Configurar cuentas de servicio de Windows

  • Artículo

Actualizado: 12 de diciembre de 2006

Cada servicio de SQL Server representa a un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Microsoft Windows. En este tema se presenta la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios de SQL Server que se pueden establecer durante la instalación de SQL Server.

Nota de seguridad   Ejecute siempre los servicios de SQL Server con los derechos de usuario mínimos posibles.

En función de los componentes de Microsoft SQL Server 2005 que decida instalar, el programa de instalación de SQL Server 2005 instalará los servicios siguientes:

  • Servicios de bases de datos de SQL Server: servicio del Database Engine (Motor de base de datos) relacional de SQL Server.

  • Agente SQL Server: ejecuta trabajos, supervisa SQL Server, activa alertas y permite la automatización de algunas tareas administrativas.

    [!NOTA] Para que SQL Server y el Agente SQL Server se ejecuten como servicios de Windows, SQL Server y el Agente SQL Server deben estar asignados a una cuenta de usuario de Windows. Normalmente, SQL Server y el Agente SQL Server se asignan a la misma cuenta de usuario, el sistema local o una cuenta de usuario de dominio. No obstante, puede personalizar la configuración de cada servicio durante el proceso de instalación. Para obtener más información acerca de cómo personalizar la información de cuentas para cada servicio, vea Cuenta de servicio.

  • Analysis Services: proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence.

  • Reporting Services: administra, ejecuta, representa, programa y entrega informes.

  • Notification Services: plataforma para desarrollar e implementar aplicaciones que generan y envían notificaciones.

  • Integration Services: proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration Services.

  • Búsqueda de texto: crea rápidamente índices de texto de contenido y propiedades de datos estructurados y semiestructurados para habilitar búsquedas lingüísticas rápidas de esos datos.

  • Explorador de SQL Server: servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente.

  • Servicio auxiliar de Active Directory de SQL Server: publica y administra los servicios de SQL Server en Active Directory.

  • Objeto de escritura de SQL: permite realizar copias de seguridad y restaurar aplicaciones para trabajar en el marco del Servicio de instantáneas de volumen (VSS).

El resto de este tema se divide en las siguientes secciones:

  • Configurar los servicios expuestos en la instalación de SQL Server
  • Usar las cuentas de inicio de los servicios de SQL Server
  • Identificar los servicios que reconocen y no reconocen instancias
  • Revisar los derechos y privilegios de NT concedidos a las cuentas de servicio de SQL Server
  • Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server
  • Revisar los permisos de Windows para los Servicios de SQL Server
  • Revisar consideraciones adicionales
  • Nombres de servicio traducidos

Configurar los servicios expuestos en la instalación de SQL Server

Durante la instalación de SQL Server, se pueden configurar algunos servicios de SQL Server con la cuenta de inicio, además de determinarse si el servicio se inicia automáticamente. En la tabla siguiente se muestran los servicios de SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede utilizar los modificadores en un archivo de instalación o en el símbolo del sistema.

Nombre de servicio de SQL Server ¿Configurable en el Asistente para la instalación? Modificadores para las instalaciones desatendidas1

MSSQLSERVER 

SQLACCOUNT, SQLPASSWORD, SQLAUTOSTART

SQLServerAgent

AGTACCOUNT, AGTPASSWORD, AGTAUTOSTART

MSSQLServerOLAPService

ASACCOUNT, ASPASSWORD, ASAUTOSTART

ReportServer

RSACCOUNT, RSPASSWORD, RSAUTOSTART

SQLBrowser

SQLBROWSERACCOUNT, SQLBROWSERPASSWORD, SQLBROWSERAUTOSTART2

1Para obtener más información y la sintaxis de ejemplo de las instalaciones remotas y desatendidas, vea Cómo instalar SQL Server 2005 desde el símbolo del sistema.

Se puede especificar SQLBROWSERAUTOSTART2 incluso si ya se ha instalado el Explorador SQL Server.

Los siguientes servicios no se pueden configurar durante la instalación. Se instalan con la configuración predeterminada:

  • Notification Services
  • Integration Services
  • Búsqueda de texto
  • Servicio auxiliar de Active Directory
  • Objeto de escritura de SQL

Usar las cuentas de inicio de los servicios de SQL Server

Para iniciarse y ejecutarse, cada servicio de SQL Server 2005 debe tener una cuenta de usuario. Las cuentas de usuario pueden ser cuentas de sistema integradas o cuentas de usuario de dominio.

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:

  • Deshabilitado   El servicio se ha instalado, pero no se ejecuta actualmente.
  • Manual   El servicio se ha instalado, pero sólo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.
  • Automático   El sistema operativo inicia el servicio después de que los controladores de dispositivo se carguen durante el inicio.

En la siguiente tabla se muestran las cuentas predeterminadas y opcionales para cada servicio de SQL Server, así como los estados de inicio de cada uno.

Nombre de servicio de SQL Server Cuenta predeterminada Cuentas opcionales Tipo de inicio Estado predeterminado después del inicio

SQL Server

SQL Server Express Edition en Windows 2000: Sistema local

SQL Server Express Edition en los demás sistemas operativos compatibles: Servicio de red

Las demás ediciones en todos los sistemas operativos compatibles: Usuario de dominio1

SQL Server Express Edition: Usuario de dominio, Sistema local, Servicio de red1

Resto de ediciones: Usuario de dominio, Sistema local, Servicio de red1

Automático2

Iniciado

Sólo se detiene si el usuario decide no ejecutar el inicio automático.

Agente SQL Server

Usuario de dominio3

Usuario de dominio, Sistema local, Servicio de red1,6

Deshabilitado

Sólo se inicia automáticamente si el usuario decide ejecutar el inicio automático.

Detenido

Sólo se inicia si el usuario decide ejecutar el inicio automático.

Analysis Services

Usuario de dominio3

Usuario de dominio, Sistema local, Servicio de red, Servicio local

Automático

Iniciado

Sólo se detiene si el usuario decide no ejecutar el inicio automático.

Reporting Services

Usuario de dominio3

Usuario de dominio, Sistema local, Servicio de red, Servicio local

Automático

Iniciado

Sólo se detiene si el usuario decide no ejecutar el inicio automático.

Notification Services4

N/D

N/D

N/D

N/D

Integration Services

Windows 2000: Sistema local

Los demás sistemas operativos compatibles: Servicio de red

Usuario de dominio, Sistema local, Servicio de red, Servicio local

Automático

Iniciado

Sólo se detiene si el usuario decide no ejecutar el inicio automático.

Búsqueda de texto

La misma cuenta que SQL Server

Usuario de dominio, Sistema local, Servicio de red, Servicio local

Manual

Detenido

Sólo se inicia si el usuario decide ejecutar el inicio automático.

Explorador SQL Server

SQL Server Express Edition en Windows 2000: Sistema local

SQL Server Express Edition en los demás sistemas operativos compatibles: Servicio local

Las demás ediciones en todos los sistemas operativos compatibles: Usuario de dominio1,3

Usuario de dominio, Sistema local, Servicio de red, Servicio local

Deshabilitado5

Sólo se inicia automáticamente si el usuario decide ejecutar el inicio automático.

Detenido5

Sólo se inicia si el usuario decide ejecutar el inicio automático.

Servicio auxiliar de Active Directory de SQL Server

Servicio de red

Sistema local, Servicio de red

Deshabilitado

Detenido

Objeto de escritura de SQL

Sistema local

Sistema local

Automático

Iniciado

1Importante   Microsoft recomienda no utilizar la cuenta de servicio de red para el servicio SQL Server o el servicio del Agente SQL Server. Las cuentas de usuario local o de usuario de dominio son más adecuadas para estos servicios de SQL Server.

2Manual en configuraciones de clúster de conmutación por error.

3Esta propiedad es obligatoria en instalaciones desatendidas. Si no se especifica, el programa de instalación generará un error. Para especificar el sistema local, use SQLAccount=LocalSystem o ASAccount=LocalSystem. Para obtener más información y la sintaxis de ejemplo de las instalaciones remotas y desatendidas, vea Cómo instalar SQL Server 2005 desde el símbolo del sistema.

4 El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema "Configurar los servicios de Windows de Notification Services" en los Libros en pantalla de SQL Server 2005.

5En instalaciones de clúster de conmutación por error, el Explorador SQL Server se configura en inicio automático y se inicia de forma predeterminada después de la instalación.

6Para obtener más información acerca de las cuentas de Windows compatibles con el Agente SQL Server, vea el artículo sobre los tipos de cuentas de Windows compatibles que pueden usarse para ejecutar el servicio del Agente SQL Server en SQL Server 2005.

ms143504.note(es-es,SQL.90).gifImportante:
En instalaciones de clúster de conmutación por error, no se admiten las cuentas de sistema local y servicio local para los servicios agrupados como SQL Server, Agente SQL Server y SSAS. Para obtener más información, vea Antes de instalar un clúster de conmutación por error. Para instalaciones de SQL Server 2005 en configuraciones simultáneas con versiones anteriores de SQL Server, los servicios de SQL Server 2005 deben usar cuentas que sólo se encuentran en el grupo de dominio global. Además, las cuentas utilizadas por los servicios de SQL Server 2005 no deben aparecer en el grupo local de administradores. Si no se sigue esta directriz, se producirán comportamientos inesperados con respecto a la seguridad.

Usar una cuenta de usuario de dominio

Es posible que sea preferible una cuenta de usuario de dominio cuando el servicio debe interactuar con los servicios de red. Muchas actividades de servidor a servidor sólo se pueden realizar con una cuenta de usuario de dominio, por ejemplo:

  • Llamadas a procedimiento remoto.
  • Réplica.
  • Copias de seguridad en unidades de red.
  • Combinaciones heterogéneas en las que intervienen orígenes de datos remotos.
  • Características de correo del Agente SQL Server y SQL Mail. Esta restricción se aplica si utiliza Microsoft Exchange. La mayoría de los otros sistemas de correo también requieren que los clientes (como el servicio SQL Server y el servicio del Agente SQL Server) se ejecuten con cuentas con acceso a la red.

Usar la cuenta de servicio local

La cuenta de servicio local es una cuenta integrada especial parecida a una cuenta de usuario autenticado. La cuenta de servicio local tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema si procesos o servicios individuales se ven afectados. Los servicios que se ejecutan como cuenta de servicio local tienen acceso a los recursos de red como una sesión nula sin credenciales.

Usar la cuenta de servicio de red

La cuenta de servicio de red es una cuenta integrada especial parecida a una cuenta de usuario autenticado. La cuenta de servicio de red tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan como la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo.

ms143504.note(es-es,SQL.90).gifImportante:
Microsoft recomienda no utilizar la cuenta de servicio de red para el servicio SQL Server o el servicio del Agente SQL Server. Las cuentas de usuario local o de usuario de dominio son más adecuadas para estos servicios de SQL.

Usar la cuenta de sistema local

La cuenta de sistema local es una cuenta con privilegios elevados; tenga cuidado cuando asigne permisos de sistema local a las cuentas de servicio de SQL Server.

ms143504.security(es-es,SQL.90).gifNota de seguridad:
Para aumentar la seguridad de la instalación de SQL Server, ejecute los servicios de SQL Server con una cuenta local de Windows con los privilegios mínimos posibles.

Cambiar cuentas de usuario

Para cambiar la contraseña u otras propiedades de un servicio relacionado con SQL Server, use el Administrador de configuración de SQL Server. Si se cambia la contraseña de Windows, asegúrese de actualizar también la configuración de los servicios de SQL Server. Si tiene habilitado Kerberos, asegúrese de actualizar la propiedad de directorio Nombre principal de servicio (SPN) de Active Directory.

Para obtener más información, vea Cambiar contraseñas y cuentas de usuario. Para obtener información acerca del uso del complemento Servicios en Microsoft Windows para cambiar cuentas de servicio de SQL Server, vea el artículo acerca de cómo cambiar la cuenta de servicio de SQL Server o del Agente SQL Server sin utilizar el Administrador corporativo de SQL en SQL Server 2000 ni el Administrador de configuración de SQL Server en SQL Server 2005.

Identificar los servicios que reconocen y no reconocen instancias

Algunos servicios de SQL Server reconocen instancias y otros no. Cada servicio que reconoce instancias se asocia con una instancia específica de SQL Server y tiene su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas; no están asociados con una instancia específica, sólo se instalan una vez y no se pueden instalar de modo simultáneo.

Los servicios que reconocen instancias en Microsoft SQL Server 2005 son:

  • SQL Server
  • Agente SQL Server
  • Analysis Services
  • Reporting Services
  • Búsqueda de texto

Los servicios que no reconocen instancias en SQL Server 2005 son:

  • Notification Services
  • Integration Services
  • Explorador SQL Server
  • Servicio auxiliar de Active Directory de SQL Server
  • Objeto de escritura de SQL

Revisar los derechos y privilegios de Windows NT concedidos a las cuentas de servicio de SQL Server

El programa de instalación de SQL Server crea grupos de usuarios para los diferentes servicios de SQL Server y agrega las cuentas de servicio a estos grupos. Estos grupos simplifican la concesión de los permisos necesarios para ejecutar los servicios de SQL Server y otros ejecutables y ayudan a proteger los archivos de SQL Server. Tenga en cuenta que al instalar SQL Server 2005 en un controlador de dominio es necesario utilizar nombres de grupo únicos.

Estos grupos de usuarios creados por el programa de instalación de SQL Server reciben los siguientes derechos y privilegios de Windows NT.

Servicio SQL Server Grupo de usuarios Permisos concedidos de forma predeterminada por el programa de instalación de SQL Server

SQL Server

Instancia predeterminada: SQLServer2005MSSQLUser$nombreDeEquipo$MSSQLSERVER

Instancia con nombre: SQLServer2005MSSQLUser$nombreDeEquipo$nombreDeInstancia

Iniciar sesión como servicio (SeServiceLogonRight)

Actuar como parte del sistema operativo (SeTcbPrivilege) (sólo en Windows 2000)

Iniciar sesión como proceso por lotes (SeBatchLogonRight)

Reemplazar un símbolo de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Permiso para iniciar el servicio auxiliar de Active Directory de SQL Server

Permiso para iniciar el objeto de escritura de SQL

Agente SQL Server

Instancia predeterminada: SQLServer2005SQLAgentUser$nombreDeEquipo$MSSQLSERVER

Instancia con nombre: SQLServer2005SQLAgentUser$nombreDeEquipo$nombreDeInstancia

Iniciar sesión como servicio (SeServiceLogonRight)

Actuar como parte del sistema operativo (SeTcbPrivilege) (sólo en Windows 2000)

Iniciar sesión como proceso por lotes (SeBatchLogonRight)

Reemplazar un símbolo de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Analysis Services

Instancia predeterminada: SQLServer2005MSOLAPUser$nombreDeEquipo$MSSQLSERVER

Instancia con nombre: SQLServer2005MSOLAPUser$nombreDeEquipo$nombreDeInstancia

Iniciar sesión como servicio (SeServiceLogonRight)

Reporting Services1

Instancia predeterminada: SQLServer2005ReportServerUser$nombreDeEquipo$MSSQLSERVER y SQLServer2005ReportingServicesWebServiceUser$nombreDeEquipo$MSSQLSERVER

Instancia con nombre: SQLServer2005ReportServerUser$nombreDeEquipo$nombreDeInstancia y SQLServer2005ReportingServicesWebServiceUser$nombreDeEquipo$nombreDeInstancia

Iniciar sesión como servicio (SeServiceLogonRight)

Notification Services2

Instancia predeterminada o instancia con nombre: SQLServer2005NotificationServicesUser$nombreDeEquipo

N/D

Integration Services

Instancia predeterminada o instancia con nombre: SQLServer2005DTSUser$nombreDeEquipo

Iniciar sesión como servicio (SeServiceLogonRight)

Permiso para escribir en el registro de eventos de la aplicación

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Crear objetos globales (SeCreateGlobalPrivilege)

Suplantar un cliente después de la autenticación (SeImpersonatePrivilege)

Búsqueda de texto

Instancia predeterminada: SQLServer2005MSFTEUser$nombreDeEquipo$MSSQLSERVER

Instancia con nombre: SQLServer2005MSFTEUser$nombreDeEquipo$nombreDeInstancia

Iniciar sesión como servicio (SeServiceLogonRight)

Explorador SQL Server

Instancia predeterminada o instancia con nombre: SQLServer2005SQLBrowserUser$nombreDeEquipo

Iniciar sesión como servicio (SeServiceLogonRight)

Servicio auxiliar de Active Directory de SQL Server

Instancia predeterminada o instancia con nombre: SQLServer2005MSSQLServerADHelperUser$nombreDeEquipo

Ninguno3

Objeto de escritura de SQL

N/D

Ninguno3

1En Reporting Services, el programa de instalación de SQL Server también debe crear grupos de usuarios SQLServer2005ReportingServicesWebServiceUser$nombreDeInstancia y SQLServer2005ASP.NETUser y concederles listas de control de acceso (ACL). Para obtener más información, vea a continuación la sección sobre listas de control de acceso.

2 El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema "Configurar los servicios de Windows de Notification Services" en los Libros en pantalla de SQL Server 2005.

3 El programa de instalación de SQL Server no comprueba ni concede permisos para este servicio.

Revisar las listas de control de acceso creadas por las cuentas de servicio de SQL Server

Las cuentas de servicio de SQL Server 2005 deben tener acceso a los recursos. Las listas de control de acceso (ACL) se definen en el nivel de grupo de usuarios. En la siguiente tabla se muestra una lista de ACL definidas por el programa de instalación de SQL Server.

ms143504.note(es-es,SQL.90).gifImportante:
En instalaciones de clúster de conmutación por error, no se pueden definir los recursos en disco compartidos para ninguna ACL de un grupo de usuarios local. En su lugar, estos recursos se definirán para una ACL de una cuenta local.
Cuenta de servicio de Archivos y carpetas Acceso

MSSQLServer

Instid\MSSQL\backup

Control total

 

Instid\MSSQL\binn

Lectura, Ejecución

 

Instid\MSSQL\data

Control total

 

Instid\MSSQL\FTData

Control total

 

Instid\MSSQL\Install

Lectura, Ejecución

 

Instid\MSSQL\Log

Control total

 

Instid\MSSQL\Repldata

Control total

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

 

90\com

Lectura, Ejecución

 

Instid\MSSQL\Template Data (sólo SQL Server Express)

Lectura

SQLServerAgent

Instid\MSSQL\binn

Control total

 

Instid\MSSQL\Log

Control total

 

Instid\MSSQL\jobs

Control total

 

90\com

Lectura, Ejecución

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

FTS

Instid\MSSQL\FTData

Control total

 

Instid\MSSQL\FTRef

Lectura, Ejecución

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

 

Instid\MSSQL\Install

Lectura, Ejecución

MSSQLServerOLAPService

90\shared

Lectura, Ejecución

 

90\shared\msmdlocal.ini

Control total

 

Instid\OLAP

Lectura, Ejecución

 

Instid\Olap\Data

Control total

 

Instid\Olap\Log

Lectura, Escritura

 

90\shared\Errordumps

Lectura, Escritura

SQLServer2005ReportServerUser

Instid\Reporting Services\Log Files

Lectura, Escritura, Eliminación

 

Instid\Reporting Services\ReportServer

Lectura, Ejecución

 

Instid\Reportingservices\Reportserver\global.asax

Control total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lectura, Escritura

 

Instid\Reporting Services\reportManager

Lectura, Ejecución

 

Instid\Reporting Services\RSTempfiles

Lectura, Escritura

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

SQLServer2005ReportingServicesWebServiceUser

Instid\Reporting Services\Log Files

Lectura, Escritura, Eliminación

 

Instid\Reporting Services\ReportServer

Lectura, Ejecución

 

Instid\Reportingservices\Reportserver\global.asax

Control total

 

InstID\Reporting Services\reportservice.asmx

Control total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lectura, Escritura, Eliminación

 

Instid\Reporting Services\reportManager

Lectura, Ejecución

 

Instid\Reporting Services\RSTempfiles

Lectura, Escritura

 

Instid\Reporting Services\reportManager\pages

Lectura

 

Instid\Reporting Services\reportManager\Styles

Lectura

 

Instid\Reporting Services\reportManager\webctrl_client\1_0

Lectura

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

Notification Services

90\Notification services

Lectura, Ejecución, Mostrar el contenido de la carpeta

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

MSDTSServer

90\dts\binn\MsDtsSrvr.ini.xml

Lectura

 

90\dts\binn

Lectura, Ejecución

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

Explorador SQL Server

90\shared\msmdlocal.ini

Lectura

 

90\shared

Lectura, Ejecución

 

90\shared\Errordumps

Lectura, Escritura

MSADHekper

N/D (Se ejecuta como cuenta integrada)

 

SQLWriter

N/D (Se ejecuta como sistema local)

 

Usuario

Instid\MSSQL\binn

Lectura, Ejecución

 

Instid\Reporting Services\ReportServer

Lectura, Ejecución

 

Instid\Reportingservices\Reportserver\global.asax

Lectura

 

InstID\Reporting Services\reportservice.asmx

Lectura, Ejecución

 

Instid\Reporting Services\reportManager

Lectura, Ejecución

 

Instid\Reporting Services\reportManager\pages

Lectura

 

Instid\Reporting Services\reportManager\Styles

Lectura

 

90\dts

Lectura, Ejecución

 

90\tools

Lectura, Ejecución

 

80\tools

Lectura, Ejecución

 

90\sdk

Lectura

 

Microsoft SQL Server\90\Setup Bootstrap

Lectura, Ejecución

Además de las cuentas de inicio del servicio SQL Server, es posible que se deba conceder permisos de control de acceso a cuentas integradas u otras cuentas de servicio de SQL Server. En la siguiente tabla se muestra una lista de ACL adicionales definidas por el programa de instalación de SQL Server.

Componente que realiza la solicitud Cuenta Recurso Permisos

MSSQLServer

Usuarios del registro de rendimiento

Instid\MSSQL\binn

Mostrar el contenido de la carpeta

 

Usuarios del monitor de sistema

Instid\MSSQL\binn

Mostrar el contenido de la carpeta

 

Usuarios del registro de rendimiento

Instid\MSSQL\binn\sqlctr90.dll

Lectura, Ejecución

 

Usuarios del monitor de sistema

Instid\MSSQL\binn\sqlctr90.dll

Lectura, Ejecución

 

Sólo el administrador

\\.\root\Microsoft\SqlServer\ServerEvents\<nombreDeInstanciaDeSQL>1

Control total

 

Administradores

\tools\binn\schemas\sqlserver\2003\03\showplan

Control total

 

Sistema

\tools\binn\schemas\sqlserver\2003\03\showplan

Control total

 

Usuarios

\tools\binn\schemas\sqlserver\2003\03\showplan

Lectura, Ejecución

Reporting Services

<Cuenta de servicio Web del servidor de informes>

<instalación>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identidad de grupo de aplicaciones del Administrador de informes

<instalación>\Reporting Services\ReportManager

Lectura

 

Cuenta ASP.NET

<instalación>\Reporting Services\ReportManager

Lectura

 

Todos

<instalación>\Reporting Services\ReportManager

Lectura

 

Identidad del grupo de aplicaciones del Administrador de informes

<instalación>\Reporting Services\ReportManager\Pages\*.*

Lectura

 

Cuenta ASP.NET

<instalación>\Reporting Services\ReportManager\Pages\*.*

Lectura

 

Todos

<instalación>\Reporting Services\ReportManager\Pages\*.*

Lectura

 

Identidad del grupo de aplicaciones del Administrador de informes

<instalación>\Reporting Services\ReportManager\Styles\*.*

Lectura

 

Cuenta ASP.NET

<instalación>\Reporting Services\ReportManager\Styles\*.*

Lectura

 

Todos

<instalación>\Reporting Services\ReportManager\Styles\*.*

Lectura

 

Identidad del grupo de aplicaciones del Administrador de informes

<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lectura

 

Cuenta ASP.NET

<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lectura

 

Todos

<instalación>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lectura

 

<Cuenta de servicio Web del servidor de informes>

<instalación>\Reporting Services\ReportServer

Lectura

 

<Cuenta de servicio Web del servidor de informes>

<instalación>\Reporting Services\ReportServer\global.asax

Completo

 

Todos

<instalación>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Servicio de red

<instalación>\Reporting Services\ReportServer\ReportService.asmx

Completo

 

Todos

<instalación>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Cuenta de servicios de Windows ReportServer

<instalación>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Todos

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Enumerar subclaves

Notificar

Controles de lectura

 

Usuario de Servicios de Terminal Server

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Establecer valor

Crear subclave

Enumerar subclave

Notificar

Eliminar

Controles de lectura

 

Usuarios avanzados

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Establecer valor

Crear subclave

Enumerar subclaves

Notificar

Eliminar

Controles de lectura

1Éste es el espacio de nombres del proveedor WMI.

Revisar los permisos de Windows para los Servicios de SQL Server

En la siguiente tabla se muestran los nombres de servicio, el término que se utiliza para hacer referencia a las instancias predeterminada y con nombre de SQL Server, una descripción de la función del servicio y los permisos mínimos necesarios.

Nombre para mostrar

Nombre del servicio

Descripción

Permisos necesarios

SQL Server (nombreDeInstancia)

Instancia predeterminada: MSSQLSERVER

Instancia con nombre: MSSQL$nombreDeInstancia

SQL Server Database Engine (Motor de base de datos de SQL Server).

La ruta de acceso al archivo ejecutable es \MSSQL\Binn\sqlservr.exe.

Se recomienda el usuario local.

Permisos mínimos

Funcionalidad

Cuenta de inicio del servicio MSSQLServer

La cuenta debe estar en la lista de cuentas que tienen permisos "Mostrar lista de carpetas" en la unidad raíz donde se ha instalado SQL Server, y en la raíz de cualquier otra unidad donde se almacenen los archivos de SQL Server.

ms143504.note(es-es,SQL.90).gifNota:

Las subcarpetas no tienen que heredar los permisos "Mostrar lista de carpetas" de la unidad raíz.

Cuenta de inicio del servicio MSSQLServerLa cuenta debe tener permisos "Control total" sobre cualquier carpeta donde residirán los archivos de datos o de registro (.mdf, .ndf, .ldf).

Agente SQL Server (nombreDeInstancia)

Instancia predeterminada: SQLServerAgent

Instancia con nombre: SQLAgent$nombreDeInstancia

Ejecuta trabajos, supervisa SQL Server, activa alertas y permite la automatización de algunas tareas administrativas.

La ruta de acceso al archivo ejecutable es \MSSQL\Binn\sqlservr.exe.

Permisos mínimos

Funcionalidad

La cuenta debe ser miembro de la función fija de servidor sysadmin. 

La cuenta debe tener los siguientes permisos de Windows1Iniciar sesión como servicio. Iniciar sesión como proceso por lotes. Reemplazar un símbolo de nivel de proceso. Ajustar las cuotas de memoria de un proceso. Actuar como parte del sistema operativo. Omitir la comprobación transversal.

Servicios de Analysis Services (nombreDeInstancia)

Instancia predeterminada: MSSQLServerOLAPService

Instancia con nombre: MSOLAP$nombreDeInstancia

El servicio que proporciona proceso analítico en línea (OLAP) y funcionalidad de minería de datos a las aplicaciones de inteligencia empresarial.

La ruta de acceso al archivo ejecutable es \OLAP\Bin\msmdsrv.exe.

 

Servidor de informes

Instancia predeterminada: ReportServer

Instancia con nombre: ReportServer$nombreDeInstancia

Administra, ejecuta, representa, programa y envía informes.

La ruta de acceso al ejecutable es \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

 

Notification Services

 

Notification Services es una plataforma para desarrollar e implementar aplicaciones que generan y envían notificaciones. El programa de instalación de SQL Server puede instalar Notification Services, pero no configurarlo. Para obtener más información sobre cómo habilitar Notification Services después de la instalación, vea el tema sobre la configuración de servicios de Windows de Notification Services en los Libros en pantalla de SQL Server 2005.

 

Integration Services

Instancia predeterminada o con nombre: MSDTSServer

Proporcionar compatibilidad de administración para el almacenamiento y la ejecución de un paquete de Integration Services.

La ruta de acceso al archivo ejecutable es \DTS\Binn\msdtssrvr.exe.

 

Explorador SQL Server

Instancia predeterminada o con nombre: SQLBrowser

El servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. Este servicio lo comparten varias instancias de SQL Server y de SSIS.

La ruta de acceso al archivo ejecutable es \90\shared\sqlbrowser.exe.

 

Búsqueda de texto de Microsoft (MSFTESQL)

Instancia predeterminada: MSFTESQL

Instancia con nombre: MSFTESQL$nombreDeInstancia

Crea rápidamente índices de búsqueda de texto del contenido y las propiedades de datos estructurados y semiestructurados para permitir búsquedas lingüísticas rápidas en estos datos.

La ruta de acceso al archivo ejecutable es \MSSQL\Binn\msftesql.exe.

 

Servicio auxiliar de Active Directory de SQL Server

Instancia predeterminada o con nombre: MSSQLServerADHelper.

Publica y administra servicios de SQL Server en Windows Active Directory.

La ruta de acceso al archivo ejecutable es \90\Shared\sqladhelper.exe.

 

Objeto de escritura de SQL

SQLWriter

Permite realizar copias de seguridad y restaurar aplicaciones para trabajar en el marco del Servicio de instantáneas de volumen (VSS). Hay una sola instancia del servicio de objeto de escritura de SQL para todas las instancias de SQL Server del servidor.

La ruta de acceso al archivo ejecutable es \90\Shared\sqlwriter.exe.

 

1Para obtener más información sobre cómo comprobar que se haya definido cada permiso de Windows necesario, vea Cómo comprobar permisos para servicios de SQL Server.

Revisar consideraciones adicionales

En la siguiente tabla se muestran los permisos que necesitan los servicios de SQL Server para proporcionar funcionalidad adicional.

Servicio/Aplicación Funcionalidad Permiso necesario

SQL Server (MSSQLSERVER)

Escribir en un buzón de correo mediante xp_sendmail.

Privilegios de escritura en red.

SQL Server (MSSQLSERVER)

Ejecutar xp_cmdshell para usuarios que no son administradores de SQL Server.

Actuar como parte del sistema operativo y reemplazar un testigo de nivel de proceso.

Agente SQL Server (MSSQLSERVER)

Usar la característica de reinicio automático.

Debe ser un miembro del grupo local Administradores.

Asistente para la optimización de Database Engine (Motor de base de datos)

Optimiza las bases de datos para un rendimiento óptimo de las consultas.

Al utilizarlo por primera vez, un usuario con privilegios de administrador de sistema debe inicializar la aplicación. Después de la inicialización, los usuarios que tienen tablas (usuarios dbo) pueden usar el Asistente para la optimización de Database Engine (Motor de base de datos) para optimizar sólo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema sobre la inicialización del Asistente para la optimización de motor de base de datos en los Libros en pantalla de SQL Server 2005.
ms143504.note(es-es,SQL.90).gifImportante:
Antes de actualizar a SQL Server 2005, habilite la autenticación de Windows para el Agente SQL Server y compruebe que la cuenta de servicio del Agente SQL Server es miembro del grupo SQL Server sysadmin.

Nombres de servicio traducidos

En la tabla siguiente se muestran los nombres de servicio utilizados por la versión traducida de Microsoft Windows.

Idioma Nombre de servicio local Nombre de servicio de red Nombre del sistema local Nombre del grupo de administradores

Inglés

Chino simplificado

Chino tradicional

Coreano

Japonés

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Alemán

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Francés

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrateurs

Italiano

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Español

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Ruso

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Vea también

Referencia

Cuenta de servicio
Cuentas de servicio (clústeres)

Conceptos

Consideraciones de seguridad para una instalación de SQL Server

Ayuda e información

Obtener ayuda sobre SQL Server 2005

Historial de cambios

Versión Historial

12 de diciembre de 2006
Contenido modificado:
  • Se agregaron directrices de seguridad para las cuentas de servicio en configuraciones simultáneas.
  • Se actualiza el tipo de inicio y el estado predeterminado para el servicio del objeto de escritura de SQL en el SP2 de SQL Server 2005.

17 de julio de 2006
Contenido modificado:
  • Se han revisado la presentación y el flujo del contenido para facilitar la lectura del tema.
  • Se ha agregado un vínculo al artículo de Knowledge Base que explica el uso del complemento Servicios para cambiar las cuentas de SQL Server y el servicio Agente SQL Server.
  • Se han agregado los nombres de los servicios traducidos al ruso.

5 de diciembre de 2005
Contenido modificado:
  • Se quitó el servicio local de la lista de cuentas que puede utilizar el Agente SQL Server.
  • Se han actualizado los grupos de usuarios creados por el programa de instalación de SQL Server.