Configurer les comptes de service Windows et les autorisations
S'applique à : SQL Server
Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l’authentification des opérations SQL Server avec Windows. Cet article décrit la configuration par défaut des services compris dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server que vous pouvez définir pendant et après l’installation de SQL Server. Cet article permet aux utilisateurs expérimentés de comprendre les détails des comptes de service.
La plupart des services et leurs propriétés peuvent être configurés à l’aide du Gestionnaire de configuration SQL Server. Voici les chemins des versions récentes quand Windows est installé sur le lecteur C.
Version de SQL Server | Path |
---|---|
SQL Server 2022 (16.x) | C:\Windows\SysWOW64\SQLServerManager16.msc |
SQL Server 2019 (15.x) | C:\Windows\SysWOW64\SQLServerManager15.msc |
SQL Server 2017 (14.x) | C:\Windows\SysWOW64\SQLServerManager14.msc |
SQL Server 2016 (13.x) | C:\Windows\SysWOW64\SQLServerManager13.msc |
SQL Server 2014 | C:\Windows\SysWOW64\SQLServerManager12.msc |
SQL Server 2012 | C:\Windows\SysWOW64\SQLServerManager11.msc |
SQL Server activé par Azure Arc
Pour obtenir les autorisations requises par l’extension Azure pour SQL Server, consultez Configurer des comptes de service Windows et des autorisations pour l’extension Azure pour SQL Server.
Services installés par SQL Server
En fonction des composants que vous décidez d’installer, le programme d’installation de SQL Server installe les services suivants :
Service | Description |
---|---|
SQL Server Database Services | Service pour le moteur de base de données relationnel SQL Server. Le fichier exécutable est \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe . |
SQL Server Agent | Exécute les travaux, supervise SQL Server, déclenche les alertes et permet l’automatisation de certaines tâches d’administration. Le service SQL Server Agent est présent, mais désactivé sur les instances de SQL Server Express. Le fichier exécutable est \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe . |
Analysis Services | Fournit des fonctionnalités OLAP et d’exploration de données pour les applications décisionnelles. Le fichier exécutable est \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe . |
Reporting Services | Gère, exécute, crée, planifie et remet les rapports. Le fichier exécutable est \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe . |
Services d’intégration | Fournit la prise en charge de la gestion du stockage et de l’exécution des packages Integration Services. Le chemin de l’exécutable est \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe . |
Integration Services peut comprendre des services pour les déploiements de scale-out. Pour plus d’informations, consultez Procédure pas à pas : Configurez le scale-out d’Integration Services (SSIS).
Service | Description |
---|---|
SQL Server Browser | Service de résolution de noms qui fournit des informations de connexion à SQL Server pour les ordinateurs clients. Le chemin de l’exécutable est C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe . |
Recherche en texte intégral | Crée rapidement des index de recherche en texte intégral sur le contenu, et des propriétés de données structurées et semi-structurées pour le filtrage de document et l’analyse lexicale pour SQL Server. |
Enregistreur SQL | Permet aux applications de sauvegarde et restauration de fonctionner dans l’infrastructure du service VSS (Volume Shadow Copy Service). |
SQL Server Distributed Replay Controller | Fournit l’orchestration de relecture de trace pour plusieurs ordinateurs clients Distributed Replay. |
SQL Server Distributed Replay Client | Un ou plusieurs ordinateurs clients Distributed Replay qui opèrent avec un contrôleur Distributed Replay pour simuler des charges de travail simultanées sur une instance du moteur de base de données SQL Server. |
SQL Server Launchpad | Service approuvé hébergeant des exécutables externes fournis par Microsoft, comme les runtimes R ou Python installés dans le cadre de R Services ou de Machine Learning Services. Le processus Launchpad peut lancer des processus satellites dont les ressources sont régies par la configuration de chaque instance. Le service Launchpad s’exécute sous son propre compte d’utilisateur, et chaque processus satellite d’une exécution inscrite spécifique hérite le compte d’utilisateur de Launchpad. Les processus satellites sont créés et détruits à la demande pendant l’exécution. LaunchPad ne peut pas créer les comptes qu’il utilise si vous installez SQL Server sur un ordinateur qui est également utilisé comme contrôleur de domaine. Par conséquent, l’installation de R Services (en base de données) ou de Machine Learning Services (en base de données) échoue sur un contrôleur de domaine. |
Moteur SQL Server PolyBase | Fournit des fonctionnalités de requête distribuée aux sources de données externes. |
Service de déplacement des données SQL Server PolyBase | Permet le déplacement de données entre SQL Server et des sources de données externes ainsi qu’entre des nœuds SQL dans les groupes de scale-out PolyBase. |
Services de programme d’amélioration du produit installés par SQL Server
Le service de programme d’amélioration du produit renvoie des données de télémétrie à Microsoft.
En fonction des composants que vous décidez d’installer, le programme d’installation de SQL Server installe les services suivants du programme d’amélioration de l’expérience utilisateur.
Service | Description |
---|---|
SQLTELEMETRY | Le programme d’amélioration de l’expérience utilisateur qui renvoie les données de télémétrie du moteur de base de données à Microsoft. |
SSASTELEMETRY | Le programme d’amélioration de l’expérience utilisateur qui renvoie les données de télémétrie de SSAS à Microsoft. |
SSISTELEMETRY | Le programme d’amélioration de l’expérience utilisateur qui renvoie les données de télémétrie de SSIS à Microsoft. |
Propriétés et configuration des services
Les comptes de démarrage utilisés pour démarrer et exécuter SQL Server peuvent être des comptes d’utilisateur de domaine, des comptes d’utilisateur locaux, des comptes de service administrés, des comptes virtuels ou des comptes système intégrés. Pour démarrer et s’exécuter, chaque service dans SQL Server doit avoir un compte de démarrage configuré pendant l’installation.
Notes
Pour une instance de cluster de basculement SQL Server pour SQL Server 2016 (13.x) et ultérieur, les comptes d’utilisateur de domaine ou les comptes de service administrés de groupe peuvent être utilisés comme comptes de démarrage pour SQL Server.
Cette section décrit les comptes qui peuvent être configurés pour démarrer des services SQL Server, les valeurs par défaut utilisées par le programme d’installation de SQL Server, le concept de SID par service, les options de démarrage et la configuration du pare-feu.
- Comptes de service par défaut
- Démarrage automatique
- Configuration du type de démarrage du service
- Port de pare-feu
Comptes de service par défaut
Le tableau suivant répertorie les comptes de service par défaut utilisés par le programme d'installation lors de l'installation de tous les composants. Les comptes par défaut répertoriés sont les comptes recommandés, sauf indication contraire.
Serveur autonome ou contrôleur de domaine
Composant | Windows Server 2008 | Windows 7, Windows Server 2008 R2 et ultérieur |
---|---|---|
Moteur de base de données | SERVICE RÉSEAU | Compte virtuel 1 |
SQL Server Agent | SERVICE RÉSEAU | Compte virtuel 1 |
SSAS | SERVICE RÉSEAU | Compte virtuel 1 2 |
SSIS | SERVICE RÉSEAU | Compte virtuel 1 |
SSRS | SERVICE RÉSEAU | Compte virtuel 1 |
SQL Server Distributed Replay Controller | SERVICE RÉSEAU | Compte virtuel 1 |
SQL Server Distributed Replay Client | SERVICE RÉSEAU | Compte virtuel 1 |
Lanceur FD (recherche en texte intégral) | SERVICE LOCAL | Compte virtuel |
SQL Server Browser | SERVICE LOCAL | SERVICE LOCAL |
Enregistreur VSS SQL Server | SYSTÈME LOCAL | SYSTÈME LOCAL |
Extensions analytiques avancées | NTSERVICE\MSSQLLaunchpad | NTSERVICE\MSSQLLaunchpad |
Moteur PolyBase | SERVICE RÉSEAU | SERVICE RÉSEAU |
Service de déplacement de données PolyBase | SERVICE RÉSEAU | SERVICE RÉSEAU |
1 Quand des ressources externes à l’ordinateur SQL Server sont nécessaires, Microsoft recommande d’utiliser un compte de service géré (MSA) configuré avec les privilèges minimum nécessaires.
2 Quand il est installé sur un contrôleur de domaine, un compte virtuel n’est pas pris en charge comme compte de service.
Instances de cluster de basculement SQL Server
Composant | Windows Server 2008 | Windows Server 2008 R2 |
---|---|---|
Moteur de base de données | Aucun. Fournit un compte d' utilisateur de domaine . | Fournit un compte d' utilisateur de domaine . |
SQL Server Agent | Aucun. Fournit un compte d' utilisateur de domaine . | Fournit un compte d' utilisateur de domaine . |
SSAS | Aucun. Fournit un compte d' utilisateur de domaine . | Fournit un compte d' utilisateur de domaine . |
SSIS | SERVICE RÉSEAU | Compte virtuel |
SSRS | SERVICE RÉSEAU | Compte virtuel |
Lanceur FD (recherche en texte intégral) | SERVICE LOCAL | Compte virtuel |
SQL Server Browser | SERVICE LOCAL | SERVICE LOCAL |
Enregistreur VSS SQL Server | SYSTÈME LOCAL | SYSTÈME LOCAL |
Modifier les propriétés du compte
Important
Utilisez toujours des outils SQL Server, tels que le Gestionnaire de configuration SQL Server, pour modifier le compte utilisé par le Moteur de base de données SQL Server ou les services SQL Server Agent ou pour changer le mot de passe du compte. En plus de changer le nom du compte, le Gestionnaire de configuration SQL Server effectue une configuration supplémentaire pour mettre à jour le magasin de sécurité local Windows qui protège la clé principale du service pour le Moteur de base de données. D’autres outils comme le Gestionnaire de contrôle des services Windows peuvent changer le nom du compte, mais pas tous les paramètres obligatoires.
Si vous modifiez les comptes de service par un service SQL à l’aide d’autres moyens, cela peut entraîner un comportement inattendu ou des erreurs. Par exemple, si vous remplacez le compte de service SQL Agent par un compte de domaine à l’aide de l’applet des services Windows, vous remarquerez peut-être que les travaux de l’agent SQL qui utilisent le système d’exploitation (Cmdexec), la réplication ou les étapes de travail SSIS peuvent échouer avec une erreur comme celle-ci :
Executed as user : Domain\Account. The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
Pour résoudre cette erreur, vous devez effectuer les opérations suivantes à l’aide du Gestionnaire de configuration SQL Server :
- Remplacez temporairement le compte de service SQL Agent par un compte virtuel par défaut (Instance par défaut : NT Service\SQLSERVERAGENT. Instance nommée : Service NT\SQLAGENT$<instance_name>.)
- Redémarrez le service SQL Server Agent
- Remplacez à nouveau le compte de service par le compte de domaine souhaité
- Redémarrez le service SQL Server Agent
Pour les instances Analysis Services que vous déployez dans une batterie de serveurs SharePoint, utilisez toujours l'Administration centrale SharePoint pour modifier les comptes de serveur pour les applications de service Power Pivot et le service Analysis Services. Les paramètres et autorisations associés sont mis à jour pour utiliser les nouvelles informations de compte lorsque vous utilisez l'Administration centrale.
Pour modifier des options Reporting Services, utilisez l'Outil de configuration de Reporting Services.
Comptes de service administrés, comptes de service administrés de groupe et comptes virtuels
Les comptes de service administrés, les comptes de service administrés de groupe et les comptes virtuels sont conçus pour fournir à des applications cruciales comme SQL Server l’isolation de leurs propres comptes, sans avoir besoin d’un administrateur pour administrer manuellement le nom de principal du service (SPN) et les informations d’identification de ces comptes. Cela simplifie beaucoup la gestion à long terme des utilisateurs de compte de service, des mots de passe et des SPN.
-
Un compte de service administré (MSA) est un type de compte de domaine créé et administré par le contrôleur de domaine. Il est affecté à un ordinateur membre unique pour exécuter un service. Le mot de passe est géré automatiquement par le contrôleur de domaine. Vous ne pouvez pas utiliser un MSA pour vous connecter à un ordinateur, mais un ordinateur peut utiliser un MSA pour démarrer un service Windows. Un MSA est vapable d’inscrire un nom de principal du service dans Active Directory quand il dispose d’autorisations de lecture et d’écriture servicePrincipalName. Un MSA est nommé avec un suffixe
$
, par exemple,DOMAIN\ACCOUNTNAME$
. Quand vous spécifiez un MSA, laissez le mot de passe vide. Comme un MSA est attribué à un seul ordinateur, il ne peut pas être utilisé sur différents nœuds d’un cluster Windows.Notes
Le MSA doit être créé dans Active Directory par l’administrateur de domaine pour que le programme d’installation de SQL Server puisse l’utiliser pour les services SQL Server.
Comptes de service gérés par un groupe
Un compte de service administré de groupe (gMSA) est un compte de service administré (MSA) pour plusieurs serveurs. Windows gère un compte de service pour les services en cours d’exécution sur un groupe de serveurs. Active Directory met automatiquement à jour le mot de passe du compte de service administré de groupe sans redémarrer les services. Vous pouvez configurer les services SQL Server pour utiliser un principal de compte de service administré de groupe. À partir de SQL Server 2014, SQL Server prend en charge les comptes de service administrés de groupe sur les instances autonomes, et à partir de SQL Server 2016 et ultérieur, les instances de cluster de basculement et les groupes de disponibilité.
Pour utiliser un gMSA pour SQL Server 2014 ou version ultérieure, le système d’exploitation doit être Windows Server 2012 R2 ou version ultérieure. Les serveurs avec Windows Server 2012 R2 nécessitent l’application de l’article 2998082 de la Base de connaissances afin que les services puissent se connecter sans interruption immédiatement après la modification du mot de passe.
Pour plus d’informations, consultez Comptes de service administrés de groupe pour Windows Server 2016 et versions ultérieures. Pour les versions antérieures de Windows Server, consultez Comptes de service administrés de groupe.
Notes
Le gMSA doit être créé dans Active Directory par l’administrateur de domaine pour que le programme d’installation de SQL Server puisse l’utiliser pour les services SQL Server.
-
Les comptes virtuels (à partir de Windows Server 2008 R2 et Windows 7) sont des comptes locaux gérés qui fournissent les fonctionnalités suivantes pour simplifier l’administration du service. Le compte virtuel est géré automatiquement, et le compte virtuel peut accéder au réseau dans un environnement de domaine. Si la valeur par défaut est utilisée pour les comptes de service pendant l’installation de SQL Server, un compte virtuel qui utilise le nom de l’instance comme nom de service est utilisé, au format
NT SERVICE\<SERVICENAME>
. Les services qui s’exécutent comme comptes virtuels accèdent aux ressources réseau en utilisant les informations d’identification du compte de l’ordinateur au format<domain_name>\<computer_name>$
. Quand vous spécifiez un compte virtuel pour démarrer SQL Server, laissez le mot de passe vide. Si le compte virtuel n'inscrit pas le nom de principal du service, inscrivez-le manuellement. Pour plus d’informations sur l’inscription manuelle d’un SPN, consultez Inscription manuelle d’un SPN.Notes
Les comptes virtuels ne peuvent pas être utilisés pour une instance de cluster de basculement SQL Server, car le compte virtuel n’a pas le même SID sur chaque nœud du cluster.
Le tableau suivant répertorie des exemples de noms du compte virtuels.
Service Nom du compte virtuel Instance par défaut du service du moteur de base de données NT SERVICE\MSSQLSERVER
Instance nommée d'un service de Moteur de base de données nommé PAYROLL
NT SERVICE\MSSQL$PAYROLL
Service SQL Server Agent sur l’instance par défaut de SQL Server NT Service\SQLSERVERAGENT
Service SQL Server Agent sur une instance de SQL Server nommée PAYROLL
NT SERVICE\SQLAGENT$PAYROLL
Pour plus d’informations sur les comptes de service administrés et les comptes virtuels, consultez la section Concepts liés aux comptes de service administrés et aux comptes virtuels du Guide pas à pas des comptes de service et les Questions fréquentes (FAQ) sur les comptes de service administrés.
Notes
Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible. Utilisez un MSA, un gMSA ou un compte virtuel quand c’est possible. Quand des comptes MSA, gMSA et virtuels ne sont pas possibles, utilisez un compte d’utilisateur ou un compte de domaine avec des privilèges faibles au lieu d’un compte partagé pour les services SQL Server. Utilisez des comptes distincts pour différents services SQL Server. N’accordez aucune autorisation supplémentaire au compte de service SQL Server ni aux groupes de services. Les autorisations sont accordées par le biais de l’appartenance à un groupe ou accordées directement à un SID de service, quand un SID de service est pris en charge.
Démarrage automatique
Outre le fait que les services doivent posséder des comptes d'utilisateurs, ils ont chacun trois états de démarrage possibles, que les utilisateurs peuvent contrôler :
- Désactivé. Le service est installé mais n’est actuellement pas en cours d’exécution.
- Manuelles. Le service est installé, mais démarre seulement quand un autre service ou une autre application a besoin de ses fonctionnalités.
- Automatique. Le service est démarré automatiquement par le système d’exploitation.
L'état de démarrage est sélectionné pendant l'installation. Pendant l’installation d’une instance nommée, le service SQL Server Browser doit être défini pour démarrer automatiquement.
Configurer des services lors de l’installation sans assistance
Le tableau suivant montre les services SQL Server pouvant être configurés pendant l’installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier de configuration ou à l'invite de commandes.
Nom du service SQL Server | Commutateurs pour des installations sans assistance 1 |
---|---|
MSSQLSERVER | SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE |
SQLServerAgent 2 | AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE |
MSSQLServerOLAPService | ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE |
ReportServer | RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE |
Integration Services | ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE |
SQL Server Distributed Replay Controller | DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS |
SQL Server Distributed Replay Client | DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR |
R Services ou Machine Learning Services | EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3 |
Moteur PolyBase | PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE |
1 Pour obtenir plus d’informations et un exemple de syntaxe pour des installations sans assistance, consultez Installer SQL Server à partir de l’invite de commandes.
2 Le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express avec Advanced Services.
3 La définition du compte pour Launchpad avec les commutateurs seuls n’est actuellement pas prise en charge. Utilisez le Gestionnaire de configuration SQL Server pour modifier le compte et les autres paramètres de service.
Port de pare-feu
Dans la plupart des cas, pendant l’installation initiale, le Moteur de base de données peut être connecté par des outils comme SQL Server Management Studio installés sur le même ordinateur que SQL Server. Le programme d’installation de SQL Server n’ouvre pas de ports dans le pare-feu Windows. Les connexions d'autres ordinateurs peuvent ne pas être possibles tant que le Moteur de base de données n'est pas configuré pour écouter sur un port TCP et tant que le port approprié n'est pas ouvert aux connexions dans le pare-feu Windows. Pour plus d’informations, consultez Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.
Autorisations de service
Cette section décrit les autorisations configurées par le programme d’installation de SQL Server pour les SID de chaque service SQL Server.
- Configuration et contrôle d’accès du service
- Privilèges et droits Windows
- Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux SQL Server
- Autorisations de système de fichiers accordées aux autres comptes d’utilisateur ou groupes Windows
- Autorisations de système de fichiers pour des emplacements de disque inhabituels
- Examen de considérations supplémentaires
- Autorisations de Registre
- WMI
- Canaux nommés
Configuration et contrôle d’accès du service
SQL Server active un SID pour chacun de ses services afin de fournir une isolation du service et une défense en profondeur. Le SID par service est dérivé du nom du service et est propre à ce service. Par exemple, un nom de SID de service pour une instance nommée du service Moteur de base de données peut être NT Service\MSSQL$<instance_name>
. L'isolation de service permet l'accès à des objets spécifiques sans devoir exécuter un compte à privilèges élevés ni affaiblir la protection de sécurité de l'objet. Un service SQL Server peut limiter l’accès à ses ressources en utilisant une entrée de contrôle d’accès qui contient un SID de service.
Notes
Sur Windows 7 et Windows Server 2008 R2 (et ultérieur), le SID par service peut être le compte virtuel utilisé par le service.
Pour la plupart des composants, SQL Server configure directement la liste ACL du compte par service, de sorte que vous pouvez changer le compte de service sans répéter le processus ACL de la ressource.
Lors de l'installation de SSAS, un SID par service est créé pour le service Analysis Services. Un groupe Windows local est créé, nommé au format SQLServerMSASUser$<computer_name>$<instance_name>
. Le SID par service NT SERVICE\MSSQLServerOLAPService
peut appartenir au groupe Windows local et le groupe Windows local reçoit les autorisations appropriées dans l’ACL. Si le compte utilisé pour démarrer le service Analysis Services est changé, le Gestionnaire de configuration SQL Server doit changer des autorisations Windows (par exemple, le droit d’ouvrir une session en tant que service), mais les autorisations attribuées au groupe Windows local restent disponibles sans mise à jour, car le SID par service n’a pas changé. Cette méthode permet de renommer le service Analysis Services pendant des mises à niveau.
Pendant l’installation de SQL Server, le programme d’installation de SQL Server crée un groupe Windows local pour SSAS et le service SQL Server Browser. Pour ces services, SQL Server configure la liste ACL pour les groupes Windows locaux.
Selon la configuration du service, le compte de service pour un service ou un SID de service est ajouté en tant que membre du groupe de service lors de l'installation ou de la mise à niveau.
Privilèges et droits Windows
Le compte affecté pour démarrer un service a besoin d' autorisations de démarrage, arrêt et pause pour le service. Le programme d’installation de SQL Server les attribue automatiquement. En premier lieu, installez les Outils d'administration de serveur distant. Consultez la rubrique Outils d'administration de serveur distant pour Windows 10.
Le tableau suivant affiche les autorisations que le programme d’installation de SQL Server demande pour les SID par service ou les groupes Windows locaux utilisés par les composants SQL Server.
Service SQL Server | Autorisations accordées par le programme d’installation de SQL Server |
---|---|
Moteur de base de données SQL Server : (Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\MSSQLSERVER . Instance nommée : NT Service\MSSQL$<instance_name> .) |
Ouvrir une session en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Ignorer la vérification transversale (SeChangeNotifyPrivilege) Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) Autorisation de démarrer SQL Writer Autorisation de lire le service Journal des événements Autorisation de lire le service d'appel de procédure distante (RPC) |
SQL Server Agent : 1 (Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\SQLSERVERAGENT . Instance nommée : NT Service\SQLAGENT$<instance_name> .) |
Ouvrir une session en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Ignorer la vérification transversale (SeChangeNotifyPrivilege) Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) |
SSAS : (Tous les droits sont accordés à un groupe Windows local. Instance par défaut : SQLServerMSASUser$<computer_name>$MSSQLSERVER . Instance nommée : SQLServerMSASUser$<computer_name>$<instance_name> . Instance Power Pivot pour SharePoint : SQLServerMSASUser$<computer_name>$PowerPivot .) |
Ouvrir une session en tant que service (SeServiceLogonRight) Tabulaire uniquement : Augmenter une plage de travail de processus (SeIncreaseWorkingSetPrivilege) Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) Verrouiller les pages en mémoire (SeLockMemoryPrivilege) : nécessaire uniquement quand la pagination est totalement désactivée. Installations de cluster de basculement uniquement : Augmenter la priorité de planification (SeIncreaseBasePriorityPrivilege) |
SSRS : (Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\ReportServer . Instance nommée : NT SERVICE\ReportServer$<instance_name> .) |
Ouvrir une session en tant que service (SeServiceLogonRight) |
SSIS : (Tous les droits sont accordés au SID par service. Instance par défaut et instance nommée : NT SERVICE\MsDtsServer150 . Integration Services n’a pas de processus distinct pour une instance nommée.) |
Ouvrir une session en tant que service (SeServiceLogonRight) Autorisation d'écrire dans le journal des événements d'application Ignorer la vérification transversale (SeChangeNotifyPrivilege) Emprunter l’identité d’un client après l’authentification (SeImpersonatePrivilege) |
Recherche en texte intégral : (Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\MSSQLFDLauncher . Instance nommée : NT Service\ MSSQLFDLauncher$<instance_name> .) |
Ouvrir une session en tant que service (SeServiceLogonRight) Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) Ignorer la vérification transversale (SeChangeNotifyPrivilege) |
SQL Server Browser : (Tous les droits sont accordés à un groupe Windows local. Instance par défaut ou nommée : SQLServer2005SQLBrowserUser$<computer_name> . SQL Server Browser n’a pas de processus distinct pour une instance nommée.) |
Ouvrir une session en tant que service (SeServiceLogonRight) |
Enregistreur VSS SQL Server : (Tous les droits sont accordés au SID par service. Instance par défaut ou nommée : NT Service\SQLWriter . L’enregistreur VSS SQL Server n’a pas de processus distinct pour une instance nommée.) |
Le service SQLWriter s'exécute sous le compte LOCAL SYSTEM qui a toutes les autorisations requises. Le programme d’installation de SQL Server ne vérifie ni n’accorde d’autorisations pour ce service. |
SQL Server Distributed Replay Controller : | Ouvrir une session en tant que service (SeServiceLogonRight) |
SQL Server Distributed Replay Client : | Ouvrir une session en tant que service (SeServiceLogonRight) |
Moteur PolyBase et DMS : | Ouvrir une session en tant que service (SeServiceLogonRight) |
Launchpad : | Se connecter en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Ignorer la vérification transversale (SeChangeNotifyPrivilege) Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege) |
R Services/Machine Learning Services : SQLRUserGroup (SQL Server 2016 (13.x) et SQL Server 2017 (14.x)) | N’a pas l’autorisation par défaut Autoriser l’ouverture d’une session locale |
Machine Learning Services :[AppContainer] de tous les packages d’application (SQL 2019 (15.x)) | Autorisations Lire et exécuter pour les répertoires SQL Server 'Binn', R_Services et PYTHON_Services |
1 Le service SQL Server Agent est désactivé sur les instances de SQL Server Express.
Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux
Les comptes de service SQL Server doivent avoir accès aux ressources. Les listes de contrôle d'accès sont définies pour le SID par service ou le groupe Windows local.
Important
Pour les installations de clusters de basculement, les ressources des disques partagés doivent être attribuées à la liste ACL d'un compte local.
Le tableau suivant montre les listes ACL définies par le programme d’installation de SQL Server :
Compte de service pour | Fichiers et dossiers | Accès |
---|---|---|
MSSQLServer | Instid\MSSQL\backup | Contrôle total |
Instid\MSSQL\binn | Lecture, exécution | |
Instid\MSSQL\data | Contrôle total | |
Instid\MSSQL\FTData | Contrôle total | |
Instid\MSSQL\Install | Lecture, exécution | |
Instid\MSSQL\Log | Contrôle total | |
Instid\MSSQL\Repldata | Contrôle total | |
150\shared | Lecture, exécution | |
Instid\MSSQL\Template Data (SQL Server Express uniquement) | Lire | |
SQLServerAgent 1 | Instid\MSSQL\binn | Contrôle total |
Instid\MSSQL\Log | Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete) | |
150\com | Lecture, exécution | |
150\shared | Lecture, exécution | |
150\shared\Errordumps | Lire, Écrire | |
ServerName\EventLog | Contrôle total | |
FTS | Instid\MSSQL\FTData | Contrôle total |
Instid\MSSQL\FTRef | Lecture, exécution | |
150\shared | Lecture, exécution | |
150\shared\Errordumps | Lire, Écrire | |
Instid\MSSQL\Install | Lecture, exécution | |
Instid\MSSQL\jobs | Lire, Écrire | |
MSSQLServerOLAPService | 150\shared\ASConfig | Contrôle total |
Instid\OLAP | Lecture, exécution | |
Instid\Olap\Data | Contrôle total | |
Instid\Olap\Log | Lire, Écrire | |
Instid\OLAP\Backup | Lire, Écrire | |
Instid\OLAP\Temp | Lire, Écrire | |
150\shared\Errordumps | Lire, Écrire | |
ReportServer | Instid\Reporting Services\Log Files | Lecture, écriture, suppression |
Instid\Reporting Services\ReportServer | Lecture, exécution | |
Instid\Reporting Services\ReportServer\global.asax | Contrôle total | |
Instid\Reporting Services\ReportServer\rsreportserver.config | Lire | |
Instid\Reporting Services\RSTempfiles | Lecture, écriture, exécution, suppression | |
Instid\Reporting Services\RSWebApp | Lecture, exécution | |
150\shared | Lecture, exécution | |
150\shared\Errordumps | Lire, Écrire | |
MSDTSServer100 | 150\dts\binn\MsDtsSrvr.ini.xml | Lire |
150\dts\binn | Lecture, exécution | |
150\shared | Lecture, exécution | |
150\shared\Errordumps | Lire, Écrire | |
SQL Server Browser | 150\shared\ASConfig | Lire |
150\shared | Lecture, exécution | |
150\shared\Errordumps | Lire, Écrire | |
SQLWriter | Non applicable (s'exécute en tant que système local) | |
Utilisateur | Instid\MSSQL\binn | Lecture, exécution |
Instid\Reporting Services\ReportServer | Lecture, exécution, listage du contenu des dossiers | |
Instid\Reporting Services\ReportServer\global.asax | Lire | |
Instid\Reporting Services\RSWebApp | Lecture, exécution, listage du contenu des dossiers | |
150\dts | Lecture, exécution | |
150\tools | Lecture, exécution | |
100\tools | Lecture, exécution | |
90\tools | Lecture, exécution | |
80\tools | Lecture, exécution | |
150\sdk | Lire | |
Microsoft SQL Server\150\Setup Bootstrap | Lecture, exécution | |
SQL Server Distributed Replay Controller | <ToolsDir>\DReplayController\Log\ (répertoire vide) | Lecture, exécution, listage du contenu des dossiers |
<ToolsDir>\DReplayController\DReplayController.exe | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents | ||
<ToolsDir>\DReplayController\{all dlls} | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayController\DReplayController.config | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayController\IRTemplate.tdf | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayController\IRDefinition.xml | Lecture, exécution, listage du contenu des dossiers | |
SQL Server Distributed Replay Client | <ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents | |
<ToolsDir>\DReplayClient\DReplayClient.exe | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents | ||
<ToolsDir>\DReplayClient\ (tous les dll) | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayClient\DReplayClient.config | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayClient\IRTemplate.tdf | Lecture, exécution, listage du contenu des dossiers | |
<ToolsDir>\DReplayClient\IRDefinition.xml | Lecture, exécution, listage du contenu des dossiers | |
Launchpad | %binn | Lecture, exécution |
ExtensiblilityData | Contrôle total | |
Log\ExtensibilityLog | Contrôle total |
1 Le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express avec Advanced Services.
Lorsque des fichiers de base de données sont stockés à un emplacement défini par l'utilisateur, vous devez octroyer l'accès SID par service à cet emplacement. Pour plus d’informations sur l’octroi d’autorisations de système de fichiers à un SID par service, consultez Configurer les autorisations du système de fichiers pour l’accès au moteur de base de données.
Autorisations de système de fichiers accordées aux autres comptes d’utilisateur ou groupes Windows
Certaines autorisations de contrôle d’accès peuvent avoir été accordées à des comptes intégrés ou à d’autres comptes de service SQL Server. Le tableau suivant montre les listes ACL supplémentaires définies par le programme d’installation de SQL Server.
Composant demandeur | Compte | Ressource | Autorisations |
---|---|---|---|
MSSQLServer | Utilisateurs du journal des performances | Instid\MSSQL\binn | Lister le contenu des dossiers |
Utilisateurs de l’Analyseur de performances | Instid\MSSQL\binn | Lister le contenu des dossiers | |
Utilisateurs du journal des performances, Utilisateurs de l'Analyseur de performances | \WINNT\system32\sqlctr150.dll | Lecture, exécution | |
Administrateur uniquement | \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 |
Contrôle total | |
Administrateurs, système | \tools\binn\schemas\sqlserver\2004\07\showplan | Contrôle total | |
Utilisateurs | \tools\binn\schemas\sqlserver\2004\07\showplan | Lecture, exécution | |
Reporting Services | Compte Service Windows Report Server | <installer>\Reporting Services\LogFiles | Suppression READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
Compte Service Windows Report Server | <installer>\Reporting Services\ReportServer | Lire | |
Compte Service Windows Report Server | <installer>\Reporting Services\ReportServer\global.asax | Complète | |
Compte Service Windows Report Server | <installer>\Reporting Services\RSWebApp | Lecture, exécution | |
Tout le monde | <installer>\Reporting Services\ReportServer\global.asax | READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Compte des services Windows ReportServer | <installer>\Reporting Services\ReportServer\rsreportserver.config | Suppression READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Tout le monde | Clés Report Server (ruche Instid) | Demander la valeur Énumérer les sous-clés Notifier Contrôle en lecture |
|
Utilisateur de Terminal Services | Clés Report Server (ruche Instid) | Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier DELETE Contrôle en lecture |
|
Utilisateurs avec pouvoir | Clés Report Server (ruche Instid) | Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier DELETE Contrôle en lecture |
1 C’est l’espace de noms du fournisseur WMI.
Autorisations de système de fichiers pour des emplacements de disque inhabituels
L’emplacement d’installation par défaut est le lecteur système, en général le lecteur C. Cette section donne des informations supplémentaires dans le cas où les bases de données tempdb ou utilisateur sont installées dans des emplacements inhabituels.
Lecteur non défini par défaut
En cas d’installation sur un lecteur local autre que le lecteur par défaut, le SID par service doit avoir accès à l’emplacement de fichier. Le programme d’installation de SQL Server provisionne l’accès nécessaire.
Partage réseau
Quand des bases de données sont installées sur un partage réseau, le compte de service doit avoir accès à l’emplacement des fichiers des bases de données tempdb
et utilisateur. Le programme d’installation de SQL Server ne peut pas provisionner l’accès à un partage réseau. L’utilisateur doit configurer l’accès à un emplacement tempdb pour le compte de service avant d’exécuter le programme d’installation. L'utilisateur doit configurer l'accès à l'emplacement de la base de données d'utilisateur avant de créer la base de données.
Notes
Les comptes virtuels ne peuvent pas être authentifiés sur un emplacement distant. Tous les comptes virtuels utilisent l'autorisation de compte d'ordinateur. Provisionnez le compte d’ordinateur au format <domain_name>\<computer_name>$
.
Passer en revue des considérations supplémentaires
Le tableau suivant indique les autorisations nécessaires pour que les services SQL Server fournissent des fonctionnalités supplémentaires.
Service/Application | Fonctionnalités | Autorisation requise |
---|---|---|
SQL Server (MSSQLSERVER) | Écrire sur MailSlot avec xp_sendmail. | Autorisations d'écriture réseau. |
SQL Server (MSSQLSERVER) | Exécuter xp_cmdshell pour un utilisateur autre qu’un administrateur SQL Server. | Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus. |
Agent SQL Server (MSSQLSERVER) | Utiliser la fonctionnalité de redémarrage automatique. | Doit être membre du groupe local Administrateurs. |
Assistant Paramétrage duMoteur de base de données | Règle les bases de données pour des performances de requête optimales. | À la première utilisation, un utilisateur doté des informations d'identification d'administrateur système doit initialiser l'application. Après l’initialisation, les utilisateurs dbo peuvent utiliser l’Assistant Paramétrage du moteur de base de données pour paramétrer uniquement les tables qui leur appartiennent. Pour plus d’informations, consultez Démarrer et utiliser l’Assistant Paramétrage du moteur de base de données. |
Important
Avant de mettre à niveau SQL Server, activez SQL Server Agent et vérifiez la configuration nécessaire par défaut : le compte de service SQL Server Agent doit être membre du rôle serveur fixe SQL Server sysadmin.
Autorisations de Registre
La ruche du Registre est créée sous HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID>
pour les composants qui prennent en compte les instances. Par exemple :
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150
Le Registre maintient également le mappage d'un ID d'instance sur un nom d'instance. Le mappage de l'ID d'instance sur le nom d'instance se maintient comme suit :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"
WMI
Windows Management Instrumentation (WMI) doit être en mesure de se connecter au Moteur de base de données. Pour cette prise en charge, le SID par service du fournisseur WMI Windows (NT SERVICE\winmgmt
) est configuré dans le Moteur de base de données.
Le fournisseur WMI SQL nécessite les autorisations minimales suivantes :
Appartenance aux rôles de base de données fixes db_ddladmin ou db_owner dans la base de données
msdb
.AutorisationCREATE DDL EVENT NOTIFICATION dans le serveur.
Autorisation CREATE TRACE EVENT NOTIFICATION dans le Moteur de base de données.
Autorisation de niveau serveurVIEW ANY DATABASE .
Le programme d’installation de SQL Server crée un espace de noms WMI SQL et accorde l’autorisation de lecture au SID de service de SQL Server Agent.
Canaux nommés
Pendant toute l’installation, le programme d’installation de SQL Server fournit l’accès au Moteur de base de données SQL Server avec le protocole de mémoire partagée, qui est un canal nommé local.
Approvisionnement
Cette section décrit comment les comptes sont provisionnés à l’intérieur des divers composants SQL Server.
Provisionnement du moteur de base de données
Les comptes suivants sont ajoutés en tant que connexions dans le Moteur de base de données SQL Server.
Principaux Windows
Pendant l’installation, le programme d’installation de SQL Server nécessite qu’au moins un compte d’utilisateur soit nommé membre du rôle serveur fixe sysadmin.
Compte SA
Le compte sa est toujours présent sous la forme d'une connexion du Moteur de base de données et est un membre du rôle serveur fixe sysadmin. Quand le Moteur de base de données est installé en utilisant seulement l’authentification Windows (c’est-à-dire quand l’authentification SQL Server n’est pas activée), la connexion sa est toujours présente, mais désactivée et le mot de passe est complexe et aléatoire. Pour plus d’informations sur l’activation du compte sa , consultez Modifier le mode d’authentification du serveur.
Connexion et privilèges de SID par service SQL Server
Le SID par service (parfois aussi appelé principal de sécurité de service (SID)) du service SQL Server est configuré comme connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin . Pour plus d’informations sur les SID par service, consultez Utilisation des SID de service pour accorder des autorisations à des services dans SQL Server.
Connexion et privilèges de SQL Server Agent
Le SID par service du service SQL Server Agent est configuré comme connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin .
Privilèges des groupes de disponibilité AlwaysOn et des instances de clusters de basculement SQL
Lors de l’installation du moteur de base de données en tant que groupes de disponibilité Always On ou instance de cluster de basculement SQL (SQL FCI), LOCAL SYSTEM est provisionné dans le moteur de base de données. La connexion LOCAL SYSTEM reçoit l’autorisation ALTER ANY AVAILABILITY GROUP (pour les groupes de disponibilité Always On) et l’autorisation VIEW SERVER STATE (pour SQL FCI).
Enregistreur SQL et privilèges
Le SID par service du service Enregistreur VSS SQL Server est configuré comme connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin .
WMI et privilèges SQL
Le programme d’installation de SQL Server configure le compte NT SERVICE\Winmgmt
comme connexion du Moteur de base de données et l’ajoute au rôle serveur fixe sysadmin.
Provisionnement de SSRS
Le compte spécifié pendant l'installation est approvisionné comme un membre du rôle de base de données RSExecRole . Pour plus d’informations, consultez Configurer le compte de service du serveur de rapports (Gestionnaire de configuration de SSRS).
Provisionnement de SSAS
Les configurations requises pour le compte de service SSAS varient selon le déploiement du serveur. Si vous installez Power Pivot pour SharePoint, le programme d’installation de SQL Server nécessite la configuration du service Analysis Services pour qu’il s’exécute sous un compte de domaine. Les comptes de domaine sont obligatoires pour prendre en charge la fonctionnalité de compte géré intégrée à SharePoint. Pour cette raison, le programme d’installation de SQL Server ne fournit pas de compte de service par défaut, par exemple, un compte virtuel, pour une installation de Power Pivot pour l’installation de SharePoint. Pour plus d’informations sur la configuration de Power Pivot pour SharePoint, consultez Configuration des comptes de service Power Pivot.
Pour toutes les autres installations SSAS autonomes, vous pouvez configurer le service pour qu'il s'exécute sous un compte de domaine, un compte système intégré, un compte géré ou un compte virtuel. Pour plus d’informations sur la configuration de compte, consultez Configurer les comptes de service (Analysis Services).
Pour les installations en cluster, vous devez spécifier un compte de domaine ou un compte système intégré. Les comptes managés ni les comptes virtuels ne sont pris en charge pour les clusters de basculement SSAS.
Toutes les installations SSAS requièrent que vous spécifiez un administrateur système de l'instance Analysis Services. Les privilèges d'administrateur sont approvisionnés dans le rôle serveur d'Analysis Services.
Provisionnement de SSRS
Le compte spécifié pendant l'installation est configuré dans le Moteur de base de données comme un membre du rôle de base de données RSExecRole. Pour plus d’informations, consultez Configurer le compte de service du serveur de rapports (Gestionnaire de configuration de SSRS).
Mettre à niveau à partir de versions antérieures
Cette section décrit les changements effectués pendant la mise à niveau d’une version précédente de SQL Server.
SQL Server 2019 (15.x) exige un système d'exploitation pris en charge. Toute version précédente de SQL Server qui s’exécute sur une version de système d’exploitation antérieure doit être mise à niveau après la mise à niveau du système d’exploitation.
Lors de la mise à niveau de SQL Server 2005 (9.x) vers SQL Server 2019 (15.x), l’installation configure l’instance SQL de la manière suivante :
- Le Moteur de base de données s'exécute avec le contexte de sécurité du SID par service. Le SID par service a accès aux dossiers de fichiers de l’instance SQL Server (par exemple, DATA) et aux clés de Registre SQL Server.
- Le SID par service du Moteur de base de données est configuré dans le Moteur de base de données comme membre du rôle serveur fixe sysadmin.
- Les SID par service sont ajoutés aux groupes Windows SQL Server locaux, sauf si SQL Server est une instance de cluster de basculement.
- Les ressources SQL Server restent provisionnées sur les groupes Windows SQL Server locaux.
- Le groupe Windows local pour les services est renommé de
SQLServer2005MSSQLUser$<computer_name>$<instance_name>
enSQLServerMSSQLUser$<computer_name>$<instance_name>
. Les emplacements de fichiers des bases de données migrées ont des entrées de contrôle d’accès (ACE) pour les groupes Windows locaux. Les emplacements de fichiers des nouvelles bases de données ont des entrées ACE pour le SID par service.
Pendant la mise à niveau de SQL Server 2008 (10.0.x), le programme d’installation de SQL Server conserve les entrées ACE pour le SID par service de SQL Server 2008 (10.0.x).
Pour une instance de cluster de basculement SQL Server, l’entrée ACE du compte de domaine configuré pour le service est conservée.
Annexe
Cette section contient des informations supplémentaires sur les services SQL Server.
- Description des comptes de service
- Identification des services prenant en compte ou non les instances
- Noms des services localisés
Description des comptes de service
Le compte de service est le compte utilisé pour démarrer un service Windows, comme le Moteur de base de données SQL Server. Pour exécuter SQL Server, il n’est pas nécessaire d’ajouter le compte de service comme compte de connexion à SQL Server en plus du SID de service, qui est toujours présent et membre du rôle serveur fixe sysadmin.
Comptes disponibles avec tous les systèmes d’exploitation
En plus des nouveaux comptesMSA, gMSA et virtuels décrits précédemment, les comptes suivants peuvent être utilisés.
Compte d’utilisateur de domaine
Si le service doit interagir avec des services réseau, accéder à des ressources de domaine comme des partages de fichiers ou s’il utilise des connexions de serveur liées vers d’autres ordinateurs qui exécutent SQL Server, vous pouvez utiliser un compte de domaine avec des privilèges minimum. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.
Si vous configurez le serveur SQL Server pour utiliser un compte de domaine, vous pouvez isoler les privilèges pour le service, mais vous devez gérer les mots de passe manuellement ou créer une solution personnalisée pour la gestion de ces mots de passe. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais elle requiert une administration supplémentaire et est plus complexe. Dans ces déploiements, les administrateurs de service passent un temps considérable sur les tâches de maintenance comme la gestion des mots de passe et des noms principaux de services (SPN), qui sont requis pour l’authentification Kerberos. En outre, ces tâches de maintenance peuvent perturber le service.
Si l’ordinateur ne fait pas partie d’un domaine, un compte d’utilisateur local sans autorisations d’administrateur Windows est recommandé.
Le compte de service local est un compte intégré qui bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus individuels serait compromis. Les services qui s’exécutent en tant que compte de service local accèdent aux ressources réseau dans le cadre d’une session « Null », sans informations d’identification.
Le compte de service local n’est pas pris en charge pour les services SQL Server ou SQL Server Agent. Le service local n’est pas pris en charge comme compte exécutant ces services, car il s’agit d’un service partagé et tous les autres services exécutés sous le service local ont un accès d’administrateur système à SQL Server.
Le nom réel du compte est NT AUTHORITY\LOCAL SERVICE
.
Le compte de service réseau est un compte intégré qui bénéficie d'un niveau d'accès aux ressources et aux objets supérieur à celui des membres du groupe Utilisateurs. Les services qui s’exécutent avec le compte de service réseau accèdent aux ressources réseau en utilisant les informations d’identification du compte d’ordinateur au format <domain_name>\<computer_name>$
. Le nom réel du compte est NT AUTHORITY\NETWORK SERVICE
.
Le compte système local est un compte intégré doté de privilèges très élevés. Il dispose de privilèges étendus sur le système local et représente l'ordinateur sur le réseau. Le nom réel du compte est NT AUTHORITY\SYSTEM.
Identifier les services prenant en compte ou non les instances
Les services qui dépendent d’une instance sont associés à une instance spécifique de SQL Server et ont leurs propres ruches de Registre. Vous pouvez installer plusieurs copies des services qui dépendent d’une instance en exécutant le programme d’installation de SQL Server pour chaque composant ou service. Les services qui ne dépendent pas d’une instance sont partagés entre toutes les instances SQL Server installées. Ils ne sont pas associés à une instance spécifique, sont installés une seule fois et ne peuvent pas être installés côte à côte.
Les services qui dépendent d’une instance dans SQL Server sont notamment :
SQL Server
SQL Server Agent
Sachez que le service SQL Server Agent est désactivé sur les instances de SQL Server Express et de SQL Server Express avec Advanced Services.
-
Analysis Services
En mode intégré SharePoint, Analysis Services s’exécute en tant que « Power Pivot », en tant qu’instance nommée unique. Le nom de l'instance est fixe. Vous ne pouvez pas spécifier d’autre nom. Vous ne pouvez installer qu'une seule instance d'Analysis Services s'exécutant comme « Power Pivot » sur chaque serveur physique.
-
Reporting Services
Recherche en texte intégral
Les services qui ne dépendent pas d’une instance dans SQL Server sont notamment :
- Integration Services
- SQL Server Browser
- Enregistreur SQL
Noms des services localisés
Le tableau ci-dessous indique les noms de services affichés dans les versions localisées de Windows.
Langage | Nom du service local | Nom du service réseau | Nom du système local | Nom du groupe Admin |
---|---|---|---|---|
Anglais Chinois simplifié Chinois traditionnel Coréen Japonais |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Allemand | NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Français | AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrators |
Italien | NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Espagnol | NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Russe | NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\СИСТЕМА |
BUILTIN\Администраторы |