Configurar cuentas de servicio de Windows
Cada servicio de SQL Server representa un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Windows. En este tema se describe la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios SQL Server que se pueden establecer durante la instalación de SQL Server.
En función de los componentes que decida instalar, el programa de instalación de SQL Server instalará los servicios siguientes:
Servicios de bases de datos de SQL Server: servicio del Database Engine (Motor de base de datos) relacional de SQL Server.
Agente SQL Server: ejecuta trabajos, supervisa SQL Server, activa alertas y habilita la automatización de algunas tareas administrativas.
[!NOTA]
Para que SQL Server y el Agente SQL Server se ejecuten como servicios de Windows, SQL Server y el Agente SQL Server deben estar asignados a una cuenta de usuario de Windows. Para obtener más información acerca de cómo personalizar la información de cuentas para cada servicio, vea Cómo instalar SQL Server 2008 (programa de instalación).
Analysis Services: proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence.
Reporting Services: administra, ejecuta, crea, programa y envía informes.
Integration Services: proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration Services.
Explorador de SQL Server: servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente.
Búsqueda de texto completo: crea rápidamente índices de texto completo del contenido y de las propiedades de los datos estructurados y semiestructurados para permitir el filtrado de documentos y la separación de palabras en SQL Server.
Servicio auxiliar de Active Directory de SQL Server: publica y administra los servicios SQL Server en Active Directory.
Objeto de escritura de SQL: permite que las aplicaciones de copias de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS).
Importante Utilice siempre herramientas de SQL Server, como el Administrador de configuración de SQL Server, para cambiar la cuenta utilizada por los servicios SQL Server o del Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de la cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional, como establecer los permisos del Registro de Windows para que la nueva cuenta pueda leer la configuración de SQL Server. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no la configuración asociada. Si el servicio no puede obtener acceso a la parte de SQL Server del Registro, no se puede iniciar correctamente.
El resto de este tema se divide en las siguientes secciones:
Configurar el tipo de inicio del servicio
Usar las cuentas de inicio de los servicios SQL Server
Usar SID de servicio para los servicios de SQL Server
Identificar los servicios que reconocen y no reconocen instancias
Revisar los derechos y privilegios de NT concedidos a las cuentas de servicio de SQL Server
Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server
Revisar los permisos de Windows para los servicios SQL Server
Revisar consideraciones adicionales
Nombres de servicio traducidos
Configurar el tipo de inicio del servicio
Durante la instalación de SQL Server, puede configurar el tipo de inicio (deshabilitado, manual, o automático) para algunos servicios SQL Server. En la tabla siguiente se muestran los servicios SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.
Nombre de servicio SQL Server |
¿Configurable en el Asistente para la instalación? |
Modificadores para las instalaciones desatendidas1 |
---|---|---|
MSSQLSERVER |
Sí |
SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent2 |
Sí |
AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService |
Sí |
ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer |
Sí |
RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services |
Sí |
ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
1Para obtener más información y la sintaxis de ejemplo de las instalaciones desatendidas, vea Cómo instalar SQL Server 2008 desde el símbolo del sistema.
2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.
Usar las cuentas de inicio de los servicios SQL Server
Para poder iniciarse y ejecutarse, cada servicio SQL Server debe tener una cuenta de usuario que se configura durante la instalación. Las cuentas de inicio utilizadas para iniciar y ejecutar SQL Server pueden ser cuentas del sistema integradas, cuentas de usuario local o cuentas de usuario de dominio.
Cuenta de usuario de dominio
Si el servicio debe interactuar con servicios de red o tener acceso a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos. Muchas actividades de servidor a servidor sólo se pueden realizar con una cuenta de usuario de dominio. El administrador del dominio del entorno debe haber creado esta cuenta previamente.
Cuentas de usuario local
Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.
Cuenta de servicio local
La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de la red como una sesión nula sin credenciales. Tenga en cuenta que la cuenta de servicio local no se admite para los servicios SQL Server ni de Agente SQL Server. El nombre real de la cuenta es "NT AUTHORITY\SERVICIO LOCAL".
Cuenta de servicio de red
La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo. El nombre real de la cuenta es "NT AUTHORITY\SERVICIO DE RED".
Cuenta de sistema local
Sistema local es una cuenta integrada con un alto nivel de privilegios. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red. El nombre real de la cuenta es "NT AUTHORITY\SISTEMA".
Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:
Deshabilitado El servicio se ha instalado, pero no se ejecuta actualmente.
Manual: el servicio se ha instalado, pero sólo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.
Automático: el sistema operativo inicia automáticamente el servicio.
En la tabla siguiente, se muestran cuentas opcionales para cada servicio de SQL Server, así como los estados de inicio de cada uno de ellos.
Nombre de servicio SQL Server |
Cuentas opcionales |
Tipo de inicio |
Estado predeterminado después de la instalación |
---|---|---|---|
SQL Server |
SQL Server Express: Usuario de dominio, Sistema local, Servicio de red Resto de ediciones: Usuario de dominio, Sistema local, Servicio de red1 |
Automático1 |
Iniciado Solo se detiene si el usuario elige no ejecutar el inicio automático. |
Agente SQL Server |
Usuario de dominio, Sistema local, Servicio de red1 |
Manual1,2 Solo se inicia automáticamente si el usuario elige ejecutar el inicio automático |
Detenido Solo se inicia si el usuario elige ejecutar el inicio automático. |
Analysis Services |
Usuario de dominio, Servicio de red, Servicio local, Sistema local1 |
Automático1 |
Iniciado Solo se detiene si el usuario elige no ejecutar el inicio automático. |
Reporting Services |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Automático |
Iniciado Solo se detiene si el usuario decide no ejecutar el inicio automático. |
Integration Services |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Automático |
Iniciado Solo se detiene si el usuario decide no ejecutar el inicio automático. |
Búsqueda de texto completo |
Use una cuenta distinta de la cuenta del servicio SQL Server. De forma predeterminada, la cuenta será una cuenta de servicio local en Windows Server 2008 y Windows Vista. |
Automático |
Iniciado Solo se detiene si no se especifica una cuenta en Windows Server 2003 o Windows XP. |
Explorador de SQL Server |
Servicio local |
Deshabilitado3 Solo se inicia automáticamente si el usuario decide ejecutar el inicio automático. |
Detenido Solo se inicia si el usuario decide ejecutar el inicio automático. |
Servicio auxiliar de Active Directory de SQL Server |
Sistema local, Servicio de red |
Deshabilitado |
Detenido |
Objeto de escritura de SQL |
Sistema local |
Automático |
Iniciado |
Importante
1Para las configuraciones de clúster de conmutación por error, se ha de usar la cuenta de usuario de dominio y el tipo de inicio se establece en manual.
2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.
3De forma predeterminada, en las instalaciones de clúster de conmutación por error y las instancias con nombre, el Explorador de SQL Server se establece para iniciarse automáticamente cuando finaliza la instalación.
Nota de seguridad Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles. Utilice una cuenta de usuario o una cuenta de dominio concreta con privilegios bajos en lugar de una cuenta compartida para los servicios SQL Server. Utilice cuentas independientes para los diferentes servicios de SQL Server. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios SQL Server. Los permisos se concederán a través de la pertenencia a un grupo o se concederán directamente a un SID de servicio siempre que se admita su uso.
Configuraciones de servicio compatibles
SQL Server usa un grupo de seguridad para establecer las listas de control de acceso de los recursos en lugar de usar directamente la cuenta de servicio. De este modo, la cuenta de servicio puede modificarse sin necesidad de repetir el proceso en las listas de control de acceso de los recursos. El grupo de seguridad puede ser un grupo de seguridad local, un grupo de seguridad de dominio o un SID de servicio.
Durante la instalación de SQL Server, el programa de instalación de SQL Server crea un grupo de servicios para cada componente de SQL Server. Estos grupos simplifican la concesión de los permisos necesarios para ejecutar los servicios SQL Server y otros ejecutables, y ayudan a proteger los archivos de SQL Server.
En función de la configuración del servicio, la cuenta de servicio o el SID de servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.
SQL Server habilita un SID de servicio por cada uno de los servicios de los sistemas operativos Windows Server 2008 o Windows Vista de SQL Server 2008 para permitir el aislamiento del servicio y proporcionar una defensa optimizada. El SID de servicio se deriva del nombre del servicio y es único para ese servicio. Por ejemplo, el nombre de un SID de un servicio SQL Server podría ser NT Service\MSSQL$<NombreDeInstancia>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto. Mediante el uso de una entrada de control de acceso que contenga un SID de servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.
En la tabla siguiente se muestran las configuraciones de servicio compatibles para las instalaciones nuevas y actualizadas en Windows Server 2008 o Windows Vista.
Nueva instalación |
Actualización |
---|---|
|
|
En la tabla siguiente se muestran las configuraciones de servicio para las instalaciones nuevas y actualizadas en Windows Server 2003 o Windows XP.
Nueva instalación |
Actualización |
---|---|
|
|
En las instancias independientes de SQL Server de los sistemas operativos Windows Vista y Windows Server 2008, los SID de servicio se agregan al grupo de servicios y el SID de servicio de Motor SQL Server y Agente SQL Server se agrega como inicio de sesión en la función de servidor de Sysadmin.
De manera predeterminada, en las instancias de clúster de conmutación por error de SQL Server de los sistemas operativos Windows Vista y Windows Server 2008, el programa de instalación de SQL Server usa el SID de servicio y establece las listas de control de acceso de los recursos del sistema operativo y SQL Server en el SID de servicio.
[!NOTA]
Para usar grupos de dominios en un clúster de conmutación por error de SQL Server, estos deben crearse antes de ejecutar el programa de instalación. Conviene usar grupos de dominios únicos cuando se instalan servicios SQL Server en un clúster de conmutación por error de SQL Server.
Cambiar las propiedades de las cuentas
Para cambiar las cuentas de servicio, la contraseña, el tipo de inicio del servicio u otras propiedades de cualquier servicio relacionado con SQL Server, use el Administrador de configuración de SQL Server. Para los servicios de informes, use la herramienta de configuración de Reporting Services. Tenga en cuenta que por el hecho de cambiar el nombre de la instancia de SQL Server, no se cambia el nombre de los grupos de seguridad de SQL Server. Los grupos de seguridad seguirán funcionando con los nombres antiguos después de la operación de cambio de nombre.
Identificar los servicios que reconocen y no reconocen instancias
Los servicios que reconocen instancias se asocian a una instancia específica de SQL Server y tienen su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.
Entre los servicios que reconocen instancias en SQL Server se incluyen los siguientes:
SQL Server
Agente SQL Server
Tenga en cuenta que el Agente SQL Server se deshabilita en instancias de SQL Server Express y SQL Server Express con Advanced Services.
Analysis Services
Reporting Services
Búsqueda de texto completo
Entre los servicios que no reconocen instancias en SQL Server se incluyen los siguientes:
Integration Services
Explorador de SQL Server
Servicio auxiliar de Active Directory de SQL Server
Objeto de escritura de SQL
Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio SQL Server
En la tabla siguiente se muestran los grupos de usuarios creados por el programa de instalación de SQL Server a los que se les concede derechos de usuario de Windows NT específicos.
Servicio SQL Server |
Grupo de usuarios |
Permisos concedidos de forma predeterminada por el programa de instalación de SQL Server |
---|---|---|
SQL Server |
Instancia predeterminada: SQLServerMSSQLUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerMSSQLUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight)1 Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege) Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server Permiso para iniciar el objeto de escritura de SQL Permiso para leer el servicio Registro de eventos Permiso para leer el servicio Llamada a procedimiento remoto
Importante
En las instancias de SQL Server de Windows Vista y versiones posteriores, los derechos de usuario Iniciar sesión como servicio, Reemplazar un token de nivel de proceso, Omitir la comprobación transversal y Ajustar las cuotas de memoria de un proceso se conceden al SID de servicio de SQL Server.
|
Agente SQL Server3 |
Instancia predeterminada: SQLServerSQLAgentUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerSQLAgentUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege) |
Analysis Services |
Instancia predeterminada: SQLServerMSASUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerMSASUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) |
SSRS |
Instancia predeterminada: SQLServerReportServerUser$nombreDeEquipo$MSRS10.MSSQLSERVER Instancia con nombre: SQLServerReportServerUser$nombreDeEquipo$MSRS10.nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) |
Integration Services |
Instancia predeterminada o con nombre: SQLServerDTSUser$nombreDeEquipo |
Iniciar sesión como servicio (SeServiceLogonRight) Permiso para escribir en el registro de eventos de la aplicación Omitir la comprobación transversal (SeChangeNotifyPrivilege) Suplantar un cliente después de la autenticación (SeImpersonatePrivilege) |
Búsqueda de texto completo |
Instancia predeterminada: SQLServerFDHostUser$nombreDeEquipo$MSSQL10.MSSQLSERVER Instancia con nombre: SQLServerFDHostUser$nombreDeEquipo$MSSQL10nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight)
Importante
En las instancias de SQL Server de Windows Vista y versiones posteriores, el permiso Iniciar sesión como servicio se concede al SID de servicio del iniciador de FD.
|
SQL Server Browser |
Instancia predeterminada o con nombre: SQLServerSQLBrowserUser$nombreDeEquipo |
Iniciar sesión como servicio (SeServiceLogonRight) |
Servicio auxiliar de Active Directory de SQL Server |
Instancia predeterminada o con nombre: SQLServerMSSQLServerADHelperUser$nombreDeEquipo |
Ninguno2 |
Objeto de escritura de SQL |
N/A |
Ninguno2 |
1Este permiso se concede de forma predeterminada a todos los servicios de SQL Server.
El programa de instalación de 2SQL Server no comprueba ni concede permisos para este servicio.
3El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.
Revisar las listas de control de acceso creadas por las cuentas de servicio SQL Server
Las cuentas de servicio SQL Server deben tener acceso a los recursos. Las listas de control de acceso se definen en el nivel de grupo de usuarios.
Importante |
---|
En las instalaciones de clúster de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local. |
En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL Server:
Cuenta de servicio1 para |
Archivos y carpetas |
Acceso |
---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Control total |
|
Instid\MSSQL\binn |
Lectura, Ejecución |
|
Instid\MSSQL\data |
Control total |
|
Instid\MSSQL\FTData |
Control total |
|
Instid\MSSQL\Install |
Lectura, Ejecución |
|
Instid\MSSQL\Log |
Control total |
|
Instid\MSSQL\Repldata |
Control total |
|
100\shared |
Lectura, Ejecución |
|
Instid\MSSQL\Template Data (solo SQL Server Express) |
Lectura |
SQLServerAgent2 |
Instid\MSSQL\binn |
Control total |
|
Instid\MSSQL\binn |
Control total |
|
Instid\MSSQL\Log |
Lectura, Escritura, Eliminación, Ejecución |
|
100\com |
Lectura, Ejecución |
|
100\shared |
Lectura, Ejecución |
|
100\shared\Errordumps |
Lectura, Escritura |
ServerName\EventLog |
Control total |
|
FTS |
Instid\MSSQL\FTData |
Control total |
|
Instid\MSSQL\FTRef |
Lectura, Ejecución |
|
100\shared |
Lectura, Ejecución |
|
100\shared\Errordumps |
Lectura, Escritura |
|
Instid\MSSQL\Install |
Lectura, Ejecución |
Instid\MSSQL\jobs |
Lectura, Escritura |
|
MSSQLServerOLAPService |
100\shared\ASConfig |
Control total |
|
Instid\OLAP |
Lectura, Ejecución |
|
Instid\Olap\Data |
Control total |
|
Instid\Olap\Log |
Lectura, Escritura |
|
Instid\OLAP\Backup |
Lectura, Escritura |
|
Instid\OLAP\Temp |
Lectura, Escritura |
|
100\shared\Errordumps |
Lectura, Escritura |
SQLServerReportServerUser |
Instid\Reporting Services\Log Files |
Lectura, Escritura, Eliminación |
|
Instid\Reporting Services\ReportServer |
Lectura, Ejecución |
|
Instid\Reportingservices\Reportserver\global.asax |
Control total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lectura |
|
Instid\Reporting Services\reportManager |
Lectura, Ejecución |
|
Instid\Reporting Services\RSTempfiles |
Lectura, Escritura, Ejecución, Eliminación |
|
100\shared |
Lectura, Ejecución |
|
100\shared\Errordumps |
Lectura, Escritura |
MSDTSServer100 |
100\dts\binn\MsDtsSrvr.ini.xml |
Lectura |
|
100\dts\binn |
Lectura, Ejecución |
|
100\shared |
Lectura, Ejecución |
|
100\shared\Errordumps |
Lectura, Escritura |
Explorador SQL Server |
100\shared\ASConfig |
Lectura |
|
100\shared |
Lectura, Ejecución |
|
100\shared\Errordumps |
Lectura, Escritura |
MSADHelper |
N/D (Se ejecuta en la cuenta de servicio de red) |
|
SQLWriter |
N/D (Se ejecuta como sistema local) |
|
Usuario |
Instid\MSSQL\binn |
Lectura, Ejecución |
|
Instid\Reporting Services\ReportServer |
Lectura, Ejecución, Mostrar el contenido de la carpeta |
|
Instid\Reportingservices\Reportserver\global.asax |
Lectura |
|
Instid\Reporting Services\ReportManager |
Lectura, Ejecución |
|
Instid\Reporting Services\ReportManager\pages |
Lectura |
|
Instid\Reporting Services\ReportManager\Styles |
Lectura |
|
100\dts |
Lectura, Ejecución |
|
100\tools |
Lectura, Ejecución |
|
90\tools |
Lectura, Ejecución |
|
80\tools |
Lectura, Ejecución |
|
100\sdk |
Lectura |
|
Microsoft SQL Server\100\Setup Bootstrap |
Lectura, Ejecución |
1 En los sistemas operativos Windows Vista y Windows Server 2008, en el caso de la instalación de clúster de conmutación por error de SQL Server o en la instalación de SQL Server en un controlador de dominio, las listas de control de acceso se establecerán en el SID de servicio de SQL Server en lugar de en el grupo de servicios SQL Server.
2 El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.
Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas o a otras cuentas de servicio de SQL Server. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL Server:
Componente que realiza la solicitud |
Cuenta |
Recurso |
Permisos |
---|---|---|---|
MSSQLServer |
Usuarios del registro de rendimiento |
Instid\MSSQL\binn |
Mostrar el contenido de la carpeta |
|
Usuarios del monitor de sistema |
Instid\MSSQL\binn |
Mostrar el contenido de la carpeta |
|
Usuarios del registro de rendimiento, Usuarios del monitor de sistema |
\WINNT\system32\sqlctr100.dll |
Lectura, Ejecución |
|
Sólo el administrador |
\\.\root\Microsoft\SqlServer\ServerEvents\<nombreDeInstanciaDeSQL>1 |
Control total |
|
Administradores, sistema |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Control total |
|
Usuarios |
\tools\binn\schemas\sqlserver\2004\07\showplan |
Lectura, Ejecución |
Reporting Services |
<Cuenta de servicio web del servidor de informes> |
<instalación>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Identidad del grupo de aplicaciones del Administrador de informes, cuenta ASP.NET, Todos |
<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lectura |
|
Identidad del grupo de aplicaciones del Administrador de informes |
<instalación>\Reporting Services\ReportManager\Pages\*.* |
Lectura |
|
<Cuenta de servicio Web del servidor de informes> |
<instalación>\Reporting Services\ReportServer |
Lectura |
|
<Cuenta de servicio Web del servidor de informes> |
<instalación>\Reporting Services\ReportServer\global.asax |
Completo |
|
Todos |
<instalación>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Servicio de red |
<install>\Reporting Services\ReportServer\ReportService.asmx |
Completo |
|
Todos |
<install>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Cuenta de servicios de Windows ReportServer |
<instalación>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Todos |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Enumerar subclaves Notificar Controles de lectura |
|
Usuario de Terminal Services |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Establecer valor Crear subclave Enumerar subclave Notificar Eliminar Controles de lectura |
|
Usuarios avanzados |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Establecer valor Crear subclave Enumerar subclaves Notificar Eliminar Controles de lectura |
1Éste es el espacio de nombres del proveedor WMI.
Revisar los permisos de Windows para los Servicios de SQL Server
En la tabla siguiente, se muestran los nombres de servicio, el término que se usa para hacer referencia a las instancias predeterminada y con nombre de los servicios de SQL Server, una descripción de la función del servicio y los permisos mínimos necesarios.
Nombre para mostrar |
Nombre del servicio |
Descripción |
Permisos necesarios |
---|---|---|---|
SQL Server (nombreDeInstancia) |
Instancia predeterminada: MSSQLSERVER Instancia con nombre: MSSQL$nombreDeInstancia |
SQL Server Database Engine (Motor de base de datos de SQL Server). La ruta de acceso del archivo ejecutable es \MSSQL\Binn\sqlservr.exe. |
Se recomienda usar una cuenta de usuario local o de usuario de dominio. Iniciar sesión como servicio (SeServiceLogonRight).1 Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege). Omitir la comprobación transversal (SeChangeNotifyPrivilege). Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege). Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server. Permiso para iniciar el objeto de escritura de SQL. Permiso para leer el servicio Registro de eventos. Permiso para leer el servicio Llamada a procedimiento remoto.
Permisos mínimosFuncionalidad
Cuenta de inicio del servicio MSSQLServer
La cuenta debe estar en la lista de cuentas que tienen los permisos para mostrar carpetas en la unidad de disco raíz donde está instalado SQL Server. También debe estar en la raíz de cualquier otra unidad de disco donde se almacenen archivos de SQL Server.
Nota
Las subcarpetas no tienen que heredar los permisos "Mostrar lista de carpetas" de la unidad raíz.
Cuenta de inicio del servicio MSSQLServerLa cuenta debe tener permisos Control total en todas las carpetas donde se vayan a almacenar los archivos de datos o de registro (.mdf, .ndf, .ldf).
|
Agente SQL Server (NombreDeInstancia)1 |
Instancia predeterminada: SQLServerAgent Instancia con nombre: SQLAgent$nombreDeInstancia |
Ejecuta trabajos, supervisa SQL Server, activa alertas y habilita la automatización de algunas tareas administrativas. La ruta de acceso del archivo ejecutable es \MSSQL\Binn\sqlagent.exe. |
Permisos mínimosFuncionalidad
La cuenta debe ser miembro de la función fija de servidor sysadmin.
La cuenta debe tener los siguientes permisos de Windows:Iniciar sesión como servicio. Reemplazar un token de nivel de proceso. Ajustar las cuotas de memoria de un proceso. Omitir la comprobación transversal.
|
Servicios Analysis Services (nombreDeInstancia) |
Instancia predeterminada: MSSQLServerOLAPService Instancia con nombre: MSOLAP$nombreDeInstancia |
El servicio que proporciona proceso analítico en línea (OLAP) y funcionalidad de minería de datos a las aplicaciones de inteligencia empresarial. La ruta de acceso del archivo ejecutable es \OLAP\Bin\msmdsrv.exe. |
|
Reporting Services |
Instancia predeterminada: ReportServer Instancia con nombre: ReportServer$nombreDeInstancia |
Administra, ejecuta, crea, programa y envía informes. La ruta de acceso del archivo ejecutable es \Reporting Services\ReportServer\Bin\ReportingServicesService.exe. |
|
Integration Services |
Instancia predeterminada o con nombre: MSDTSServer |
Proporcionar compatibilidad de administración para el almacenamiento y la ejecución de un paquete de Integration Services. La ruta de acceso del archivo ejecutable es \DTS\Binn\msdtssrvr.exe. |
|
Búsqueda de texto completo |
Instancia predeterminada o con nombre: selector de demonio de filtro de texto completo de SQL |
Servicio que iniciará el proceso del demonio de filtro de texto completo, el cual realizará el filtrado de documentos y la separación de palabras para la búsqueda de texto completo de SQL Server. |
|
Explorador de SQL Server |
Instancia predeterminada o con nombre: SQLBrowser |
El servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. Este servicio lo comparten varias instancias de SQL Server y de SSIS. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqlbrowser.exe. |
|
Servicio auxiliar de Active Directory de SQL Server |
Instancia predeterminada o con nombre: MSSQLServerADHelper. |
Publica y administra servicios de SQL Server en Windows Active Directory. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqladhelper.exe. |
|
Objeto de escritura de SQL |
SQLWriter |
Permite que las aplicaciones de copia de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS). Hay una sola instancia del servicio Objeto de escritura de SQL para todas las instancias de SQL Server en el servidor. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqlwriter.exe. |
|
1El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.
Revisar consideraciones adicionales
En la tabla siguiente, se muestran los permisos que necesitan los servicios de SQL Server para proporcionar una funcionalidad adicional.
Servicio/Aplicación |
Funcionalidad |
Permiso necesario |
---|---|---|
SQL Server (MSSQLSERVER) |
Escribir en un buzón de correo mediante xp_sendmail. |
Permisos de escritura de la red. |
SQL Server (MSSQLSERVER) |
Ejecutar xp_cmdshell para un usuario que no sea administrador de SQL Server. |
Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso. |
Agente SQL Server (MSSQLSERVER) |
Usar la característica de reinicio automático. |
Miembro del grupo local Administrators. |
Asistente para la optimización de Database Engine (Motor de base de datos) |
Optimizar las bases de datos para un rendimiento óptimo de las consultas. |
Al utilizarla por primera vez, un usuario que tenga credenciales administrativas del sistema debe inicializar la aplicación. Después de la inicialización, los usuarios de dbo pueden usar el Asistente para la optimización del Database Engine (Motor de base de datos) para optimizar solo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema que trata sobre cómo inicializar el Asistente para la optimización del Database Engine (Motor de base de datos) en los Libros en pantalla de SQL Server. |
Importante |
---|
Antes de actualizar SQL Server, habilite la autenticación de Windows para el Agente SQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL Server sea miembro del grupo sysadmin de SQL Server. |
Nombres de servicio traducidos
En la tabla siguiente se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.
Idioma |
Nombre de Servicio local |
Nombre de Servicio de red |
Nombre del sistema local |
Nombre del grupo de administradores |
---|---|---|---|---|
Inglés Chino simplificado Chino tradicional Coreano Japonés |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Alemán |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francés |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Italiano |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Español |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Ruso |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
Historial de cambios
Contenido actualizado |
---|
Se ha agregado a la sección Introducción una nota relacionada con las herramientas que se usan para configurar o cambiar la configuración de las cuentas para los servicios de SQL Server 2008. |
Se han actualizado los parámetros para la instalación desatendida en la tabla Configurar el tipo de inicio del servicio. |
En la tabla de la sección Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio SQL Server, se han agregado alertas para aclarar los permisos concedidos a los SID de servicio. |
Vea también