrage automatique, et démarre par défaut à la fin de l'installation.

6Pour plus d'informations sur les comptes Windows pris en charge pour l'Agent SQL Server, consultez Types de comptes Windows pris en charge que vous pouvez utiliser pour exécuter le service SQL Server Agent dans SQL Server 2005.

ms143504.note(fr-fr,SQL.90).gifImportant :
Pour les installations de cluster avec basculement, les comptes de système local et de service local ne sont pas autorisés pour les services cluster tels que SQL Server, Agent SQL Server et SSAS. Pour plus d'informations, consultez Avant l'installation du clustering avec basculement. Pour les installations SQL Server 2005 dans des configurations côte à côte avec des versions antérieures de SQL Server, les services SQL Server 2005 doivent utiliser des comptes figurant uniquement dans le groupe global des domaines. En outre, les comptes utilisés par les services SQL Server 2005 ne doivent pas figurer dans le groupe local Administrateurs. Ne pas se conformer à cette consigne entraînera un comportement de sécurité inattendu.

Utilisation d'un compte d'utilisateur de domaine

Un compte d'utilisateur de domaine peut être préférable si le service doit interagir avec les services réseau. De nombreuses activités de serveur à serveur ne peuvent s'exercer qu'avec un compte utilisateur de domaine, par exemple :

  • appels de procédures distantes ;
  • réplication ;
  • sauvegarde sur des lecteurs réseau ;
  • jointures hétérogènes faisant intervenir des sources de données distantes ;
  • fonctionnalités de messagerie de l'Agent SQL Server et SQL Mail. Cette restriction s'applique si vous utilisez Microsoft Exchange. La plupart des autres systèmes de messagerie électronique requièrent également que des clients (les services SQL Server et Agent SQL Server) soient exécutés sur des comptes avec droits d'accès au réseau.

Utilisation du compte de service local

Le compte de service local est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service local bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou processus individuels serait compromis. Les services qui s'exécutent au moyen du compte de service local accèdent aux ressources réseau dans le cadre d'une session null sans informations d'identification.

Utilisation du compte de service réseau

Le compte de service réseau est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service réseau bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur.

ms143504.note(fr-fr,SQL.90).gifImportant :
Microsoft recommande de ne pas utiliser le compte de service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL.

Utilisation du compte de système local

Le compte de système local possède des privilèges élevés ; soyez prudent lorsque vous assignez des autorisations de système local à des comptes de service SQL Server.

ms143504.security(fr-fr,SQL.90).gifRemarque relative à la sécurité :
Pour accroître la sécurité de votre installation SQL Server, exécutez les services SQL Server sous un compte Windows local avec les privilèges les plus faibles possible.

Modification des comptes d'utilisateur

Pour modifier le mot de passe ou d'autres propriétés d'un service quelconque lié à SQL Server, utilisez le Gestionnaire de configuration SQL Server. Si votre mot de passe Windows change, veillez à modifier également les paramètres des services SQL Server dans Windows. Si vous utilisez Kerberos et s'il est activé, veillez à actualiser la propriété d'annuaire SPN (Service Principal Name) d'Active Directory.

Pour plus d'informations, consultez Modification des mots de passe et des comptes d'utilisateur. Pour plus d'informations sur l'utilisation du complément Services dans Microsoft Windows afin de modifier les comptes de service SQL Server, consultez Comment faire pour modifier le compte de service de SQL Server ou de l'Agent SQL Server sans utiliser SQL Enterprise Manager dans SQL Server 2000 ou le Gestionnaire de configuration SQL Server dans SQL Server 2005.

Identification des services dépendant et ne dépendant pas des instances

Certains services SQL Server sont dépendants de l'instance, d'autres non. Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server, et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances installées de SQL Server ; ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.

Dans Microsoft SQL Server 2005, les services dépendant d'une instance sont les suivants :

  • SQL Server
  • Agent SQL Server
  • Analysis Services
  • Reporting Services
  • Recherche de texte intégral

Dans SQL Server 2005, les services ne dépendant pas d'une instance sont les suivants :

  • Notification Services
  • Integration Services
  • Navigateur SQL Server
  • SQL Server Active Directory Helper
  • SQL Writer

Vérification des droits et privilèges Windows NT accordés aux comptes de services SQL Server

Le programme d'installation de SQL Server crée des groupes d'utilisateurs pour différents services SQL Server et y ajoute les comptes de service appropriés. Ces groupes facilitent l'octroi des autorisations nécessaires pour exécuter les services SQL Server et d'autres exécutables, et aident à sécuriser les fichiers SQL Server. Notez que des noms de groupes uniques sont requis lors de l'installation de SQL Server 2005 sur un contrôleur de domaine.

Les groupes d'utilisateurs créés par le programme d'installation de SQL Server reçoivent les droits et privilèges Windows NT ci-dessous.

Service SQL Server Groupe d'utilisateurs Autorisations par défaut accordées par le programme d'installation de SQL Server

SQL Server

Instance par défaut : SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER

Instance nommée : SQLServer2005MSSQLUser$ComputerName$InstanceName

Ouvrir une session en tant que service (SeServiceLogonRight)

Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000)

Ouvrir une session en tant que tâche (SeBatchLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)

Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege)

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)

Autorisation de démarrer SQL Server Active Directory Helper

Autorisation de démarrer SQL Writer

Agent SQL Server

Instance par défaut : SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER

Instance nommée : SQLServer2005SQLAgentUser$ComputerName$InstanceName

Ouvrir une session en tant que service (SeServiceLogonRight)

Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000)

Ouvrir une session en tant que tâche (SeBatchLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)

Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege)

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)

Analysis Services

Instance par défaut : SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER

Instance nommée : SQLServer2005MSOLAPUser$ComputerName$InstanceName

Ouvrir une session en tant que service (SeServiceLogonRight)

Reporting Services1

Instance par défaut : SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER et SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER

Instance nommée : SQLServer2005ReportServerUser$ComputerName$InstanceName et SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName

Ouvrir une session en tant que service (SeServiceLogonRight)

Notification Services2

Instance par défaut ou instance nommée : SQLServer2005NotificationServicesUser$ComputerName

Non applicable

Integration Services

Instance par défaut ou instance nommée : SQLServer2005DTSUser$ComputerName

Ouvrir une session en tant que service (SeServiceLogonRight)

Autorisation d'écrire dans le journal des événements d'application

Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege)

Créer des objets globaux (SeCreateGlobalPrivilege)

Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege)

Recherche de texte intégral

Instance par défaut : SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER

Instance nommée : SQLServer2005MSFTEUser$ComputerName$InstanceName

Ouvrir une session en tant que service (SeServiceLogonRight)

Navigateur SQL Server

Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$ComputerName

Ouvrir une session en tant que service (SeServiceLogonRight)

SQL Server Active Directory Helper

Instance par défaut ou instance nommée : SQLServer2005MSSQLServerADHelperUser$ComputerName

Aucune3

SQL Writer

Non applicable

Aucune3

1Pour Reporting Services, le programme d'installation de SQL Server doit également créer les groupes d'utilisateurs SQLServer2005ReportingServicesWebServiceUser$InstanceName et SQLServer2005ASP.NETUser et leur accorder des listes de contrôle d'accès (ACL). Pour plus d'informations, consultez la section ci-dessous relative aux listes de contrôle d'accès.

2 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.

3 Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.

Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server

Les comptes de service SQL Server 2005 doivent avoir accès aux ressources. Des listes de contrôle d'accès (ACL) sont définies au niveau des groupes d'utilisateurs. Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.

ms143504.note(fr-fr,SQL.90).gifImportant :
Pour les installations de clusters avec basculement, les ressources des disques partagés ne peuvent être attribuées à aucune ACL d'un groupe d'utilisateurs local. Ces ressources doivent être attribuées à une ACL de compte local.
Compte de service pour Fichiers et dossiers Accès

MSSQLServer

Instid\MSSQL\backup

Contrôle total

 

Instid\MSSQL\binn

Lecture, exécution

 

Instid\MSSQL\data

Contrôle total

 

Instid\MSSQL\FTData

Contrôle total

 

Instid\MSSQL\Install

Lecture, exécution

 

Instid\MSSQL\Log

Contrôle total

 

Instid\MSSQL\Repldata

Contrôle total

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

 

90\com

Lecture, exécution

 

Instid\MSSQL\Template Data (uniquement SQL Server Express)

Lecture

SQLServerAgent

Instid\MSSQL\binn

Contrôle total

 

Instid\MSSQL\Log

Contrôle total

 

Instid\MSSQL\jobs

Contrôle total

 

90\com

Lecture, exécution

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

FTS

Instid\MSSQL\FTData

Contrôle total

 

Instid\MSSQL\FTRef

Lecture, exécution

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

 

Instid\MSSQL\Install

Lecture, exécution

MSSQLServerOLAPservice

90\shared

Lecture, exécution

 

90\shared\msmdlocal.ini

Contrôle total

 

Instid\OLAP

Lecture, exécution

 

Instid\Olap\Data

Contrôle total

 

Instid\Olap\Log

Lecture, écriture

 

90\shared\Errordumps

Lecture, écriture

SQLServer2005ReportServerUser

Instid\Reporting Services\Log Files

Lecture, écriture, suppression

 

Instid\Reporting Services\ReportServer

Lecture, exécution

 

Instid\Reportingservices\Reportserver\global.asax

Contrôle total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lecture, écriture

 

Instid\Reporting Services\reportManager

Lecture, exécution

 

Instid\Reporting Services\RSTempfiles

Lecture, écriture

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

SQLServer2005ReportingServicesWebServiceUser

Instid\Reporting Services\Log Files

Lecture, écriture, suppression

 

Instid\Reporting Services\ReportServer

Lecture, exécution

 

Instid\Reportingservices\Reportserver\global.asax

Contrôle total

 

InstID\Reporting Services\reportservice.asmx

Contrôle total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lecture, écriture, suppression

 

Instid\Reporting Services\reportManager

Lecture, exécution

 

Instid\Reporting Services\RSTempfiles

Lecture, écriture

 

Instid\Reporting Services\reportManager\pages

Lecture

 

Instid\Reporting Services\reportManager\Styles

Lecture

 

Instid\Reporting Services\reportManager\webctrl_client\1_0

Lecture

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

Notification services

90\Notification services

Lecture, exécution, listage du contenu des dossiers

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

MSDTSServer

90\dts\binn\MsDtsSrvr.ini.xml

Lecture

 

90\dts\binn

Lecture, exécution

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

Navigateur SQL Server

90\shared\msmdlocal.ini

Lecture

 

90\shared

Lecture, exécution

 

90\shared\Errordumps

Lecture, écriture

MSADHekper

Non applicable (s'exécute comme les comptes intégrés)

 

SQLWriter

Non applicable (s'exécute en tant que système local)

 

Utilisateur

Instid\MSSQL\binn

Lecture, exécution

 

Instid\Reporting Services\ReportServer

Lecture, exécution

 

Instid\Reportingservices\Reportserver\global.asax

Lecture

 

InstID\Reporting Services\reportservice.asmx

Lecture, exécution

 

Instid\Reporting Services\reportManager

Lecture, exécution

 

Instid\Reporting Services\reportManager\pages

Lecture

 

Instid\Reporting Services\reportManager\Styles

Lecture

 

90\dts

Lecture, exécution

 

90\tools

Lecture, exécution

 

80\tools

Lecture, exécution

 

90\sdk

Lecture

 

Microsoft SQL Server\90\Setup Bootstrap

Lecture, exécution

Outre les comptes de démarrage des services SQL Server, il peut être nécessaire d'accorder des autorisations de contrôle d'accès à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie des listes ACL supplémentaires définies par le programme d'installation de SQL Server.

Composant demandeur compte Resource Permissions

MSSQLServer

Utilisateurs du journal des performances

Instid\MSSQL\binn

Lister le contenu des dossiers

 

Utilisateurs de l'Analyseur de performances

Instid\MSSQL\binn

Lister le contenu des dossiers

 

Utilisateurs du journal des performances

Instid\MSSQL\binn\sqlctr90.dll

Lecture, exécution

 

Utilisateurs de l'Analyseur de performances

Instid\MSSQL\binn\sqlctr90.dll

Lecture, exécution

 

Administrateur uniquement

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Contrôle total

 

Administrateurs

\tools\binn\schemas\sqlserver\2003\03\showplan

Contrôle total

 

Systeme

\tools\binn\schemas\sqlserver\2003\03\showplan

Contrôle total

 

Users

\tools\binn\schemas\sqlserver\2003\03\showplan

Lecture, exécution

Reporting services

<Compte de service Web du serveur de rapports>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identité du pool d'applications du Gestionnaire de rapports

<install>\Reporting Services\ReportManager

Lecture

 

Compte ASP.NET

<install>\Reporting Services\ReportManager

Lecture

 

Tout le monde

<install>\Reporting Services\ReportManager

Lecture

 

Identité du pool d'applications du Gestionnaire de rapports

<install>\Reporting Services\ReportManager\Pages\*.*

Lecture

 

Compte ASP.NET

<install>\Reporting Services\ReportManager\Pages\*.*

Lecture

 

Tout le monde

<install>\Reporting Services\ReportManager\Pages\*.*

Lecture

 

Identité du pool d'applications du Gestionnaire de rapports

<install>\Reporting Services\ReportManager\Styles\*.*

Lecture

 

Compte ASP.NET

<install>\Reporting Services\ReportManager\Styles\*.*

Lecture

 

Tout le monde

<install>\Reporting Services\ReportManager\Styles\*.*

Lecture

 

Identité du pool d'applications du Gestionnaire de rapports

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lecture

 

Compte ASP.NET

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lecture

 

Tout le monde

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lecture

 

<Compte de service Web du serveur de rapports>

<install>\Reporting Services\ReportServer

Lecture

 

<Compte de service Web du serveur de rapports>

<install>\Reporting Services\ReportServer\global.asax

Complète

 

Tout le monde

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Service réseau

<intsall>\Reporting Services\ReportServer\ReportService.asmx

Complète

 

Tout le monde

<intsall>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Compte des services Windows ReportServer

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Tout le monde

Clés Report Server (ruche Instid)

Demander la valeur

Énumérer les sous-clés

Notifier

Contrôle en lecture

 

Utilisateur de Terminal Services

Clés Report Server (ruche Instid)

Demander la valeur

Définir la valeur

Créer une sous-clé

Énumérer les sous-clés

Notifier

Supprimer

Contrôle en lecture

 

Utilisateurs avec pouvoir

Clés Report Server (ruche Instid)

Demander la valeur

Définir la valeur

Créer une sous-clé

Énumérer les sous-clés

Notifier

Supprimer

Contrôle en lecture

1Ceci est l'espace de noms du fournisseur WMI.

Récapitulation des autorisations Windows pour les services SQL Server

Ce tableau donne les noms des services, le terme utilisé pour faire référence aux instances par défaut et nommées de SQL Server, une description de la fonction du service et les autorisations minimales requises.

Nom affiché

Nom du service

Description

Autorisations requises

SQL Server (InstanceName)

Instance par défaut : MSSQLSERVER

Instance nommée : MSSQL$InstanceName

Moteur de base de données SQL Server.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlservr.exe.

Un compte utilisateur local est recommandé.

Autorisations minimales

Fonctionnalité

Compte de démarrage du service MSSQLServer

Le compte doit se trouver dans la liste des comptes dotés des autorisations « Liste du dossier » sur le lecteur racine où est installé SQL Server, et sur la racine de tout autre lecteur dans lequel des fichiers SQL Server sont stockés.

ms143504.note(fr-fr,SQL.90).gifRemarque :

Les autorisations « Liste du dossier » sur le lecteur racine ne sont pas obligatoirement héritées par les sous-dossiers.

Compte de démarrage du service MSSQLServerCe compte doit avoir des autorisations de « Contrôle total » sur tous les dossiers dans lesquels résideront des fichiers de données ou des fichiers journaux (.mdf, .ndf, .ldf).

SQL Server Agent (InstanceName)

Instance par défaut : SQLServerAgent

Instance nommée : SQLAgent$InstanceName

Exécute les tâches, surveille SQL Server, déclenche les alertes et permet d'automatiser certaines tâches administratives.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlagent90.exe.

Autorisations minimales

Fonctionnalité

Le compte doit être membre du rôle serveur fixe sysadmin. 

Le compte doit avoir les autorisations Windows suivantes1Ouvrir une session en tant que service. Ouvrir une session en tant que tâche. Remplacer un jeton au niveau du processus. Changer les quotas de mémoire d'un processus. Agir dans le cadre du système d'exploitation Outrepasser le contrôle de parcours.

Services Analysis Services (InstanceName)

Instance par défaut : MSSQLServerOLAPService

Instance nommée : MSOLAP$InstanceName

Service qui fournit des fonctionnalités OLAP (online analytical processing) et d'exploitation de données pour les applications d'aide à la décision.

Le chemin d'accès au fichier exécutable est \OLAP\Bin\msmdsrv.exe.

 

Report Server

Instance par défaut : ReportServer

Instance nommée : ReportServer$InstanceName

Gère, exécute, rend, planifie et livre les rapports.

Le chemin d'accès au fichier exécutable est \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Notification Services

 

Notification Services est une plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications. Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.

 

Integration Services

Instance par défaut ou instance nommée : MSDTSServer

Assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.

Le chemin d'accès au fichier exécutable est \DTS\Binn\msdtssrv.exe.

 

Navigateur SQL Server

Instance par défaut ou instance nommée : SQLBrowser

Service de résolution de noms qui fournit les informations de connexion SQL Server pour les ordinateurs clients. Ce service est partagé entre plusieurs instances SQL Server et SSIS.

Le chemin d'accès au fichier exécutable est \90\shared\sqlbrowser.exe.

 

Recherche de texte intégral de Microsoft (MSFTESQL)

Instance par défaut : MSFTESQL

Instance nommée : MSFTESQL$InstanceName

Crée rapidement des index en texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\msftesql.exe.

 

SQL Server Active Directory Helper

Instance par défaut ou instance nommée : MSSQLServerADHelper

Publie et gère les services SQL Server dans Windows Active Directory.

Le chemin d'accès au fichier exécutable est \90\Shared\sqladhelper.exe.

 

SQL Writer

SQLWriter

Permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume). Il existe une seule instance du service SQL Writer pour toutes les instances SQL Server sur le serveur.

Le chemin d'accès au fichier exécutable est \90\Shared\sqlwriter.exe.

 

1Pour plus d'informations sur la façon de vérifier que chaque autorisation Windows nécessaire est définie, consultez Procédure : vérifier les autorisations pour les services SQL Server.

Récapitulation des considérations supplémentaires

Le tableau qui suit indique les autorisations nécessaires pour que les services SQL Server soient en mesure de fournir des fonctionnalités supplémentaires.

Service/Application Fonctionnalité Autorisation requise

SQL Server (MSSQLSERVER)

Écrire sur MailSlot avec xp_sendmail.

Privilèges d'écriture sur le réseau.

SQL Server (MSSQLSERVER)

Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server.

Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus.

Agent SQL Server (MSSQLSERVER)

Utiliser la fonctionnalité de redémarrage automatique

Doit être membre du groupe local Administrateurs.

Assistant Paramétrage du moteur de base de données

Règle les bases de données pour des performances de requête optimales.

À la première utilisation, un utilisateur doté des privilèges d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs propriétaires de tables (utilisateurs dbo) peuvent utiliser l'Assistant Paramétrage du moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du moteur de base de données » dans la documentation en ligne de SQL Server 2005.

ms143504.note(fr-fr,SQL.90).gifImportant :
Avant toute mise à niveau vers SQL Server 2005, activez l'authentification Windows pour l'Agent SQL Server et vérifiez que le compte de service SQL Server Agent est membre du groupe SQL Server sysadmin.

Noms de services localisés

Le tableau ci-dessous indique les noms de services dans la version localisée de Microsoft Windows.

Langue Nom du service local Nom du service réseau Nom du système local Nom du groupe Admin

Anglais

Chinois simplifié

Chinois traditionnel

Coréen

Japonais

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Allemand

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Français

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrators

Italien

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Espagnol

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russe

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Voir aussi

Référence

Compte de service
Comptes de service (Clusters)

Concepts

Considérations sur la sécurité pour une installation SQL Server

Aide et Informations

Assistance sur SQL Server 2005

Historique des modifications

Version Historique

12 décembre 2006

Contenu modifié :
  • Des instructions de sécurité ont été ajoutées pour les comptes de service dans des configurations côte à côte.
  • Mise à jour du type de démarrage et de l'état par défaut du service SQL Writer dans SQL Server 2005 SP2.

17 juillet 2006

Contenu modifié :
  • Modification de la présentation et de l'organisation du contenu afin que la rubrique soit plus lisible.
  • Ajout d'un lien vers un article de la Base de connaissances traitant de l'utilisation du complément Services afin de modifier les comptes de service de l'Agent SQL Server et de SQL Server.
  • Ajout des noms de services localisés en russe.

5 décembre 2005

Contenu modifié :
  • LocalService supprimé de la liste de comptes que l'Agent SQL Server peut utiliser.
  • Mise à jour des groupes d'utilisateurs créés par le programme d'installation de SQL Server.