Configurar cuentas de servicio de Windows
Actualizado: 12 de diciembre de 2006
Cada servicio de SQL Server representa a un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Microsoft Windows. En este tema se presenta la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios de SQL Server que se pueden establecer durante la instalación de SQL Server.
Nota de seguridad Ejecute siempre los servicios de SQL Server con los derechos de usuario mínimos posibles.
En función de los componentes de Microsoft SQL Server 2005 que decida instalar, el programa de instalación de SQL Server 2005 instalará los servicios siguientes:
Servicios de bases de datos de SQL Server: servicio del Database Engine (Motor de base de datos) relacional de SQL Server.
Agente SQL Server: ejecuta trabajos, supervisa SQL Server, activa alertas y permite la automatización de algunas tareas administrativas.
[!NOTA] Para que SQL Server y el Agente SQL Server se ejecuten como servicios de Windows, SQL Server y el Agente SQL Server deben estar asignados a una cuenta de usuario de Windows. Normalmente, SQL Server y el Agente SQL Server se asignan a la misma cuenta de usuario, el sistema local o una cuenta de usuario de dominio. No obstante, puede personalizar la configuración de cada servicio durante el proceso de instalación. Para obtener más información acerca de cómo personalizar la información de cuentas para cada servicio, vea Cuenta de servicio.
Analysis Services: proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence.
Reporting Services: administra, ejecuta, representa, programa y entrega informes.
Notification Services: plataforma para desarrollar e implementar aplicaciones que generan y envían notificaciones.
Integration Services: proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration Services.
Búsqueda de texto: crea rápidamente índices de texto de contenido y propiedades de datos estructurados y semiestructurados para habilitar búsquedas lingüísticas rápidas de esos datos.
Explorador de SQL Server: servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente.
Servicio auxiliar de Active Directory de SQL Server: publica y administra los servicios de SQL Server en Active Directory.
Objeto de escritura de SQL: permite realizar copias de seguridad y restaurar aplicaciones para trabajar en el marco del Servicio de instantáneas de volumen (VSS).
El resto de este tema se divide en las siguientes secciones:
- Configurar los servicios expuestos en la instalación de SQL Server
- Usar las cuentas de inicio de los servicios de SQL Server
- Identificar los servicios que reconocen y no reconocen instancias
- Revisar los derechos y privilegios de NT concedidos a las cuentas de servicio de SQL Server
- Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server
- Revisar los permisos de Windows para los Servicios de SQL Server
- Revisar consideraciones adicionales
- Nombres de servicio traducidos
Configurar los servicios expuestos en la instalación de SQL Server
Durante la instalación de SQL Server, se pueden configurar algunos servicios de SQL Server con la cuenta de inicio, además de determinarse si el servicio se inicia automáticamente. En la tabla siguiente se muestran los servicios de SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede utilizar los modificadores en un archivo de instalación o en el símbolo del sistema.
Nombre de servicio de SQL Server | ¿Configurable en el Asistente para la instalación? | Modificadores para las instalaciones desatendidas1 |
---|---|---|
MSSQLSERVER |
Sí |
SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART |
SQLServerAgent |
Sí |
AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART |
MSSQLServerOLAPService |
Sí |
ASACCOUNT, ASPASSWORD, ASAUTOSTART |
ReportServer |
Sí |
RSACCOUNT, RSPASSWORD, RSAUTOSTART |
SQLBrowser |
Sí |
SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2 |
1Para obtener más información y la sintaxis de ejemplo de las instalaciones remotas y desatendidas, vea Cómo instalar SQL Server 2005 desde el símbolo del sistema.
Se puede especificar SQLBROWSERAUTOSTART2 incluso si ya se ha instalado el Explorador SQL Server.
Los siguientes servicios no se pueden configurar durante la instalación. Se instalan con la configuración predeterminada:
- Notification Services
- Integration Services
- Búsqueda de texto
- Servicio auxiliar de Active Directory
- Objeto de escritura de SQL
Usar las cuentas de inicio de los servicios de SQL Server
Para iniciarse y ejecutarse, cada servicio de SQL Server 2005 debe tener una cuenta de usuario. Las cuentas de usuario pueden ser cuentas de sistema integradas o cuentas de usuario de dominio.
Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:
- Deshabilitado El servicio se ha instalado, pero no se ejecuta actualmente.
- Manual El servicio se ha instalado, pero sólo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.
- Automático El sistema operativo inicia el servicio después de que los controladores de dispositivo se carguen durante el inicio.
En la siguiente tabla se muestran las cuentas predeterminadas y opcionales para cada servicio de SQL Server, así como los estados de inicio de cada uno.
Nombre de servicio de SQL Server | Cuenta predeterminada | Cuentas opcionales | Tipo de inicio | Estado predeterminado después del inicio |
---|---|---|---|---|
SQL Server |
SQL Server Express Edition en Windows 2000: Sistema local SQL Server Express Edition en los demás sistemas operativos compatibles: Servicio de red Las demás ediciones en todos los sistemas operativos compatibles: Usuario de dominio1 |
SQL Server Express Edition: Usuario de dominio, Sistema local, Servicio de red1 Resto de ediciones: Usuario de dominio, Sistema local, Servicio de red1 |
Automático2 |
Iniciado Sólo se detiene si el usuario decide no ejecutar el inicio automático. |
Agente SQL Server |
Usuario de dominio3 |
Usuario de dominio, Sistema local, Servicio de red1,6 |
Deshabilitado Sólo se inicia automáticamente si el usuario decide ejecutar el inicio automático. |
Detenido Sólo se inicia si el usuario decide ejecutar el inicio automático. |
Analysis Services |
Usuario de dominio3 |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Automático |
Iniciado Sólo se detiene si el usuario decide no ejecutar el inicio automático. |
Reporting Services |
Usuario de dominio3 |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Automático |
Iniciado Sólo se detiene si el usuario decide no ejecutar el inicio automático. |
Notification Services4 |
N/D |
N/D |
N/D |
N/D |
Integration Services |
Windows 2000: Sistema local Los demás sistemas operativos compatibles: Servicio de red |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Automático |
Iniciado Sólo se detiene si el usuario decide no ejecutar el inicio automático. |
Búsqueda de texto |
La misma cuenta que SQL Server |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Manual |
Detenido Sólo se inicia si el usuario decide ejecutar el inicio automático. |
Explorador SQL Server |
SQL Server Express Edition en Windows 2000: Sistema local SQL Server Express Edition en los demás sistemas operativos compatibles: Servicio local Las demás ediciones en todos los sistemas operativos compatibles: Usuario de dominio1,3 |
Usuario de dominio, Sistema local, Servicio de red, Servicio local |
Deshabilitado5 Sólo se inicia automáticamente si el usuario decide ejecutar el inicio automático. |
Detenido5 Sólo se inicia si el usuario decide ejecutar el inicio automático. |
Servicio auxiliar de Active Directory de SQL Server |
Servicio de red |
Sistema local, Servicio de red |
Deshabilitado |
Detenido |
Objeto de escritura de SQL |
Sistema local |
Sistema local |
Automático |
Iniciado |
1Importante Microsoft recomienda no utilizar la cuenta de servicio de red para el servicio SQL Server o el servicio del Agente SQL Server. Las cuentas de usuario local o de usuario de dominio son más adecuadas para estos servicios de SQL Server.
2Manual en configuraciones de clúster de conmutación por error.
3Esta propiedad es obligatoria en instalaciones desatendidas. Si no se especifica, el programa de instalación generará un error. Para especificar el sistema local, use SQLAccount=LocalSystem o ASAccount=LocalSystem. Para obtener más información y la sintaxis de ejemplo de las instalaciones remotas y desatendidas, vea Cómo instalar SQL Server 2005 desde el símbolo del sistema.
4 El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema "Configurar los servicios de Windows de Notification Services" en los Libros en pantalla de SQL Server 2005.
5En instalaciones de clúster de conmutación por error, el Explorador SQL Server se configura en inicio automático y se inicia de forma predeterminada después de la instalación.
6Para obtener más información acerca de las cuentas de Windows compatibles con el Agente SQL Server, vea el artículo sobre los tipos de cuentas de Windows compatibles que pueden usarse para ejecutar el servicio del Agente SQL Server en SQL Server 2005.
Importante: |
---|
En instalaciones de clúster de conmutación por error, no se admiten las cuentas de sistema local y servicio local para los servicios agrupados como SQL Server, Agente SQL Server y SSAS. Para obtener más información, vea Antes de instalar un clúster de conmutación por error. Para instalaciones de SQL Server 2005 en configuraciones simultáneas con versiones anteriores de SQL Server, los servicios de SQL Server 2005 deben usar cuentas que sólo se encuentran en el grupo de dominio global. Además, las cuentas utilizadas por los servicios de SQL Server 2005 no deben aparecer en el grupo local de administradores. Si no se sigue esta directriz, se producirán comportamientos inesperados con respecto a la seguridad. |
Usar una cuenta de usuario de dominio
Es posible que sea preferible una cuenta de usuario de dominio cuando el servicio debe interactuar con los servicios de red. Muchas actividades de servidor a servidor sólo se pueden realizar con una cuenta de usuario de dominio, por ejemplo:
- Llamadas a procedimiento remoto.
- Réplica.
- Copias de seguridad en unidades de red.
- Combinaciones heterogéneas en las que intervienen orígenes de datos remotos.
- Características de correo del Agente SQL Server y SQL Mail. Esta restricción se aplica si utiliza Microsoft Exchange. La mayoría de los otros sistemas de correo también requieren que los clientes (como el servicio SQL Server y el servicio del Agente SQL Server) se ejecuten con cuentas con acceso a la red.
Usar la cuenta de servicio local
La cuenta de servicio local es una cuenta integrada especial parecida a una cuenta de usuario autenticado. La cuenta de servicio local tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema si procesos o servicios individuales se ven afectados. Los servicios que se ejecutan como cuenta de servicio local tienen acceso a los recursos de red como una sesión nula sin credenciales.
Usar la cuenta de servicio de red
La cuenta de servicio de red es una cuenta integrada especial parecida a una cuenta de usuario autenticado. La cuenta de servicio de red tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan como la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo.
Importante: |
---|
Microsoft recomienda no utilizar la cuenta de servicio de red para el servicio SQL Server o el servicio del Agente SQL Server. Las cuentas de usuario local o de usuario de dominio son más adecuadas para estos servicios de SQL. |
Usar la cuenta de sistema local
La cuenta de sistema local es una cuenta con privilegios elevados; tenga cuidado cuando asigne permisos de sistema local a las cuentas de servicio de SQL Server.
Nota de seguridad: |
---|
Para aumentar la seguridad de la instalación de SQL Server, ejecute los servicios de SQL Server con una cuenta local de Windows con los privilegios mínimos posibles. |
Cambiar cuentas de usuario
Para cambiar la contraseña u otras propiedades de un servicio relacionado con SQL Server, use el Administrador de configuración de SQL Server. Si se cambia la contraseña de Windows, asegúrese de actualizar también la configuración de los servicios de SQL Server. Si tiene habilitado Kerberos, asegúrese de actualizar la propiedad de directorio Nombre principal de servicio (SPN) de Active Directory.
Para obtener más información, vea Cambiar contraseñas y cuentas de usuario. Para obtener información acerca del uso del complemento Servicios en Microsoft Windows para cambiar cuentas de servicio de SQL Server, vea el artículo acerca de cómo cambiar la cuenta de servicio de SQL Server o del Agente SQL Server sin utilizar el Administrador corporativo de SQL en SQL Server 2000 ni el Administrador de configuración de SQL Server en SQL Server 2005.
Identificar los servicios que reconocen y no reconocen instancias
Algunos servicios de SQL Server reconocen instancias y otros no. Cada servicio que reconoce instancias se asocia con una instancia específica de SQL Server y tiene su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas; no están asociados con una instancia específica, sólo se instalan una vez y no se pueden instalar de modo simultáneo.
Los servicios que reconocen instancias en Microsoft SQL Server 2005 son:
- SQL Server
- Agente SQL Server
- Analysis Services
- Reporting Services
- Búsqueda de texto
Los servicios que no reconocen instancias en SQL Server 2005 son:
- Notification Services
- Integration Services
- Explorador SQL Server
- Servicio auxiliar de Active Directory de SQL Server
- Objeto de escritura de SQL
Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio de SQL Server
El programa de instalación de SQL Server crea grupos de usuarios para los diferentes servicios de SQL Server y agrega las cuentas de servicio a estos grupos. Estos grupos simplifican la concesión de los permisos necesarios para ejecutar los servicios de SQL Server y otros ejecutables y ayudan a proteger los archivos de SQL Server. Tenga en cuenta que al instalar SQL Server 2005 en un controlador de dominio es necesario utilizar nombres de grupo únicos.
Estos grupos de usuarios creados por el programa de instalación de SQL Server reciben los siguientes derechos y privilegios de Windows NT.
Servicio SQL Server | Grupo de usuarios | Permisos concedidos de forma predeterminada por el programa de instalación de SQL Server |
---|---|---|
SQL Server |
Instancia predeterminada: SQLServer2005MSSQLUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServer2005MSSQLUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) Actuar como parte del sistema operativo (SeTcbPrivilege) (sólo en Windows 2000) Iniciar sesión como proceso por lotes (SeBatchLogonRight) Reemplazar un símbolo de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege) Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server Permiso para iniciar el objeto de escritura de SQL |
Agente SQL Server |
Instancia predeterminada: SQLServer2005SQLAgentUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServer2005SQLAgentUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) Actuar como parte del sistema operativo (SeTcbPrivilege) (sólo en Windows 2000) Iniciar sesión como proceso por lotes (SeBatchLogonRight) Reemplazar un símbolo de nivel de proceso (SeAssignPrimaryTokenPrivilege) Omitir la comprobación transversal (SeChangeNotifyPrivilege) Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege) |
Analysis Services |
Instancia predeterminada: SQLServer2005MSOLAPUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServer2005MSOLAPUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) |
Reporting Services1 |
Instancia predeterminada: SQLServer2005ReportServerUser$nombreDeEquipo$MSSQLSERVER y SQLServer2005ReportingServicesWebServiceUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServer2005ReportServerUser$nombreDeEquipo$nombreDeInstancia y SQLServer2005ReportingServicesWebServiceUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) |
Notification Services2 |
Instancia predeterminada o instancia con nombre: SQLServer2005NotificationServicesUser$nombreDeEquipo |
N/D |
Integration Services |
Instancia predeterminada o instancia con nombre: SQLServer2005DTSUser$nombreDeEquipo |
Iniciar sesión como servicio (SeServiceLogonRight) Permiso para escribir en el registro de eventos de la aplicación Omitir la comprobación transversal (SeChangeNotifyPrivilege) Crear objetos globales (SeCreateGlobalPrivilege) Suplantar un cliente después de la autenticación (SeImpersonatePrivilege) |
Búsqueda de texto |
Instancia predeterminada: SQLServer2005MSFTEUser$nombreDeEquipo$MSSQLSERVER Instancia con nombre: SQLServer2005MSFTEUser$nombreDeEquipo$nombreDeInstancia |
Iniciar sesión como servicio (SeServiceLogonRight) |
Explorador SQL Server |
Instancia predeterminada o instancia con nombre: SQLServer2005SQLBrowserUser$nombreDeEquipo |
Iniciar sesión como servicio (SeServiceLogonRight) |
Servicio auxiliar de Active Directory de SQL Server |
Instancia predeterminada o instancia con nombre: SQLServer2005MSSQLServerADHelperUser$nombreDeEquipo |
Ninguno3 |
Objeto de escritura de SQL |
N/D |
Ninguno3 |
1En Reporting Services, el programa de instalación de SQL Server también debe crear grupos de usuarios SQLServer2005ReportingServicesWebServiceUser$nombreDeInstancia y SQLServer2005ASP.NETUser y concederles listas de control de acceso (ACL). Para obtener más información, vea a continuación la sección sobre listas de control de acceso.
2 El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema "Configurar los servicios de Windows de Notification Services" en los Libros en pantalla de SQL Server 2005.
3 El programa de instalación de SQL Server no comprueba ni concede permisos para este servicio.
Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server
Las cuentas de servicio de SQL Server 2005 deben tener acceso a los recursos. Las listas de control de acceso (ACL) se definen en el nivel de grupo de usuarios. En la siguiente tabla se muestra una lista de ACL definidas por el programa de instalación de SQL Server.
Importante: |
---|
En instalaciones de clúster de conmutación por error, no se pueden definir los recursos en disco compartidos para ninguna ACL de un grupo de usuarios local. En su lugar, estos recursos se definirán para una ACL de una cuenta local. |
Cuenta de servicio de | Archivos y carpetas | Acceso |
---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
Control total |
|
Instid\MSSQL\binn |
Lectura, Ejecución |
|
Instid\MSSQL\data |
Control total |
|
Instid\MSSQL\FTData |
Control total |
|
Instid\MSSQL\Install |
Lectura, Ejecución |
|
Instid\MSSQL\Log |
Control total |
|
Instid\MSSQL\Repldata |
Control total |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
|
90\com |
Lectura, Ejecución |
|
Instid\MSSQL\Template Data (sólo SQL Server Express) |
Lectura |
SQLServerAgent |
Instid\MSSQL\binn |
Control total |
|
Instid\MSSQL\Log |
Control total |
|
Instid\MSSQL\jobs |
Control total |
|
90\com |
Lectura, Ejecución |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
FTS |
Instid\MSSQL\FTData |
Control total |
|
Instid\MSSQL\FTRef |
Lectura, Ejecución |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
|
Instid\MSSQL\Install |
Lectura, Ejecución |
MSSQLServerOLAPService |
90\shared |
Lectura, Ejecución |
|
90\shared\msmdlocal.ini |
Control total |
|
Instid\OLAP |
Lectura, Ejecución |
|
Instid\Olap\Data |
Control total |
|
Instid\Olap\Log |
Lectura, Escritura |
|
90\shared\Errordumps |
Lectura, Escritura |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
Lectura, Escritura, Eliminación |
|
Instid\Reporting Services\ReportServer |
Lectura, Ejecución |
|
Instid\Reportingservices\Reportserver\global.asax |
Control total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lectura, Escritura |
|
Instid\Reporting Services\reportManager |
Lectura, Ejecución |
|
Instid\Reporting Services\RSTempfiles |
Lectura, Escritura |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
Lectura, Escritura, Eliminación |
|
Instid\Reporting Services\ReportServer |
Lectura, Ejecución |
|
Instid\Reportingservices\Reportserver\global.asax |
Control total |
|
InstID\Reporting Services\reportservice.asmx |
Control total |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
Lectura, Escritura, Eliminación |
|
Instid\Reporting Services\reportManager |
Lectura, Ejecución |
|
Instid\Reporting Services\RSTempfiles |
Lectura, Escritura |
|
Instid\Reporting Services\reportManager\pages |
Lectura |
|
Instid\Reporting Services\reportManager\Styles |
Lectura |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
Lectura |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
Notification Services |
90\Notification services |
Lectura, Ejecución, Mostrar el contenido de la carpeta |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
Lectura |
|
90\dts\binn |
Lectura, Ejecución |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
Explorador SQL Server |
90\shared\msmdlocal.ini |
Lectura |
|
90\shared |
Lectura, Ejecución |
|
90\shared\Errordumps |
Lectura, Escritura |
MSADHekper |
N/D (Se ejecuta como cuenta integrada) |
|
SQLWriter |
N/D (Se ejecuta como sistema local) |
|
Usuario |
Instid\MSSQL\binn |
Lectura, Ejecución |
|
Instid\Reporting Services\ReportServer |
Lectura, Ejecución |
|
Instid\Reportingservices\Reportserver\global.asax |
Lectura |
|
InstID\Reporting Services\reportservice.asmx |
Lectura, Ejecución |
|
Instid\Reporting Services\reportManager |
Lectura, Ejecución |
|
Instid\Reporting Services\reportManager\pages |
Lectura |
|
Instid\Reporting Services\reportManager\Styles |
Lectura |
|
90\dts |
Lectura, Ejecución |
|
90\tools |
Lectura, Ejecución |
|
80\tools |
Lectura, Ejecución |
|
90\sdk |
Lectura |
|
Microsoft SQL Server\90\Setup Bootstrap |
Lectura, Ejecución |
Además de las cuentas de inicio del servicio SQL Server, es posible que se deba conceder permisos de control de acceso a cuentas integradas u otras cuentas de servicio de SQL Server. En la siguiente tabla se muestra una lista de ACL adicionales definidas por el programa de instalación de SQL Server.
Componente que realiza la solicitud | Cuenta | Recurso | Permisos |
---|---|---|---|
MSSQLServer |
Usuarios del registro de rendimiento |
Instid\MSSQL\binn |
Mostrar el contenido de la carpeta |
|
Usuarios del monitor de sistema |
Instid\MSSQL\binn |
Mostrar el contenido de la carpeta |
|
Usuarios del registro de rendimiento |
Instid\MSSQL\binn\sqlctr90.dll |
Lectura, Ejecución |
|
Usuarios del monitor de sistema |
Instid\MSSQL\binn\sqlctr90.dll |
Lectura, Ejecución |
|
Sólo el administrador |
\\.\root\Microsoft\SqlServer\ServerEvents\<nombreDeInstanciaDeSQL>1 |
Control total |
|
Administradores |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Control total |
|
Sistema |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Control total |
|
Usuarios |
\tools\binn\schemas\sqlserver\2003\03\showplan |
Lectura, Ejecución |
Reporting Services |
<Cuenta de servicio Web del servidor de informes> |
<instalación>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Identidad de grupo de aplicaciones del Administrador de informes |
<instalación>\Reporting Services\ReportManager |
Lectura |
|
Cuenta ASP.NET |
<instalación>\Reporting Services\ReportManager |
Lectura |
|
Todos |
<instalación>\Reporting Services\ReportManager |
Lectura |
|
Identidad del grupo de aplicaciones del Administrador de informes |
<instalación>\Reporting Services\ReportManager\Pages\*.* |
Lectura |
|
Cuenta ASP.NET |
<instalación>\Reporting Services\ReportManager\Pages\*.* |
Lectura |
|
Todos |
<instalación>\Reporting Services\ReportManager\Pages\*.* |
Lectura |
|
Identidad del grupo de aplicaciones del Administrador de informes |
<instalación>\Reporting Services\ReportManager\Styles\*.* |
Lectura |
|
Cuenta ASP.NET |
<instalación>\Reporting Services\ReportManager\Styles\*.* |
Lectura |
|
Todos |
<instalación>\Reporting Services\ReportManager\Styles\*.* |
Lectura |
|
Identidad del grupo de aplicaciones del Administrador de informes |
<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lectura |
|
Cuenta ASP.NET |
<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lectura |
|
Todos |
<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
Lectura |
|
<Cuenta de servicio Web del servidor de informes> |
<instalación>\Reporting Services\ReportServer |
Lectura |
|
<Cuenta de servicio Web del servidor de informes> |
<instalación>\Reporting Services\ReportServer\global.asax |
Completo |
|
Todos |
<instalación>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
Servicio de red |
<instalación>\Reporting Services\ReportServer\ReportService.asmx |
Completo |
|
Todos |
<instalación>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
Cuenta de servicios de Windows ReportServer |
<instalación>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Todos |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Enumerar subclaves Notificar Controles de lectura |
|
Usuario de Servicios de Terminal Server |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Establecer valor Crear subclave Enumerar subclave Notificar Eliminar Controles de lectura |
|
Usuarios avanzados |
Claves del Servidor de informes (subárbol Instid) |
Consultar valor Establecer valor Crear subclave Enumerar subclaves Notificar Eliminar Controles de lectura |
1Éste es el espacio de nombres del proveedor WMI.
Revisar los permisos de Windows para los Servicios de SQL Server
En la siguiente tabla se muestran los nombres de servicio, el término que se utiliza para hacer referencia a las instancias predeterminada y con nombre de SQL Server, una descripción de la función del servicio y los permisos mínimos necesarios.
Nombre para mostrar
Nombre del servicio
Descripción
Permisos necesarios
SQL Server (nombreDeInstancia)
Instancia predeterminada: MSSQLSERVER
Instancia con nombre: MSSQL$nombreDeInstancia
SQL Server Database Engine (Motor de base de datos de SQL Server).
La ruta de acceso al archivo ejecutable es \MSSQL\Binn\sqlservr.exe.
Se recomienda el usuario local.
Permisos mínimos
Funcionalidad
Cuenta de inicio del servicio MSSQLServer
La cuenta debe estar en la lista de cuentas que tienen permisos "Mostrar lista de carpetas" en la unidad raíz donde se ha instalado SQL Server, y en la raíz de cualquier otra unidad donde se almacenen los archivos de SQL Server.
Nota:
Las subcarpetas no tienen que heredar los permisos "Mostrar lista de carpetas" de la unidad raíz.
Cuenta de inicio del servicio MSSQLServerLa cuenta debe tener permisos "Control total" sobre cualquier carpeta donde residirán los archivos de datos o de registro (.mdf, .ndf, .ldf).
Agente SQL Server (nombreDeInstancia)
Instancia predeterminada: SQLServerAgent
Instancia con nombre: SQLAgent$nombreDeInstancia
Ejecuta trabajos, supervisa SQL Server, activa alertas y permite la automatización de algunas tareas administrativas.
La ruta de acceso al archivo ejecutable es \MSSQL\Binn\sqlservr.exe.
Permisos mínimos
Funcionalidad
La cuenta debe ser miembro de la función fija de servidor sysadmin.
La cuenta debe tener los siguientes permisos de Windows1Iniciar sesión como servicio. Iniciar sesión como proceso por lotes. Reemplazar un símbolo de nivel de proceso. Ajustar las cuotas de memoria de un proceso. Actuar como parte del sistema operativo. Omitir la comprobación transversal.
Servicios de Analysis Services (nombreDeInstancia)
Instancia predeterminada: MSSQLServerOLAPService
Instancia con nombre: MSOLAP$nombreDeInstancia
El servicio que proporciona proceso analítico en línea (OLAP) y funcionalidad de minería de datos a las aplicaciones de inteligencia empresarial.
La ruta de acceso al archivo ejecutable es \OLAP\Bin\msmdsrv.exe.
Servidor de informes
Instancia predeterminada: ReportServer
Instancia con nombre: ReportServer$nombreDeInstancia
Administra, ejecuta, representa, programa y envía informes.
La ruta de acceso al ejecutable es \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Notification Services
Notification Services es una plataforma para desarrollar e implementar aplicaciones que generan y envían notificaciones. El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema sobre la configuración de servicios de Windows de Notification Services en los Libros en pantalla de SQL Server 2005.
Integration Services
Instancia predeterminada o con nombre: MSDTSServer
Proporcionar compatibilidad de administración para el almacenamiento y la ejecución de un paquete de Integration Services.
La ruta de acceso al archivo ejecutable es \DTS\Binn\msdtssrvr.exe.
Explorador SQL Server
Instancia predeterminada o con nombre: SQLBrowser
El servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. Este servicio lo comparten varias instancias de SQL Server y de SSIS.
La ruta de acceso al archivo ejecutable es \90\shared\sqlbrowser.exe.
Búsqueda de texto de Microsoft (MSFTESQL)
Instancia predeterminada: MSFTESQL
Instancia con nombre: MSFTESQL$nombreDeInstancia
Crea rápidamente índices de búsqueda de texto del contenido y las propiedades de datos estructurados y semiestructurados para permitir búsquedas lingüísticas rápidas en estos datos.
La ruta de acceso al archivo ejecutable es \MSSQL\Binn\msftesql.exe.
Servicio auxiliar de Active Directory de SQL Server
Instancia predeterminada o con nombre: MSSQLServerADHelper.
Publica y administra servicios de SQL Server en Windows Active Directory.
La ruta de acceso al archivo ejecutable es \90\Shared\sqladhelper.exe.
Objeto de escritura de SQL
SQLWriter
Permite realizar copias de seguridad y restaurar aplicaciones para trabajar en el marco del Servicio de instantáneas de volumen (VSS). Hay una sola instancia del servicio de objeto de escritura de SQL para todas las instancias de SQL Server del servidor.
La ruta de acceso al archivo ejecutable es \90\Shared\sqlwriter.exe.
1Para obtener más información sobre cómo comprobar que se haya definido cada permiso de Windows necesario, vea Cómo comprobar permisos para servicios de SQL Server.
Revisar consideraciones adicionales
En la siguiente tabla se muestran los permisos que necesitan los servicios de SQL Server para proporcionar funcionalidad adicional.
Servicio/Aplicación | Funcionalidad | Permiso necesario |
---|---|---|
SQL Server (MSSQLSERVER) |
Escribir en un buzón de correo mediante xp_sendmail. |
Privilegios de escritura en red. |
SQL Server (MSSQLSERVER) |
Ejecutar xp_cmdshell para usuarios que no son administradores de SQL Server. |
Actuar como parte del sistema operativo y reemplazar un testigo de nivel de proceso. |
Agente SQL Server (MSSQLSERVER) |
Usar la característica de reinicio automático. |
Debe ser un miembro del grupo local Administradores. |
Asistente para la optimización de Database Engine (Motor de base de datos) |
Optimiza las bases de datos para un rendimiento óptimo de las consultas. |
Al utilizarlo por primera vez, un usuario con privilegios de administrador de sistema debe inicializar la aplicación. Después de la inicialización, los usuarios que tienen tablas (usuarios dbo) pueden usar el Asistente para la optimización de Database Engine (Motor de base de datos) para optimizar sólo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema sobre la inicialización del Asistente para la optimización de motor de base de datos en los Libros en pantalla de SQL Server 2005. |
Importante: |
---|
Antes de actualizar a SQL Server 2005, habilite la autenticación de Windows para el Agente SQL Server y compruebe que la cuenta de servicio del Agente SQL Server es miembro del grupo SQL Server sysadmin. |
Nombres de servicio traducidos
En la tabla siguiente se muestran los nombres de servicio utilizados por la versión traducida de Microsoft Windows.
Idioma | Nombre de servicio local | Nombre de servicio de red | Nombre del sistema local | Nombre del grupo de administradores |
---|---|---|---|---|
Inglés Chino simplificado Chino tradicional Coreano Japonés |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Alemán |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
Francés |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
Italiano |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
Español |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
Ruso |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
Vea también
Referencia
Cuenta de servicio
Cuentas de servicio (clústeres)
Conceptos
Consideraciones de seguridad para una instalación de SQL Server
Ayuda e información
Obtener ayuda sobre SQL Server 2005
Historial de cambios
Versión | Historial |
---|---|
12 de diciembre de 2006 |
|
17 de julio de 2006 |
|
5 de diciembre de 2005 |
|