Windows サービス アカウントの設定

更新 : 2006 年 12 月 12 日

SQL Server の各サービスは、Microsoft Windows による SQL Server 操作の認証を管理するための、1 つのプロセスまたはプロセス セットを表しています。このトピックでは、SQL Server のこのリリースにおける既定のサービス構成、および SQL Server のインストール時に設定できる SQL Server サービスの構成オプションについて説明します。

セキュリティ上の注意   SQL Server サービスは、常に可能な限り最小のユーザー権限で実行してください。

インストール対象として選択した Microsoft SQL Server 2005 コンポーネントに応じて、SQL Server 2005 セットアップによって次のサービスがインストールされます。

  • SQL Server データベース サービス   SQL Server リレーショナル データベース エンジンのサービスです。
  • SQL Server エージェント   ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。
    ms143504.note(ja-jp,SQL.90).gifメモ :
    SQL Server と SQL Server エージェントを Windows のサービスとして実行するには、SQL Server と SQL Server エージェントが Windows ユーザー アカウントに割り当てられている必要があります。通常、SQL Server と SQL Server エージェントの両方に、ローカル システム アカウントまたはドメイン ユーザー アカウントとして同じユーザー アカウントを割り当てます。ただし、インストール時に各サービスの設定をカスタマイズすることもできます。各サービスのアカウント情報をカスタマイズする方法については、「サービス アカウント」を参照してください。
  • Analysis Services   ビジネス インテリジェンス アプリケーション用のオンライン分析処理 (OLAP) およびデータ マイニング機能を提供します。
  • Reporting Services   レポートの管理、実行、表示、スケジュール、および配信を行います。
  • Notification Services   通知の生成と送信を行うアプリケーションを開発し配置するためのプラットフォームです。
  • Integration Services   Integration Services パッケージの保存と実行に対する管理サポートを提供します。
  • フルテキスト検索   コンテンツのフルテキスト インデックスと構造化および半構造化されたデータのプロパティをすばやく作成し、このデータでの言語の高速検索を可能にします。
  • SQL Server Browser   クライアント コンピュータ用の SQL Server 接続情報を提供する名前解決サービスです。
  • SQL Server Active Directory Helper   Active Directory の SQL Server サービスをパブリッシュして管理します。
  • SQL ライタ   ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。

このトピックには次のセクションがあります。

  • SQL Server セットアップに表示されるサービスの構成
  • SQL Server サービスの開始アカウントの使用
  • インスタンス対応のサービスとインスタンス非対応のサービス
  • SQL Server サービス アカウントに付与された Windows NT の権限の確認
  • SQL Server サービス アカウントに作成されたアクセス制御リストの確認
  • SQL Server サービスに対する Windows 権限の確認
  • その他の注意点の確認
  • ローカライズされたサービス名

SQL Server セットアップに表示されるサービスの構成

SQL Server のセットアップ時に、一部の SQL Server サービスの開始アカウントを指定し、サービスを自動的に開始するかどうかを構成できます。次の表は、インストール時に構成できる SQL Server サービスを示しています。自動インストールを行う場合は、インストール ファイルまたはコマンド プロンプトでスイッチを使用できます。

SQL Server サービス名 インストール ウィザードでの構成 自動インストールのスイッチ1

MSSQLSERVER

SQLACCOUNT、SQLPASSWORD、SQLAUTOSTART

SQLServerAgent

AGTACCOUNT、AGTPASSWORD、AGTAUTOSTART

MSSQLServerOLAPService

ASACCOUNT、ASPASSWORD、ASAUTOSTART

ReportServer

RSACCOUNT、RSPASSWORD、RSAUTOSTART

SQLBrowser

SQLBROWSERACCOUNT、SQLBROWSERPASSWORD、SQLBROWSERAUTOSTART2

1 リモート インストールと自動インストールに関する詳細およびサンプル構文については、「コマンド プロンプトから SQL Server 2005 をインストールする方法」を参照してください。

2 SQLBROWSERAUTOSTART は、SQL Server Browser をインストール済みの場合も指定できます。

次のサービスはインストール時に構成できません。既定の設定でインストールされます。

  • Notification Services
  • Integration Services
  • フルテキスト検索
  • Active Directory Helper
  • SQL ライタ

SQL Server サービスの開始アカウントの使用

SQL Server 2005 の各サービスを開始して実行するには、ユーザー アカウントを持っている必要があります。ユーザー アカウントは、ビルトイン システム アカウント、ドメイン ユーザー アカウントのいずれでも可能です。

ユーザー アカウントに加え、各サービスには 3 種類の起動時の状態があります。これらの状態はユーザーによる制御が可能です。

  • 無効   サービスがインストールされていますが、現在は実行されていません。
  • 手動   サービスがインストールされていますが、別のサービスまたはアプリケーションでその機能が必要な場合のみ開始されます。
  • 自動   起動時にデバイス ドライバが読み込まれた後、オペレーティング システムによってサービスが開始されます。

次の表は、SQL Server サービスの既定のアカウントとオプションのアカウント、および各サービスの起動時の状態を示しています。

SQL Server サービス名 既定のアカウント オプションのアカウント 起動の種類 セットアップ後の既定の状態

SQL Server

Windows 2000 の SQL Server Express Edition : ローカル システム

他のすべてのサポートされるオペレーティング システムの SQL Server Express Edition : ネットワーク サービス

サポートされるすべてのオペレーティング システムのその他すべてのエディション : ドメイン ユーザー1

SQL Server Express Edition : ドメイン ユーザー、ローカル システム、ネットワーク サービス1

他のすべてのエディション : ドメイン ユーザー、ローカル システム、ネットワーク サービス1

自動2

開始

ユーザーが自動開始を選択しない場合のみ停止

SQL Server エージェント

ドメイン ユーザー3

ドメイン ユーザー、ローカル システム、ネットワーク サービス1,6

無効

ユーザーが自動開始を選択した場合のみ自動

停止

ユーザーが自動開始を選択した場合のみ開始

Analysis Services

ドメイン ユーザー3

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

自動

開始

ユーザーが自動開始を選択しない場合のみ停止

Reporting Services

ドメイン ユーザー3

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

自動

開始

ユーザーが自動開始を選択しない場合のみ停止

Notification Services4

N/A

N/A

N/A

N/A

Integration Services

Windows 2000 : ローカル システム

他のすべてのサポートされるオペレーティング システム : ネットワーク サービス

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

自動

開始

ユーザーが自動開始を選択しない場合のみ停止

フルテキスト検索

SQL Server と同じアカウント

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

手動

停止

ユーザーが自動開始を選択した場合のみ開始

SQL Server Browser

Windows 2000 の SQL Server Express Edition : ローカル システム

他のすべてのサポートされるオペレーティング システムの SQL Server Express Edition : ローカル サービス

サポートされるすべてのオペレーティング システムのその他すべてのエディション : ドメイン ユーザー1,3

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

無効5

ユーザーが自動開始を選択した場合のみ自動

停止5

ユーザーが自動開始を選択した場合のみ開始

SQL Server Active Directory Helper

ネットワーク サービス

ローカル システム、ネットワーク サービス

無効

停止

SQL ライタ

ローカル システム

ローカル システム

自動

開始

1重要   SQL Server サービスまたは SQL Server エージェント サービスには、ネットワーク サービス アカウントを使用しないことをお勧めします。これらの SQL Server サービスには、ローカル ユーザー アカウントまたはドメイン ユーザー アカウントの方が適しています。

2 フェールオーバー クラスタ化構成では、手動に設定してください。

3 自動インストールの場合、このプロパティは必須です。指定しないと、セットアップが失敗します。ローカル システムを指定するには、SQLAccount=LocalSystem または ASAccount=LocalSystem を使用します。リモート インストールと自動インストールの詳細およびサンプル構文については、「コマンド プロンプトから SQL Server 2005 をインストールする方法」を参照してください。

4 SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。

5 フェールオーバー クラスタのインストールの場合は、SQL Server Browser が自動的に開始するように設定され、既定ではセットアップ後に開始されます。

6 SQL Server エージェントでサポートされる Windows アカウントの詳細については、「SQL Server 2005 での SQL Server エージェント サービスの実行用にサポートされている Windows アカウントの種類」を参照してください。

ms143504.note(ja-jp,SQL.90).gif重要 :
フェールオーバー クラスタのインストールでは、SQL Server、SQL Server エージェント、および SSAS などのクラスタ化サービスにローカル システム アカウントとローカル サービス アカウントが許可されません。詳細については、「フェールオーバー クラスタリングをインストールする前に」を参照してください。 SQL Server の前のバージョンとサイド バイ サイドでインストールされている SQL Server 2005 の場合、SQL Server 2005 サービスは、グローバル ドメイン グループのみで検出されたアカウントを使用する必要があります。さらに、SQL Server 2005 サービスによって使用されるアカウントは、ローカルの Administrators グループに表示されないようにする必要があります。このガイドラインに沿っていない場合、予期しないセキュリティ動作が発生します。

ドメイン ユーザー アカウントの使用

ネットワーク サービスを操作するサービスには、ドメイン ユーザー アカウントが適していることがあります。多くのサーバー間操作は、ドメイン ユーザー アカウントを使用しなければ実行できません。次に例を示します。

  • リモート プロシージャ コール
  • レプリケーション
  • ネットワーク デバイスへのバックアップ
  • リモート データ ソースを含む異なる種類のデータの結合
  • SQL Server エージェントのメール機能および SQL Mail。この制限は、Microsoft Exchange の使用時に適用されます。他の多くのメール システムでも、クライアント (SQL Server サービスおよび SQL Server エージェント サービスなど) をネットワーク アクセス権を持つアカウントで実行する必要があります。

ローカル サービス アカウントの使用

ローカル サービス アカウントは、認証済みユーザー アカウントに類似した特殊なビルトイン アカウントです。ローカル サービス アカウントでは、リソースとオブジェクトに対し、ユーザー グループのメンバと同じレベルのアクセス権があります。個々のサービスまたは処理にセキュリティの問題が発生した場合、このようなアクセス制限はシステムの保護に役立ちます。ローカル サービス アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。

ネットワーク サービス アカウントの使用

ネットワーク サービス アカウントは、認証済みユーザー アカウントに類似した特殊なビルトイン アカウントです。ネットワーク サービス アカウントには、リソースとオブジェクトに対し、ユーザー グループのメンバと同じレベルのアクセス権があります。ネットワーク サービス アカウントとして実行されるサービスは、コンピュータ アカウントの資格情報を使用してネットワーク リソースにアクセスします。

ms143504.note(ja-jp,SQL.90).gif重要 :
SQL Server サービスまたは SQL Server エージェント サービスには、ネットワーク サービス アカウントを使用しないことをお勧めします。これらの SQL サービスには、ローカル ユーザー アカウントまたはドメイン ユーザー アカウントの方が適しています。

ローカル システム アカウントの使用

ローカル システム アカウントは高い特権を持つアカウントです。ローカル システム権限を SQL Server サービス アカウントに割り当てる場合は慎重に行ってください。

ms143504.security(ja-jp,SQL.90).gifセキュリティ メモ :
SQL Server インストールのセキュリティを強化するには、最低限の権限を持つローカル Windows アカウントで SQL Server サービスを実行します。

ユーザー アカウントの変更

SQL Server に関連するサービスのパスワードまたはその他のプロパティを変更するには、SQL Server 構成マネージャを使用します。Windows のパスワードを変更する場合は、Windows の SQL Server サービスの設定も必ず更新してください。Kerberos が有効になっている場合は、Active Directory のサービス プリンシパル名 (SPN) ディレクトリ プロパティを更新してください。

詳細については、「パスワードおよびユーザー アカウントの変更」を参照してください。Microsoft Windows の [サービス] アドインを使用して SQL Server サービス アカウントを変更する方法の詳細については、「SQL Server 2000 の SQL Enterprise Manager または SQL Server 2005 の SQL Server 構成マネージャを使用せずに SQL Server または SQL Server エージェント サービスのアカウントを変更する方法」を参照してください。

インスタンス対応のサービスとインスタンス非対応のサービス

SQL Server サービスには、インスタンスに対応するものと、インスタンスに対応しないものがあります。インスタンスに対応する各サービスは特定の SQL Server インスタンスに関連付けられており、独自のレジストリ ハイブがあります。コンポーネントやサービスのインストールごとに SQL Server セットアップを実行すると、インスタンスに対応するサービスの複数のコピーをインストールできます。インスタンスに対応しないサービスは、インストールされているすべての SQL Server インスタンスで共有されます。特定のインスタンスに関連付けられておらず、一度だけインストールされ、サイド バイ サイドでインストールできません。

Microsoft SQL Server 2005 では、インスタンスに対応するサービスに次のようなものがあります。

  • SQL Server
  • SQL Server エージェント
  • Analysis Services
  • Reporting Services
  • フルテキスト検索

SQL Server 2005 では、インスタンスに対応しないサービスに次のようなものがあります。

  • Notification Services
  • Integration Services
  • SQL Server Browser
  • SQL Server Active Directory Helper
  • SQL ライタ

SQL Server サービス アカウントに付与された Windows NT の権限の確認

SQL Server セットアップを実行すると、各種 SQL Server サービスについてユーザー グループが作成され、必要に応じて、それらのユーザー グループにサービス アカウントが追加されます。グループを作成することで、SQL Server サービスやその他の実行可能ファイルを実行するのに必要な権限の許可が簡素化され、SQL Server ファイルのセキュリティを保護できます。ドメイン コントローラに SQL Server 2005 をインストールする場合は、グループ名が一意であることが条件となります。

SQL Server のセットアップで作成されたユーザー グループには、以下の Windows NT の権限が許可されます。

SQL Server サービス ユーザー グループ SQL Server セットアップによって付与される既定の権限

SQL Server

既定のインスタンス : SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServer2005MSSQLUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

オペレーティング システムの一部として動作 (SeTcbPrivilege) (Windows 2000 でのみ)

バッチ ジョブとしてログオン (SeBatchLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)

SQL Server Active Directory Helper を起動する権限

SQL ライタを起動する権限

SQL Server エージェント

既定のインスタンス : SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServer2005SQLAgentUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

オペレーティング システムの一部として動作 (SeTcbPrivilege) (Windows 2000 でのみ)

バッチ ジョブとしてログオン (SeBatchLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)

Analysis Services

既定のインスタンス : SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServer2005MSOLAPUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

Reporting Services1

既定のインスタンス : SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER および SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServer2005ReportServerUser$ComputerName$InstanceName および SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

Notification Services2

既定のインスタンスまたは名前付きインスタンス : SQLServer2005NotificationServicesUser$ComputerName

N/A

Integration Services

既定のインスタンスまたは名前付きインスタンス : SQLServer2005DTSUser$ComputerName

サービスとしてログオン (SeServiceLogonRight)

アプリケーション イベント ログに書き込む権限

スキャン チェックを行わない (SeChangeNotifyPrivilege)

グローバル オブジェクトを作成する (SeCreateGlobalPrivilege)

認証後にクライアントを借用する (SeImpersonatePrivilege)

フルテキスト検索

既定のインスタンス : SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServer2005MSFTEUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

SQL Server Browser

既定のインスタンスまたは名前付きインスタンス : SQLServer2005SQLBrowserUser$ComputerName

サービスとしてログオン (SeServiceLogonRight)

SQL Server Active Directory Helper

既定のインスタンスまたは名前付きインスタンス : SQLServer2005MSSQLServerADHelperUser$ComputerName

なし3

SQL ライタ

N/A

なし3

1 Reporting Services の場合、SQL Server セットアップによって SQLServer2005ReportingServicesWebServiceUser$InstanceName および SQLServer2005ASP.NETUser ユーザー グループも作成され、これらにアクセス制御リスト (ACL) が付与されている必要があります。詳細については、以下のアクセス制御リストを参照してください。

2 SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。

3 SQL Server セットアップではこのサービスの権限がチェックされません。また、権限付与も行われません。

SQL Server サービス アカウントに作成されたアクセス制御リストの確認

SQL Server 2005 サービス アカウントは、リソースへのアクセス権を持っている必要があります。アクセス制御リスト (ACL) はユーザー グループ レベルで設定されます。次の表は、SQL Server セットアップによって設定される ACL を示しています。

ms143504.note(ja-jp,SQL.90).gif重要 :
フェールオーバー クラスタのインストールの場合、共有ディスク上のリソースをローカル ユーザー グループの ACL 用に設定できません。代わりに、リソースはローカル アカウントの ACL 用に設定されます。
サービス アカウントのサービス ファイルとフォルダ アクセス権

MSSQLServer

Instid\MSSQL\backup

フル コントロール

 

Instid\MSSQL\binn

読み取り、実行

 

Instid\MSSQL\data

フル コントロール

 

Instid\MSSQL\FTData

フル コントロール

 

Instid\MSSQL\Install

読み取り、実行

 

Instid\MSSQL\Log

フル コントロール

 

Instid\MSSQL\Repldata

フル コントロール

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

 

90\com

読み取り、実行

 

Instid\MSSQL\Template Data (SQL Server Express のみ)

読み取り

SQLServerAgent

Instid\MSSQL\binn

フル コントロール

 

Instid\MSSQL\Log

フル コントロール

 

Instid\MSSQL\jobs

フル コントロール

 

90\com

読み取り、実行

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

FTS

Instid\MSSQL\FTData

フル コントロール

 

Instid\MSSQL\FTRef

読み取り、実行

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

 

Instid\MSSQL\Install

読み取り、実行

MSSQLServerOLAPservice

90\shared

読み取り、実行

 

90\shared\msmdlocal.ini

フル コントロール

 

Instid\OLAP

読み取り、実行

 

Instid\Olap\Data

フル コントロール

 

Instid\Olap\Log

読み取り、書き込み

 

90\shared\Errordumps

読み取り、書き込み

SQLServer2005ReportServerUser

Instid\Reporting Services\Log Files

読み取り、書き込み、削除

 

Instid\Reporting Services\ReportServer

読み取り、実行

 

Instid\Reportingservices\Reportserver\global.asax

フル コントロール

 

Instid\Reportingservices\Reportserver\Reportserver.config

読み取り、書き込み

 

Instid\Reporting Services\reportManager

読み取り、実行

 

Instid\Reporting Services\RSTempfiles

読み取り、書き込み

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

SQLServer2005ReportingServicesWebServiceUser

Instid\Reporting Services\Log Files

読み取り、書き込み、削除

 

Instid\Reporting Services\ReportServer

読み取り、実行

 

Instid\Reportingservices\Reportserver\global.asax

フル コントロール

 

InstID\Reporting Services\reportservice.asmx

フル コントロール

 

Instid\Reportingservices\Reportserver\Reportserver.config

読み取り、書き込み、削除

 

Instid\Reporting Services\reportManager

読み取り、実行

 

Instid\Reporting Services\RSTempfiles

読み取り、書き込み

 

Instid\Reporting Services\reportManager\pages

読み取り

 

Instid\Reporting Services\reportManager\Styles

読み取り

 

Instid\Reporting Services\reportManager\webctrl_client\1_0

読み取り

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

Notification services

90\Notification services

読み取り、実行、フォルダ内容の一覧表示

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

MSDTSServer

90\dts\binn\MsDtsSrvr.ini.xml

読み取り

 

90\dts\binn

読み取り、実行

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

SQL Server Browser

90\shared\msmdlocal.ini

読み取り

 

90\shared

読み取り、実行

 

90\shared\Errordumps

読み取り、書き込み

MSADHekper

N/A (ビルトイン アカウントとして実行)

 

SQLWriter

N/A (ローカル システムとして実行)

 

ユーザー

Instid\MSSQL\binn

読み取り、実行

 

Instid\Reporting Services\ReportServer

読み取り、実行

 

Instid\Reportingservices\Reportserver\global.asax

読み取り

 

InstID\Reporting Services\reportservice.asmx

読み取り、実行

 

Instid\Reporting Services\reportManager

読み取り、実行

 

Instid\Reporting Services\reportManager\pages

読み取り

 

Instid\Reporting Services\reportManager\Styles

読み取り

 

90\dts

読み取り、実行

 

90\tools

読み取り、実行

 

80\tools

読み取り、実行

 

90\sdk

読み取り

 

Microsoft SQL Server\90\Setup Bootstrap

読み取り、実行

SQL Server サービスの開始アカウントに加えて、ビルトイン アカウントや他の SQL Server サービス アカウントにアクセス制御権限も付与する必要がある場合があります。次の表は、SQL Server セットアップによって追加設定される ACL を示しています。

要求元コンポーネント アカウント リソース 権限

MSSQLServer

パフォーマンス ログ ユーザー

Instid\MSSQL\binn

フォルダ内容の一覧表示

 

パフォーマンス監視ユーザー

Instid\MSSQL\binn

フォルダ内容の一覧表示

 

パフォーマンス ログ ユーザー

Instid\MSSQL\binn\sqlctr90.dll

読み取り、実行

 

パフォーマンス監視ユーザー

Instid\MSSQL\binn\sqlctr90.dll

読み取り、実行

 

管理者のみ

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

フル コントロール

 

管理者

\tools\binn\schemas\sqlserver\2003\03\showplan

フル コントロール

 

システム

\tools\binn\schemas\sqlserver\2003\03\showplan

フル コントロール

 

ユーザー

\tools\binn\schemas\sqlserver\2003\03\showplan

読み取り、実行

Reporting services

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

レポート マネージャ アプリケーション プールの ID

<install>\Reporting Services\ReportManager

読み取り

 

ASP.NET アカウント

<install>\Reporting Services\ReportManager

読み取り

 

Everyone

<install>\Reporting Services\ReportManager

読み取り

 

レポート マネージャ アプリケーション プールの ID

<install>\Reporting Services\ReportManager\Pages\*.*

読み取り

 

ASP.NET アカウント

<install>\Reporting Services\ReportManager\Pages\*.*

読み取り

 

Everyone

<install>\Reporting Services\ReportManager\Pages\*.*

読み取り

 

レポート マネージャ アプリケーション プールの ID

<install>\Reporting Services\ReportManager\Styles\*.*

読み取り

 

ASP.NET アカウント

<install>\Reporting Services\ReportManager\Styles\*.*

読み取り

 

Everyone

<install>\Reporting Services\ReportManager\Styles\*.*

読み取り

 

レポート マネージャ アプリケーション プールの ID

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

読み取り

 

ASP.NET アカウント

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

読み取り

 

Everyone

<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

読み取り

 

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\ReportServer

読み取り

 

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\ReportServer\global.asax

フル コントロール

 

Everyone

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

ネットワーク サービス

<intsall>\Reporting Services\ReportServer\ReportService.asmx

フル コントロール

 

Everyone

<intsall>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

ReportServer Windows サービス アカウント

<Install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Everyone

レポート サーバー キー (Instid ハイブ)

値のクエリ

サブキーの列挙

通知

読み取り制御

 

ターミナル サービス ユーザー

レポート サーバー キー (Instid ハイブ)

値のクエリ

値の設定

サブキーの作成

サブキーの列挙

通知

削除

読み取り制御

 

パワー ユーザー

レポート サーバー キー (Instid ハイブ)

値のクエリ

値の設定

サブキーの作成

サブキーの列挙

通知

削除

読み取り制御

1 これは WMI プロバイダの名前空間です。

SQL Server サービスに対する Windows 権限の確認

次の表は、サービス名、SQL Server サービスの既定のインスタンスと名前付きインスタンスを指す用語、サービス機能の説明、および必要な最低限の権限を示しています。

表示名

サービス名

説明

必要な権限

SQL Server (InstanceName)

既定のインスタンス : MSSQLSERVER

名前付きインスタンス : MSSQL$InstanceName

SQL Server データベース エンジン.

実行可能ファイルへのパスは \MSSQL\Binn\sqlservr.exe です。

ローカル ユーザーをお勧めします。

最低限の権限

機能

MSSQLServer サービスの開始アカウント

アカウントは、SQL Server がインストールされているルート ドライブ、および SQL Server ファイルが保存されている他のドライブのルートで、フォルダ一覧表示権限を持つアカウントのリスト内にある必要があります。

ms143504.note(ja-jp,SQL.90).gifメモ :

ルート ドライブのフォルダ一覧表示権限をサブフォルダに継承する必要はありません。

MSSQLServer サービスの開始アカウントアカウントは、データまたはログ ファイル (.mdf, .ndf, .ldf) が常駐するフォルダに対するフル コントロール権限を持っている必要があります。

SQL Server エージェント (InstanceName)

既定のインスタンス : SQLServerAgent

名前付きインスタンス : SQLAgent$InstanceName

ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。

実行可能ファイルへのパスは \MSSQL\Binn\sqlagent90.exe です。

最低限の権限

機能

アカウントは、sysadmin 固定サーバー ロールのメンバでなければなりません。 

アカウントは、次の Windows 権限を持っている必要があります。1サービスとしてログオン バッチ ジョブとしてログオン プロセス レベル トークンを置き換える プロセスに対してメモリ クォータを調整する オペレーティング システムの一部として動作 スキャン チェックを行わない

Analysis Services サービス (InstanceName)

既定のインスタンス : MSSQLServerOLAPService

名前付きインスタンス : MSOLAP$InstanceName

サービスは、ビジネス インテリジェンス アプリケーションのオンライン分析処理 (OLAP) 機能とデータ マイニング機能を提供します。

実行可能ファイルへのパスは \OLAP\Bin\msmdsrv.exe です。

 

レポート サーバー

既定のインスタンス : ReportServer

名前付きインスタンス : ReportServer$InstanceName

レポートの管理、実行、表示、スケジュール、および配信

実行可能ファイルへのパスは \Reporting Services\ReportServer\Bin\ReportingServicesService.exe です。

 

Notification Services

 

Notification Services は通知の生成と送信を行うアプリケーションを開発し配置するためのプラットフォームです。SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。

 

Integration Services

既定のインスタンスまたは名前付きインスタンス : MSDTSServer

Integration Services パッケージの保存と実行に対する管理サポートを提供します。

実行可能ファイルへのパスは \DTS\Binn\msdtssrvr.exe です。

 

SQL Server Browser

既定のインスタンスまたは名前付きインスタンス : SQLBrowser

クライアント コンピュータ向け SQL Server 接続情報を提供する名前解決サービスです。このサービスは複数の SQL Server および SSIS インスタンス間で共有されます。

実行可能ファイルへのパスは \90\shared\sqlbrowser.exe です。

 

Microsoft フルテキスト検索 (MSFTESQL)

既定のインスタンス : MSFTESQL

名前付きインスタンス : MSFTESQL$InstanceName

コンテンツのフルテキスト インデックスと構造化および半構造化されたデータのプロパティをすばやく作成し、このデータでの言語の高速検索を可能にします。

実行可能ファイルへのパスは \MSSQL\Binn\msftesql.exe です。

 

SQL Server Active Directory Helper

既定のインスタンスまたは名前付きインスタンス : MSSQLServerADHelper

Windows Active Directory の SQL Server サービスをパブリッシュおよび管理します。

実行可能ファイルへのパスは \90\Shared\sqladhelper.exe です。

 

SQL ライタ

SQLWriter

ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。サーバーのすべての SQL Server インスタンスに対して SQL ライタ サービスのインスタンスが 1 つあります。

実行可能ファイルへのパスは \90\Shared\sqlwriter.exe です。

 

1 各必須 Windows 権限の設定を確認する方法の詳細については、「SQL Server サービスの権限を確認する方法」を参照してください。

その他の注意点の確認

次の表は、機能を追加するために必要な SQL Server サービスの権限を示しています。

サービスまたはアプリケーション 機能 必要な権限

SQL Server (MSSQLSERVER)

xp_sendmail を使用してメール スロットに書き込みます。

ネットワークでの書き込みの権限。

SQL Server (MSSQLSERVER)

SQL Server 管理者以外のユーザーに xp_cmdshell を実行します。

オペレーティング システムの一部としての動作しプロセス レベル トークンを置き換える権限。

SQL Server エージェント (MSSQLSERVER)

再起動の自動化機能を使用します。

Administrators ローカル グループのメンバである必要があります。

データベース エンジン チューニング アドバイザ

最適なクエリ パフォーマンスを得るようにデータベースをチューニングします。

初めて使用する場合は、システム管理者特権を持つユーザーがアプリケーションを初期化する必要があります。初期化後は、テーブルを所有するユーザー (dbo ユーザー) がデータベース エンジン チューニング アドバイザを使用して所有するテーブルのみをチューニングできます。詳細については、SQL Server 2005 Books Online の「データベース エンジン チューニング アドバイザの初期化」を参照してください。

ms143504.note(ja-jp,SQL.90).gif重要 :
SQL Server 2005 にアップグレードする前に、SQL Server エージェントの Windows 認証を有効にし、SQL Server エージェントのサービス アカウントが SQL Server sysadmin グループのメンバであることを確認してください。

ローカライズされたサービス名

次の表は、Microsoft Windows のローカライズ版で使用されるサービス名を示しています。

言語 ローカル サービスの名前 ネットワーク サービスの名前 ローカル システムの名前 admin グループの名前

英語

中国語 (簡体字)

中国語 (繁体字)

韓国語 (韓国)

日本語

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

ドイツ語

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

フランス語

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

イタリア語

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

スペイン語

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

ロシア語

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

参照

関連項目

サービス アカウント
サービス アカウント (クラスタ)

概念

SQL Server インストールのセキュリティに関する注意点

ヘルプおよび情報

SQL Server 2005 の参考資料の入手

変更履歴

リリース 履歴

2006 年 12 月 12 日

変更内容 :
  • サイド バイ サイド構成のサービス アカウントに対するセキュリティ ガイドラインを追加。
  • SQL Server 2005 SP2 における SQL ライタ サービスのスタートアップの種類と既定の状態を更新。

2006 年 7 月 17 日

変更内容 :
  • トピックを読みやすくするために内容の流れと表示を改訂。
  • [サービス] アドインを使用して SQL Server および SQL Server エージェント サービス アカウントを変更するためのサポート技術情報へのリンクを追加。
  • ロシア語にローカライズされたサービス名を追加。

2005 年 12 月 5 日

変更内容 :
  • SQL Server エージェントが使用できるアカウントの一覧から LocalService を削除。
  • SQL Server のセットアップで作成されるユーザー グループを更新。