Artículo
01/24/2011

Configurar cuentas de servicio de Windows

Cada servicio de SQL Server representa un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Windows. En este tema se describe la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios SQL Server que se pueden establecer durante la instalación de SQL Server.

En función de los componentes que decida instalar, el programa de instalación de SQL Server instalará los servicios siguientes:

Servicios de bases de datos de SQL Server: servicio del Database Engine (Motor de base de datos) relacional de SQL Server.
Agente SQL Server: ejecuta trabajos, supervisa SQL Server, activa alertas y habilita la automatización de algunas tareas administrativas.

[!NOTA]

Para que SQL Server y el Agente SQL Server se ejecuten como servicios de Windows, SQL Server y el Agente SQL Server deben estar asignados a una cuenta de usuario de Windows. Para obtener más información acerca de cómo personalizar la información de cuentas para cada servicio, vea Cómo instalar SQL Server 2008 (programa de instalación).
Analysis Services: proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence.
Reporting Services: administra, ejecuta, crea, programa y envía informes.
Integration Services: proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration Services.
Explorador de SQL Server: servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente.
Búsqueda de texto completo: crea rápidamente índices de texto completo del contenido y de las propiedades de los datos estructurados y semiestructurados para permitir el filtrado de documentos y la separación de palabras en SQL Server.
Servicio auxiliar de Active Directory de SQL Server: publica y administra los servicios SQL Server en Active Directory.

Objeto de escritura de SQL: permite que las aplicaciones de copias de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS).

Importante
Utilice siempre herramientas de SQL Server, como el Administrador de configuración de SQL Server, para cambiar la cuenta utilizada por los servicios SQL Server o del Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de la cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional, como establecer los permisos del Registro de Windows para que la nueva cuenta pueda leer la configuración de SQL Server. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no la configuración asociada. Si el servicio no puede obtener acceso a la parte de SQL Server del Registro, no se puede iniciar correctamente.

Utilice siempre herramientas de SQL Server, como el Administrador de configuración de SQL Server, para cambiar la cuenta utilizada por los servicios SQL Server o del Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de la cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional, como establecer los permisos del Registro de Windows para que la nueva cuenta pueda leer la configuración de SQL Server. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no la configuración asociada. Si el servicio no puede obtener acceso a la parte de SQL Server del Registro, no se puede iniciar correctamente.

El resto de este tema se divide en las siguientes secciones:

Configurar el tipo de inicio del servicio
Usar las cuentas de inicio de los servicios SQL Server
Usar SID de servicio para los servicios de SQL Server
Identificar los servicios que reconocen y no reconocen instancias
Revisar los derechos y privilegios de NT concedidos a las cuentas de servicio de SQL Server
Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server
Revisar los permisos de Windows para los servicios SQL Server
Revisar consideraciones adicionales
Nombres de servicio traducidos

Configurar el tipo de inicio del servicio

Durante la instalación de SQL Server, puede configurar el tipo de inicio (deshabilitado, manual, o automático) para algunos servicios SQL Server. En la tabla siguiente se muestran los servicios SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.

Nombre de servicio SQL Server	¿Configurable en el Asistente para la instalación?	Modificadores para las instalaciones desatendidas1
MSSQLSERVER	Sí	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	Sí	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	Sí	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	Sí	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	Sí	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Para obtener más información y la sintaxis de ejemplo de las instalaciones desatendidas, vea Cómo instalar SQL Server 2008 desde el símbolo del sistema.

2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Usar las cuentas de inicio de los servicios SQL Server

Para poder iniciarse y ejecutarse, cada servicio SQL Server debe tener una cuenta de usuario que se configura durante la instalación. Las cuentas de inicio utilizadas para iniciar y ejecutar SQL Server pueden ser cuentas del sistema integradas, cuentas de usuario local o cuentas de usuario de dominio.

Cuenta de usuario de dominio

Si el servicio debe interactuar con servicios de red o tener acceso a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos. Muchas actividades de servidor a servidor sólo se pueden realizar con una cuenta de usuario de dominio. El administrador del dominio del entorno debe haber creado esta cuenta previamente.

Cuentas de usuario local

Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.

Cuenta de servicio local

La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de la red como una sesión nula sin credenciales. Tenga en cuenta que la cuenta de servicio local no se admite para los servicios SQL Server ni de Agente SQL Server. El nombre real de la cuenta es "NT AUTHORITY\SERVICIO LOCAL".

Cuenta de servicio de red

La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo. El nombre real de la cuenta es "NT AUTHORITY\SERVICIO DE RED".

Cuenta de sistema local

Sistema local es una cuenta integrada con un alto nivel de privilegios. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red. El nombre real de la cuenta es "NT AUTHORITY\SISTEMA".

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:

Deshabilitado El servicio se ha instalado, pero no se ejecuta actualmente.
Manual: el servicio se ha instalado, pero sólo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.
Automático: el sistema operativo inicia automáticamente el servicio.

En la tabla siguiente, se muestran cuentas opcionales para cada servicio de SQL Server, así como los estados de inicio de cada uno de ellos.

Nombre de servicio SQL Server	Cuentas opcionales	Tipo de inicio	Estado predeterminado después de la instalación
SQL Server	SQL Server Express: Usuario de dominio, Sistema local, Servicio de red Resto de ediciones: Usuario de dominio, Sistema local, Servicio de red1	Automático1	Iniciado Solo se detiene si el usuario elige no ejecutar el inicio automático.
Agente SQL Server	Usuario de dominio, Sistema local, Servicio de red1	Manual1,2 Solo se inicia automáticamente si el usuario elige ejecutar el inicio automático	Detenido Solo se inicia si el usuario elige ejecutar el inicio automático.
Analysis Services	Usuario de dominio, Servicio de red, Servicio local, Sistema local1	Automático1	Iniciado Solo se detiene si el usuario elige no ejecutar el inicio automático.
Reporting Services	Usuario de dominio, Sistema local, Servicio de red, Servicio local	Automático	Iniciado Solo se detiene si el usuario decide no ejecutar el inicio automático.
Integration Services	Usuario de dominio, Sistema local, Servicio de red, Servicio local	Automático	Iniciado Solo se detiene si el usuario decide no ejecutar el inicio automático.
Búsqueda de texto completo	Use una cuenta distinta de la cuenta del servicio SQL Server. De forma predeterminada, la cuenta será una cuenta de servicio local en Windows Server 2008 y Windows Vista.	Automático	Iniciado Solo se detiene si no se especifica una cuenta en Windows Server 2003 o Windows XP.
Explorador de SQL Server	Servicio local	Deshabilitado3 Solo se inicia automáticamente si el usuario decide ejecutar el inicio automático.	Detenido Solo se inicia si el usuario decide ejecutar el inicio automático.
Servicio auxiliar de Active Directory de SQL Server	Sistema local, Servicio de red	Deshabilitado	Detenido
Objeto de escritura de SQL	Sistema local	Automático	Iniciado

Importante

1Para las configuraciones de clúster de conmutación por error, se ha de usar la cuenta de usuario de dominio y el tipo de inicio se establece en manual.

2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

3De forma predeterminada, en las instalaciones de clúster de conmutación por error y las instancias con nombre, el Explorador de SQL Server se establece para iniciarse automáticamente cuando finaliza la instalación.

Nota de seguridad Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles. Utilice una cuenta de usuario o una cuenta de dominio concreta con privilegios bajos en lugar de una cuenta compartida para los servicios SQL Server. Utilice cuentas independientes para los diferentes servicios de SQL Server. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios SQL Server. Los permisos se concederán a través de la pertenencia a un grupo o se concederán directamente a un SID de servicio siempre que se admita su uso.

Configuraciones de servicio compatibles

SQL Server usa un grupo de seguridad para establecer las listas de control de acceso de los recursos en lugar de usar directamente la cuenta de servicio. De este modo, la cuenta de servicio puede modificarse sin necesidad de repetir el proceso en las listas de control de acceso de los recursos. El grupo de seguridad puede ser un grupo de seguridad local, un grupo de seguridad de dominio o un SID de servicio.

Durante la instalación de SQL Server, el programa de instalación de SQL Server crea un grupo de servicios para cada componente de SQL Server. Estos grupos simplifican la concesión de los permisos necesarios para ejecutar los servicios SQL Server y otros ejecutables, y ayudan a proteger los archivos de SQL Server.

En función de la configuración del servicio, la cuenta de servicio o el SID de servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.

SQL Server habilita un SID de servicio por cada uno de los servicios de los sistemas operativos Windows Server 2008 o Windows Vista de SQL Server 2008 para permitir el aislamiento del servicio y proporcionar una defensa optimizada. El SID de servicio se deriva del nombre del servicio y es único para ese servicio. Por ejemplo, el nombre de un SID de un servicio SQL Server podría ser NT Service\MSSQL$<NombreDeInstancia>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto. Mediante el uso de una entrada de control de acceso que contenga un SID de servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.

En la tabla siguiente se muestran las configuraciones de servicio compatibles para las instalaciones nuevas y actualizadas en Windows Server 2008 o Windows Vista.

Nueva instalación	Actualización
Instancia independiente - Grupo de servicios con SID de servicio Instancia de clúster de conmutación por error - SID de servicio Instancia de clúster de conmutación por error - Grupo de servicios de dominio Controlador de dominio - SID de servicio Controlador de dominio - Grupo de servicios con cuenta de servicio	Instancia independiente - Grupo de servicios de dominio con SID de servicio Instancia de clúster de conmutación por error - Grupo de servicios de dominio con cuenta de servicio

En la tabla siguiente se muestran las configuraciones de servicio para las instalaciones nuevas y actualizadas en Windows Server 2003 o Windows XP.

Nueva instalación	Actualización
Instancia independiente - Grupo de servicios con cuenta de servicio Instancia de clúster de conmutación por error - Grupo de servicios de dominio con cuenta de servicio Controlador de dominio - Grupo de servicios con cuenta de servicio	Instancia independiente - Grupo de servicios de dominio con cuenta de servicio Instancia de clúster de conmutación por error - Grupo de servicios de dominio con cuenta de servicio

En las instancias independientes de SQL Server de los sistemas operativos Windows Vista y Windows Server 2008, los SID de servicio se agregan al grupo de servicios y el SID de servicio de Motor SQL Server y Agente SQL Server se agrega como inicio de sesión en la función de servidor de Sysadmin.

De manera predeterminada, en las instancias de clúster de conmutación por error de SQL Server de los sistemas operativos Windows Vista y Windows Server 2008, el programa de instalación de SQL Server usa el SID de servicio y establece las listas de control de acceso de los recursos del sistema operativo y SQL Server en el SID de servicio.

[!NOTA]

Para usar grupos de dominios en un clúster de conmutación por error de SQL Server, estos deben crearse antes de ejecutar el programa de instalación. Conviene usar grupos de dominios únicos cuando se instalan servicios SQL Server en un clúster de conmutación por error de SQL Server.

Cambiar las propiedades de las cuentas

Para cambiar las cuentas de servicio, la contraseña, el tipo de inicio del servicio u otras propiedades de cualquier servicio relacionado con SQL Server, use el Administrador de configuración de SQL Server. Para los servicios de informes, use la herramienta de configuración de Reporting Services. Tenga en cuenta que por el hecho de cambiar el nombre de la instancia de SQL Server, no se cambia el nombre de los grupos de seguridad de SQL Server. Los grupos de seguridad seguirán funcionando con los nombres antiguos después de la operación de cambio de nombre.

Identificar los servicios que reconocen y no reconocen instancias

Los servicios que reconocen instancias se asocian a una instancia específica de SQL Server y tienen su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.

Entre los servicios que reconocen instancias en SQL Server se incluyen los siguientes:

SQL Server
Agente SQL Server

Tenga en cuenta que el Agente SQL Server se deshabilita en instancias de SQL Server Express y SQL Server Express con Advanced Services.
Analysis Services
Reporting Services
Búsqueda de texto completo

Entre los servicios que no reconocen instancias en SQL Server se incluyen los siguientes:

Integration Services
Explorador de SQL Server
Servicio auxiliar de Active Directory de SQL Server
Objeto de escritura de SQL

Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio SQL Server

En la tabla siguiente se muestran los grupos de usuarios creados por el programa de instalación de SQL Server a los que se les concede derechos de usuario de Windows NT específicos.

Servicio SQL Server	Grupo de usuarios	Permisos concedidos de forma predeterminada por el programa de instalación de SQL Server
SQL Server	Instancia predeterminada: SQLServerMSSQLUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerMSSQLUser$nombreDeEquipo$nombreDeInstancia	Iniciar sesión como servicio (SeServiceLogonRight)1 Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege) Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server Permiso para iniciar el objeto de escritura de SQL Permiso para leer el servicio Registro de eventos Permiso para leer el servicio Llamada a procedimiento remoto Importante En las instancias de SQL Server de Windows Vista y versiones posteriores, los derechos de usuario Iniciar sesión como servicio, Reemplazar un token de nivel de proceso, Omitir la comprobación transversal y Ajustar las cuotas de memoria de un proceso se conceden al SID de servicio de SQL Server.
Agente SQL Server3	Instancia predeterminada: SQLServerSQLAgentUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerSQLAgentUser$nombreDeEquipo$nombreDeInstancia	Iniciar sesión como servicio (SeServiceLogonRight) Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)
Analysis Services	Instancia predeterminada: SQLServerMSASUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServerMSASUser$nombreDeEquipo$nombreDeInstancia	Iniciar sesión como servicio (SeServiceLogonRight)
SSRS	Instancia predeterminada: SQLServerReportServerUser$nombreDeEquipo$MSRS10.MSSQLSERVER Instancia con nombre: SQLServerReportServerUser$nombreDeEquipo$MSRS10.nombreDeInstancia	Iniciar sesión como servicio (SeServiceLogonRight)
Integration Services	Instancia predeterminada o con nombre: SQLServerDTSUser$nombreDeEquipo	Iniciar sesión como servicio (SeServiceLogonRight) Permiso para escribir en el registro de eventos de la aplicación Omitir la comprobación transversal (SeChangeNotifyPrivilege) Suplantar un cliente después de la autenticación (SeImpersonatePrivilege)
Búsqueda de texto completo	Instancia predeterminada: SQLServerFDHostUser$nombreDeEquipo$MSSQL10.MSSQLSERVER Instancia con nombre: SQLServerFDHostUser$nombreDeEquipo$MSSQL10nombreDeInstancia	Iniciar sesión como servicio (SeServiceLogonRight) Importante En las instancias de SQL Server de Windows Vista y versiones posteriores, el permiso Iniciar sesión como servicio se concede al SID de servicio del iniciador de FD.
SQL Server Browser	Instancia predeterminada o con nombre: SQLServerSQLBrowserUser$nombreDeEquipo	Iniciar sesión como servicio (SeServiceLogonRight)
Servicio auxiliar de Active Directory de SQL Server	Instancia predeterminada o con nombre: SQLServerMSSQLServerADHelperUser$nombreDeEquipo	Ninguno2
Objeto de escritura de SQL	N/A	Ninguno2

1Este permiso se concede de forma predeterminada a todos los servicios de SQL Server.

El programa de instalación de 2SQL Server no comprueba ni concede permisos para este servicio.

3El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Revisar las listas de control de acceso creadas por las cuentas de servicio SQL Server

Las cuentas de servicio SQL Server deben tener acceso a los recursos. Las listas de control de acceso se definen en el nivel de grupo de usuarios.

Importante
En las instalaciones de clúster de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local.

En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL Server:

Cuenta de servicio1 para	Archivos y carpetas	Acceso
MSSQLServer	Instid\MSSQL\backup	Control total
	Instid\MSSQL\binn	Lectura, Ejecución
	Instid\MSSQL\data	Control total
	Instid\MSSQL\FTData	Control total
	Instid\MSSQL\Install	Lectura, Ejecución
	Instid\MSSQL\Log	Control total
	Instid\MSSQL\Repldata	Control total
	100\shared	Lectura, Ejecución
	Instid\MSSQL\Template Data (solo SQL Server Express)	Lectura
SQLServerAgent2	Instid\MSSQL\binn	Control total
	Instid\MSSQL\binn	Control total
	Instid\MSSQL\Log	Lectura, Escritura, Eliminación, Ejecución
	100\com	Lectura, Ejecución
	100\shared	Lectura, Ejecución
	100\shared\Errordumps	Lectura, Escritura
	ServerName\EventLog	Control total
FTS	Instid\MSSQL\FTData	Control total
	Instid\MSSQL\FTRef	Lectura, Ejecución
	100\shared	Lectura, Ejecución
	100\shared\Errordumps	Lectura, Escritura
	Instid\MSSQL\Install	Lectura, Ejecución
	Instid\MSSQL\jobs	Lectura, Escritura
MSSQLServerOLAPService	100\shared\ASConfig	Control total
	Instid\OLAP	Lectura, Ejecución
	Instid\Olap\Data	Control total
	Instid\Olap\Log	Lectura, Escritura
	Instid\OLAP\Backup	Lectura, Escritura
	Instid\OLAP\Temp	Lectura, Escritura
	100\shared\Errordumps	Lectura, Escritura
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Lectura, Escritura, Eliminación
	Instid\Reporting Services\ReportServer	Lectura, Ejecución
	Instid\Reportingservices\Reportserver\global.asax	Control total
	Instid\Reportingservices\Reportserver\Reportserver.config	Lectura
	Instid\Reporting Services\reportManager	Lectura, Ejecución
	Instid\Reporting Services\RSTempfiles	Lectura, Escritura, Ejecución, Eliminación
	100\shared	Lectura, Ejecución
	100\shared\Errordumps	Lectura, Escritura
MSDTSServer100	100\dts\binn\MsDtsSrvr.ini.xml	Lectura
	100\dts\binn	Lectura, Ejecución
	100\shared	Lectura, Ejecución
	100\shared\Errordumps	Lectura, Escritura
Explorador SQL Server	100\shared\ASConfig	Lectura
	100\shared	Lectura, Ejecución
	100\shared\Errordumps	Lectura, Escritura
MSADHelper	N/D (Se ejecuta en la cuenta de servicio de red)
SQLWriter	N/D (Se ejecuta como sistema local)
Usuario	Instid\MSSQL\binn	Lectura, Ejecución
	Instid\Reporting Services\ReportServer	Lectura, Ejecución, Mostrar el contenido de la carpeta
	Instid\Reportingservices\Reportserver\global.asax	Lectura
	Instid\Reporting Services\ReportManager	Lectura, Ejecución
	Instid\Reporting Services\ReportManager\pages	Lectura
	Instid\Reporting Services\ReportManager\Styles	Lectura
	100\dts	Lectura, Ejecución
	100\tools	Lectura, Ejecución
	90\tools	Lectura, Ejecución
	80\tools	Lectura, Ejecución
	100\sdk	Lectura
	Microsoft SQL Server\100\Setup Bootstrap	Lectura, Ejecución

1 En los sistemas operativos Windows Vista y Windows Server 2008, en el caso de la instalación de clúster de conmutación por error de SQL Server o en la instalación de SQL Server en un controlador de dominio, las listas de control de acceso se establecerán en el SID de servicio de SQL Server en lugar de en el grupo de servicios SQL Server.

2 El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas o a otras cuentas de servicio de SQL Server. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL Server:

Componente que realiza la solicitud	Cuenta	Recurso	Permisos
MSSQLServer	Usuarios del registro de rendimiento	Instid\MSSQL\binn	Mostrar el contenido de la carpeta
	Usuarios del monitor de sistema	Instid\MSSQL\binn	Mostrar el contenido de la carpeta
	Usuarios del registro de rendimiento, Usuarios del monitor de sistema	\WINNT\system32\sqlctr100.dll	Lectura, Ejecución
	Sólo el administrador	\\.\root\Microsoft\SqlServer\ServerEvents\<nombreDeInstanciaDeSQL>1	Control total
	Administradores, sistema	\tools\binn\schemas\sqlserver\2004\07\showplan	Control total
	Usuarios	\tools\binn\schemas\sqlserver\2004\07\showplan	Lectura, Ejecución
Reporting Services	<Cuenta de servicio web del servidor de informes>	<instalación>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identidad del grupo de aplicaciones del Administrador de informes, cuenta ASP.NET, Todos	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\., <install>\Reporting Services\ReportManager\Styles\., <install>\Reporting Services\ReportManager\webctrl_client\1_0\.	Lectura
	Identidad del grupo de aplicaciones del Administrador de informes	<instalación>\Reporting Services\ReportManager\Pages\.	Lectura
	<Cuenta de servicio Web del servidor de informes>	<instalación>\Reporting Services\ReportServer	Lectura
	<Cuenta de servicio Web del servidor de informes>	<instalación>\Reporting Services\ReportServer\global.asax	Completo
	Todos	<instalación>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Servicio de red	<install>\Reporting Services\ReportServer\ReportService.asmx	Completo
	Todos	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Cuenta de servicios de Windows ReportServer	<instalación>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Todos	Claves del Servidor de informes (subárbol Instid)	Consultar valor Enumerar subclaves Notificar Controles de lectura
	Usuario de Terminal Services	Claves del Servidor de informes (subárbol Instid)	Consultar valor Establecer valor Crear subclave Enumerar subclave Notificar Eliminar Controles de lectura
	Usuarios avanzados	Claves del Servidor de informes (subárbol Instid)	Consultar valor Establecer valor Crear subclave Enumerar subclaves Notificar Eliminar Controles de lectura

1Éste es el espacio de nombres del proveedor WMI.

Revisar los permisos de Windows para los Servicios de SQL Server

En la tabla siguiente, se muestran los nombres de servicio, el término que se usa para hacer referencia a las instancias predeterminada y con nombre de los servicios de SQL Server, una descripción de la función del servicio y los permisos mínimos necesarios.

Nombre para mostrar	Nombre del servicio	Descripción	Permisos necesarios
SQL Server (nombreDeInstancia)	Instancia predeterminada: MSSQLSERVER Instancia con nombre: MSSQL$nombreDeInstancia	SQL Server Database Engine (Motor de base de datos de SQL Server). La ruta de acceso del archivo ejecutable es \MSSQL\Binn\sqlservr.exe.	Se recomienda usar una cuenta de usuario local o de usuario de dominio. Iniciar sesión como servicio (SeServiceLogonRight).1 Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege). Omitir la comprobación transversal (SeChangeNotifyPrivilege). Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege). Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server. Permiso para iniciar el objeto de escritura de SQL. Permiso para leer el servicio Registro de eventos. Permiso para leer el servicio Llamada a procedimiento remoto. Permisos mínimosFuncionalidad Cuenta de inicio del servicio MSSQLServer La cuenta debe estar en la lista de cuentas que tienen los permisos para mostrar carpetas en la unidad de disco raíz donde está instalado SQL Server. También debe estar en la raíz de cualquier otra unidad de disco donde se almacenen archivos de SQL Server. Nota Las subcarpetas no tienen que heredar los permisos "Mostrar lista de carpetas" de la unidad raíz. Cuenta de inicio del servicio MSSQLServerLa cuenta debe tener permisos Control total en todas las carpetas donde se vayan a almacenar los archivos de datos o de registro (.mdf, .ndf, .ldf).
Agente SQL Server (NombreDeInstancia)1	Instancia predeterminada: SQLServerAgent Instancia con nombre: SQLAgent$nombreDeInstancia	Ejecuta trabajos, supervisa SQL Server, activa alertas y habilita la automatización de algunas tareas administrativas. La ruta de acceso del archivo ejecutable es \MSSQL\Binn\sqlagent.exe.	Permisos mínimosFuncionalidad La cuenta debe ser miembro de la función fija de servidor sysadmin. La cuenta debe tener los siguientes permisos de Windows:Iniciar sesión como servicio. Reemplazar un token de nivel de proceso. Ajustar las cuotas de memoria de un proceso. Omitir la comprobación transversal.
Servicios Analysis Services (nombreDeInstancia)	Instancia predeterminada: MSSQLServerOLAPService Instancia con nombre: MSOLAP$nombreDeInstancia	El servicio que proporciona proceso analítico en línea (OLAP) y funcionalidad de minería de datos a las aplicaciones de inteligencia empresarial. La ruta de acceso del archivo ejecutable es \OLAP\Bin\msmdsrv.exe.
Reporting Services	Instancia predeterminada: ReportServer Instancia con nombre: ReportServer$nombreDeInstancia	Administra, ejecuta, crea, programa y envía informes. La ruta de acceso del archivo ejecutable es \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services	Instancia predeterminada o con nombre: MSDTSServer	Proporcionar compatibilidad de administración para el almacenamiento y la ejecución de un paquete de Integration Services. La ruta de acceso del archivo ejecutable es \DTS\Binn\msdtssrvr.exe.
Búsqueda de texto completo	Instancia predeterminada o con nombre: selector de demonio de filtro de texto completo de SQL	Servicio que iniciará el proceso del demonio de filtro de texto completo, el cual realizará el filtrado de documentos y la separación de palabras para la búsqueda de texto completo de SQL Server.
Explorador de SQL Server	Instancia predeterminada o con nombre: SQLBrowser	El servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. Este servicio lo comparten varias instancias de SQL Server y de SSIS. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqlbrowser.exe.
Servicio auxiliar de Active Directory de SQL Server	Instancia predeterminada o con nombre: MSSQLServerADHelper.	Publica y administra servicios de SQL Server en Windows Active Directory. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqladhelper.exe.
Objeto de escritura de SQL	SQLWriter	Permite que las aplicaciones de copia de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS). Hay una sola instancia del servicio Objeto de escritura de SQL para todas las instancias de SQL Server en el servidor. La ruta de acceso del archivo ejecutable es <unidad>:\Archivos de programa\Microsoft SQL Server\100\Shared\sqlwriter.exe.

1El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Revisar consideraciones adicionales

En la tabla siguiente, se muestran los permisos que necesitan los servicios de SQL Server para proporcionar una funcionalidad adicional.

Servicio/Aplicación	Funcionalidad	Permiso necesario
SQL Server (MSSQLSERVER)	Escribir en un buzón de correo mediante xp_sendmail.	Permisos de escritura de la red.
SQL Server (MSSQLSERVER)	Ejecutar xp_cmdshell para un usuario que no sea administrador de SQL Server.	Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso.
Agente SQL Server (MSSQLSERVER)	Usar la característica de reinicio automático.	Miembro del grupo local Administrators.
Asistente para la optimización de Database Engine (Motor de base de datos)	Optimizar las bases de datos para un rendimiento óptimo de las consultas.	Al utilizarla por primera vez, un usuario que tenga credenciales administrativas del sistema debe inicializar la aplicación. Después de la inicialización, los usuarios de dbo pueden usar el Asistente para la optimización del Database Engine (Motor de base de datos) para optimizar solo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema que trata sobre cómo inicializar el Asistente para la optimización del Database Engine (Motor de base de datos) en los Libros en pantalla de SQL Server.

Importante
Antes de actualizar SQL Server, habilite la autenticación de Windows para el Agente SQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL Server sea miembro del grupo sysadmin de SQL Server.

Nombres de servicio traducidos

En la tabla siguiente se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.

Idioma	Nombre de Servicio local	Nombre de Servicio de red	Nombre del sistema local	Nombre del grupo de administradores
Inglés Chino simplificado Chino tradicional Coreano Japonés	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Alemán	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Francés	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Italiano	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Español	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Ruso	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Historial de cambios

Contenido actualizado
Se ha agregado a la sección Introducción una nota relacionada con las herramientas que se usan para configurar o cambiar la configuración de las cuentas para los servicios de SQL Server 2008.
Se han actualizado los parámetros para la instalación desatendida en la tabla Configurar el tipo de inicio del servicio.
En la tabla de la sección Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio SQL Server, se han agregado alertas para aclarar los permisos concedidos a los SID de servicio.

Vea también

Referencia

Configuración del motor de base de datos: aprovisionamiento de cuentas

Configuración de Analysis Services - Aprovisionamiento de cuentas

Conceptos

Consideraciones de seguridad para una instalación de SQL Server

Ubicaciones de archivos para las instancias predeterminadas y con nombre de SQL Server