Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction manuelle. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source
2 sur 4 ont trouvé cela utile - Évaluez ce sujet

Configurer les comptes de service Windows et les autorisations

Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Windows. Cette rubrique décrit la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant l'installation de SQL Server et par la suite.

En fonction des composants que vous décidez d'installer, le programme d'installation de SQL Server installe les services suivants :

  • Services de base de données SQL Server : service pour le Moteur de base de données relationnel SQL Server. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • Agent SQL Server : exécute les travaux, surveille SQL Server, déclenche les alertes et autorise l'automatisation de certaines tâches administratives. Le service Agent SQL Server est présent mais désactivé sur les instances de SQL Server Express. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel. Le fichier exécutable est <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting Services : gère, exécute, crée, planifie et remet les rapports. Le fichier exécutable est <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services. Le fichier exécutable est <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe.

  • SQL Server Browser : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients. Le chemin d'accès de l'exécutable est des Fichiers (x86) c:\Program \Microsoft SQL Server\90\Shared\sqlbrowser .exe

  • Recherche en texte intégral : crée rapidement des index de recherche en texte intégral sur le contenu et des propriétés de données structurées et semi-structurées pour fournir un filtrage de document et l'analyse lexicale pour SQL Server.

  • Enregistreur SQL : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).

  • SQL Server Distributed Replay Controller : fournit l'orchestration de la lecture de la trace à travers plusieurs ordinateurs clients Distributed Replay.

  • SQL Server Distributed Replay Client : un ou plusieurs ordinateurs clients Distributed Replay qui fonctionnent avec un contrôleur Distributed Replay pour simuler des charges de travail simultanées sur une instance du Moteur de base de données SQL Server.

Haut

Les comptes de démarrage utilisés pour démarrer et exécuter SQL Server peuvent être des comptes d'utilisateur de domaine, des comptes d'utilisateur local, des comptes de service administrés, des comptes virtuels ou des comptes système intégrés. Pour démarrer et s'exécuter, chaque service dans SQL Server doit posséder un compte de démarrage lors de l'installation.

Cette section décrit les comptes qui peuvent être configurés pour démarrer des services SQL Server, les valeurs par défaut utilisées par le programme d'installation de SQL Server, le concept de SID par service, les options de démarrage et la configuration du pare-feu.

Comptes de service par défaut

Le tableau suivant répertorie les comptes de service par défaut utilisés par le programme d'installation lors de l'installation de tous les composants. Les comptes par défaut répertoriés sont les comptes recommandés, sauf indication contraire.

Serveur autonome ou contrôleur de domaine

Composant

Windows Vista et Windows Server 2008

Windows 7 et Windows Server 2008 R2

Moteur de base de données

SERVICE RÉSEAU

Compte virtuel *

Agent SQL Server

SERVICE RÉSEAU

Compte virtuel *

SSAS

SERVICE RÉSEAU

Compte virtuel *

SSIS

SERVICE RÉSEAU

Compte virtuel *

SSRS

SERVICE RÉSEAU

Compte virtuel *

SQL Server Distributed Replay Controller

SERVICE RÉSEAU

Compte virtuel *

SQL Server Distributed Replay Client

SERVICE RÉSEAU

Compte virtuel *

Lanceur FD (recherche en texte intégral)

SERVICE LOCAL

Compte virtuel

SQL Server Browser

SERVICE LOCAL

SERVICE LOCAL

Enregistreur VSS SQL Server

SYSTÈME LOCAL

SYSTÈME LOCAL

* Lorsque des ressources externes à l'ordinateur SQL Server sont requises, Microsoft recommande d'utiliser un compte de service administré (MSA) configuré avec le minimum des privilèges nécessaires.

Instance de cluster de basculement SQL Server

Composant

Windows Server 2008

Windows Server 2008 R2

Moteur de base de données

Aucun. Fournit un compte d'utilisateur de domaine.

Fournit un compte d'utilisateur de domaine.

Agent SQL Server

Aucun. Fournit un compte d'utilisateur de domaine.

Fournit un compte d'utilisateur de domaine.

SSAS

Aucun. Fournit un compte d'utilisateur de domaine.

Fournit un compte d'utilisateur de domaine.

SSIS

SERVICE RÉSEAU

Compte virtuel

SSRS

SERVICE RÉSEAU

Compte virtuel

Lanceur FD (recherche en texte intégral)

SERVICE LOCAL

Compte virtuel

SQL Server Browser

SERVICE LOCAL

SERVICE LOCAL

Enregistreur VSS SQL Server

SYSTÈME LOCAL

SYSTÈME LOCAL

Haut

Modification des propriétés de compte

Important Important
  • Utilisez toujours des outils SQL Server, tels que le Gestionnaire de configuration SQL Server, pour modifier le compte utilisé par le Moteur de base de données SQL Server ou les services Agent SQL Server et pour changer le mot de passe du compte. En plus de modifier le nom du compte, le Gestionnaire de configuration SQL Server effectue une configuration supplémentaire pour mettre à jour le magasin de sécurité local Windows qui protège la clé principale du service pour le Moteur de base de données. D'autres outils tels que le Gestionnaire de contrôle de services Windows peuvent modifier le nom du compte mais pas tous les paramètres requis.

  • Pour les instances Analysis Services que vous déployez dans une batterie de serveurs SharePoint, utilisez toujours l'Administration centrale de SharePoint pour modifier les comptes de serveur des applications de Service PowerPivot et du Service Analysis Services. Les paramètres et autorisations associés sont mis à jour pour utiliser les nouvelles informations de compte lorsque vous utilisez l'Administration centrale.

  • Pour modifier des options Reporting Services, utilisez l'Outil de configuration de Reporting Services.

Haut

Nouveaux types de comptes disponibles avec Windows 7 et Windows Server 2008 R2

Windows 7 et Windows Server 2008 R2 ont deux nouveaux types de comptes de service appelés des comptes de service administrés (MSA) et des comptes virtuels. Les comptes de service administrés et les comptes virtuels sont conçus pour fournir des applications cruciales telles que SQL Server avec l'isolation de leurs propres comptes, tout en éliminant le besoin d'un administrateur pour administrer manuellement le Nom de principal du service (SPN) et les informations d'identification de ces comptes. Cela simplifie beaucoup la gestion à long terme des utilisateurs des comptes de service, des mots de passe et des SPN.

  • Comptes de service administrés

    Un Compte de service administré (MSA) est un type de compte de domaine créé et a géré par le contrôleur de domaine. Il est affecté à un ordinateur membre unique pour exécuter un service. Le mot de passe est géré automatiquement par le contrôleur de domaine. Vous ne pouvez pas utiliser un MSA pour vous connecter à un ordinateur, mais un ordinateur peut utiliser un MSA pour démarrer un service Windows. Un MSA a la capacité d'enregistrer le Nom de principal du service (SPN) avec l'Active Directory. Un MSA est nommé avec un suffixe $, par exemple DOMAIN\ACCOUNTNAME$. Lorsque vous spécifiez un MSA, laissez le mot de passe vide. Comme un MSA est affecté à un ordinateur unique, il ne peut pas être utilisé sur différents nœuds d'un cluster Windows.

    Remarque Remarque

    Le MSA doit être créé dans Active Directory par l'administrateur de domaine avant que le programme d'installation de SQL Server puisse l'utiliser pour les services SQL Server.

  • Comptes virtuels

    Les comptes virtuels dans Windows Server 2008 R2 et Windows 7 sont des comptes locaux gérés qui fournissent les fonctionnalités suivantes pour simplifier l'administration du service. Le compte virtuel est géré automatiquement, et le compte virtuel peut accéder au réseau dans un environnement de domaine. Si la valeur par défaut est utilisée pour les comptes de service pendant l'installation de SQL Server sur Windows Server 2008 R2 ou Windows 7, un compte virtuel qui utilise le nom de l'instance comme nom de service est utilisé, selon le format NT SERVICE\<SERVICENAME>. Les services qui s'exécutent comme comptes virtuels accèdent aux ressources réseau à l'aide des informations d'identification du compte de l'ordinateur selon le format <domain_name>\<computer_name>$. Lorsque vous spécifiez un compte virtuel pour démarrer SQL Server, laissez le mot de passe vide. Si le compte virtuel n'inscrit pas le nom de principal du service, inscrivez-le manuellement. Pour plus d'informations sur l'inscription d'un nom SPN manuellement, consultez Inscrire un nom de principal du service pour les connexions Kerberos.

    Remarque Remarque

    Les comptes virtuels ne peuvent pas être utilisés pour l'instance de cluster de basculement SQL Server parce que le compte virtuel n'aurait pas le même SID sur chaque nœud du cluster.

    Le tableau suivant répertorie des exemples de noms du compte virtuels.

    Service

    Nom de compte virtuel

    Instance par défaut du service Moteur de base de données

    NT SERVICE\MSSQLSERVER

    Instance nommée d'un service nommé Moteur de base de données PAYROLL

    NT SERVICE\MSSQL$PAYROLL

    SQL Server Service de l'agent sur l'instance par défaut de SQL Server

    NT SERVICE\SQLSERVERAGENT

    Service Agent SQL Server sur une instance de SQL Server nommée PAYROLL

    NT SERVICE\SQLAGENT$PAYROLL

Pour plus d'informations sur les comptes de service administrés et les comptes virtuels, consultez la section Concepts liés aux comptes de service administrés et aux comptes virtuels du Guide pas à pas des comptes de service et du Forum aux questions des comptes de service administrés.

Remarque relative à la sécurité :  Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible. Utilisez un MSA ou un compte virtuel lorsque cela est possible. Lorsque MSA et les comptes virtuels ne sont pas possibles, utilisez un compte d'utilisateur ou compte de domaine doté de privilèges minimaux au lieu d'un compte partagé pour les services SQL Server. Utilisez des comptes distincts pour différents services SQL Server. N'accordez aucune autorisation supplémentaire au compte de service SQL Server ni aux groupes de services. Les autorisations seront accordées par le biais de l'appartenance aux groupes ou accordées directement à un SID de service, lorsqu'un SID de service est pris en charge.

Démarrage automatique

Outre le fait que les services doivent posséder des comptes d'utilisateurs, ils ont chacun trois états de démarrage possibles, que les utilisateurs peuvent contrôler :

  • Désactivé   Le service est installé mais pas en cours d'exécution.

  • Manuel   Le service est installé, mais ne démarre que lorsqu'un autre service ou une autre application a besoin de ses fonctionnalités.

  • Automatique   Le service est démarré automatiquement par le système d'exploitation.

L'état de démarrage est sélectionné pendant l'installation. Lors de l'installation d'une instance nommée, le service SQL Server Browser doit être configuré pour démarrer automatiquement.

Configuration des services pendant l'installation sans assistance

Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier de configuration ou à l'invite de commandes.

Nom du service SQL Server

Commutateurs pour les installations sans assistance1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

SQL Server Distributed Replay Controller

DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS

SQL Server Distributed Replay Client

DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Pour plus d'informations et obtenir un exemple de syntaxe des installations sans assistance, consultez Installer SQL Server 2012 à partir de l'invite de commandes.

2Le service Agent SQL Server est désactivé sur les instances de SQL Server Express et SQL Server Express with Advanced Services.

Port de pare-feu

Dans la plupart des cas, lors de l'installation initiale, le Moteur de base de données peut être connecté par des outils tels que SQL Server Management Studio installés sur le même ordinateur que SQL Server. Le programme d'installation de SQL Server n'ouvre pas de ports dans le pare-feu Windows. Les connexions d'autres ordinateurs peuvent ne pas être possibles tant que le Moteur de base de données n'est pas configuré pour écouter sur un port TCP, et tant que le port approprié n'est pas ouvert aux connexions dans le pare-feu Windows. Pour plus d'informations, consultez Configurer le Pare-feu Windows pour autoriser l'accès à SQL Server.

Haut

Cette section décrit les autorisations configurées par le programme d'installation de SQL Server pour le SID par service des services SQL Server.

Configuration du service et contrôle d'accès

SQL Server 2012 active un SID par service pour chacun de ses services pour fournir une isolation de service et une défense en profondeur. Le SID par service est dérivé du nom du service et est propre à ce service. Par exemple, un nom de SID pour un service Moteur de base de données peut être NT Service\MSSQL$<InstanceName>. L'isolation de service permet l'accès à des objets spécifiques sans devoir exécuter un compte à privilèges élevés ni affaiblir la protection de sécurité de l'objet. Un service SQL Server peut limiter l'accès à ses ressources via une entrée de contrôle d'accès qui contient un SID de service.

Remarque Remarque

Sur Windows 7 et Windows Server 2008 R2 le SID par service peut être le compte virtuel utilisé par le service.

Pour la plupart des composants, SQL Server configure directement l'ACL pour le compte par service, par conséquent, la modification du compte de service peut être effectuée sans devoir répéter le processus ACL de la ressource.

Lors de l'installation de SSAS, un SID par service est créé pour le service Analysis Services. Un groupe Windows local est créé, nommé au format SQLServerMSASUser$computer_name$instance_name. Le SID par service NT SERVICE\MSSQLServerOLAPService peut appartenir au groupe Windows local et le groupe Windows local reçoit les autorisations appropriées dans l'ACL. Si le compte utilisé pour démarrer le service Analysis Services est modifié, le Gestionnaire de configuration SQL Server doit modifier les autorisations Windows (telles que le droit d'ouvrir une session en tant que service), mais les autorisations affectées au groupe Windows local seront toujours disponibles sans besoin de mise à jour, parce que le SID par service n'a pas changé. Cette méthode permet de renommer le service Analysis Services pendant des mises à niveau.

Pendant l'installation de SQL Server, le programme d'installation de SQL Server crée des groupes Windows locaux pour SSAS et le service SQL Server Browser. Pour ces services, SQL Server configure l'ACL pour les groupes Windows locaux.

Selon la configuration du service, le compte de service pour un service ou un SID de service est ajouté en tant que membre du groupe de service lors de l'installation ou de la mise à niveau.

Privilèges et droits Windows

Le compte affecté pour démarrer un service a besoin d'autorisations de démarrage, arrêt et pause pour le service. Le programme d'installation de SQL Server les affecte automatiquement. En premier lieu, installez les Outils d'administration de serveur distant. Consultez la rubrique Outils d'administration de serveur distant pour Windows 7.

Le tableau suivant affiche les autorisations que le programme d'installation de SQL Server demande pour les SID par service ou les groupes Windows locaux utilisés par les composants SQL Server.

Service SQL Server

Autorisations accordées par le programme d'installation de SQL Server

Moteur de base de données SQL Server:

(Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\MSSQLSERVER. Instance nommée : NT SERVICE\MSSQL$InstanceName.)

Ouvrir une session en tant que service (SeServiceLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)

Ignorer le contrôle de parcours (SeChangeNotifyPrivilege)

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)

Autorisation de démarrer SQL Writer

Autorisation de lire le service Journal des événements

Autorisation de lire le service d'appel de procédure distante (RPC)

Agent SQL Server :1

(Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\SQLSERVERAGENT. Instance nommée : NT Service\SQLAGENT$InstanceName.)

Ouvrir une session en tant que service (SeServiceLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)

Ignorer le contrôle de parcours (SeChangeNotifyPrivilege)

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)

SSAS:

(Tous les droits sont accordés à un groupe Windows local. Instance par défaut : SQLServerMSASUser$ComputerName$MSSQLSERVER. Instance nommée : SQLServerMSASUser$ComputerName$InstanceName. Instance PowerPivot pour SharePoint : SQLServerMSASUser$ComputerName$PowerPivot.)

Ouvrir une session en tant que service (SeServiceLogonRight)

SSRS:

(Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\ReportServer. Instance nommée : NT SERVICE\$InstanceName.)

Ouvrir une session en tant que service (SeServiceLogonRight)

SSIS:

(Tous les droits sont accordés au SID par service. Instance par défaut et instance nommée : NT SERVICE\MsDtsServer110. Integration Services n'a pas de processus séparé pour une instance nommée.)

Ouvrir une session en tant que service (SeServiceLogonRight)

Autorisation d'écrire dans le journal des événements d'application

Ignorer le contrôle de parcours (SeChangeNotifyPrivilege)

Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege)

Recherche en texte intégral :

(Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\MSSQLFDLauncher. Instance nommée : NT Service\ MSSQLFDLauncher$InstanceName.)

Ouvrir une session en tant que service (SeServiceLogonRight)

Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)

Ignorer le contrôle de parcours (SeChangeNotifyPrivilege)

SQL Server Browser :

(Tous les droits sont accordés à un groupe Windows local. Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser n'a pas de processus séparé pour une instance nommée.)

Ouvrir une session en tant que service (SeServiceLogonRight)

Enregistreur VSS SQL Server :

(Tous les droits sont accordés au SID par service. Instance par défaut ou instance nommée : NT Service\SQLWriter. L'Enregistreur VSS SQL Server n'a pas de processus séparé pour une instance nommée.)

Le service SQLWriter s'exécute sous le compte LOCAL SYSTEM qui a toutes les autorisations requises. Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.

SQL Server Distributed Replay Controller :

Ouvrir une session en tant que service (SeServiceLogonRight)

SQL Server Distributed Replay Client :

Ouvrir une session en tant que service (SeServiceLogonRight)

1Le service Agent SQL Server est désactivé sur les instances de SQL Server Express.

Haut

Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux

Les comptes de service SQL Server doivent avoir accès aux ressources. Les listes de contrôle d'accès sont définies pour le SID par service ou le groupe Windows local.

Important Important

Pour les installations de clusters de basculement, les ressources des disques partagés doivent être attribuées à la liste ACL d'un compte local.

Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.

Compte de service pour

Fichiers et dossiers

Accès

MSSQLServer

Instid\MSSQL\backup

Contrôle total

 

Instid\MSSQL\binn

Lecture, exécution

 

Instid\MSSQL\data

Contrôle total

 

Instid\MSSQL\FTData

Contrôle total

 

Instid\MSSQL\Install

Lecture, exécution

 

Instid\MSSQL\Log

Contrôle total

 

Instid\MSSQL\Repldata

Contrôle total

 

110\shared

Lecture, exécution

 

Données Instid\MSSQL\Template (SQL Server Express uniquement)

Lecture

SQLServerAgent1

Instid\MSSQL\binn

Contrôle total

 

Instid\MSSQL\binn

Contrôle total

 

Instid\MSSQL\Log

Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete)

 

110\com

Lecture, exécution

 

110\shared

Lecture, exécution

 

110\shared\Errordumps

Lecture, écriture

ServerName\EventLog

Contrôle total

FTS

Instid\MSSQL\FTData

Contrôle total

 

Instid\MSSQL\FTRef

Lecture, exécution

 

110\shared

Lecture, exécution

 

110\shared\Errordumps

Lecture, écriture

 

Instid\MSSQL\Install

Lecture, exécution

Instid\MSSQL\jobs

Lecture, écriture

MSSQLServerOLAPservice

110\shared\ASConfig

Contrôle total

 

Instid\OLAP

Lecture, exécution

 

Instid\Olap\Data

Contrôle total

 

Instid\Olap\Log

Lecture, écriture

 

Instid\OLAP\Backup

Lecture, écriture

 

Instid\OLAP\Temp

Lecture, écriture

 

110\shared\Errordumps

Lecture, écriture

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Lecture, écriture, suppression

 

Instid\Reporting Services\ReportServer

Lecture, exécution

 

Instid\Reportingservices\Reportserver\global.asax

Contrôle total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lecture

 

Instid\Reporting Services\reportManager

Lecture, exécution

 

Instid\Reporting Services\RSTempfiles

Lecture, écriture, exécution, suppression

 

110\shared

Lecture, exécution

 

110\shared\Errordumps

Lecture, écriture

MSDTSServer100

110\dts\binn\MsDtsSrvr.ini.xml

Lecture

 

110\dts\binn

Lecture, exécution

 

110\shared

Lecture, exécution

 

110\shared\Errordumps

Lecture, écriture

SQL Server Browser

110\shared\ASConfig

Lecture

 

110\shared

Lecture, exécution

 

110\shared\Errordumps

Lecture, écriture

SQLWriter

Non applicable (s'exécute en tant que système local)

 

Utilisateur

Instid\MSSQL\binn

Lecture, exécution

 

Instid\Reporting Services\ReportServer

Lecture, exécution, listage du contenu des dossiers

 

Instid\Reportingservices\Reportserver\global.asax

Lecture

 

Instid\Reporting Services\ReportManager

Lecture, exécution

 

Instid\Reporting Services\ReportManager\pages

Lecture

 

Instid\Reporting Services\ReportManager\Styles

Lecture

 

110\dts

Lecture, exécution

 

110\tools

Lecture, exécution

100\tools

Lecture, exécution

 

90\tools

Lecture, exécution

 

80\tools

Lecture, exécution

 

110\sdk

Lecture

 

Microsoft SQL Server\110\Setup Bootstrap

Lecture, exécution

SQL Server Distributed Replay Controller

<ToolsDir>\DReplayController\Log\ (répertoire vide)

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\DReplayController.exe

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\resources\

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\{toutes les dll}

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\DReplayController.config

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\IRTemplate.tdf

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayController\IRDefinition.xml

Lecture, exécution, listage du contenu des dossiers

SQL Server Distributed Replay Client

<ToolsDir>\DReplayClient\Log\

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\DReplayClient.exe

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\resources\

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\ (toutes les dll)

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\DReplayClient.config

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\IRTemplate.tdf

Lecture, exécution, listage du contenu des dossiers

<ToolsDir>\DReplayClient\IRDefinition.xml

Lecture, exécution, listage du contenu des dossiers

1Le service SQL Server Agent est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.

Lorsque des fichiers de base de données sont stockés à un emplacement défini par l'utilisateur, vous devez octroyer l'accès SID par service à cet emplacement. Pour plus d'informations sur l'octroi d'autorisations de système de fichiers à un SID par service, consultez Configurer les autorisations du système de fichiers pour l'accès au moteur de base de données.

Haut

Autorisations de système de fichiers accordées aux autres comptes d'utilisateur ou groupes Windows

Certaines autorisations de contrôle d'accès peuvent avoir été accordées à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie les listes ACL supplémentaires définies par le programme d'installation de SQL Server.

Composant demandeur

Compte

Ressource

Autorisations

MSSQLServer

Utilisateurs du journal des performances

Instid\MSSQL\binn

Lister le contenu des dossiers

 

Utilisateurs de l'Analyseur de performances

Instid\MSSQL\binn

Lister le contenu des dossiers

 

Utilisateurs du journal des performances, Utilisateurs de l'Analyseur de performances

\WINNT\system32\sqlctr110.dll

Lecture, exécution

 

Administrateur uniquement

\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Contrôle total

 

Administrateurs, système

\tools\binn\schemas\sqlserver\2004\07\showplan

Contrôle total

 

Utilisateurs

\tools\binn\schemas\sqlserver\2004\07\showplan

Lecture, exécution

Reporting Services

<Compte du service Web Report Server>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identité du pool de l'Application du Gestionnaire de rapports, compte ASP.NET, Tout le monde

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lecture

 

Identité du pool d'applications du Gestionnaire de rapports

<install>\Reporting Services\ReportManager\Pages\*.*

Lecture

 

<Compte du service Web Report Server>

<install>\Reporting Services\ReportServer

Lecture

 

<Compte du service Web Report Server>

<install>\Reporting Services\ReportServer\global.asax

Complet

 

Tout le monde

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Service réseau

<install>\Reporting Services\ReportServer\ReportService.asmx

Complet

 

Tout le monde

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Compte des services Windows ReportServer

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Tout le monde

Clés Report Server (ruche Instid)

Demander la valeur

Énumérer les sous-clés

Notifier

Contrôle en lecture

 

Utilisateur de Terminal Services

Clés Report Server (ruche Instid)

Demander la valeur

Définir la valeur

Créer une sous-clé

Énumérer les sous-clés

Notifier

Supprimer

Contrôle en lecture

 

Utilisateurs avec pouvoir

Clés Report Server (ruche Instid)

Demander la valeur

Définir la valeur

Créer une sous-clé

Énumérer les sous-clés

Notifier

Supprimer

Contrôle en lecture

1 Ceci est l'espace de noms du fournisseur WMI.

Haut

Autorisations de système de fichiers pour des emplacements de disque exceptionnels

Le lecteur par défaut des emplacements d'installation est systemdrive, en général le lecteur C. Si tempdb ou des bases de données utilisateur sont installées

Lecteur non défini par défaut

En cas d'installation sur un lecteur local autre que l'unité par défaut, le SID par service doit avoir accès à l'emplacement de fichier. Le programme d'installation de SQL Server configurera l'accès requis.

Partage réseau

Lorsque des bases de données sont installées sur un partage réseau, le compte de service doit avoir accès à l'emplacement de fichier des bases de données de l'utilisateur et tempdb. Le programme d'installation de SQL Server ne peut pas configurer l'accès à un partage réseau. L'utilisateur doit configurer l'accès à un emplacement tempdb pour le compte de service avant d'exécuter l'installation. L'utilisateur doit configurer l'accès à l'emplacement de la base de données d'utilisateur avant de créer la base de données.

Remarque Remarque

Les comptes virtuels ne peuvent pas être authentifiés sur un emplacement distant. Tous les comptes virtuels utilisent l'autorisation de compte d'ordinateur. Configurez le compte d'ordinateur au format <domain_name>\<computer_name>$.

Considérations supplémentaires

Le tableau suivant indique les autorisations nécessaires pour que les services SQL Server fournissent des fonctionnalités supplémentaires.

Service/Application

Fonctionnalité

Autorisation requise

SQL Server (MSSQLSERVER)

Écrire un message mailslot avec xp_sendmail.

Autorisations d'écriture réseau.

SQL Server (MSSQLSERVER)

Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server.

Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus.

SQL Server Agent (MSSQLSERVER)

Utiliser la fonctionnalité de redémarrage automatique.

Doit être membre du groupe local Administrators.

Assistant Paramétrage du Moteur de base de données

Règle les bases de données pour des performances de requête optimales.

À la première utilisation, un utilisateur doté des informations d'identification d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs dbo peuvent utiliser l'Assistant Paramétrage du Moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du Moteur de base de données » dans la documentation en ligne de SQL Server.

Important Important

Avant de procéder à une mise à niveau vers SQL Server, activez l'authentification Windows pour l'Agent SQL Server et vérifiez la configuration par défaut requise : le compte de service de l'Agent SQL Server doit être membre du groupe sysadmin SQL Server.

Haut

Autorisations de Registre

La ruche du Registre est créée sous HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> pour les composants qui prennent les instances en charge. Par exemple

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

Le Registre maintient également le mappage d'un ID d'instance sur un nom d'instance. Le mappage de l'ID d'instance sur le nom d'instance se maintient comme suit :

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Windows Management Instrumentation (WMI) doit être en mesure de se connecter au Moteur de base de données. Pour prendre en charge cela, le SID par service du fournisseur WMI Windows (NT SERVICE\winmgmt) est approvisionné dans le Moteur de base de données.

Le fournisseur WMI SQL requiert les autorisations suivantes :

  • Appartenance aux rôles de base de données fixes db_ddladmin or db_owner dans la base de données msdb.

  • Autorisation CREATE DDL EVENT NOTIFICATION dans le serveur.

  • Autorisation CREATE TRACE EVENT NOTIFICATION dans le Moteur de base de données.

  • Autorisation VIEW ANY DATABASE de niveau base de données.

    Le programme d'installation de SQL Server crée un espace de noms WMI SQL et accorde l'autorisation de lecture au SID de service de l'Agent SQL Server.

Haut

Canaux nommés

Pendant toute l'installation, le programme d'installation SQL Server fournit l'accès au Moteur de base de données SQL Server via le protocole de mémoire partagée, qui est un canal nommé local.

Haut

Cette section décrit comment les comptes sont mis en service à l'intérieur des différents composants SQL Server.

Configuration du moteur de base de données

Les comptes suivants sont ajoutés comme connexions dans le Moteur de base de données SQL Server.

Principaux Windows

Pendant l'installation, le programme d'installation SQL Server requiert qu'au moins un compte d'utilisateur soit nommé comme membre du rôle serveur fixe sysadmin.

Compte sa

Le compte sa est toujours présent sous la forme d'une connexion de Moteur de base de données et est un membre du rôle serveur fixe sysadmin. Lorsque le Moteur de base de données est installé en utilisant uniquement l'authentification Windows (c'est-à-dire lorsque l'authentification SQL Server n'est pas activée), la connexion sa est toujours présente mais elle est désactivée. Pour plus d'informations sur la configuration du compte sa, consultez Modifier le mode d'authentification du serveur.

Connexion et privilèges SID par service SQL Server

Le SID par service du service SQL Server est mis en service comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

Connexion et privilèges de SQL Server Agent

Le SID par service du service Agent SQL Server est approvisionné comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

instance de cluster de basculement et privilèges Groupes de disponibilité AlwaysOn et SQL

Lors de l'installation du Moteur de base de données comme une instance de cluster de basculement Groupes de disponibilité AlwaysOn ou SQL (SQL FCI), LOCAL SYSTEM est mis en service dans le Moteur de base de données. La connexion LOCAL SYSTEM reçoit l'autorisation ALTER ANY AVAILABILITY GROUP (pour Groupes de disponibilité AlwaysOn) et l'autorisation VIEW SERVER STATE (pour SQL FCI).

Enregistreur et privilèges SQL

Le SID par service du service Enregistreur VSS SQL Server est approvisionné comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

WMI et privilèges SQL

Le programme d'installation de SQL Server approvisionne le compte NT SERVICE\Winmgmt comme une connexion du Moteur de base de données et l'ajoute au rôle serveur fixe sysadmin.

Approvisionnement SSRS

Le compte spécifié pendant l'installation est approvisionné comme un membre du rôle de base de données RSExecRole. Pour plus d'informations, consultez Configurer le compte de service Report Server.

Haut

Approvisionnement SSAS

Les configurations requises pour le compte de service SSAS varient selon le déploiement du serveur. Si vous installez PowerPivot pour SharePoint, le programme d'installation SQL Server requiert que vous configuriez le service Analysis Services de façon à ce qu'il soit exécuté sous un compte de domaine. Les comptes de domaine sont obligatoires pour prendre en charge la fonctionnalité de compte géré intégrée à SharePoint. Pour cette raison, le programme d'installation de SQL Server ne fournit pas un compte de service par défaut, tel qu'un compte virtuel, pour une installation PowerPivot pour SharePoint. Pour plus d'informations sur l'approvisionnement de PowerPivot pour SharePoint, consultez Configuration des comptes de service PowerPivot.

Pour toutes les autres installations SSAS autonomes, vous pouvez configurer le service pour qu'il s'exécute sous un compte de domaine, un compte système intégré, un compte géré ou un compte virtuel. Pour plus d'informations sur l'approvisionnement de compte, consultez Configurer les comptes de service (Analysis Services).

Pour les installations en cluster, vous devez spécifier un compte de domaine ou un compte système intégré. Les comptes gérés ou les comptes virtuels ne sont pas pris en charge pour les clusters de basculement SSAS.

Toutes les installations SSAS requièrent que vous spécifiez un administrateur système de l'instance Analysis Services. Les privilèges d'administrateur sont approvisionnés dans le rôle serveur d'Analysis Services.

Approvisionnement SSRS

Le compte spécifié pendant l'installation est approvisionné dans le Moteur de base de données comme un membre du rôle de base de données RSExecRole. Pour plus d'informations, consultez Configurer le compte de service Report Server.

Haut

Cette section décrit les modifications effectuées pendant la mise à niveau d'une version précédente de SQL Server.

  • SQL Server 2012 requiert Windows Vista, Windows 7, Windows Server 2008ou Windows Server 2008 R2. Toute version précédente de SQL Server qui fonctionne sur Windows XP ou Windows Server 2003 doit avoir un système d'exploitation mis à niveau avant la mise à niveau de SQL Server.

  • Pendant la mise à niveau de SQL Server 2005 à SQL Server 2012, le programme d'installation SQL Server configurera SQL Server de la façon suivante.

    • Le Moteur de base de données s'exécute avec le contexte de sécurité du SID par service. Le SID par service a accès aux dossiers de fichiers de l'instance SQL Server (tels que DATA), et aux clés de Registre SQL Server.

    • Le SID par service du Moteur de base de données est approvisionné dans le Moteur de base de données comme un membre du rôle serveur fixe sysadmin.

    • Les SID par service sont ajoutés aux groupes Windows SQL Server locaux, à moins que SQL Server soit une instance de cluster de basculement.

    • Les ressources SQL Server restent approvisionnées sur les groupes Windows SQL Server locaux.

    • Le groupe Windows local pour les services SQLServer2005MSSQLUser$<computer_name>$<instance_name> est renommé SQLServerMSSQLUser$<computer_name>$<instance_name>. Les emplacements de fichiers pour les bases de données migrées auront des entrées de contrôle d'accès (ACE) pour les groupes Windows locaux. Les emplacements de fichiers pour les nouvelles bases de données auront des ACE pour le SID par service.

  • Pendant la mise à niveau de SQL Server 2008, le programme d'installation de SQL Server conservera les ACE pour le SID par service SQL Server 2008.

  • Pour une instance de cluster de basculement SQL Server, l'ACE du compte de domaine configuré pour le service sera conservé.

Haut

Cette section contient des informations supplémentaires sur les services SQL Server.

Description des comptes de service

Le compte de service est le compte utilisé pour démarrer un service Windows, comme le Moteur de base de données SQL Server.

Comptes disponible avec tout système d'exploitation

En plus des nouveaux comptes MSA et comptes virtuels décrits précédemment, les comptes suivants peuvent être utilisés.

Compte d'utilisateur de domaine

Si le service doit interagir avec des services réseau, des ressources de domaine telles que des partages de fichiers, ou s'il utilise des connexions de serveur liées à d'autres ordinateurs qui exécutent SQL Server, vous pouvez utiliser un compte de domaine doté de privilèges minimaux. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.

Remarque Remarque

Si vous configurez l'application pour utiliser un compte de domaine, vous pouvez isoler les privilèges pour l'application, mais vous devez gérer les mots de passe manuellement ou créer une solution personnalisée pour la gestion de ces mots de passe. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais elle requiert une administration supplémentaire et est plus complexe. Dans ces déploiements, les administrateurs du service passent beaucoup de temps à exécuter des tâches de maintenance telles que la gestion des mots de passe du service et des noms de principal du service (SPN), qui sont obligatoires pour l'authentification Kerberos. De plus, ces tâches de maintenance peuvent interrompre le service.

Comptes d'utilisateurs locaux

Si l'ordinateur ne fait pas partie d'un domaine, un compte d'utilisateur local sans autorisations d'administrateur Windows est recommandé.

Compte de service local

Le compte de service local est un compte intégré qui bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus individuels serait compromis. Les services qui s'exécutent en tant que compte de service local accèdent aux ressources réseau dans le cadre d'une session Null, sans informations d'identification. Sachez que le compte de service local n'est pas pris en charge pour les services SQL Server ou Agent SQL Server. Le service local n'est pas pris en charge comme compte exécutant ces services, car il s'agit d'un service partagé et les autres services exécutés sous le service local disposent de droits d'accès d'administrateur système à SQL Server. Le nom réel du compte est NT AUTHORITY\LOCAL SERVICE.

Compte de service réseau

Le compte de service réseau est un compte intégré qui bénéficie d'un niveau d'accès aux ressources et aux objets supérieur à celui des membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur au format <domain_name>\<computer_name>$. Le nom réel du compte est NT AUTHORITY\NETWORK SERVICE.

Compte système local

Le compte système local est un compte intégré doté de privilèges très élevés. Il dispose de privilèges étendus sur le système local et représente l'ordinateur sur le réseau. Le nom réel du compte est NT AUTHORITY\SYSTEM.

Identification des services dépendant et ne dépendant pas des instances

Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances SQL Server installées. Ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.

Les services dépendant d'une instance dans SQL Server incluent les éléments suivants :

  • SQL Server

  • Agent SQL Server

    Sachez que le service de l'Agent SQL Server est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.

  • Analysis Services 1

  • Reporting Services

  • Recherche en texte intégral

Les services ne dépendant pas d'une instance dans SQL Server incluent les éléments suivants :

  • Integration Services

  • SQL Server Browser

  • Enregistreur SQL

1En mode intégré SharePoint, Analysis Services s'exécute comme « PowerPivot » en tant qu'instance nommée unique. Le nom de l'instance est fixe. Vous ne pouvez pas spécifier de nom différent. Vous ne pouvez installer qu'une seule instance d'Analysis Services s'exécutant comme « PowerPivot » sur chaque serveur physique.

Haut

Noms des services localisés

Le tableau ci-dessous indique les noms de services affichés dans les versions localisées de Windows.

Langage

Nom du service local

Nom du service réseau

Nom du système local

Nom du groupe Admin

Anglais

Chinois simplifié

Chinois traditionnel

Coréen

Japonais

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Allemand

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Français

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrators

Italien

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Espagnol

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Russe

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Haut

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.