Configuration des comptes de service Windows

Mis à jour : 12 décembre 2006

Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Microsoft Windows. Cette rubrique présente la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant une installation de SQL Server.

Remarque relative à la sécurité   Exécutez systématiquement les services SQL Server en utilisant les droits d'utilisateur les plus faibles possible.

Selon les composants Microsoft SQL Server 2005 que vous décidez d'installer, le programme d'installation de SQL Server 2005 installe les services suivants :

• Services de base de données SQL Server : service pour le moteur de base de données relationnel SQL Server.
• Agent SQL Server : exécute des travaux, surveille SQL Server, déclenche des alertes et autorise l'automatisation de certaines tâches administratives.

  Remarque :

  Pour que SQL Server et l'Agent SQL Server fonctionnent comme des services dans Windows, un compte d'utilisateur Windows doit leur être attribué. En règle générale, SQL Server et l'Agent SQL Server reçoivent le même compte d'utilisateur, à savoir le compte système local ou un compte d'utilisateur de domaine. Cependant, vous pouvez personnaliser les paramètres pour chaque service durant le processus d'installation. Pour plus d'informations sur la personnalisation des informations de compte pour chaque service, consultez Compte de service.

• Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel.
• Reporting Services : gère, exécute, restitue, planifie et remet des rapports.
• Notification Services : plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications.
• Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.
• Recherche de texte intégral : crée rapidement des index de texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.
• Navigateur SQL Server : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients.
• SQL Server Active Directory Helper : publie et gère les services SQL Server dans Active Directory.
• SQL Writer : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).

Le reste de cette rubrique est constitué des sections suivantes :

• Configuration des services proposés dans le programme d'installation de SQL Server
• Utilisation des comptes de démarrage pour les services SQL Server
• Identification des services dépendant et ne dépendant pas des instances
• Vérification des droits et privilèges NT accordés aux comptes de services SQL Server
• Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server
• Récapitulation des autorisations Windows pour les services SQL Server
• Récapitulation des considérations supplémentaires
• Noms de services localisés

Configuration des services proposés dans le programme d'installation de SQL Server

Durant l'installation de SQL Server, vous pouvez configurer certains services SQL Server à l'aide du compte de démarrage et déterminer si le service démarre automatiquement. Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier d'installation ou à partir de l'invite de commandes.

Nom du service SQL Server	Configurable dans l'Assistant Installation ?	Commutateurs pour les installations sans assistance1
MSSQLSERVER	Oui	SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART
SQLServerAgent	Oui	AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART
MSSQLServerOLAPService	Oui	ASACCOUNT, ASPASSWORD, ASAUTOSTART
ReportServer	Oui	RSACCOUNT, RSPASSWORD, RSAUTOSTART
SQLBrowser	Oui	SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Pour plus d'informations sur les installations à distance et sans assistance, accompagnées d'exemples de syntaxe, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.

2SQLBROWSERAUTOSTART peut être spécifié même si le navigateur SQL Server est déjà installé.

Les services suivants ne peuvent pas être configurés lors de l'installation. Ils sont installés avec les paramètres par défaut :

• Notification Services
• Integration Services
• Recherche de texte intégral
• Active Directory Helper
• SQL Writer

Utilisation des comptes de démarrage pour les services SQL Server

Pour démarrer et s'exécuter, chaque service de SQL Server 2005 doit posséder un compte d'utilisateur. Les comptes d'utilisateurs peuvent être des comptes système intégrés ou des comptes d'utilisateurs de domaine.

Outre qu'il doit posséder un compte d'utilisateur, chaque service a trois états de démarrage possibles, que les utilisateurs peuvent contrôler :

• Désactivé   Le service est installé mais pas en cours d'exécution.
• Manuel   Le service est installé mais ne démarrera que lorsqu'un autre service ou une autre application aura besoin de lui.
• Automatique   Le service est démarré par le système d'exploitation après chargement des pilotes de périphériques lors du démarrage.

Le tableau ci-dessous indique les comptes par défaut et optionnels pour chaque service SQL Server, ainsi que les états de démarrage de chaque service.

Nom du service SQL Server	Compte par défaut	Comptes optionnels	Type de démarrage	État par défaut après l'installation
SQL Server	SQL Server Express Edition sous Windows 2000 : Système local SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service réseau Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1	SQL Server Express Edition : Utilisateur de domaine, Système local, Service réseau1 Toutes les autres éditions : Utilisateur de domaine, Système local, Service réseau1	Automatique2	Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique
Agent SQL Server	Utilisateur de domaine3	Utilisateur de domaine, Système local, Service réseau1,6	Désactivé Automatique uniquement si l'utilisateur choisit le démarrage automatique	Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique
Analysis Services	Utilisateur de domaine3	Utilisateur de domaine, Système local, Service réseau, Service local	Automatique	Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique
Reporting Services	Utilisateur de domaine3	Utilisateur de domaine, Système local, Service réseau, Service local	Automatique	Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique
Notification Services4	Non applicable	Non applicable	Non applicable	Non applicable
Integration Services	Windows 2000 : système local Tous les autres systèmes d'exploitation pris en charge : Service réseau	Utilisateur de domaine, Système local, Service réseau, Service local	Automatique	Démarré Arrêté uniquement si l'utilisateur ne choisit pas le démarrage automatique.
Recherche de texte intégral	Même compte que SQL Server	Utilisateur de domaine, Système local, Service réseau, Service local	Manuel	Arrêté Démarré uniquement si l'utilisateur choisit le démarrage automatique.
Navigateur SQL Server	SQL Server Express Edition sous Windows 2000 : Système local SQL Server Express Edition sur tous les autres systèmes d'exploitation pris en charge : Service local Toutes les autres éditions sur tous les systèmes d'exploitation pris en charge : Utilisateur de domaine1,3	Utilisateur de domaine, Système local, Service réseau, Service local	Désactivé5 Automatique uniquement si l'utilisateur choisit le démarrage automatique.	Arrêté5 Démarré uniquement si l'utilisateur choisit le démarrage automatique.
SQL Server Active Directory Helper	Service réseau	Système local, Service réseau	Désactivé	Arrêté
SQL Writer	Système local	Système local	Automatique	Démarré

1Important   Microsoft recommande de ne pas utiliser le compte Service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL Server.

2Définissez comme manuel dans les configurations de cluster avec basculement.

3Pour les installations sans assistance, cette propriété est obligatoire. Si celle-ci n'est pas spécifiée, l'installation échouera. Pour spécifier le système local, utilisez SQLAccount=LocalSystem ou ASAccount=LocalSystem. Pour plus d'informations et pour un exemple de syntaxe sur les installations à distance et sans assistance, consultez Procédure : installer SQL Server 2005 à partir de l'invite de commandes.

4 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après l'installation, consultez la rubrique « Configuration des services Windows de Notification Services » dans la documentation en ligne de SQL Server 2005.

5Pour les installations de cluster avec basculement, le navigateur SQL Server est défini en démarrage automatique, et démarre par défaut à la fin de l'installation.

6Pour plus d'informations sur les comptes Windows pris en charge pour l'Agent SQL Server, consultez Types de comptes Windows pris en charge que vous pouvez utiliser pour exécuter le service SQL Server Agent dans SQL Server 2005.

Important :

Pour les installations de cluster avec basculement, les comptes de système local et de service local ne sont pas autorisés pour les services cluster tels que SQL Server, Agent SQL Server et SSAS. Pour plus d'informations, consultez Avant l'installation du clustering avec basculement. Pour les installations SQL Server 2005 dans des configurations côte à côte avec des versions antérieures de SQL Server, les services SQL Server 2005 doivent utiliser des comptes figurant uniquement dans le groupe global des domaines. En outre, les comptes utilisés par les services SQL Server 2005 ne doivent pas figurer dans le groupe local Administrateurs. Ne pas se conformer à cette consigne entraînera un comportement de sécurité inattendu.

Utilisation d'un compte d'utilisateur de domaine

Un compte d'utilisateur de domaine peut être préférable si le service doit interagir avec les services réseau. De nombreuses activités de serveur à serveur ne peuvent s'exercer qu'avec un compte utilisateur de domaine, par exemple :

• appels de procédures distantes ;
• réplication ;
• sauvegarde sur des lecteurs réseau ;
• jointures hétérogènes faisant intervenir des sources de données distantes ;
• fonctionnalités de messagerie de l'Agent SQL Server et SQL Mail. Cette restriction s'applique si vous utilisez Microsoft Exchange. La plupart des autres systèmes de messagerie électronique requièrent également que des clients (les services SQL Server et Agent SQL Server) soient exécutés sur des comptes avec droits d'accès au réseau.

Utilisation du compte de service local

Le compte de service local est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service local bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou processus individuels serait compromis. Les services qui s'exécutent au moyen du compte de service local accèdent aux ressources réseau dans le cadre d'une session null sans informations d'identification.

Utilisation du compte de service réseau

Le compte de service réseau est un compte intégré particulier, similaire à un compte d'utilisateur authentifié. Le compte de service réseau bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur.

Important :
Microsoft recommande de ne pas utiliser le compte de service réseau pour les services SQL Server ou SQL Server Agent. Les comptes d'utilisateur local ou d'utilisateur de domaine sont plus appropriés pour ces services SQL.

Utilisation du compte de système local

Le compte de système local possède des privilèges élevés ; soyez prudent lorsque vous assignez des autorisations de système local à des comptes de service SQL Server.

Remarque relative à la sécurité :
Pour accroître la sécurité de votre installation SQL Server, exécutez les services SQL Server sous un compte Windows local avec les privilèges les plus faibles possible.

Modification des comptes d'utilisateur

Pour modifier le mot de passe ou d'autres propriétés d'un service quelconque lié à SQL Server, utilisez le Gestionnaire de configuration SQL Server. Si votre mot de passe Windows change, veillez à modifier également les paramètres des services SQL Server dans Windows. Si vous utilisez Kerberos et s'il est activé, veillez à actualiser la propriété d'annuaire SPN (Service Principal Name) d'Active Directory.

Pour plus d'informations, consultez Modification des mots de passe et des comptes d'utilisateur. Pour plus d'informations sur l'utilisation du complément Services dans Microsoft Windows afin de modifier les comptes de service SQL Server, consultez Comment faire pour modifier le compte de service de SQL Server ou de l'Agent SQL Server sans utiliser SQL Enterprise Manager dans SQL Server 2000 ou le Gestionnaire de configuration SQL Server dans SQL Server 2005.

Identification des services dépendant et ne dépendant pas des instances

Certains services SQL Server sont dépendants de l'instance, d'autres non. Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server, et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances installées de SQL Server ; ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.

Dans Microsoft SQL Server 2005, les services dépendant d'une instance sont les suivants :

• SQL Server
• Agent SQL Server
• Analysis Services
• Reporting Services
• Recherche de texte intégral

Dans SQL Server 2005, les services ne dépendant pas d'une instance sont les suivants :

• Notification Services
• Integration Services
• Navigateur SQL Server
• SQL Server Active Directory Helper
• SQL Writer

Vérification des droits et privilèges Windows NT accordés aux comptes de services SQL Server

Le programme d'installation de SQL Server crée des groupes d'utilisateurs pour différents services SQL Server et y ajoute les comptes de service appropriés. Ces groupes facilitent l'octroi des autorisations nécessaires pour exécuter les services SQL Server et d'autres exécutables, et aident à sécuriser les fichiers SQL Server. Notez que des noms de groupes uniques sont requis lors de l'installation de SQL Server 2005 sur un contrôleur de domaine.

Les groupes d'utilisateurs créés par le programme d'installation de SQL Server reçoivent les droits et privilèges Windows NT ci-dessous.

Service SQL Server	Groupe d'utilisateurs	Autorisations par défaut accordées par le programme d'installation de SQL Server
SQL Server	Instance par défaut : SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSSQLUser$ComputerName$InstanceName	Ouvrir une session en tant que service (SeServiceLogonRight) Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000) Ouvrir une session en tant que tâche (SeBatchLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) Autorisation de démarrer SQL Server Active Directory Helper Autorisation de démarrer SQL Writer
Agent SQL Server	Instance par défaut : SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005SQLAgentUser$ComputerName$InstanceName	Ouvrir une session en tant que service (SeServiceLogonRight) Agir dans le cadre du système d'exploitation (SeTcbPrivilege) (uniquement sur Windows 2000) Ouvrir une session en tant que tâche (SeBatchLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)
Analysis Services	Instance par défaut : SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSOLAPUser$ComputerName$InstanceName	Ouvrir une session en tant que service (SeServiceLogonRight)
Reporting Services1	Instance par défaut : SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER et SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005ReportServerUser$ComputerName$InstanceName et SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName	Ouvrir une session en tant que service (SeServiceLogonRight)
Notification Services2	Instance par défaut ou instance nommée : SQLServer2005NotificationServicesUser$ComputerName	Non applicable
Integration Services	Instance par défaut ou instance nommée : SQLServer2005DTSUser$ComputerName	Ouvrir une session en tant que service (SeServiceLogonRight) Autorisation d'écrire dans le journal des événements d'application Outrepasser le contrôle de parcours (SeChangeNotifyPrivilege) Créer des objets globaux (SeCreateGlobalPrivilege) Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege)
Recherche de texte intégral	Instance par défaut : SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER Instance nommée : SQLServer2005MSFTEUser$ComputerName$InstanceName	Ouvrir une session en tant que service (SeServiceLogonRight)
Navigateur SQL Server	Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$ComputerName	Ouvrir une session en tant que service (SeServiceLogonRight)
SQL Server Active Directory Helper	Instance par défaut ou instance nommée : SQLServer2005MSSQLServerADHelperUser$ComputerName	Aucune3
SQL Writer	Non applicable	Aucune3

1Pour Reporting Services, le programme d'installation de SQL Server doit également créer les groupes d'utilisateurs SQLServer2005ReportingServicesWebServiceUser$InstanceName et SQLServer2005ASP.NETUser et leur accorder des listes de contrôle d'accès (ACL). Pour plus d'informations, consultez la section ci-dessous relative aux listes de contrôle d'accès.

2 Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.

3 Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.

Vérification des listes de contrôle d'accès créées pour les comptes de service SQL Server

Les comptes de service SQL Server 2005 doivent avoir accès aux ressources. Des listes de contrôle d'accès (ACL) sont définies au niveau des groupes d'utilisateurs. Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.

Important :
Pour les installations de clusters avec basculement, les ressources des disques partagés ne peuvent être attribuées à aucune ACL d'un groupe d'utilisateurs local. Ces ressources doivent être attribuées à une ACL de compte local.

Compte de service pour	Fichiers et dossiers	Accès
MSSQLServer	Instid\MSSQL\backup	Contrôle total
	Instid\MSSQL\binn	Lecture, exécution
	Instid\MSSQL\data	Contrôle total
	Instid\MSSQL\FTData	Contrôle total
	Instid\MSSQL\Install	Lecture, exécution
	Instid\MSSQL\Log	Contrôle total
	Instid\MSSQL\Repldata	Contrôle total
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
	90\com	Lecture, exécution
	Instid\MSSQL\Template Data (uniquement SQL Server Express)	Lecture
SQLServerAgent	Instid\MSSQL\binn	Contrôle total
	Instid\MSSQL\Log	Contrôle total
	Instid\MSSQL\jobs	Contrôle total
	90\com	Lecture, exécution
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
FTS	Instid\MSSQL\FTData	Contrôle total
	Instid\MSSQL\FTRef	Lecture, exécution
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
	Instid\MSSQL\Install	Lecture, exécution
MSSQLServerOLAPservice	90\shared	Lecture, exécution
	90\shared\msmdlocal.ini	Contrôle total
	Instid\OLAP	Lecture, exécution
	Instid\Olap\Data	Contrôle total
	Instid\Olap\Log	Lecture, écriture
	90\shared\Errordumps	Lecture, écriture
SQLServer2005ReportServerUser	Instid\Reporting Services\Log Files	Lecture, écriture, suppression
	Instid\Reporting Services\ReportServer	Lecture, exécution
	Instid\Reportingservices\Reportserver\global.asax	Contrôle total
	Instid\Reportingservices\Reportserver\Reportserver.config	Lecture, écriture
	Instid\Reporting Services\reportManager	Lecture, exécution
	Instid\Reporting Services\RSTempfiles	Lecture, écriture
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
SQLServer2005ReportingServicesWebServiceUser	Instid\Reporting Services\Log Files	Lecture, écriture, suppression
	Instid\Reporting Services\ReportServer	Lecture, exécution
	Instid\Reportingservices\Reportserver\global.asax	Contrôle total
	InstID\Reporting Services\reportservice.asmx	Contrôle total
	Instid\Reportingservices\Reportserver\Reportserver.config	Lecture, écriture, suppression
	Instid\Reporting Services\reportManager	Lecture, exécution
	Instid\Reporting Services\RSTempfiles	Lecture, écriture
	Instid\Reporting Services\reportManager\pages	Lecture
	Instid\Reporting Services\reportManager\Styles	Lecture
	Instid\Reporting Services\reportManager\webctrl_client\1_0	Lecture
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
Notification services	90\Notification services	Lecture, exécution, listage du contenu des dossiers
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
MSDTSServer	90\dts\binn\MsDtsSrvr.ini.xml	Lecture
	90\dts\binn	Lecture, exécution
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
Navigateur SQL Server	90\shared\msmdlocal.ini	Lecture
	90\shared	Lecture, exécution
	90\shared\Errordumps	Lecture, écriture
MSADHekper	Non applicable (s'exécute comme les comptes intégrés)
SQLWriter	Non applicable (s'exécute en tant que système local)
Utilisateur	Instid\MSSQL\binn	Lecture, exécution
	Instid\Reporting Services\ReportServer	Lecture, exécution
	Instid\Reportingservices\Reportserver\global.asax	Lecture
	InstID\Reporting Services\reportservice.asmx	Lecture, exécution
	Instid\Reporting Services\reportManager	Lecture, exécution
	Instid\Reporting Services\reportManager\pages	Lecture
	Instid\Reporting Services\reportManager\Styles	Lecture
	90\dts	Lecture, exécution
	90\tools	Lecture, exécution
	80\tools	Lecture, exécution
	90\sdk	Lecture
	Microsoft SQL Server\90\Setup Bootstrap	Lecture, exécution

Outre les comptes de démarrage des services SQL Server, il peut être nécessaire d'accorder des autorisations de contrôle d'accès à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie des listes ACL supplémentaires définies par le programme d'installation de SQL Server.

Composant demandeur	compte	Resource	Permissions
MSSQLServer	Utilisateurs du journal des performances	Instid\MSSQL\binn	Lister le contenu des dossiers
	Utilisateurs de l'Analyseur de performances	Instid\MSSQL\binn	Lister le contenu des dossiers
	Utilisateurs du journal des performances	Instid\MSSQL\binn\sqlctr90.dll	Lecture, exécution
	Utilisateurs de l'Analyseur de performances	Instid\MSSQL\binn\sqlctr90.dll	Lecture, exécution
	Administrateur uniquement	\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Contrôle total
	Administrateurs	\tools\binn\schemas\sqlserver\2003\03\showplan	Contrôle total
	Systeme	\tools\binn\schemas\sqlserver\2003\03\showplan	Contrôle total
	Users	\tools\binn\schemas\sqlserver\2003\03\showplan	Lecture, exécution
Reporting services	<Compte de service Web du serveur de rapports>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identité du pool d'applications du Gestionnaire de rapports	<install>\Reporting Services\ReportManager	Lecture
	Compte ASP.NET	<install>\Reporting Services\ReportManager	Lecture
	Tout le monde	<install>\Reporting Services\ReportManager	Lecture
	Identité du pool d'applications du Gestionnaire de rapports	<install>\Reporting Services\ReportManager\Pages\*.*	Lecture
	Compte ASP.NET	<install>\Reporting Services\ReportManager\Pages\*.*	Lecture
	Tout le monde	<install>\Reporting Services\ReportManager\Pages\*.*	Lecture
	Identité du pool d'applications du Gestionnaire de rapports	<install>\Reporting Services\ReportManager\Styles\*.*	Lecture
	Compte ASP.NET	<install>\Reporting Services\ReportManager\Styles\*.*	Lecture
	Tout le monde	<install>\Reporting Services\ReportManager\Styles\*.*	Lecture
	Identité du pool d'applications du Gestionnaire de rapports	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lecture
	Compte ASP.NET	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lecture
	Tout le monde	<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lecture
	<Compte de service Web du serveur de rapports>	<install>\Reporting Services\ReportServer	Lecture
	<Compte de service Web du serveur de rapports>	<install>\Reporting Services\ReportServer\global.asax	Complète
	Tout le monde	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Service réseau	<intsall>\Reporting Services\ReportServer\ReportService.asmx	Complète
	Tout le monde	<intsall>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Compte des services Windows ReportServer	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Tout le monde	Clés Report Server (ruche Instid)	Demander la valeur Énumérer les sous-clés Notifier Contrôle en lecture
	Utilisateur de Terminal Services	Clés Report Server (ruche Instid)	Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture
	Utilisateurs avec pouvoir	Clés Report Server (ruche Instid)	Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture

1Ceci est l'espace de noms du fournisseur WMI.

Récapitulation des autorisations Windows pour les services SQL Server

Ce tableau donne les noms des services, le terme utilisé pour faire référence aux instances par défaut et nommées de SQL Server, une description de la fonction du service et les autorisations minimales requises.

Nom affiché

Nom du service

Description

Autorisations requises

SQL Server (InstanceName)

Instance par défaut : MSSQLSERVER

Instance nommée : MSSQL$InstanceName

Moteur de base de données SQL Server.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlservr.exe.

Un compte utilisateur local est recommandé.

Autorisations minimales

Fonctionnalité

Compte de démarrage du service MSSQLServer

Le compte doit se trouver dans la liste des comptes dotés des autorisations « Liste du dossier » sur le lecteur racine où est installé SQL Server, et sur la racine de tout autre lecteur dans lequel des fichiers SQL Server sont stockés.

Remarque :

Les autorisations « Liste du dossier » sur le lecteur racine ne sont pas obligatoirement héritées par les sous-dossiers.

Compte de démarrage du service MSSQLServerCe compte doit avoir des autorisations de « Contrôle total » sur tous les dossiers dans lesquels résideront des fichiers de données ou des fichiers journaux (.mdf, .ndf, .ldf).

SQL Server Agent (InstanceName)

Instance par défaut : SQLServerAgent

Instance nommée : SQLAgent$InstanceName

Exécute les tâches, surveille SQL Server, déclenche les alertes et permet d'automatiser certaines tâches administratives.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\sqlagent90.exe.

Autorisations minimales

Fonctionnalité

Le compte doit être membre du rôle serveur fixe sysadmin. 

Le compte doit avoir les autorisations Windows suivantes1Ouvrir une session en tant que service. Ouvrir une session en tant que tâche. Remplacer un jeton au niveau du processus. Changer les quotas de mémoire d'un processus. Agir dans le cadre du système d'exploitation Outrepasser le contrôle de parcours.

Services Analysis Services (InstanceName)

Instance par défaut : MSSQLServerOLAPService

Instance nommée : MSOLAP$InstanceName

Service qui fournit des fonctionnalités OLAP (online analytical processing) et d'exploitation de données pour les applications d'aide à la décision.

Le chemin d'accès au fichier exécutable est \OLAP\Bin\msmdsrv.exe.

 

Report Server

Instance par défaut : ReportServer

Instance nommée : ReportServer$InstanceName

Gère, exécute, rend, planifie et livre les rapports.

Le chemin d'accès au fichier exécutable est \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Notification Services

 

Notification Services est une plateforme de développement et de déploiement d'applications qui génèrent et envoient des notifications. Le programme d'installation de SQL Server peut installer Notification Services, mais ne le configure pas. Pour plus d'informations sur l'activation de Notification Services après installation, consultez la rubrique relative à la configuration des services Windows de Notification Services dans la documentation en ligne de SQL Server 2005.

 

Integration Services

Instance par défaut ou instance nommée : MSDTSServer

Assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services.

Le chemin d'accès au fichier exécutable est \DTS\Binn\msdtssrv.exe.

 

Navigateur SQL Server

Instance par défaut ou instance nommée : SQLBrowser

Service de résolution de noms qui fournit les informations de connexion SQL Server pour les ordinateurs clients. Ce service est partagé entre plusieurs instances SQL Server et SSIS.

Le chemin d'accès au fichier exécutable est \90\shared\sqlbrowser.exe.

 

Recherche de texte intégral de Microsoft (MSFTESQL)

Instance par défaut : MSFTESQL

Instance nommée : MSFTESQL$InstanceName

Crée rapidement des index en texte intégral sur le contenu et les propriétés des données structurées et semi-structurées afin de permettre des recherches linguistiques rapides sur ces données.

Le chemin d'accès au fichier exécutable est \MSSQL\Binn\msftesql.exe.

 

SQL Server Active Directory Helper

Instance par défaut ou instance nommée : MSSQLServerADHelper

Publie et gère les services SQL Server dans Windows Active Directory.

Le chemin d'accès au fichier exécutable est \90\Shared\sqladhelper.exe.

 

SQL Writer

SQLWriter

Permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume). Il existe une seule instance du service SQL Writer pour toutes les instances SQL Server sur le serveur.

Le chemin d'accès au fichier exécutable est \90\Shared\sqlwriter.exe.

 

1Pour plus d'informations sur la façon de vérifier que chaque autorisation Windows nécessaire est définie, consultez Procédure : vérifier les autorisations pour les services SQL Server.

Récapitulation des considérations supplémentaires

Le tableau qui suit indique les autorisations nécessaires pour que les services SQL Server soient en mesure de fournir des fonctionnalités supplémentaires.

Service/Application	Fonctionnalité	Autorisation requise
SQL Server (MSSQLSERVER)	Écrire sur MailSlot avec xp_sendmail.	Privilèges d'écriture sur le réseau.
SQL Server (MSSQLSERVER)	Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server.	Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus.
Agent SQL Server (MSSQLSERVER)	Utiliser la fonctionnalité de redémarrage automatique	Doit être membre du groupe local Administrateurs.
Assistant Paramétrage du moteur de base de données	Règle les bases de données pour des performances de requête optimales.	À la première utilisation, un utilisateur doté des privilèges d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs propriétaires de tables (utilisateurs dbo) peuvent utiliser l'Assistant Paramétrage du moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du moteur de base de données » dans la documentation en ligne de SQL Server 2005.

Important :
Avant toute mise à niveau vers SQL Server 2005, activez l'authentification Windows pour l'Agent SQL Server et vérifiez que le compte de service SQL Server Agent est membre du groupe SQL Server sysadmin.

Noms de services localisés

Le tableau ci-dessous indique les noms de services dans la version localisée de Microsoft Windows.

Langue	Nom du service local	Nom du service réseau	Nom du système local	Nom du groupe Admin
Anglais Chinois simplifié Chinois traditionnel Coréen Japonais	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Allemand	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Français	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrators
Italien	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Espagnol	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russe	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Voir aussi

Référence

Compte de service
Comptes de service (Clusters)

Concepts

Considérations sur la sécurité pour une installation SQL Server

Aide et Informations

Assistance sur SQL Server 2005

Historique des modifications

Version	Historique
12 décembre 2006	Contenu modifié : Des instructions de sécurité ont été ajoutées pour les comptes de service dans des configurations côte à côte. Mise à jour du type de démarrage et de l'état par défaut du service SQL Writer dans SQL Server 2005 SP2.
17 juillet 2006	Contenu modifié : Modification de la présentation et de l'organisation du contenu afin que la rubrique soit plus lisible. Ajout d'un lien vers un article de la Base de connaissances traitant de l'utilisation du complément Services afin de modifier les comptes de service de l'Agent SQL Server et de SQL Server. Ajout des noms de services localisés en russe.
5 décembre 2005	Contenu modifié : LocalService supprimé de la liste de comptes que l'Agent SQL Server peut utiliser. Mise à jour des groupes d'utilisateurs créés par le programme d'installation de SQL Server.