• [アーティクル]

Windows サービス アカウントの設定

SQL Server の各サービスは、Windows で SQL Server 操作の認証を管理するための、1 つのプロセスまたはプロセス セットを表しています。このトピックでは、SQL Server のこのリリースにおける既定のサービス構成、および SQL Server のインストール時に設定できる SQL Server サービスの構成オプションについて説明します。

インストールするコンポーネントに応じて、SQL Server セットアップによって次のサービスがインストールされます。

  • SQL Server データベース サービス   SQL Server リレーショナル データベース エンジンのサービスです。

  • SQL Server エージェント   ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。

    注意注意

    SQL Server と SQL Server エージェントを Windows のサービスとして実行するには、SQL Server と SQL Server エージェントが Windows ユーザー アカウントに割り当てられている必要があります。各サービスのアカウント情報をカスタマイズする方法については、「SQL Server 2008 をインストールする方法 (セットアップ)」を参照してください。

  • Analysis Services   ビジネス インテリジェンス アプリケーション用のオンライン分析処理 (OLAP) およびデータ マイニング機能を提供します。

  • Reporting Services   レポートの管理、実行、作成、スケジュール、および配信を行います。

  • Integration Services   Integration Services パッケージの保存と実行に対する管理サポートを提供します。

  • SQL Server Browser   クライアント コンピューター用の SQL Server 接続情報を提供する名前解決サービスです。

  • フルテキスト検索   コンテンツに対するフルテキスト インデックスと構造化データおよび半構造化データのプロパティをすばやく作成し、SQL Server に対するドキュメントのフィルター処理および単語区切りを可能にします。

  • SQL Server Active Directory Helper   Active Directory の SQL Server サービスをパブリッシュして管理します。

  • SQL ライター   ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。

    重要な注意事項重要

    SQL Server のサービスまたは SQL Server エージェントのサービスが使用するアカウントやパスワードを変更する場合は、SQL Server のツール (SQL Server 構成マネージャーなど) を必ず使用してください。SQL Server 構成マネージャーでは、アカウント名の変更だけでなく、その新しいアカウントが SQL Server の設定を読み取れるように Windows レジストリ内の権限を設定するなど、付加的な構成も行えます。Windows サービス コントロール マネージャーなどの他のツールでもアカウント名を変更できますが、関連する設定の変更はできません。サービスがレジストリ内の SQL Server の部分にアクセスできなければ、そのサービスを正しく開始できません。

このトピックには次のセクションがあります。

  • サービスのスタートアップの種類の構成

  • SQL Server サービスの開始アカウントの使用

  • SQL Server サービスに対するサービス SID の使用

  • インスタンス対応のサービスとインスタンス非対応のサービス

  • SQL Server サービス アカウントに付与された Windows NT の権限の確認

  • SQL Server サービス アカウントに作成されたアクセス制御リストの確認

  • SQL Server サービスに対する Windows 権限の確認

  • その他の注意点の確認

  • ローカライズされたサービス名

サービスのスタートアップの種類の構成

SQL Server のセットアップ時に、一部の SQL Server サービスのスタートアップの種類 ([無効]、[手動]、または [自動]) を構成できます。次の表に、インストール時に構成できる SQL Server サービスを示します。自動インストールを行う場合は、構成ファイルまたはコマンド プロンプトでスイッチを使用できます。

SQL Server サービス名

インストール ウィザードでの構成

自動インストールのスイッチ1

MSSQLSERVER

SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPE

1 自動インストールの詳細およびサンプル構文については、「コマンド プロンプトから SQL Server 2008 をインストールする方法」を参照してください。

2SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスで無効になっています。

SQL Server サービスの開始アカウントの使用

SQL Server の各サービスを開始して実行するには、インストール時に構成されたアカウントが必要です。SQL Server を開始して実行するために使用する開始アカウントは、ビルトイン システム アカウント、ローカル ユーザー アカウント、またはドメイン ユーザー アカウントのいずれでも可能です。

ドメイン ユーザー アカウント

サービスでネットワーク サービスを操作する必要がある場合は、ファイル共有と同様の方法でドメイン リソースにアクセスします。また、SQL Server を実行している他のコンピューターへのリンク サーバー接続をサービスで使用している場合は、最小限の特権しかないドメイン アカウントを使用できます。多くのサーバー間操作は、ドメイン ユーザー アカウントを使用しなければ実行できません。このアカウントは、使用している環境のドメイン管理によって事前に作成されている必要があります。

ローカル ユーザー アカウント

コンピューターがドメインに属していない場合は、Windows 管理者権限のないローカル ユーザー アカウントを使用することをお勧めします。

ローカル サービス アカウント

ローカル サービス アカウントは、リソースおよびオブジェクトへのアクセスについて Users グループのメンバーと同じレベルの権限を持つビルトイン アカウントです。このアクセス制限により、個々のサービスまたはプロセスに障害が発生した場合にシステムを保護することができます。ローカル サービス アカウントとして実行されているサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。ローカル サービス アカウントは SQL Server サービスまたは SQL Server エージェント サービスではサポートされていないことに注意してください。アカウントの実際の名前は、"NT AUTHORITY\LOCAL SERVICE" です。

ネットワーク サービス アカウント

ネットワーク サービス アカウントは、リソースおよびオブジェクトへのアクセスについて Users グループのメンバーより多くの権限を持つビルトイン アカウントです。ネットワーク サービス アカウントとして実行されるサービスは、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。アカウントの実際の名前は "NT AUTHORITY\NETWORK SERVICE" です。

ローカル システム アカウント

ローカル システムは非常に高い特権を持つビルトイン アカウントです。ローカル システム上で広範囲の特権を持ち、ネットワーク上のコンピューターとして機能します。アカウントの実際の名前は "NT AUTHORITY\SYSTEM" です。

ユーザー アカウントに加え、各サービスには 3 種類の起動時の状態があります。これらの状態はユーザーによる制御が可能です。

  • 無効 サービスがインストールされていますが、現在は実行されていません。

  • 手動   サービスがインストールされていますが、別のサービスまたはアプリケーションでその機能が必要な場合のみ開始されます。

  • 自動   サービスはオペレーティング システムによって自動的に起動されます。

次の表は、SQL Server サービスのオプションのアカウント、および各サービスの起動時の状態を示しています。

SQL Server サービス名

オプションのアカウント

起動の種類

セットアップ後の既定の状態

SQL Server

SQL Server Express : ドメイン ユーザー、ローカル システム、ネットワーク サービス

他のすべてのエディション : ドメイン ユーザー、ローカル システム、ネットワーク サービス1

自動1

開始

ユーザーが自動開始を選択しない場合のみ停止

SQL Server エージェント

ドメイン ユーザー、ローカル システム、ネットワーク サービス1

手動1,2

ユーザーが自動開始を選択した場合のみ自動

停止

ユーザーが自動開始を選択した場合のみ開始

Analysis Services

ドメイン ユーザー、ネットワーク サービス、ローカル サービス、ローカル システム1

自動1

開始

ユーザーが自動開始を選択しない場合のみ停止

Reporting Services

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

自動

開始

ユーザーが自動開始を選択しない場合のみ停止

Integration Services 

ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス

自動

開始

ユーザーが自動開始を選択しない場合のみ停止

フルテキスト検索

SQL Server サービスのアカウントとは異なるアカウントを使用します。

Windows Server 2008 および Windows Vista では、既定のアカウントは [ローカル サービス] に設定されます。

自動

開始

Windows Server 2003 または Windows XP でアカウントが指定されていない場合のみ停止

SQL Server Browser

ローカル サービス

無効3

ユーザーが自動開始を選択した場合のみ自動

停止

ユーザーが自動開始を選択した場合のみ開始

SQL Server Active Directory Helper

ローカル システム、ネットワーク サービス

無効

停止

SQL ライター

ローカル システム

自動

開始

重要   

1 フェールオーバー クラスター構成の場合は、ドメイン ユーザー アカウントを使用し、スタートアップの種類を [手動] に設定してください。

2SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスで無効になっています。

3 フェールオーバー クラスターのインストールおよび名前付きインスタンスの場合は、既定で SQL Server Browser がセットアップ後に自動的に開始されるように設定されます。

セキュリティに関するメモ   SQL Server サービスは、常に可能な限り最小のユーザー権限で実行してください。SQL Server サービス用の共有アカウントの代わりに、特定の権限レベルの低いユーザー アカウントまたはドメイン アカウントを使用します。SQL Server サービスごとに個別のアカウントを使用します。SQL Server サービス アカウントまたはサービス グループに追加の権限を付与しないでください。権限は、グループのメンバーシップを通じて付与されるか、サービス SID がサポートされている場合にはサービス SID に直接付与されます。

サポートされているサービス構成

SQL Server は、サービス アカウントを直接使用するのではなく、セキュリティ グループを使用してリソース ACL を設定します。したがって、リソース ACL プロセスを繰り返さなくてもサービス アカウントを変更することができます。セキュリティ グループは、ローカル セキュリティ グループ、ドメイン セキュリティ グループ、またはサービス SID のいずれでもかまいません。

SQL Server のインストール中に、SQL Server セットアップによって SQL Server の各コンポーネントのサービス グループが作成されます。グループを作成することで、SQL Server サービスやその他の実行可能ファイルの実行に必要な権限を許可する作業を簡素化でき、SQL Server ファイルのセキュリティ保護に役立てることができます。

サービス構成に応じて、インストール時またはアップグレード時にサービスまたはサービス SID のサービス アカウントが、サービス グループのメンバーとして追加されます。

SQL Server の場合、SQL Server 2008 において、Windows Server 2008 または Windows Vista オペレーティング システムの各サービスに対してサービスごとの SID を使用することができます。これによって、サービスを分離し、多層防御を実現できます。 サービスごとの SID は、サービス名から取得されるので、そのサービスに固有です。たとえば、SQL Server サービスのサービス SID 名は、NT Service\MSSQL$<InstanceName> となります。サービスを分離すると、高い特権のアカウントを実行したり、オブジェクトのセキュリティ保護を弱めたりすることなく、特定のオブジェクトにアクセスできます。サービス SID を含むアクセス制御エントリを使用することにより、SQL Server サービスはそのリソースへのアクセスを制限することができます。

次の表に、Windows Server 2008 または Windows Vista への新規インストールおよびアップグレードされたインストールでサポートされているサービス構成を示します。

新規インストール

アップグレード

  • スタンドアロン インスタンス : サービス SID を持つサービス グループ

  • フェールオーバー クラスター インスタンス : サービス SID

  • フェールオーバー クラスター インスタンス : ドメイン サービス グループ

  • ドメイン コントローラー : サービス SID

  • ドメイン コントローラー : サービス アカウントを持つサービス グループ

  • スタンドアロン インスタンス : サービス SID を持つドメイン サービス グループ

  • フェールオーバー クラスター インスタンス : サービス アカウントを持つドメイン サービス グループ

次の表に、Windows Server 2003 または Windows XP への新規インストールおよびアップグレードされたインストールのサービス構成を示します。

新規インストール

アップグレード

  • スタンドアロン インスタンス : サービス アカウントを持つサービス グループ

  • フェールオーバー クラスター インスタンス : サービス アカウントを持つドメイン サービス グループ

  • ドメイン コントローラー : サービス アカウントを持つサービス グループ

  • スタンドアロン インスタンス : サービス アカウントを持つドメイン サービス グループ

  • フェールオーバー クラスター インスタンス : サービス アカウントを持つドメイン サービス グループ

Windows Vista と Windows Server 2008 の各オペレーティング システム上の SQL Server のスタンドアロン インスタンスの場合、サービス グループにサービス SID が追加され、Sysadmin サーバー ロールに SQL Server エンジンと SQL Server エージェントのサービス SID がログインとして追加されます。

Windows Vista と Windows Server 2008 の各オペレーティング システム上の SQL Server フェールオーバー クラスター インスタンスの場合、既定により SQL Server セットアップではサービス SID を使用して、SQL Server とオペレーティング システム リソース ACL をそのサービス SID に設定します。

注意注意

SQL Server フェールオーバー クラスター上でドメイン グループを使用するには、セットアップを実行する前に作成しておく必要があります。SQL Server サービスを SQL Server フェールオーバー クラスターにインストールする場合は、一意のドメイン グループを使用することをお勧めします。

アカウント プロパティの変更

SQL Server に関連するサービスのサービス アカウント、パスワード、サービスのスタートアップの種類、またはその他のプロパティを変更するには、SQL Server 構成マネージャーを使用します。Reporting Services の場合は、Reporting Services 構成ツールを使用します。SQL Server のインスタンス名を変更しても、SQL Server セキュリティ グループの名前は変更されません。名前の変更を行った後も、セキュリティ グループは引き続き古い名前で機能します。

インスタンス対応のサービスとインスタンス非対応のサービス

インスタンス対応のサービスとは、特定の SQL Server インスタンスに関連付けられているサービスを指し、それぞれに独自のレジストリ ハイブがあります。コンポーネントやサービスごとに SQL Server セットアップを実行すると、インスタンス対応サービスの複数のコピーをインストールできます。インスタンス非対応サービスは、インストールされているすべての SQL Server インスタンスで共有されます。インスタンス非対応サービスは、特定のインスタンスに関連付けられておらず、インストールできるのは一度のみであり、サイド バイ サイドでのインストールは行えません。

SQL Server では、インスタンスに対応するサービスに次のようなものがあります。

  • SQL Server

  • SQL Server エージェント

    SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスで無効になっていることに注意してください。

  • Analysis Services

  • Reporting Services

  • フルテキスト検索

SQL Server では、インスタンスに対応しないサービスに次のようなものがあります。

  • Integration Services

  • SQL Server Browser

  • SQL Server Active Directory Helper

  • SQL ライター

SQL Server サービス アカウントに付与された Windows NT の権限の確認

SQL Server セットアップによって作成されたユーザー グループには、次の表に示す特定の Windows NT ユーザー権限が付与されます。

SQL Server サービス

ユーザー グループ

SQL Server セットアップによって付与される既定の権限

SQL Server

既定のインスタンス : SQLServerMSSQLUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServerMSSQLUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)1

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)

SQL Server Active Directory Helper を起動する権限

SQL ライターを起動する権限

イベント ログ サービスを読み取る権限

リモート プロシージャ コール サービスを読み取る権限

重要な注意事項重要
Windows Vista 以降の SQL Server インスタンスの場合、サービスとしてログオン、プロセス レベル トークンを置き換える、スキャン チェックを行わない、およびプロセスに対してメモリ クォータを調整するという各ユーザー権限が SQL Server サービス SID に対して付与されます。

SQL Server エージェント3

既定のインスタンス : SQLServerSQLAgentUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServerSQLAgentUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)

Analysis Services

既定のインスタンス : SQLServerMSASUser$ComputerName$MSSQLSERVER

名前付きインスタンス : SQLServerMSASUser$ComputerName$InstanceName

サービスとしてログオン (SeServiceLogonRight)

SSRS

既定のインスタンス : SQLServerReportServerUser$ComputerName$MSRS10.MSSQLSERVER

名前付きインスタンス : SQLServerReportServerUser$ComputerName$MSRS10.InstanceName

サービスとしてログオン (SeServiceLogonRight)

Integration Services 

既定のインスタンスまたは名前付きインスタンス : SQLServerDTSUser$ComputerName

サービスとしてログオン (SeServiceLogonRight)

アプリケーション イベント ログに書き込む権限

スキャン チェックを行わない (SeChangeNotifyPrivilege)

認証後にクライアントを借用する (SeImpersonatePrivilege)

フルテキスト検索

既定のインスタンス : SQLServerFDHostUser$ ComputerName$MSSQL10.MSSQLSERVER

名前付きインスタンス : SQLServerFDHostUser$ComputerName$MSSQL10.InstanceName

サービスとしてログオン (SeServiceLogonRight)

重要な注意事項重要
Windows Vista 以降での SQL Server インスタンスの場合、サービスとしてログオンの権限が FD ランチャー サービス SID に付与されます。

SQL Server Browser

既定のインスタンスまたは名前付きインスタンス : SQLServerSQLBrowserUser$ComputerName

サービスとしてログオン (SeServiceLogonRight)

SQL Server Active Directory Helper

既定のインスタンスまたは名前付きインスタンス : SQLServerMSSQLServerADHelperUser$ComputerName

なし2

SQL ライター

N/A

なし2

1この権限は、既定ですべての SQL Server サービスに与えられています。

2SQL Server セットアップではこのサービスの権限がチェックされません。また、権限付与も行われません。

3SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスで無効になっています。

SQL Server サービス アカウントに作成されたアクセス制御リストの確認

SQL Server サービス アカウントは、リソースへのアクセス権を持っている必要があります。アクセス制御リストはユーザー グループ レベルで設定されます。

重要な注意事項重要

フェールオーバー クラスターのインストールの場合、共有ディスク上のリソースをローカル アカウントの ACL に設定する必要があります。

次の表に、SQL Server セットアップによって設定される ACL を示します。

サービス アカウント1のサービス

ファイルとフォルダー

アクセス権

MSSQLServer

Instid\MSSQL\backup

フル コントロール

 

Instid\MSSQL\binn

読み取り、実行

 

Instid\MSSQL\data

フル コントロール

 

Instid\MSSQL\FTData

フル コントロール

 

Instid\MSSQL\Install

読み取り、実行

 

Instid\MSSQL\Log

フル コントロール

 

Instid\MSSQL\Repldata

フル コントロール

 

100\shared

読み取り、実行

 

Instid\MSSQL\Template Data (SQL Server Express のみ)

読み取り

SQLServerAgent2

Instid\MSSQL\binn

フル コントロール

 

Instid\MSSQL\binn

フル コントロール

 

Instid\MSSQL\Log

読み取り、書き込み、削除、実行

 

100\com

読み取り、実行

 

100\shared

読み取り、実行

 

100\shared\Errordumps

読み取り、書き込み

ServerName\EventLog

フル コントロール

FTS

Instid\MSSQL\FTData

フル コントロール

 

Instid\MSSQL\FTRef

読み取り、実行

 

100\shared

読み取り、実行

 

100\shared\Errordumps

読み取り、書き込み

 

Instid\MSSQL\Install

読み取り、実行

Instid\MSSQL\jobs

読み取り、書き込み

MSSQLServerOLAPservice

100\shared\ASConfig

フル コントロール

 

Instid\OLAP

読み取り、実行

 

Instid\Olap\Data

フル コントロール

 

Instid\Olap\Log

読み取り、書き込み

 

Instid\OLAP\Backup

読み取り、書き込み

 

Instid\OLAP\Temp

読み取り、書き込み

 

100\shared\Errordumps

読み取り、書き込み

SQLServerReportServerUser

Instid\Reporting Services\Log Files

読み取り、書き込み、削除

 

Instid\Reporting Services\ReportServer

読み取り、実行

 

Instid\Reportingservices\Reportserver\global.asax

フル コントロール

 

Instid\Reportingservices\Reportserver\Reportserver.config

読み取り

 

Instid\Reporting Services\reportManager

読み取り、実行

 

Instid\Reporting Services\RSTempfiles

読み取り、書き込み、実行、削除

 

100\shared

読み取り、実行

 

100\shared\Errordumps

読み取り、書き込み

MSDTSServer100

100\dts\binn\MsDtsSrvr.ini.xml

読み取り

 

100\dts\binn

読み取り、実行

 

100\shared

読み取り、実行

 

100\shared\Errordumps

読み取り、書き込み

SQL Server Browser

100\shared\ASConfig

読み取り

 

100\shared

読み取り、実行

 

100\shared\Errordumps

読み取り、書き込み

MSADHelper

N/A (ネットワーク サービス アカウントで実行)

 

SQLWriter

N/A (ローカル システムとして実行)

 

ユーザー

Instid\MSSQL\binn

読み取り、実行

 

Instid\Reporting Services\ReportServer

読み取り、実行、フォルダー内容の一覧表示

 

Instid\Reportingservices\Reportserver\global.asax

読み取り

 

Instid\Reporting Services\ReportManager

読み取り、実行

 

Instid\Reporting Services\ReportManager\pages

読み取り

 

Instid\Reporting Services\ReportManager\Styles

読み取り

 

100\dts

読み取り、実行

 

100\tools

読み取り、実行

 

90\tools

読み取り、実行

 

80\tools

読み取り、実行

 

100\sdk

読み取り

 

Microsoft SQL Server\100\Setup Bootstrap

読み取り、実行

1SQL Server フェールオーバー クラスタリング インストールまたはドメイン コントローラー上の SQL Server インストールの場合、ACL は Windows Vista と Windows Server 2008 の各オペレーティング システム上の SQL Server サービス グループではなく SQL Server サービス SID に対して設定されます。

2SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスでは無効になっています。

ビルトイン アカウントや他の SQL Server サービス アカウントに、いくつかのアクセス制御権限を付与する必要がある場合があります。次の表は、SQL Server セットアップによって追加設定される ACL を示しています。

要求元コンポーネント

アカウント

リソース

権限

MSSQLServer

パフォーマンス ログ ユーザー

Instid\MSSQL\binn

フォルダー内容の一覧表示

 

パフォーマンス監視ユーザー

Instid\MSSQL\binn

フォルダー内容の一覧表示

 

パフォーマンス ログ ユーザー、パフォーマンス監視ユーザー

\WINNT\system32\sqlctr100.dll

読み取り、実行

 

管理者のみ

\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

フル コントロール

 

管理者、システム

\tools\binn\schemas\sqlserver\2004\07\showplan

フル コントロール

 

ユーザー

\tools\binn\schemas\sqlserver\2004\07\showplan

読み取り、実行

Reporting Services

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

レポート マネージャー アプリケーション プールの ID、ASP.NET アカウント、Everyone

<install>\Reporting Services\ReportManager、<install>\Reporting Services\ReportManager\Pages\*.*、<install>\Reporting Services\ReportManager\Styles\*.*、<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

読み取り

 

レポート マネージャー アプリケーション プールの ID

<install>\Reporting Services\ReportManager\Pages\*.*

読み取り

 

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\ReportServer

読み取り

 

<レポート サーバー Web サービス アカウント>

<install>\Reporting Services\ReportServer\global.asax

フル コントロール

 

Everyone

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

ネットワーク サービス

<install>\Reporting Services\ReportServer\ReportService.asmx

フル コントロール

 

Everyone

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

ReportServer Windows サービス アカウント

<Install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Everyone

レポート サーバー キー (Instid ハイブ)

値のクエリ

サブキーの列挙

通知

読み取り制御

 

ターミナル サービス ユーザー

レポート サーバー キー (Instid ハイブ)

値のクエリ

値の設定

サブキーの作成

サブキーの列挙

通知

削除

読み取り制御

 

パワー ユーザー

レポート サーバー キー (Instid ハイブ)

値のクエリ

値の設定

サブキーの作成

サブキーの列挙

通知

削除

読み取り制御

1 これは WMI プロバイダーの名前空間です。

SQL Server サービスに対する Windows 権限の確認

次の表は、サービス名、SQL Server サービスの既定のインスタンスと名前付きインスタンスを指す用語、サービス機能の説明、および必要な最低限の権限を示しています。

表示名

サービス名

説明

必要な権限

SQL Server (InstanceName)

既定のインスタンス : MSSQLSERVER

名前付きインスタンス : MSSQL$InstanceName

SQL Server データベース エンジン.

実行可能ファイルのパスは \MSSQL\Binn\sqlservr.exe です。

ローカル ユーザーまたはドメイン ユーザー アカウントをお勧めします。

サービスとしてログオン (SeServiceLogonRight)。1

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)。

スキャン チェックを行わない (SeChangeNotifyPrivilege)。

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)。

SQL Server Active Directory Helper を起動する権限。

SQL ライターを起動する権限。

イベント ログ サービスを読み取る権限。

リモート プロシージャ コール サービスを読み取る権限。

最低限の権限機能
MSSQLServer サービスの開始アカウント
アカウントは、SQL Server がインストールされているルート ドライブで、フォルダー一覧表示権限を持つアカウントのリスト内にある必要があります。また、SQL Server ファイルが保存されている他の任意のドライブのルート上にある必要があります。
注意注意
ルート ドライブのフォルダー一覧表示権限をサブフォルダーに継承する必要はありません。
MSSQLServer サービスの開始アカウントアカウントは、データまたはログ ファイル (.mdf、.ndf、.ldf) が常駐するフォルダーに対するフル コントロール権限を持っている必要があります。

SQL Server エージェント (InstanceName)1

既定のインスタンス : SQLServerAgent

名前付きインスタンス : SQLAgent$InstanceName

ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。

実行可能ファイルのパスは \MSSQL\Binn\sqlagent.exe です。
最低限の権限機能
アカウントは、sysadmin 固定サーバー ロールのメンバーでなければなりません。 
このアカウントには、次の Windows 権限が必要です。サービスとしてログオン プロセス レベル トークンを置き換える プロセスに対してメモリ クォータを調整する スキャン チェックを行わない

Analysis Services サービス (InstanceName)

既定のインスタンス : MSSQLServerOLAPService

名前付きインスタンス : MSOLAP$InstanceName

サービスは、ビジネス インテリジェンス アプリケーションのオンライン分析処理 (OLAP) 機能とデータ マイニング機能を提供します。

実行可能ファイルのパスは \OLAP\Bin\msmdsrv.exe です。

 

Reporting Services

既定のインスタンス : ReportServer

名前付きインスタンス : ReportServer$InstanceName

レポートの管理、実行、作成、スケジュール、および配信を行います。

実行可能ファイルのパスは \Reporting Services\ReportServer\Bin\ReportingServicesService.exe です。

 

Integration Services

既定のインスタンスまたは名前付きインスタンス : MSDTSServer

Integration Services パッケージの保存と実行に対する管理サポートを提供します。

実行可能ファイルのパスは \DTS\Binn\msdtssrvr.exe です。

 

フルテキスト検索

既定または名前付きインスタンス : SQL フルテキスト フィルター デーモン ランチャー

フルテキスト フィルター デーモン プロセスを起動して SQL Server のフルテキスト検索に対するドキュメントのフィルター処理および単語区切りを実行するサービス。

 

SQL Server Browser

既定のインスタンスまたは名前付きインスタンス : SQLBrowser

クライアント コンピューター向け SQL Server 接続情報を提供する名前解決サービスです。このサービスは複数の SQL Server および SSIS インスタンス間で共有されます。

実行可能ファイルのパスは <ドライブ>:\Program Files\Microsoft SQL Server\100\Shared\sqlbrowser.exe です。

 

SQL Server Active Directory Helper

既定のインスタンスまたは名前付きインスタンス : MSSQLServerADHelper

Windows Active Directory の SQL Server サービスをパブリッシュおよび管理します。

実行可能ファイルのパスは <ドライブ>:\Program Files\Microsoft SQL Server\100\Shared\sqladhelper.exe です。

 

SQL ライター

SQLWriter

ボリューム シャドウ コピー サービス フレームワークで動作するアプリケーションのバックアップと復元を可能にします。サーバーのすべての SQL Server インスタンスに対して SQL ライター サービスのインスタンスが 1 つあります。

実行可能ファイルのパスは <ドライブ>:\Program Files\Microsoft SQL Server\100\Shared\sqlwriter.exe です。

 

1SQL Server エージェント サービスは、SQL Server Express および SQL Server Express with Advanced Services のインスタンスで無効になっています。

その他の注意点の確認

次の表は、SQL Server サービスが追加の機能を提供するために必要な権限を示しています。

サービスまたはアプリケーション

機能

必要な権限

SQL Server (MSSQLSERVER)

xp_sendmail を使用してメール スロットに書き込みます。

ネットワーク書き込み権限。

SQL Server (MSSQLSERVER)

SQL Server 管理者以外のユーザーのために xp_cmdshell を実行します。

オペレーティング システムの一部としての動作しプロセス レベル トークンを置き換える権限。

SQL Server エージェント (MSSQLSERVER)

再起動の自動化機能を使用します。

Administrators ローカル グループのメンバーである必要があります。

データベース エンジン チューニング アドバイザー

最適なクエリ パフォーマンスを得るようにデータベースをチューニングします。

初めて使用する場合は、システム管理者の資格情報を持つユーザーがアプリケーションを初期化する必要があります。初期化後は、dbo ユーザーがデータベース エンジン チューニング アドバイザーを使用して、所有するテーブルのみをチューニングできます。詳細については、SQL Server オンライン ブックの「データベース エンジン チューニング アドバイザーの初期化」を参照してください。
重要な注意事項重要

SQL Server をアップグレードする前に、SQL Server エージェントの Windows 認証を有効にし、必要な既定の構成 (SQL Server エージェントのサービス アカウントが SQL Serversysadmin グループのメンバーであること) を確認してください。

ローカライズされたサービス名

次の表は、Windows のローカライズ版で表示されるサービス名を示しています。

言語

ローカル サービスの名前

ネットワーク サービスの名前

ローカル システムの名前

admin グループの名前

英語

中国語 (簡体字)

中国語 (繁体字)

韓国語 (韓国)

日本語

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

ドイツ語

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

フランス語

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

イタリア語

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

スペイン語

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

ロシア語

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

変更履歴

変更内容

SQL Server 2008 サービスに対してアカウント設定を構成または変更するためのツールに関する注記を、概要セクションに追加しました。

サービスのスタートアップの種類の構成の表で、自動インストールのパラメーターを更新しました。

サービス SID に付与された権限についての注意として「SQL Server サービス アカウントに付与された Windows NT の権限の確認」が表に追加されました。