Configuration des comptes de service Windows
Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Windows. Cette rubrique décrit la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant l'installation de SQL Server.
En fonction des composants que vous décidez d'installer, le programme d'installation de SQL Server installe les services suivants :
Services de base de données SQL Server : service pour le moteur de base de données relationnel SQL Server.
Agent SQL Server : exécute les travaux, surveille SQL Server, déclenche les alertes et autorise l'automatisation de certaines tâches administratives.
[!REMARQUE]
Pour que SQL Server et l'Agent SQL Server fonctionnent comme des services dans Windows, un compte d'utilisateur Windows doit leur être attribué. Pour plus d'informations sur la personnalisation des informations de compte pour chaque service, consultez Procédure : installer SQL Server 2008 (programme d'installation).
Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel.
Reporting Services : gère, exécute, crée, planifie et remet les rapports.
Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.
Navigateur SQL Server : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients.
Recherche en texte intégral - Crée rapidement des index de recherche en texte intégral sur le contenu et des propriétés de données structurées et semi-structurées pour fournir un filtrage de document et l'analyse lexicale pour SQL Server.
SQL Server Active Directory Helper : publie et gère les services SQL Server dans Active Directory.
SQL Writer : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).
Important
Utilisez toujours des outils SQL Server, tels que le Gestionnaire de configuration SQL Server, pour modifier le compte utilisé par SQL Server ou les services SQL Server Agent et pour changer le mot de passe du compte. Outre la modification du nom de compte, le Gestionnaire de configuration SQL Server effectue d'autres configurations telles que la définition des autorisations dans le Registre Windows pour que le nouveau compte puisse lire les paramètres SQL Server. D'autres outils tels que le gestionnaire de contrôle de services Windows peuvent modifier le nom du compte mais pas les paramètres associés. Si le service n'a pas accès à la section SQL Server du Registre, il est possible qu'il ne démarre pas correctement.
Le reste de cette rubrique est constitué des sections suivantes :
Configuration du type de démarrage du service
Utilisation des comptes de démarrage pour les services SQL Server
Utilisation des SID de service pour des services SQL Server
Identification des services dépendant et ne dépendant pas des instances
Vérification des droits et privilèges NT accordés aux comptes de services SQL Server
Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
Récapitulation des autorisations Windows pour les services SQL Server
Récapitulation des considérations supplémentaires
Noms de services localisés
Configuration du type de démarrage du service
Pendant l'installation de SQL Server, vous pouvez configurer le type de démarrage (désactivé, manuel ou automatique) pour certains services SQL Server. Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier de configuration ou à l'invite de commandes.
Nom du service SQL Server |
Configurable dans l'Assistant Installation ? |
Commutateurs pour les installations sans assistance1 |
|---|---|---|
MSSQLSERVER |
Oui |
SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent2 |
Oui |
AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService |
Oui |
ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer |
Oui |
RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services |
Oui |
ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
1Pour plus d'informations et obtenir un exemple de syntaxe des installations sans assistance, consultez Procédure : installer SQL Server 2008 à partir de l'invite de commandes.
2Le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express with Advanced Services.
Utilisation des comptes de démarrage pour les services SQL Server
Pour démarrer et s'exécuter, chaque service dans SQL Server doit posséder un compte configuré lors de l'installation. Les comptes de démarrage utilisés pour démarrer et exécuter SQL Server peuvent être des comptes système intégrés, des comptes d'utilisateurs locaux ou des comptes d'utilisateurs de domaine.
Compte d'utilisateur de domaine
Si le service doit interagir avec des services réseau, des ressources de domaine telles que des partages de fichiers, ou s'il utilise des connexions de serveur liées à d'autres ordinateurs qui exécutent SQL Server, vous pouvez utiliser un compte de domaine doté de privilèges minimaux. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.
Compte d'utilisateur local
Si l'ordinateur ne fait pas partie d'un domaine, un compte d'utilisateur local sans autorisations d'administrateur Windows est recommandé.
Compte de service local
Le compte de service local est un compte intégré qui bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus individuels serait compromis. Les services qui s'exécutent en tant que compte de service local accèdent aux ressources réseau dans le cadre d'une session Null, sans informations d'identification. Sachez que le compte de service local n'est pas pris en charge pour les services SQL Server ou SQL Server Agent. Le nom réel du compte est « NT AUTHORITY\LOCAL SERVICE ».
Compte de service réseau
Le compte de service réseau est un compte intégré qui bénéficie d'un niveau d'accès aux ressources et aux objets supérieur à celui des membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur. Le nom réel du compte est « NT AUTHORITY\NETWORK SERVICE ».
Compte système local
Le compte système local est un compte intégré doté de privilèges très élevés. Il dispose de privilèges étendus sur le système local et représente l'ordinateur sur le réseau. Le nom réel du compte est « NT AUTHORITY\SYSTEM ».
Outre le fait que les services doivent posséder des comptes d'utilisateurs, ils ont chacun trois états de démarrage possibles, que les utilisateurs peuvent contrôler :
Désactivé Le service est installé mais pas en cours d'exécution.
Manuel Le service est installé, mais ne démarre que lorsqu'un autre service ou une autre application a besoin de ses fonctionnalités.
Automatique Le service est démarré automatiquement par le système d'exploitation.
Le tableau ci-dessous indique les comptes optionnels pour chaque service SQL Server, ainsi que les états de démarrage de chaque service.
Nom du service SQL Server |
Comptes optionnels |
Type de démarrage |
État par défaut après l'installation |
|---|---|---|---|
SQL Server |
SQL Server Express : Utilisateur de domaine, Système local, Service réseau Toutes les autres éditions : Utilisateur de domaine, Système local, Service réseau1 |
Automatique1 |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique. |
Agent SQL Server |
Utilisateur de domaine, Système local, Service réseau1 |
Manuel1,2 Automatique uniquement si l'utilisateur choisit le démarrage automatique |
Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique. |
Analysis Services |
Utilisateur de domaine, Service réseau, Service local, Système local1 |
Automatique1 |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique. |
Reporting Services |
Utilisateur de domaine, Système local, Service réseau, Service local |
Automatique |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique. |
Integration Services |
Utilisateur de domaine, Système local, Service réseau, Service local |
Automatique |
Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique. |
Recherche en texte intégral |
Utilisez un compte différent du compte du service SQL Server. Le compte utilisera par défaut le Service local sur Windows Server 2008 et Windows Vista. |
Automatique |
Démarré Arrêté uniquement si un compte n'est pas spécifié sur Windows Server 2003 ni Windows XP. |
SQL Server Browser |
Service local |
Désactivé3 Automatique uniquement si l'utilisateur choisit le démarrage automatique. |
Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique. |
SQL Server Active Directory Helper |
Système local, Service réseau |
Désactivé |
Arrêté |
SQL Writer |
Système local |
Automatique |
Démarré |
Important
1Pour les configurations de cluster de basculement, utilisez le compte d'utilisateur de domaine et le type de démarrage manuel.
2Le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express with Advanced Services.
3Par défaut, pour les installations de cluster de basculement et les instances nommées, SQL Server Browser est configuré pour démarrer automatiquement une fois l'installation terminée.
Remarque relative à la sécurité Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible. Utilisez un compte d'utilisateur ou compte de domaine spécifique doté de privilèges minimaux, au lieu d'un compte partagé pour les services SQL Server. Utilisez des comptes distincts pour différents services SQL Server. N'accordez aucune autorisation supplémentaire au compte de service SQL Server ni aux groupes de services. Les autorisations seront accordées par le biais de l'appartenance aux groupes ou accordées directement à un SID de service, lorsqu'un SID de service est pris en charge.
Configurations de service prises en charge
SQL Server utilisant un groupe de sécurité pour définir des listes de contrôle d'accès des ressources au lieu d'utiliser directement le compte de service, la modification du compte de service peut être effectuée sans avoir à répéter le processus des listes de contrôle d'accès des ressources. Le groupe de sécurité peut être un groupe de sécurité local, un groupe de sécurité de domaine ou un SID de service.
Pendant l'installation de SQL Server, le programme d'installation de SQL Server crée un groupe de service pour chaque composant de SQL Server. Ces groupes facilitent l'octroi des autorisations nécessaires pour exécuter les services SQL Server et autres exécutables, et aident à sécuriser les fichiers SQL Server.
Selon la configuration du service, le compte de service pour un service ou SID de service est ajouté en tant que membre du groupe de service lors de l'installation ou de la mise à niveau.
SQL Server active un SID par service pour chacun de ses services sur les systèmes d'exploitation Windows Server 2008 ou Windows Vista dans SQL Server 2008 pour fournir une isolation de service et une défense en profondeur. Le SID par service est dérivé du nom du service et est propre à ce service. Par exemple, un nom de SID pour un service SQL Server peut être NT Service\MSSQL$<InstanceName>. L'isolation de service permet l'accès à des objets spécifiques sans avoir à s'exécuter sous un compte à privilèges élevés ni affaiblir la protection de sécurité de l'objet. Un service SQL Server peut limiter l'accès à ses ressources via une entrée de contrôle d'accès qui contient un SID de service.
Le tableau suivant montre les configurations de service prises en charge pour les installations nouvelles et mises à niveau sur Windows Server 2008 ou Windows Vista.
Nouvelle installation |
Mise à niveau |
|---|---|
|
|
Le tableau suivant montre les configurations de service pour les installations nouvelles et mises à niveau sur Windows Server 2003 ou Windows XP.
Nouvelle installation |
Mise à niveau |
|---|---|
|
|
Pour les instances autonomes de SQL Server sur les systèmes d'exploitation Windows Vista et Windows Server 2008, les SID de service sont ajoutés au groupe de service et le SID de service pour le moteur SQL Server et SQL Server Agent est ajouté comme nom d'accès au rôle serveur Sysadmin.
Pour les instances de cluster de basculement de SQL Server sur les systèmes d'exploitation Windows Vista et Windows Server 2008, le programme d'installation de SQL Server utilise par défaut le SID de service et l'affecte à SQL Server et aux listes de contrôle d'accès des ressources de système d'exploitation.
[!REMARQUE]
Pour utiliser des groupes de domaines sur un cluster de basculement SQL Server, ceux-ci doivent être créés avant l'exécution du programme d'installation. Nous vous conseillons d'utiliser des groupes de domaines uniques lorsque vous installez des services SQL Server sur un cluster de basculement SQL Server.
Modification des propriétés de compte
Pour modifier les comptes de service, le mot de passe, le type de démarrage du service ou d'autres propriétés d'un service quelconque lié à SQL Server, utilisez le Gestionnaire de configuration SQL Server. Pour les services liés à la création de rapports, utilisez l'outil de configuration de Reporting Services. Notez que le changement du nom de l'instance de SQL Server ne change pas le nom des groupes de sécurité SQL Server. Les groupes de sécurité continuent de fonctionner avec les anciens noms après le changement de nom.
Identification des services dépendant et ne dépendant pas des instances
Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances SQL Server installées. Ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.
Les services dépendant d'une instance dans SQL Server incluent les éléments suivants :
SQL Server
Agent SQL Server
Sachez que le service de l'Agent SQL Server est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.
Analysis Services
Reporting Services
Recherche en texte intégral
Les services ne dépendant pas d'une instance dans SQL Server incluent les éléments suivants :
Integration Services
Navigateur SQL Server
SQL Server Active Directory Helper
SQL Writer
Vérification des droits et privilèges Windows NT accordés aux comptes de services SQL Server
Le tableau suivant indique les droits de l'utilisateur Windows NT spécifiques qui sont accordés aux groupes d'utilisateurs créés par le programme d'installation de SQL Server.
Service SQL Server |
Groupe d'utilisateurs |
Autorisations par défaut accordées par le programme d'installation de SQL Server |
|---|---|---|
SQL Server |
Instance par défaut : SQLServerMSSQLUser$ComputerName$MSSQLSERVER Instance nommée : SQLServerMSSQLUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight)1 Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) Autorisation de démarrer SQL Server Active Directory Helper Autorisation de démarrer SQL Writer Autorisation de lire le service Journal des événements Autorisation de lire le service d'appel de procédure distante (RPC) .gif "Important") Important
Pour les instances SQL Server sur Windows Vista et versions supérieures, les droits d'utilisateur Ouvrir une session en tant que service, Remplacer un jeton de niveau processus, Outrepasser le contrôle de parcours et Changer les quotas de mémoire d'un processus sont accordés au SID de service SQL Server.
|
SQL Server Agent3 |
Instance par défaut : SQLServerSQLAgentUser$ComputerName$MSSQLSERVER Instance nommée : SQLServerSQLAgentUser$ComputerName$InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) |
Analysis Services |
Instance par défaut : SQLServerMSASUser$nom_ordinateur$MSSQLSERVER Instance nommée : SQLServerMSASUser$nom_ordinateur$nom_instance |
Ouvrir une session en tant que service (SeServiceLogonRight) |
SSRS |
Instance par défaut : SQLServerReportServerUser$ComputerName$MSRS10.MSSQLSERVER Instance nommée : SQLServerReportServerUser$ComputerName$MSRS10.InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
Integration Services |
Instance par défaut ou instance nommée : SQLServerDTSUser$ComputerName |
Ouvrir une session en tant que service (SeServiceLogonRight) Autorisation d'écrire dans le journal des événements d'application Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege) |
Recherche en texte intégral |
Instance par défaut : SQLServerFDHostUser$ ComputerName$MSSQL10.MSSQLSERVER Instance nommée : SQLServerFDHostUser$ComputerName$MSSQL10.InstanceName |
Ouvrir une session en tant que service (SeServiceLogonRight) Important
Pour les instances SQL Server sur Windows Vista et versions supérieures, l'autorisation Ouvrir une session en tant que service est accordée au SID de service du lanceur FD.
|
SQL Server Browser |
Instance par défaut ou instance nommée : SQLServerSQLBrowserUser$ComputerName |
Ouvrir une session en tant que service (SeServiceLogonRight) |
SQL Server Active Directory Helper |
Instance par défaut ou instance nommée : SQLServerMSSQLServerADHelperUser$ComputerName |
Aucune2 |
SQL Writer |
Non applicable |
Aucune2 |
1Cette autorisation est accordée par défaut à tous les services SQL Server.
2 Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.
3Le service de l'Agent SQL Server est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.
Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
Les comptes de service SQL Server doivent avoir accès aux ressources. Des listes de contrôle d'accès sont définies au niveau des groupes d'utilisateurs.
Important
Pour les installations de clusters de basculement, les ressources des disques partagés doivent être attribuées à la liste ACL d'un compte local.
Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.
Compte de service1 pour |
Fichiers et dossiers |
Accès |
|---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Contrôle total |
|
Instid\MSSQL\binn |
Lecture, exécution |
|
Instid\MSSQL\data |
Contrôle total |
|
Instid\MSSQL\FTData |
Contrôle total |
|
Instid\MSSQL\Install |
Lecture, exécution |
|
Instid\MSSQL\Log |
Contrôle total |
|
Instid\MSSQL\Repldata |
Contrôle total |
|
100\shared |
Lecture, exécution |
|
Données Instid\MSSQL\Template (SQL Server Express uniquement) |
Lecture |
SQLServerAgent2 |
Instid\MSSQL\binn |
Contrôle total |
|
Instid\MSSQL\binn |
Contrôle total |
|
Instid\MSSQL\Log |
Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete) |
|
100\com |
Lecture, exécution |
|
100\shared |
Lecture, exécution |
|
100\shared\Errordumps |
Lecture, écriture |
ServerName\EventLog |
Contrôle total |
|
FTS |
Instid\MSSQL\FTData |
Contrôle total |
|
Instid\MSSQL\FTRef |
Lecture, exécution |
|
100\shared |
Lecture, exécution |
|
100\shared\Errordumps |
Lecture, écriture |
|
Instid\MSSQL\Install |
Lecture, exécution |
Instid\MSSQL\jobs |
Lecture, écriture |
|
MSSQLServerOLAPservice |
100\shared\ASConfig |
Contrôle total |
|
Instid\OLAP |
Lecture, exécution |
|
Instid\Olap\Data |
Contrôle total |
|
Instid\Olap\Log |
Lecture, écriture |
|
Instid\OLAP\Backup |
Lecture, écriture |
|
Instid\OLAP\Temp |
Lecture, écriture |
|
100\shared\Errordumps |
Lecture, écriture |
SQLServerReportServerUser |
Instid\Reporting Services\Log Files |
Lecture, écriture, suppression |
|
Instid\Reporting Services\ReportServer |
Lecture, exécution |
|
Instid\Reportingservices\Reportserver\global.asax |
Contrôle total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lecture |
|
Instid\Reporting Services\reportManager |
Lecture, exécution |
|
Instid\Reporting Services\RSTempfiles |
Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete) |
|
100\shared |
Lecture, exécution |
|
100\shared\Errordumps |
Lecture, écriture |
MSDTSServer100 |
100\dts\binn\MsDtsSrvr.ini.xml |
Lecture |
|
100\dts\binn |
Lecture, exécution |
|
100\shared |
Lecture, exécution |
|
100\shared\Errordumps |
Lecture, écriture |
Navigateur SQL Server |
100\shared\ASConfig |
Lecture |
|
100\shared |
Lecture, exécution |
|
100\shared\Errordumps |
Lecture, écriture |
MSADHelper |
N/A (S'exécute sous le compte de service réseau) |
|
SQLWriter |
Non applicable (s'exécute en tant que système local) |
|
Utilisateur |
Instid\MSSQL\binn |
Lecture, exécution |
|
Instid\Reporting Services\ReportServer |
Lecture, exécution, listage du contenu des dossiers |
|
Instid\Reportingservices\Reportserver\global.asax |
Lecture |
|
Instid\Reporting Services\ReportManager |
Lecture, exécution |
|
Instid\Reporting Services\ReportManager\pages |
Lecture |
|
Instid\Reporting Services\ReportManager\Styles |
Lecture |
|
100\dts |
Lecture, exécution |
|
100\tools |
Lecture, exécution |
|
90\tools |
Lecture, exécution |
|
80\tools |
Lecture, exécution |
|
100\sdk |
Lecture |
|
Microsoft SQL Server\100\Setup Bootstrap |
Lecture, exécution |
1 Pour l'installation du clustering avec basculement SQL Server ou l'installation de SQL Server sur un contrôleur de domaine, les listes de contrôle d'accès seront définies pour le SID de service SQL Server au lieu d'être définies pour le groupe de service SQL Server, sur les systèmes d'exploitation Windows Vista et Windows Server 2008.
2Le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express with Advanced Services.
Certaines autorisations de contrôle d'accès peuvent avoir été accordées à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie les listes ACL supplémentaires définies par le programme d'installation de SQL Server.
Composant demandeur |
compte |
Resource |
Permissions |
|---|---|---|---|
MSSQLServer |
Utilisateurs du journal des performances |
Instid\MSSQL\binn |
Lister le contenu des dossiers |
|
Utilisateurs de l'Analyseur de performances |
Instid\MSSQL\binn |
Lister le contenu des dossiers |
|
Utilisateurs du journal des performances, Utilisateurs de l'Analyseur de performances |
\WINNT\system32\sqlctr100.dll |
Lecture, exécution |
|
Administrateur uniquement |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
Contrôle total |
|
Administrateurs, système |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Contrôle total |
|
Utilisateurs |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Lecture, exécution |
Reporting Services |
<Compte du service Web Report Server> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Identité du pool de l'Application du Gestionnaire de rapports, compte ASP.NET, Tout le monde |
<installer>\Reporting Services\ReportManager, <installer>\Reporting Services\ReportManager\Pages\*.*, <installer>\Reporting Services\ReportManager\Styles\*.*, <installer>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lecture |
|
Identité du pool d'applications du Gestionnaire de rapports |
<install>\Reporting Services\ReportManager\Pages\*.* |
Lecture |
|
<Compte de service Web du serveur de rapports> |
<install>\Reporting Services\ReportServer |
Lecture |
|
<Compte de service Web du serveur de rapports> |
<install>\Reporting Services\ReportServer\global.asax |
Complète |
|
Tout le monde |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Service réseau |
<installer>\Reporting Services\ReportServer\ReportService.asmx |
Complète |
|
Tout le monde |
<installer>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Compte des services Windows ReportServer |
<install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tout le monde |
Clés Report Server (ruche Instid) |
Demander la valeur Énumérer les sous-clés Notifier Contrôle en lecture |
|
Utilisateur de Terminal Services |
Clés Report Server (ruche Instid) |
Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture |
|
Utilisateurs avec pouvoir |
Clés Report Server (ruche Instid) |
Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture |
1Ceci est l'espace de noms du fournisseur WMI.
Récapitulation des autorisations Windows pour les services SQL Server
Le tableau suivant donne les noms des services, le terme utilisé pour faire référence aux instances par défaut et nommées des services SQL Server, une description de la fonction du service et les autorisations minimales requises.
Nom affiché |
Nom du service |
Description |
Autorisations requises |
|---|---|---|---|
SQL Server (InstanceName) |
Instance par défaut : MSSQLSERVER Instance nommée : MSSQL$InstanceName |
Moteur de base de données SQL Server. Le chemin d'accès du fichier exécutable est \MSSQL\Binn\sqlservr.exe. |
Le compte d'utilisateur local ou le compte d'utilisateur de domaine est recommandé. Ouvrir une session en tant que service (SeServiceLogonRight).1 Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege). Ignorer le contrôle de parcours (SeChangeNotifyPrivilege). Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege). Autorisation de démarrer SQL Server Active Directory Helper. Autorisation de démarrer SQL Writer. Autorisation de lire le service Journal des événements. Autorisation de lire le service d'appel de procédure distante (RPC, Remote Procedure Call).
Autorisations minimalesFonctionnalité
Compte de démarrage du service MSSQLServer
Le compte doit se trouver dans la liste des comptes dotés des autorisations « Liste du dossier » sur le lecteur racine où est installé SQL Server. Il doit aussi être à la racine de tout autre lecteur où les fichiers SQL Server sont stockés.
.gif "Remarque") Remarque
Les autorisations « Liste du dossier » sur le lecteur racine ne sont pas obligatoirement héritées par les sous-dossiers.
Compte de démarrage du service MSSQLServerLe compte doit avoir les autorisations « Contrôle total » sur tous les dossiers dans lesquels résident les fichiers de données ou les fichiers journaux (.mdf, .ndf, .ldf).
|
Agent SQL Server (InstanceName)1 |
Instance par défaut : SQLServerAgent Instance nommée : SQLAgent$InstanceName |
Exécute les travaux, surveille SQL Server, déclenche les alertes et permet d'automatiser certaines tâches administratives. Le chemin d'accès du fichier exécutable est \MSSQL\Binn\sqlagent.exe. |
Autorisations minimalesFonctionnalité
Le compte doit être membre du rôle serveur fixe sysadmin.
Le compte doit avoir les autorisations Windows suivantes :Ouvrir une session en tant que service. Remplacer un jeton au niveau du processus. Changer les quotas de mémoire d'un processus. Outrepasser le contrôle de parcours.
|
Services Analysis Services (InstanceName) |
Instance par défaut : MSSQLServerOLAPService Instance nommée : MSOLAP$InstanceName |
Service qui fournit des fonctionnalités OLAP (online analytical processing) et d'exploitation de données pour les applications d'aide à la décision. Le chemin d'accès du fichier exécutable est \OLAP\Bin\msmdsrv.exe. |
|
Reporting Services |
Instance par défaut : ReportServer Instance nommée : ReportServer$InstanceName |
Gère, exécute, crée, planifie et remet les rapports. Le chemin d'accès du fichier exécutable est \Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
|
Integration Services |
Instance par défaut ou instance nommée : MSDTSServer |
Assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services. Le chemin d'accès du fichier exécutable est \DTS\Binn\msdtssrv.exe. |
|
Recherche en texte intégral |
Instance par défaut ou instance nommée : lanceur du démon de filtre de texte intégral SQL |
Service de lancement du processus de démon de filtre de texte intégral afin d'effectuer filtrage de document et l'analyse lexicale pour la recherche en texte intégral SQL Server. |
|
Navigateur SQL Server |
Instance par défaut ou instance nommée : SQLBrowser |
Service de résolution de noms qui fournit les informations de connexion SQL Server pour les ordinateurs clients. Ce service est partagé entre plusieurs instances SQL Server et SSIS. Le chemin d'accès du fichier exécutable est <lecteur>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe. |
|
SQL Server Active Directory Helper |
Instance par défaut ou instance nommée : MSSQLServerADHelper. |
Publie et gère les services SQL Server dans Windows Active Directory. Le chemin d'accès du fichier exécutable est <lecteur>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe. |
|
SQL Writer |
SQLWriter |
Permet aux applications de sauvegarde et de restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume). Il existe une seule instance du service SQL Writer pour toutes les instances de SQL Server sur le serveur. Le chemin d'accès du fichier exécutable est <lecteur>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe. |
|
1Le service de l'Agent SQL Server est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.
Récapitulation des considérations supplémentaires
Le tableau suivant indique les autorisations nécessaires pour que les services SQL Server fournissent des fonctionnalités supplémentaires.
Service/Application |
Fonctionnalité |
Autorisation requise |
|---|---|---|
SQL Server (MSSQLSERVER) |
Écrire un message mailslot avec xp_sendmail. |
autorisations d'écriture réseau. |
SQL Server (MSSQLSERVER) |
Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server. |
Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus. |
SQL Server Agent (MSSQLSERVER) |
Utiliser la fonctionnalité de redémarrage automatique |
Doit être membre du groupe local Administrators. |
Assistant Paramétrage du moteur de base de données |
Règle les bases de données pour des performances de requête optimales. |
À la première utilisation, un utilisateur doté des informations d'identification d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs dbo peuvent utiliser l'Assistant Paramétrage du moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du moteur de base de données » dans la documentation en ligne de SQL Server. |
Important
Avant de procéder à une mise à niveau vers SQL Server, activez l'authentification Windows pour l'Agent SQL Server et vérifiez la configuration par défaut requise : si le compte de service de l'Agent SQL Server est membre du groupe sysadminSQL Server.
Noms de services localisés
Le tableau ci-dessous indique les noms de services affichés dans les versions localisées de Windows.
Langue |
Nom du service local |
Nom du service réseau |
Nom du système local |
Nom du groupe Admin |
|---|---|---|---|---|
Anglais Chinois simplifié Chinois traditionnel Coréen Japonais |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Allemand |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Français |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Italien |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Espagnol |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russe |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
Historique des modifications
Mise à jour du contenu |
|---|
Une remarque relative aux outils à utiliser pour configurer ou modifier les paramètres de compte pour les services SQL Server 2008 a été ajoutée à la section Introduction. |
Les paramètres pour une installation sans assistance dans le tableau Configuration du type de démarrage du service ont été mis à jour. |
Des alertes pour une clarification sur les autorisations accordées aux SID de service ont été ajoutées au tableau Vérification des droits et privilèges Windows NT accordés aux comptes de services SQL Server. |
Voir aussi