Configurar los permisos y las cuentas de servicio de Windows

Configurar los permisos y las cuent...

Contraer todo

Configure Windows Service Accounts and Permissions

Each service in SQL Server represents a process or a set of processes to manage authentication of SQL Server operations with Windows. This topic describes the default configuration of services in this release of SQL Server, and configuration options for SQL Server services that you can set during and after SQL Server installation.

Contents

This topic is divided into the following sections:

Services Installed by SQL Server
Service Properties and Configuration
Service Permissions
Provisioning
Upgrading From Previous Versions
Appendix

Services Installed by SQL Server

Depending on the components that you decide to install, SQL Server Setup installs the following services:

SQL Server Database Services - The service for the SQL Server relational Database Engine. The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
SQL Server Agent - Executes jobs, monitors SQL Server, fires alerts, and enables automation of some administrative tasks. The SQL Server Agent service is present but disabled on instances of SQL Server Express. The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Analysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Reporting Services - Manages, executes, creates, schedules, and delivers reports. The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services - Provides management support for Integration Services package storage and execution. The executable path is <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe
SQL Server Browser - The name resolution service that provides SQL Server connection information for client computers. The executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe
Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL Server.
SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.
SQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.
SQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the SQL Server Database Engine.

Top

Service Properties and Configuration

Startup accounts used to start and run SQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. To start and run, each service in SQL Server must have a startup account configured during installation.

This section describes the accounts that can be configured to start SQL Server services, the default values used by SQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.

Default Service Accounts
Automatic Startup
Configuring Service StartupType
Firewall Port

Default Service Accounts

The following table lists the default service accounts used by setup when installing all components. The default accounts listed are the recommended accounts, except as noted.

Stand-alone Server or Domain Controller

Component	Windows Vista and Windows Server 2008	Windows 7 and Windows Server 2008 R2
Database Engine	NETWORK SERVICE	Virtual Account*
SQL Server Agent	NETWORK SERVICE	Virtual Account*
SSAS	NETWORK SERVICE	Virtual Account*
SSIS	NETWORK SERVICE	Virtual Account*
SSRS	NETWORK SERVICE	Virtual Account*
SQL Server Distributed Replay Controller	NETWORK SERVICE	Virtual Account*
SQL Server Distributed Replay Client	NETWORK SERVICE	Virtual Account*
FD Launcher (Full-text Search)	LOCAL SERVICE	Virtual Account
SQL Server Browser	LOCAL SERVICE	LOCAL SERVICE
SQL Server VSS Writer	LOCAL SYSTEM	LOCAL SYSTEM

* When resources external to the SQL Server computer are needed, Microsoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

SQL Server Failover Cluster Instance

Component	Windows Server 2008	Windows Server 2008 R2
Database Engine	None. Provide a domain user account.	Provide a domain user account.
SQL Server Agent	None. Provide a domain user account.	Provide a domain user account.
SSAS	None. Provide a domain user account.	Provide a domain user account.
SSIS	NETWORK SERVICE	Virtual Account
SSRS	NETWORK SERVICE	Virtual Account
FD Launcher (Full-text Search)	LOCAL SERVICE	Virtual Account
SQL Server Browser	LOCAL SERVICE	LOCAL SERVICE
SQL Server VSS Writer	LOCAL SYSTEM	LOCAL SYSTEM

Top

Changing Account Properties

Important

Always use SQL Server tools such as SQL Server Configuration Manager to change the account used by the SQL Server Database Engine or SQL Server Agent services, or to change the password for the account. In addition to changing the account name, SQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Database Engine. Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
For Analysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for PowerPivot service applications and the Analysis Services service. Associated settings and permissions are updated to use the new account information when you use Central Administration.
To change Reporting Services options, use the Reporting Services Configuration Tool.

Top

New Account Types Available with Windows 7 and Windows Server 2008 R2

Windows 7 and Windows Server 2008 R2 have two new types of service accounts called managed service accounts (MSA) and virtual accounts. Managed service accounts and virtual accounts are designed to provide crucial applications such as SQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. These make long term management of service account users, passwords and SPNs much easier.

Managed Service Accounts
A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. It is assigned to a single member computer for use running a service. The password is managed automatically by the domain controller. You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. An MSA has the ability to register Service Principal Name (SPN) with the Active Directory. A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. When specifying a MSA, leave the password blank.
Note
The MSA must be created in the Active Directory by the domain administrator before SQL Server setup can use it for SQL Server services.

Virtual Accounts

Virtual accounts in Windows Server 2008 R2 and Windows 7 are managed local accounts that provide the following features to simplify service administration. The virtual account is auto-managed, and the virtual account can access the network in a domain environment. If the default value is used for the service accounts during SQL Server setup on Windows Server 2008 R2 or Windows 7, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. When specifying a virtual account to start SQL Server, leave the password blank.

Note
Virtual accounts cannot be used for SQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

The following table lists examples of virtual account names.

Service	Virtual Account Name
Default instance of the Database Engine service	NT SERVICE\MSSQLSERVER
Named instance of a Database Engine service named PAYROLL	NT SERVICE\MSSQL$PAYROLL
SQL Server Agent service on the default instance of SQL Server	NT SERVICE\SQLSERVERAGENT
SQL Server Agent service on an instance of SQL Server named PAYROLL	NT SERVICE\SQLAGENT$PAYROLL

For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

Security Note Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL Server services. Use separate accounts for different SQL Server services. Do not grant additional permissions to the SQL Server service account or the service groups. Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Automatic Startup

In addition to having user accounts, every service has three possible startup states that users can control:

Disabled The service is installed but not currently running.
Manual The service is installed, but will start only when another service or application needs its functionality.
Automatic The service is automatically started by the operating system.

The startup state is selected during setup. When installing a named instance, the SQL Server Browser service should be set to start automatically.

Configuring Services During Unattended Installation

The following table shows the SQL Server services that can be configured during installation. For unattended installations, you can use the switches in a configuration file or at a command prompt.

SQL Server service name	Switches for unattended installations1
MSSQLSERVER	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Distributed Replay Controller	DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL Server Distributed Replay Client	DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1For more information and sample syntax for unattended installations, see Install SQL Server 2012 from the Command Prompt.

2The SQL Server Agent service is disabled on instances of SQL Server Express and SQL Server Express with Advanced Services.

Firewall Port

In most cases, when initially installed, the Database Engine can be connected to by tools such as SQL Server Management Studio installed on the same computer as SQL Server. SQL Server Setup does not open ports in the Windows firewall. Connections from other computers may not be possible until the Database Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Top

Service Permissions

This section describes the permissions that SQL Server Setup configures for the per-service SID’s of the SQL Server services.

Service Configuration and Access Control
Windows Privileges and Rights
File System Permissions Granted to SQL Server Per-service SIDs or SQL Server Local Windows Groups
File System Permissions Granted to Other Windows User Accounts or Groups
File System Permissions Related to Unusual Disk Locations
Reviewing Additional Considerations
Registry Permissions
WMI
Named Pipes

Service Configuration and Access Control

SQL Server 2012 enables per-service SID for each of its services to provide service isolation and defense in depth. The per-service SID is derived from the service name and is unique to that service. For example, a service SID name for the Database Engine service might be NT Service\MSSQL$<InstanceName>. Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. By using an access control entry that contains a service SID, a SQL Server service can restrict access to its resources.

Note
On Windows 7 and Windows Server 2008 R2 the per-service SID can be the virtual account used by the service.

For most components SQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

When installing SSAS, a per-service SID for the Analysis Services service is created. A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. If the account used to start the Analysis Services service is changed, SQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. This method allows the Analysis Services service to be renamed during upgrades.

During SQL Server installation, SQL Server Setup creates a local Windows groups for SSAS and the SQL Server Browser service. For these services, SQL Server configures the ACL for the local Windows groups.

Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Windows Privileges and Rights

The account assigned to start a service needs the Start, stop and pause permission for the service. The SQL Server Setup program automatically assigns this. First install Remote Server Administration Tools (RSAT). See Remote Server Administration Tools for Windows 7.

The following table shows permissions that SQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL Server components.

SQL Server Service

Permissions granted by SQL Server Setup

SQL Server Database Engine:

(All rights are granted to the per-service SID. Default instance: NT SERVICE\MSSQLSERVER. Named instance: NT SERVICE\MSSQL$InstanceName.)

Log on as a service (SeServiceLogonRight)

Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Bypass traverse checking (SeChangeNotifyPrivilege)

Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Permission to start SQL Writer

Permission to read the Event Log service

Permission to read the Remote Procedure Call service

SQL Server Agent:1

(All rights are granted to the per-service SID. Default instance: NT Service\SQLSERVERAGENT. Named instance: NT Service\SQLAGENT$InstanceName.)

Log on as a service (SeServiceLogonRight)

Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Bypass traverse checking (SeChangeNotifyPrivilege)

Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

SSAS:

(All rights are granted to a local Windows group. Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Named instance: SQLServerMSASUser$ComputerName$InstanceName. PowerPivot for SharePoint instance: SQLServerMSASUser$ComputerName$PowerPivot.)

Log on as a service (SeServiceLogonRight)

SSRS:

(All rights are granted to the per-service SID. Default instance: NT SERVICE\ReportServer. Named instance: NT SERVICE\$InstanceName.)

Log on as a service (SeServiceLogonRight)

SSIS:

(All rights are granted to the per-service SID. Default instance and named instance: NT SERVICE\MsDtsServer110. Integration Services does not have a separate process for a named instance.)

Log on as a service (SeServiceLogonRight)

Permission to write to application event log.

Bypass traverse checking (SeChangeNotifyPrivilege)

Impersonate a client after authentication (SeImpersonatePrivilege)

Full-text search:

(All rights are granted to the per-service SID. Default instance: NT Service\MSSQLFDLauncher. Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)

Log on as a service (SeServiceLogonRight)

Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Bypass traverse checking (SeChangeNotifyPrivilege)

SQL Server Browser:

(All rights are granted to a local Windows group. Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser does not have a separate process for a named instance.)

Log on as a service (SeServiceLogonRight)

SQL Server VSS Writer:

(All rights are granted to the per-service SID. Default or named instance: NT Service\SQLWriter. SQL Server VSS Writer does not have a separate process for a named instance.)

The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. SQL Server setup does not check or grant permissions for this service.

SQL Server Distributed Replay Controller:

Log on as a service (SeServiceLogonRight)

SQL Server Distributed Replay Client:

Log on as a service (SeServiceLogonRight)

1The SQL Server Agent service is disabled on instances of SQL Server Express.

Top

File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

SQL Server service accounts must have access to resources. Access control lists are set for the per-service SID or the local Windows group.

Important
For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

The following table shows the ACLs that are set by SQL Server Setup:

Service account for	Files and folders	Access
MSSQLServer	Instid\MSSQL\backup	Full control
	Instid\MSSQL\binn	Read, Execute
	Instid\MSSQL\data	Full control
	Instid\MSSQL\FTData	Full control
	Instid\MSSQL\Install	Read, Execute
	Instid\MSSQL\Log	Full control
	Instid\MSSQL\Repldata	Full control
	110\shared	Read, Execute
	Instid\MSSQL\Template Data (SQL Server Express only)	Read
SQLServerAgent1	Instid\MSSQL\binn	Full control
	Instid\MSSQL\binn	Full control
	Instid\MSSQL\Log	Read, Write, Delete, Execute
	110\com	Read, Execute
	110\shared	Read, Execute
	110\shared\Errordumps	Read, Write
	ServerName\EventLog	Full control
FTS	Instid\MSSQL\FTData	Full control
	Instid\MSSQL\FTRef	Read, Execute
	110\shared	Read, Execute
	110\shared\Errordumps	Read, Write
	Instid\MSSQL\Install	Read, Execute
	Instid\MSSQL\jobs	Read, Write
MSSQLServerOLAPservice	110\shared\ASConfig	Full control
	Instid\OLAP	Read, Execute
	Instid\Olap\Data	Full control
	Instid\Olap\Log	Read, Write
	Instid\OLAP\Backup	Read, Write
	Instid\OLAP\Temp	Read, Write
	110\shared\Errordumps	Read, Write
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Read, Write, Delete
	Instid\Reporting Services\ReportServer	Read, Execute
	Instid\Reportingservices\Reportserver\global.asax	Full control
	Instid\Reportingservices\Reportserver\Reportserver.config	Read
	Instid\Reporting Services\reportManager	Read, Execute
	Instid\Reporting Services\RSTempfiles	Read, Write, Execute, Delete
	110\shared	Read, Execute
	110\shared\Errordumps	Read, Write
MSDTSServer100	110\dts\binn\MsDtsSrvr.ini.xml	Read
	110\dts\binn	Read, Execute
	110\shared	Read, Execute
	110\shared\Errordumps	Read, Write
SQL Server Browser	110\shared\ASConfig	Read
	110\shared	Read, Execute
	110\shared\Errordumps	Read, Write
SQLWriter	N/A (Runs as local system)
User	Instid\MSSQL\binn	Read, Execute
	Instid\Reporting Services\ReportServer	Read, Execute, List Folder Contents
	Instid\Reportingservices\Reportserver\global.asax	Read
	Instid\Reporting Services\ReportManager	Read, Execute
	Instid\Reporting Services\ReportManager\pages	Read
	Instid\Reporting Services\ReportManager\Styles	Read
	110\dts	Read, Execute
	110\tools	Read, Execute
	100\tools	Read, Execute
	90\tools	Read, Execute
	80\tools	Read, Execute
	110\sdk	Read
	Microsoft SQL Server\110\Setup Bootstrap	Read, Execute
SQL Server Distributed Replay Controller	<ToolsDir>\DReplayController\Log\ (empty directory)	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\DReplayController.exe	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\resources\	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\{all dlls}	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\DReplayController.config	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\IRTemplate.tdf	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayController\IRDefinition.xml	Read, Execute, List Folder Contents
SQL Server Distributed Replay Client	<ToolsDir>\DReplayClient\Log\	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\DReplayClient.exe	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\resources\	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\ (all dlls)	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\DReplayClient.config	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\IRTemplate.tdf	Read, Execute, List Folder Contents
	<ToolsDir>\DReplayClient\IRDefinition.xml	Read, Execute, List Folder Contents

1The SQL Server Agent service is disabled on instances of SQL Server Express and SQL Server Express with Advanced Services.

Top

File System Permissions Granted to Other Windows User Accounts or Groups

Some access control permissions might have to be granted to built-in accounts or other SQL Server service accounts. The following table lists additional ACLs that are set by SQL Server Setup.

Requesting component	Account	Resource	Permissions
MSSQLServer	Performance Log Users	Instid\MSSQL\binn	List folder contents
	Performance Monitor Users	Instid\MSSQL\binn	List folder contents
	Performance Log Users, Performance Monitor Users	\WINNT\system32\sqlctr110.dll	Read, Execute
	Administrator only	\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Full control
	Administrators, System	\tools\binn\schemas\sqlserver\2004\07\showplan	Full control
	Users	\tools\binn\schemas\sqlserver\2004\07\showplan	Read, Execute
Reporting Services	<Report Server Web Service Account>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Report Manager Application pool identity, ASP.NET account, Everyone	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\., <install>\Reporting Services\ReportManager\Styles\., <install>\Reporting Services\ReportManager\webctrl_client\1_0\.	Read
	Report Manager Application pool identity	<install>\Reporting Services\ReportManager\Pages\.	Read
	<Report Server Web Service Account>	<install>\Reporting Services\ReportServer	Read
	<Report Server Web Service Account>	<install>\Reporting Services\ReportServer\global.asax	Full
	Everyone	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Network service	<install>\Reporting Services\ReportServer\ReportService.asmx	Full
	Everyone	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	ReportServer Windows Services Account	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Everyone	Report Server keys (Instid hive)	Query Value Enumerate SubKeys Notify Read Control
	Terminal Services User	Report Server keys (Instid hive)	Query Value Set Value Create SubKey Enumerate SubKey Notify Delete Read Control
	Power Users	Report Server keys (Instid hive)	Query Value Set Value Create Subkey Enumerate Subkeys Notify Delete Read Control

1This is the WMI provider namespace.

Top

File System Permissions Related to Unusual Disk Locations

The default drive for locations for installation is systemdrive, normally drive C. When tempdb or user databases are installed

Non-default Drive

When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. SQL Server Setup will provision the required access.

Network Share

When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. SQL Server Setup cannot provision access to a network share. The user must provision access to a tempdb location for the service account before running setup. The user must provision access to the user database location before creating the database.

Note
Virtual accounts cannot be authenticated to a remote location. All virtual accounts use the permission of machine account. Provision the machine account in the format <domain_name>\<computer_name>$.

Reviewing Additional Considerations

The following table shows the permissions that are required for SQL Server services to provide additional functionality.

Service/Application	Functionality	Required permission
SQL Server (MSSQLSERVER)	Write to a mail slot using xp_sendmail.	Network write permissions.
SQL Server (MSSQLSERVER)	Run xp_cmdshell for a user other than a SQL Server administrator.	Act as part of operating system and replace a process-level token.
SQL Server Agent (MSSQLSERVER)	Use the autorestart feature.	Must be a member of the Administrators local group.
Database Engine Tuning Advisor	Tunes databases for optimal query performance.	On first use, a user who has system administrative credentials must initialize the application. After initialization, dbo users can use the Database Engine Tuning Advisor to tune only those tables that they own. For more information, see "Initializing Database Engine Tuning Advisor on First Use" in SQL Server Books Online.

Important
Before you upgrade SQL Server, enable Windows Authentication for SQL Server Agent and verify the required default configuration: that the SQL Server Agent service account is a member of the SQL Server sysadmin group.

Top

Registry Permissions

The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. For example

HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

The registry also maintains a mapping of instance ID to instance name. Instance ID to instance name mapping is maintained as follows:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Windows Management Instrumentation (WMI) must be able to connect to the Database Engine. To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Database Engine.

The SQL WMI provider requires the following permissions:

Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.
CREATE DDL EVENT NOTIFICATION permission in the server.
CREATE TRACE EVENT NOTIFICATION permission in the Database Engine.
VIEW ANY DATABASE server-level permission.
SQL Server setup creates a SQL WMI namespace and grants read permission to the SQL Server Agent service-SID.

Top

Named Pipes

In all installation, SQL Server Setup provides access to the SQL Server Database Engine through the shared memory protocol, which is a local named pipe.

Top

Provisioning

This section describes how accounts are provisioned inside the various SQL Server components.

Database Engine Provisioning
SSAS Provisioning
SSRS Provisioning

Database Engine Provisioning

The following accounts are added as logins in the SQL Server Database Engine.

Windows Principals

During setup, SQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

sa Account

The sa account is always present as a Database Engine login and is a member of the sysadmin fixed server role. When the Database Engine is installed using only Windows Authentication (that is when SQL Server Authentication is not enabled), the sa login is still present but is disabled. For information about enabling the sa account, see Change Server Authentication Mode.

SQL Server Per-service SID Login and Privileges

The per-service SID of the SQL Server service is provisioned as a Database Engine login. The per-service SID login is a member of the sysadmin fixed server role.

SQL Server Agent Login and Privileges

The per-service SID of the SQL Server Agent service is provisioned as a Database Engine login. The per-service SID login is a member of the sysadmin fixed server role.

AlwaysOn Availability Groups and SQL Failover Cluster Instance and Privileges

When installing the Database Engine as a AlwaysOn Availability Groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Database Engine. The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for AlwaysOn Availability Groups) and the VIEW SERVER STATE permission (for SQL FCI).

SQL Writer and Privileges

The per-service SID of the SQL Server VSS Writer service is provisioned as a Database Engine login. The per-service SID login is a member of the sysadmin fixed server role.

SQL WMI and Privileges

SQL Server Setup provisions the NT SERVICE\Winmgmt account as a Database Engine login and adds it to the sysadmin fixed server role.

SSRS Provisioning

The account specified during setup is provisioned as a member of the RSExecRole database role. For more information, see Configure the Report Server Service Account.

Top

SSAS Provisioning

SSAS service account requirements vary depending on how you deploy the server. If you are installing PowerPivot for SharePoint, SQL Server Setup requires that you configure the Analysis Services service to run under a domain account. Domain accounts are required to support the managed account facility that is built into SharePoint. For this reason, SQL Server Setup does not provide a default service account, such as a virtual account, for a PowerPivot for SharePoint installation. For more information about provisioning PowerPivot for SharePoint, see Configure PowerPivot Service Accounts.

For all other standalone SSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. For more information about account provisioning, see Configure Service Accounts (Analysis Services).

For clustered installations, you must specify a domain account or a built-in system account. Neither managed accounts nor virtual accounts are supported for SSAS failover clusters.

All SSAS installations require that you specify a system administrator of the Analysis Services instance. Administrator privileges are provisioned in the Analysis Services Server role.

SSRS Provisioning

The account specified during setup is provisioned in the Database Engine as a member of the RSExecRole database role. For more information, see Configure the Report Server Service Account.

Top

Upgrading From Previous Versions

This section describes the changes made during upgrade from a previous version of SQL Server.

SQL Server 2012 requires Windows Vista, Windows 7, Windows Server 2008, or Windows Server 2008 R2. Any previous version of SQL Server running on Windows XP or Windows Server 2003 must have the operating system upgraded before upgrading SQL Server.
During upgrade of SQL Server 2005 to SQL Server 2012, SQL Server Setup will configure SQL Server in the following way.
- The Database Engine runs with the security context of the per-service SID. The per-service SID is granted access to the file folders of the SQL Server instance (such as DATA), and the SQL Server registry keys.
- The per-service SID of the Database Engine is provisioned in the Database Engine as a member of the sysadmin fixed server role.
- The per-service SID’s are added to the local SQL Server Windows groups, unless SQL Server is a Failover Cluster Instance.
- The SQL Server resources remain provisioned to the local SQL Server Windows groups.
- The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. The file locations for new databases will have ACE’s for the per-service SID.
During upgrade from SQL Server 2008, SQL Server Setup will be preserve the ACE’s for the SQL Server 2008 per-service SID.
For a SQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

Top

Appendix

This section contains additional information about SQL Server services.

Description of Service Accounts
Identifying Instance-Aware and Instance-Unaware Services
Localized Service Names

Description of Service Accounts

The service account is the account used to start a Windows service, such as the SQL Server Database Engine.

Accounts Available With Any Operating System

In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

Domain User Account

If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL Server, you might use a minimally-privileged domain account. Many server-to-server activities can be performed only with a domain user account. This account should be pre-created by domain administration in your environment.

Note

If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. In addition, these maintenance tasks can disrupt service.

Local User Accounts

If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Local Service Account

The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. This limited access helps safeguard the system if individual services or processes are compromised. Services that run as the Local Service account access network resources as a null session without credentials. Be aware that the Local Service account is not supported for the SQL Server or SQL Server Agent services. The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Network Service Account

The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Local System Account

Local System is a very high-privileged built-in account. It has extensive privileges on the local system and acts as the computer on the network. The actual name of the account is NT AUTHORITY\SYSTEM.

Identifying Instance-Aware and Instance-Unaware Services

Instance-aware services are associated with a specific instance of SQL Server, and have their own registry hives. You can install multiple copies of instance-aware services by running SQL Server Setup for each component or service. Instance-unaware services are shared among all installed SQL Server instances. They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Instance-aware services in SQL Server include the following:

SQL Server
SQL Server Agent
Be aware that the SQL Server Agent service is disabled on instances of SQL Server Express and SQL Server Express with Advanced Services.
Analysis Services 1
Reporting Services
Full-text search

Instance-unaware services in SQL Server include the following:

Integration Services
SQL Server Browser
SQL Writer

1Analysis Services in SharePoint integrated mode runs as 'PowerPivot' as a single, named instance. The instance name is fixed. You cannot specify a different name. You can install only one instance of Analysis Services running as 'PowerPivot' on each physical server.

Top

Localized Service Names

The following table shows service names that are displayed by localized versions of Windows.

Language	Name for Local Service	Name for Network Service	Name for Local System	Name for Admin Group
English Simplified Chinese Traditional Chinese Korean Japanese	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
German	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
French	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrators
Italian	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Spanish	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russian	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Top

Cuentas de servicio predeterminadas

En la tabla siguiente se enumeran las cuentas de servicio predeterminadas que utiliza el programa de instalación para instalar todos los componentes. Las cuentas predeterminadas enumeradas son las recomendadas, si no se especifica lo contrario.

Servidor independiente o controlador de dominio

Componente	Windows Vista y Windows Server 2008	Windows 7 y Windows Server 2008 R2
Motor de base de datos	SERVICIO DE RED	Cuenta virtual*
Agente SQL Server	SERVICIO DE RED	Cuenta virtual*
SSAS	SERVICIO DE RED	Cuenta virtual*
SSIS	SERVICIO DE RED	Cuenta virtual*
SSRS	SERVICIO DE RED	Cuenta virtual*
SQL Server Distributed Replay Controller	SERVICIO DE RED	Cuenta virtual*
SQL Server Distributed Replay Client	SERVICIO DE RED	Cuenta virtual*
Selector de FD (búsqueda de texto completo)	SERVICIO LOCAL	Cuenta virtual
SQL Server Browser	SERVICIO LOCAL	SERVICIO LOCAL
SQL Server VSS Writer	SISTEMA LOCAL	SISTEMA LOCAL

* Cuando se necesitan recursos externos al equipo de SQL Server, Microsoft recomienda el uso de una cuenta de servicio administrada, configurada con los privilegios mínimos necesarios.

Instancia de clústeres de conmutación por error de SQL Server

Componente	Windows Server 2008	Windows Server 2008 R2
Motor de base de datos	Ninguna. Proporcione una cuenta de usuario de dominio.	Proporcione una cuenta de usuario de dominio.
Agente SQL Server	Ninguna. Proporcione una cuenta de usuario de dominio.	Proporcione una cuenta de usuario de dominio.
SSAS	Ninguna. Proporcione una cuenta de usuario de dominio.	Proporcione una cuenta de usuario de dominio.
SSIS	SERVICIO DE RED	Cuenta virtual
SSRS	SERVICIO DE RED	Cuenta virtual
Selector de FD (búsqueda de texto completo)	SERVICIO LOCAL	Cuenta virtual
SQL Server Browser	SERVICIO LOCAL	SERVICIO LOCAL
SQL Server VSS Writer	SISTEMA LOCAL	SISTEMA LOCAL

Principio

Cambiar las propiedades de las cuentas

Importante

Utilice siempre herramientas de SQL Server como el Administrador de configuración de SQL Server para cambiar la cuenta utilizada por Motor de base de datos de SQL Server o los servicios del Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional como actualizar la seguridad local de Windows almacenada que protege la clave maestra de servicio para el Motor de base de datos. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no toda la configuración requerida.
Para las instancias de Analysis Services que se implementen en una granja de SharePoint, utilice siempre Administración central de SharePoint para cambiar las cuentas de servidor para las aplicaciones de Servicio PowerPivot y de Servicio Analysis Services. Se actualizan la configuración y los permisos asociados para usar la nueva información de cuenta cuando utilice Administración central.
Para cambiar las opciones de Reporting Services, utilice la herramienta configuración de Reporting Services.

Principio

Nuevos tipos de cuenta disponibles con Windows 7 y Windows Server 2008 R2

Windows 7 y Windows Server 2008 R2 tienen dos nuevos tipos de cuentas de servicio denominadas cuentas de servicio administradas (MSA) y cuentas virtuales. Ambas cuentas se han diseñado para permitir a las aplicaciones cruciales como SQL Server el aislamiento de sus propias cuentas, al tiempo que hace innecesario que un administrador administre manualmente el nombre principal de servicio (SPN) y las credenciales para estas cuentas. Estas cuentas facilitan en gran medida la administración a largo plazo de los usuarios de cuentas de servicio, las contraseñas y los SPN.

Cuentas de servicio administradas
Una cuenta de servicio administrada (MSA) es un tipo de cuenta de dominio creada y administrada por el controlador de dominio. Se asigna a un solo equipo de miembro para usarla al ejecutar un servicio. El controlador de dominio administra la contraseña automáticamente. No puede utilizar MSA para iniciar sesión en un equipo, pero un equipo puede utilizar MSA para iniciar un servicio de Windows. Una MSA puede registrar el nombre principal de servicio (SPN) con Active Directory. Una MSA se denomina con el sufijo $, por ejemplo DOMINIO\NOMBREDECUENTA$. Al especificar MSA, deje en blanco la contraseña.
Nota
El administrador de dominio debe crear la MSA en Active Directory antes de la instalación de SQL Server puede usarlo para los servicios de SQL Server.

Cuentas virtuales

Las cuentas virtuales en Windows Server 2008 R2 y Windows 7 son cuentas locales administradas que proporcionan las siguientes características para simplificar la administración del servicio. La cuenta virtual se administra automáticamente y la cuenta virtual puede tener acceso a la red en un entorno de dominio. Si se utiliza el valor predeterminado para las cuentas de servicio durante la instalación de SQL Server en Windows Server 2008 R2 o Windows 7, se usa una cuenta virtual con el nombre de instancia como nombre del servicio, con el formato NET SERVICE\<SERVICENAME>. Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red utilizando las credenciales de la cuenta del equipo en formato <domain_name>\<computer_name>$. Al especificar una cuenta virtual para iniciar SQL Server, deje en blanco la contraseña.

Nota
Las cuentas virtuales no se pueden utilizar para la instancia de clústeres de conmutación por error de SQL Server, porque la cuenta virtual no tendrá el mismo SID en cada nodo del clúster.

En la tabla siguiente se muestran ejemplos de nombres de cuenta virtuales.

Servicio	Nombre de cuenta virtual
Instancia predeterminada del servicio del Motor de base de datos.	NT SERVICE\MSSQLSERVER
Instancia con nombre de un servicio de Motor de base de datos denominado PAYROLL	NT SERVICE\MSSQL$PAYROLL
SQL Server Servicio Agente en la instancia predeterminada de SQL Server	NT SERVICE\SQLSERVERAGENT
El servicio Agente SQL Server en una instancia de SQL Server denominada PAYROLL	NT SERVICE\SQLAGENT$PAYROLL

Para obtener más información sobre las cuentas de servicio administradas y las cuentas virtuales, vea Conceptos sobre las cuentas de servicio administradas y las cuentas virtuales de la Guía paso a paso de las cuentas de servicio y las Preguntas más frecuentes sobre las cuentas de servicio administradas.

Nota de seguridad Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles. Use una MSA o una cuenta virtual siempre que sea posible. Cuando no se puedan usar MSA ni cuentas virtuales, utilice una cuenta de usuario específica con privilegios bajos o la cuenta de dominio en lugar de una cuenta compartida para los servicios de SQL Server. Utilice cuentas independientes para los diferentes servicios de SQL Server. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios de SQL Server. Los permisos se concederán a través de la pertenencia a un grupo o se concederán directamente a un SID por servicio, siempre que se admita su uso.

Inicio automático

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:

Deshabilitado El servicio se ha instalado, pero no se ejecuta actualmente.
Manual: el servicio se ha instalado, pero solo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.
Automático: el sistema operativo inicia automáticamente el servicio.

El estado de inicio se selecciona durante la instalación. Al instalar una instancia con nombre, el servicio SQL Server Browser debe establecerse para iniciarse automáticamente.

Servicios de configuración durante la instalación desatendida

En la tabla siguiente se muestran los servicios de SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.

Nombre de servicio SQL Server	Modificadores para las instalaciones desatendidas1
MSSQLSERVER	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Distributed Replay Controller	DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL Server Distributed Replay Client	DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Para obtener más información y la sintaxis de ejemplo de las instalaciones desatendidas, vea Instalar SQL Server 2012 desde el símbolo del sistema.

2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Puerto de firewall

En la mayoría de los casos, cuando se instala inicialmente, el Motor de base de datos puede conectarse con herramientas como SQL Server Management Studio instaladas en el mismo equipo que SQL Server. El programa de instalación de SQL Server no abre los puertos en el firewall de Windows. Las conexiones desde otros equipos pueden no ser posibles hasta que el Motor de base de datos se configura para escuchar en un puerto TCP y el puerto adecuado se abre para las conexiones en el firewall de Windows. Para obtener más información, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Parte superior

Permisos de servicio

En esta sección se describen los permisos que el programa de instalación de SQL Server configura para el SID por servicio de los servicios de SQL Server.

Configuración del servicio y control de acceso
Derechos y privilegios de Windows
Permisos del sistema de archivos concedidos a SQL Server por SID por servicio o grupos locales de Windows
Permisos del sistema de archivos concedidos a otras cuentas de usuario o grupos de Windows
Permisos del sistema de archivos relacionados con las ubicaciones inusuales de los discos
Revisar las consideraciones adicionales
Permisos del Registro
WMI
Canalizaciones con nombre

Configuración del servicio y control de acceso

SQL Server 2012 habilita un SID por servicio por cada uno de sus servicios para permitir el aislamiento del servicio y proporcionar una defensa optimizada. El SID por servicio se deriva del nombre del servicio y es único para ese servicio. Por ejemplo, el nombre de un SID de un servicio Motor de base de datos podría ser NT Service\MSSQL$<InstanceName>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto. Mediante el uso de una entrada de control de acceso que contenga un SID por servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.

Nota
En Windows 7 y Windows Server 2008 R2 el SID puede ser la cuenta virtual que utiliza el servicio.

Para la mayoría de los componentes SQL Server configura la ACL para la cuenta del servicio directamente, con lo que el cambio de la cuenta de servicio puede realizarse sin tener que repetir el proceso de la ACL de recursos.

Al instalar SSAS, se crea un SID por servicio para el servicio de Analysis Services. Se crea un grupo de Windows local, con un nombre que tiene el formato SQLServerMSASUser$computer_name$instance_name. Al SID por servicio NT SERVICE\MSSQLServerOLAPService se le concede la pertenencia al grupo local de Windows y al grupo local de Windows se le conceden los permisos adecuados en la ACL. Si la cuenta utilizada para iniciar el servicio de Analysis Services se cambia, el Administrador de configuración de SQL Server debe cambiar algunos permisos de Windows (como el derecho de iniciar sesión como servicio), pero los permisos asignados al grupo local de Windows no estarán disponibles sin actualizar, porque el SID por servicio no ha cambiado. Este método permite cambiar el nombre del servicio de Analysis Services durante las actualizaciones.

Durante la instalación de SQL Server, el programa de instalación de SQL Server crea grupos de Windows locales para SSAS y el servicio SQL Server Browser. Para estos servicios, SQL Server configura la ACL para los grupos de Windows locales.

En función de la configuración del servicio, la cuenta de servicio o el SID por servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.

Derechos y privilegios de Windows

La cuenta asignada para iniciar un servicio necesita el permiso de inicio, detener y pausar para el servicio. El programa de instalación de SQL Server asigna esto automáticamente. Primera instalación de las Herramientas de administración remota del servidor (RSAT). Vea las Herramientas de administración remota del servidor para Windows 7.

En la tabla siguiente se muestran los permisos que el programa de instalación de SQL Server solicita para las SID por servicio o los grupos locales de Windows que usan los componentes de SQL Server.

Servicio SQL Server

Permisos concedidos por el programa de instalación de SQL Server

Motor de base de datos de SQL Server:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT SERVICE\MSSQLSERVER. Instancia con nombre: NT SERVICE\MSSQL$NombreDeInstancia).

Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Permiso para iniciar el objeto de escritura de SQL

Permiso para leer el servicio Registro de eventos

Permiso para leer el servicio Llamada a procedimiento remoto

Agente SQL Server:1

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT Service\SQLSERVERAGENT. Instancia con nombre: NT Service\SQLAGENT$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

SSAS:

(Todos los derechos se conceden a un grupo local de Windows. Instancia predeterminada: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instancia con nombre: SQLServerMSASUser$ComputerName$InstanceName. Instancia de PowerPivot para SharePoint: SQLServerMSASUser$ComputerName$PowerPivot).

Iniciar sesión como servicio (SeServiceLogonRight)

SSRS:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT SERVICE\ReportServer. Instancia con nombre: NT SERVICE\$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

SSIS:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada e instancia con nombre: NT SERVICE\MsDtsServer110. Integration Services no tiene un proceso independiente para una instancia con nombre).

Iniciar sesión como servicio (SeServiceLogonRight)

Permiso para escribir en el registro de eventos de la aplicación

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Suplantar un cliente después de la autenticación (SeImpersonatePrivilege)

Búsqueda de texto completo:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT Service\MSSQLFDLauncher. Instancia con nombre: NT Service\ MSSQLFDLauncher$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

SQL Server Browser:

(Todos los derechos se conceden a un grupo local de Windows. Instancia predeterminada o con nombre: SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser no tiene un proceso independiente para una instancia con nombre).

Iniciar sesión como servicio (SeServiceLogonRight)

SQL Server VSS Writer:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada o con nombre: NT Service\SQLWriter. SQL Server El Objeto de escritura de VSS no tiene un proceso independiente para una instancia con nombre).

El servicio SQLWriter se ejecuta en la cuenta de sistema local que tiene todos los permisos necesarios. El programa de instalación de SQL Server no comprueba ni concede permisos para este servicio.

SQL Server Distributed Replay Controller:

Iniciar sesión como servicio (SeServiceLogonRight)

SQL Server Distributed Replay Client:

Iniciar sesión como servicio (SeServiceLogonRight)

1El servicio Agente SQL Server se deshabilita en las instancias de SQL Server Express.

Principio

Permisos del sistema de archivos concedidos a SID por servicio de SQL Server o grupos locales de Windows

Las cuentas de servicio de SQL Server deben tener acceso a los recursos. Las listas de control de acceso se establecen para el SID por servicio o el grupo local de Windows.

Importante
En las instalaciones de clústeres de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local.

En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL Server:

Cuenta de servicio para	Archivos y carpetas	Acceso
MSSQLServer	Instid\MSSQL\backup	Control total
	Instid\MSSQL\binn	Lectura, Ejecución
	Instid\MSSQL\data	Control total
	Instid\MSSQL\FTData	Control total
	Instid\MSSQL\Install	Lectura, Ejecución
	Instid\MSSQL\Log	Control total
	Instid\MSSQL\Repldata	Control total
	110\shared	Lectura, Ejecución
	Instid\MSSQL\Template Data (solo SQL Server Express)	Lectura
SQLServerAgent1	Instid\MSSQL\binn	Control total
	Instid\MSSQL\binn	Control total
	Instid\MSSQL\Log	Lectura, Escritura, Eliminación, Ejecución
	110\com	Lectura, Ejecución
	110\shared	Lectura, Ejecución
	110\shared\Errordumps	Lectura, Escritura
	ServerName\EventLog	Control total
FTS	Instid\MSSQL\FTData	Control total
	Instid\MSSQL\FTRef	Lectura, Ejecución
	110\shared	Lectura, Ejecución
	110\shared\Errordumps	Lectura, Escritura
	Instid\MSSQL\Install	Lectura, Ejecución
	Instid\MSSQL\jobs	Lectura, Escritura
MSSQLServerOLAPservice	110\shared\ASConfig	Control total
	Instid\OLAP	Lectura, Ejecución
	Instid\Olap\Data	Control total
	Instid\Olap\Log	Lectura, Escritura
	Instid\OLAP\Backup	Lectura, Escritura
	Instid\OLAP\Temp	Lectura, Escritura
	110\shared\Errordumps	Lectura, Escritura
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Lectura, Escritura, Eliminación
	Instid\Reporting Services\ReportServer	Lectura, Ejecución
	Instid\Reportingservices\Reportserver\global.asax	Control total
	Instid\Reportingservices\Reportserver\Reportserver.config	Lectura
	Instid\Reporting Services\reportManager	Lectura, Ejecución
	Instid\Reporting Services\RSTempfiles	Lectura, Escritura, Ejecución, Eliminación
	110\shared	Lectura, Ejecución
	110\shared\Errordumps	Lectura, Escritura
MSDTSServer100	110\dts\binn\MsDtsSrvr.ini.xml	Lectura
	110\dts\binn	Lectura, Ejecución
	110\shared	Lectura, Ejecución
	110\shared\Errordumps	Lectura, Escritura
SQL Server Browser	110\shared\ASConfig	Lectura
	110\shared	Lectura, Ejecución
	110\shared\Errordumps	Lectura, Escritura
SQLWriter	N/D (Se ejecuta como sistema local)
Usuario	Instid\MSSQL\binn	Lectura, Ejecución
	Instid\Reporting Services\ReportServer	Lectura, Ejecución, Mostrar el contenido de la carpeta
	Instid\Reportingservices\Reportserver\global.asax	Lectura
	Instid\Reporting Services\ReportManager	Lectura, Ejecución
	Instid\Reporting Services\ReportManager\pages	Lectura
	Instid\Reporting Services\ReportManager\Styles	Lectura
	110\dts	Lectura, Ejecución
	110\tools	Lectura, Ejecución
	100\tools	Lectura, Ejecución
	90\tools	Lectura, Ejecución
	80\tools	Lectura, Ejecución
	110\sdk	Lectura
	Microsoft SQL Server\110\Setup Bootstrap	Lectura, Ejecución
SQL Server Distributed Replay Controller	<ToolsDir>\DReplayController\Log\ (directorio vacío)	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\DReplayController.exe	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\resources\	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\{all dlls}	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\DReplayController.config	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\IRTemplate.tdf	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayController\IRDefinition.xml	Lectura, Ejecución, Mostrar el contenido de la carpeta
SQL Server Distributed Replay Client	<ToolsDir>\DReplayClient\Log\	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\DReplayClient.exe	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\resources\	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\ (todas las DLL)	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\DReplayClient.config	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\IRTemplate.tdf	Lectura, Ejecución, Mostrar el contenido de la carpeta
	<ToolsDir>\DReplayClient\IRDefinition.xml	Lectura, Ejecución, Mostrar el contenido de la carpeta

1El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Principio

Permisos del sistema de archivos concedidos a otras cuentas de usuario o grupos de Windows

Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas o a otras cuentas de servicio de SQL Server. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL Server:

Componente que realiza la solicitud	Cuenta	Recurso	Permisos
MSSQLServer	Usuarios del registro de rendimiento	Instid\MSSQL\binn	Mostrar el contenido de la carpeta
	Usuarios del monitor de sistema	Instid\MSSQL\binn	Mostrar el contenido de la carpeta
	Usuarios del registro de rendimiento, Usuarios del monitor de rendimiento	\WINNT\system32\sqlctr110.dll	Lectura, Ejecución
	Solo el administrador	\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Control total
	Administradores, sistema	\tools\binn\schemas\sqlserver\2004\07\showplan	Control total
	Usuarios	\tools\binn\schemas\sqlserver\2004\07\showplan	Lectura, Ejecución
Reporting Services	<Cuenta de servicio web del servidor de informes>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identidad del grupo de aplicaciones del Administrador de informes, cuenta ASP.NET, Todos	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\., <install>\Reporting Services\ReportManager\Styles\., <install>\Reporting Services\ReportManager\webctrl_client\1_0\.	Lectura
	Identidad del grupo de aplicaciones del Administrador de informes	<install>\Reporting Services\ReportManager\Pages\.	Lectura
	<Cuenta de servicio web del servidor de informes>	<install>\Reporting Services\ReportServer	Lectura
	<Cuenta de servicio web del servidor de informes>	<install>\Reporting Services\ReportServer\global.asax	Total
	Todos	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Servicio de red	<install>\Reporting Services\ReportServer\ReportService.asmx	Total
	Todos	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Cuenta de servicios de Windows ReportServer	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Todos	Claves del Servidor de informes (subárbol Instid)	Consultar valor Enumerar subclaves Notificar Controles de lectura
	Usuario de Terminal Services	Claves del Servidor de informes (subárbol Instid)	Consultar valor Establecer valor Crear subclave Enumerar subclave Notificar Eliminar Controles de lectura
	Usuarios avanzados	Claves del Servidor de informes (subárbol Instid)	Consultar valor Establecer valor Crear subclave Enumerar subclaves Notificar Eliminar Controles de lectura

1Este es el espacio de nombres del proveedor WMI.

Principio

Permisos del sistema de archivos relacionados con las ubicaciones inusuales de los discos

La unidad predeterminada para las ubicaciones de estas instalaciones es systemdrive, normalmente la unidad C. Cuando las bases de datos tempdb o de usuario se instalan

Unidad de disco no predeterminada

Cuando se instala una unidad local que no es la predeterminada, el SID por servicio debe tener acceso a la ubicación del archivo. El programa de instalación de SQL Server proporcionará el acceso necesario.

Recurso compartido de red

Cuando las bases de datos se instalan en un recurso compartido de red, la cuenta de servicio debe tener acceso a la ubicación del archivo de las bases de datos de usuario y tempdb. El programa de instalación de SQL Server no puede proporcionar acceso a un recurso compartido de red. El usuario debe proporcionar acceso a una ubicación de tempdb para la cuenta de servicio antes de ejecutar el programa de instalación. El usuario debe proporcionar acceso a la ubicación de la base de datos de usuario antes de crear la base de datos.

Nota
Las cuentas virtuales no se pueden autenticar en una ubicación remota. Todas las cuentas virtuales utilizan el permiso de la cuenta del equipo. Proporcione la cuenta del equipo en formato <domain_name>\<computer_name>$.

Revisar las consideraciones adicionales

En la tabla siguiente se muestran los permisos que necesitan los servicios de SQL Server para proporcionar una funcionalidad adicional.

Servicio/Aplicación	Funcionalidad	Permiso necesario
SQL Server (MSSQLSERVER)	Escribir en un buzón de correo mediante xp_sendmail.	Permisos de escritura de la red.
SQL Server (MSSQLSERVER)	Ejecute xp_cmdshell para un usuario que no sea administrador de SQL Server.	Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso.
Agente SQL Server (MSSQLSERVER)	Usar la característica de reinicio automático.	Miembro del grupo local Administrators.
Asistente para la optimización de Motor de base de datos	Optimiza las bases de datos para un rendimiento óptimo de las consultas.	Al utilizarla por primera vez, un usuario que tenga credenciales administrativas debe inicializar la aplicación. Después de la inicialización, los usuarios de dbo pueden usar el Asistente para la optimización de Motor de base de datos para optimizar solo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema que trata sobre cómo inicializar el Asistente para la optimización del Motor de base de datos en los Libros en pantalla de SQL Server.

Importante
Antes de actualizar SQL Server, habilite la autenticación de Windows para el Agente SQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL Server sea miembro del grupo sysadmin de SQL Server.

Principio

Permisos del Registro

El subárbol del Registro se crea debajo de HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> para los componentes dependientes de la instancia. Por ejemplo

HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

El Registro también mantiene una asignación de identificador de instancia a nombre de instancia. La asignación de identificador de instancia a nombre de instancia se mantiene de la siguiente forma:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

Instrumental de administración de Windows (WMI)

El Instrumental de administración de Windows (WMI) debe poder conectarse al Motor de base de datos. Para admitir esto, el SID por servicio del proveedor WMI de Windows (NT SERVICE\winmgmt) se aprovisiona en el Motor de base de datos.

El proveedor WMI de SQL requiere los siguientes permisos:

La pertenencia a los roles fijos de base de datos db_ddladmin o db_owner en la base de datos msdb.
El permiso CREATE DDL EVENT NOTIFICATION en el servidor.
El permiso CREATE TRACE EVENT NOTIFICATION en el Motor de base de datos.
El permiso de nivel de servidor VIEW ANY DATABASE.
El programa de instalación de SQL Server crea un espacio de nombres WMI SQL y concede el permiso de lectura al SID por servicio del Agente SQL Server.

Principio

Canalizaciones con nombre

En toda la instalación, el programa de instalación de SQL Server proporciona acceso al Motor de base de datos de SQL Server a través del protocolo de memoria compartida, que es una canalización con nombre local.

Principio

Aprovisionamiento

En esta sección se describe el modo en que se aprovisionan las cuentas dentro de los distintos componentes de SQL Server.

Aprovisionamiento del motor de base de datos
Aprovisionamiento de SSAS
Aprovisionamiento de SSRS

Aprovisionamiento del motor de base de datos

Las cuentas siguientes se agregan como inicios de sesión en el Motor de base de datos de SQL Server.

Entidades de seguridad de Windows

Durante la instalación, el programa de instalación de SQL Server requiere al menos que una cuenta de usuario se denomine como un miembro del rol fijo de servidor sysadmin.

Cuenta sa

La cuenta sa está siempre presente como inicio de sesión de Motor de base de datos y es miembro del rol fijo de servidor sysadmin. Cuando el Motor de base de datos se instala solo con la autenticación de Windows (es decir, cuando la autenticación de SQL Server no está habilitada), el inicio de sesión de sa aún está presente pero está deshabilitado. Para obtener información sobre cómo habilitar la cuenta de sa, vea Cambiar el modo de autenticación del servidor.

Privilegios e inicio de sesión de SID por servicio de SQL Server

El SID por servicio del SQL Server se proporciona como inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

Privilegios e inicio de sesión del Agente SQL Server

El SID por servicio del servicio Agente SQL Server se proporciona como un inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

Instancia y privilegios de los clústeres de conmutación por error de SQL y Grupos de disponibilidad AlwaysOn

Al instalar el Motor de base de datos como una instancia de los clústeres de conmutación por error de SQL (SQL FCI) o Grupos de disponibilidad AlwaysOn, SYSTEM LOCAL se proporciona en el Motor de base de datos. Al inicio de sesión SYSTEM LOCAL se le concede el permiso ALTER ANY AVAILABILITY GROUP (para Grupos de disponibilidad AlwaysOn) y el permiso VIEW SERVER STATE (para SQL FCI).

Objeto de escritura SQL y privilegios

El SID por servicio del servicio SQL Server VSS Writer se proporciona como un inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

WMI y privilegios de SQL

El programa de instalación de SQL Server aprovisiona la cuenta NT SERVICE\Winmgmt como un inicio de sesión del Motor de base de datos y lo agrega al rol fijo de servidor sysadmin.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona como miembro del rol de base de datos RSExecRole. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes.

Principio

Aprovisionamiento de SSAS

Los requisitos de cuentas de servicio de SSAS varían en función de cómo se implementa en el servidor. Si va a instalar PowerPivot para SharePoint, el programa de instalación de SQL Server requiere que se configure el servicio de Analysis Services para ejecutarse en una cuenta de dominio. Las cuentas de dominio son necesarias para admitir la facilidad administrada de la cuenta que está integrada en SharePoint. Por esta razón, el programa de instalación de SQL Server no proporciona una cuenta de servicio predeterminada, como una cuenta virtual, para una instalación de PowerPivot para SharePoint. Para obtener más información sobre cómo aprovisionar PowerPivot para SharePoint, vea Configurar las cuentas de servicio PowerPivot.

Para todas las demás instalaciones independientes de SSAS, puede aprovisionar el servicio para ejecutarse en una cuenta de dominio, una cuenta del sistema integrada, una cuenta administrada o una cuenta virtual. Para obtener más información acerca de cómo aprovisionar las cuentas, vea Configurar las cuentas de servicio (Analysis Services).

Para instalaciones en clúster, debe especificar una cuenta de dominio o una cuenta del sistema integrada. Ni las cuentas administradas ni las cuentas virtuales se admiten en los clústeres de conmutación por error de SSAS.

Todas las instalaciones de SSAS requieren que especifique un administrador del sistema de la instancia de Analysis Services. Los privilegios de administrador se aprovisionan en el rol Servidor de Analysis Services.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona en el Motor de base de datos como miembro del rol de base de datos RSExecRole. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes.

Principio

Actualización de versiones anteriores

En esta sección se describen los cambios realizados durante la actualización de una versión anterior de SQL Server.

SQL Server 2012 requiere Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2. Cualquier versión anterior de SQL Server que se ejecuta en Windows XP o de Windows Server 2003 debe tener el sistema operativo actualizado antes de actualizar SQL Server.
Durante la actualización de SQL Server 2005 a SQL Server 2012, el programa de instalación de SQL Server configurará SQL Server del modo siguiente.
- El Motor de base de datos se ejecuta con el contexto de seguridad del SID por servicio. Al SID por servicio se el concede el acceso a las carpetas de archivos de la instancia de SQL Server (como DATA) y las claves del Registro de SQL Server.
- El SID por servicio del Motor de base de datos se aprovisiona en el Motor de base de datos como miembro del rol fijo de servidor sysadmin.
- Los SID por servicio se agregan a los grupos de Windows locales de SQL Server, a menos que SQL Server sea una instancia de clústeres de conmutación por error.
- Los recursos de SQL Server siguen aprovisionados para los grupos de SQL Server Windows locales.
- El nombre del grupo local de Windows para los servicios se cambia de SQLServer2005MSSQLUser$<computer_name>$<instance_name> a SQLServerMSSQLUser$<computer_name>$<instance_name>. Las ubicaciones de archivos de las bases de datos migradas tendrán entradas de control de acceso (ACE) para los grupos de Windows locales. Las ubicaciones de archivos para las nuevas bases de datos tendrán ACE para el SID por servicio.
Durante la actualización de SQL Server 2008, el programa de instalación de SQL Server se preservará las ACE para el SID por servicio de SQL Server 2008.
Para una instancia de los clústeres de conmutación por error de SQL Server, se conservará la ACE de la cuenta de dominio configurada para el servicio.

Principio

Apéndice

Esta sección contiene información adicional sobre los servicios de SQL Server.

Descripción de las cuentas de servicio
Identificar los servicios que reconocen y que no reconocen instancias
Nombres de servicio traducidos

Descripción de las cuentas de servicio

La cuenta de servicio es la que se usa para iniciar un servicio de Windows, como Motor de base de datos de SQL Server.

Cuentas disponibles con cualquier sistema operativo

Además de las nuevas cuentas MSA y las cuentas virtuales descritas anteriormente, pueden usarse las siguientes cuentas.

Cuenta de usuario de dominio

Si el servicio debe interactuar con servicios de red o tener acceso a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos. Muchas actividades de servidor a servidor solo se pueden realizar con una cuenta de usuario de dominio. El administrador del dominio del entorno debe haber creado esta cuenta previamente.

Nota

Si configura la aplicación para utilizar una cuenta de dominio, puede aislar los privilegios de la aplicación, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas. Muchas aplicaciones de servidor usan esta estrategia para mejorar la seguridad, pero requiere una administración adicional y conlleva una mayor complejidad. En estas implementaciones, los administradores de servicios emplean un tiempo considerable en las tareas de mantenimiento como la administración de las contraseñas de servicio y los nombres principales de servicio (SPN), que son necesarios para la autenticación Kerberos. Además, estas tareas de mantenimiento pueden interrumpir el servicio.

Cuentas de usuario locales

Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.

Cuenta de servicio local

La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de la red como una sesión nula sin credenciales. Tenga en cuenta que la cuenta de servicio local no se admite para los servicios de SQL Server ni de Agente SQL Server. El nombre real de la cuenta es NT AUTHORITY\LOCAL SERVICE.

Cuenta de servicio de red

La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo en el formato <domain_name>\<computer_name>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.

Cuenta de sistema local

Sistema local es una cuenta integrada con un alto nivel de privilegios. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red. El nombre real de la cuenta es NT AUTHORITY\SYSTEM.

Identificar los servicios que reconocen y que no reconocen instancias

Los servicios que reconocen instancias se asocian a una instancia específica de SQL Server y tienen su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.

Entre los servicios que reconocen instancias en SQL Server se incluyen los siguientes:

SQL Server
Agente SQL Server
Tenga en cuenta que el Agente SQL Server se deshabilita en instancias de SQL Server Express y SQL Server Express con Advanced Services.
Analysis Services 1
Reporting Services
Búsqueda de texto completo

Entre los servicios que no reconocen instancias en SQL Server se incluyen los siguientes:

Integration Services
SQL Server Browser
Objeto de escritura SQL

1Analysis Services en modo integrado de SharePoint se ejecuta como 'PowerPivot', como una instancia única con nombre. El nombre de instancia es fijo. No puede especificar un nombre diferente. Solamente puede instalar una instancia de Analysis Services que se ejecute como 'PowerPivot' en cada servidor físico.

Principio

Nombres de servicio traducidos

En la tabla siguiente, se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.

Lenguaje	Nombre de Servicio local	Nombre de Servicio de red	Nombre del sistema local	Nombre del grupo de administradores
Inglés Chino simplificado Chino tradicional Coreano Japonés	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Alemán	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Francés	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrators
Italiano	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Español	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Ruso	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы