Exportar (0) Imprimir
Expandir todo
Este artículo se tradujo de forma manual. Mueva el puntero sobre las frases del artículo para ver el texto original. Más información.
Traducción
Original

Configurar los permisos y las cuentas de servicio de Windows

Cada servicio de SQL Server representa a un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Windows. En este tema se describe la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios SQL Server que se pueden establecer durante la instalación de SQL Server y después.

En función de los componentes que decida instalar, el programa de instalación de SQL Server instalará los servicios siguientes:

  • Servicios de base de datos de SQL Server: el servicio para el Motor de base de datos relacional de SQL Server. El archivo ejecutable es <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • Agente SQL Server: ejecuta trabajos, supervisa SQL Server, activa alertas y habilita la automatización de algunas tareas administrativas. El servicio del Agente SQL Server está presente pero deshabilitado en las instancias de SQL Server Express. El archivo ejecutable es <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis Services: proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence. El archivo ejecutable es <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting Services: administra, ejecuta, crea, programa y envía informes. El archivo ejecutable es <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration Services: proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration Services. La ruta de acceso del archivo ejecutable es <MSSQLPATH>\120\DTS\Binn\MsDtsSrvr.exe.

  • SQL Server Browser: servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. La ruta de acceso del archivo ejecutable es c:\Archivos de programa (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Búsqueda de texto completo: crea rápidamente índices de texto completo del contenido y de las propiedades de los datos estructurados y semiestructurados para permitir el filtrado de documentos y la separación de palabras en SQL Server.

  • Objeto de escritura de SQL: permite que las aplicaciones de copias de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS).

  • SQL Server Distributed Replay Controller: proporciona la orquestación de la reproducción de seguimiento en varios equipos cliente de Distributed Replay.

  • SQL Server Distributed Replay Client: uno o más equipos cliente de Distributed Replay que funcionan como Distributed Replay Controller para simular cargas de trabajo simultáneas en una instancia de Motor de base de datos de SQL Server.

Arriba

Las cuentas de inicio utilizadas para iniciar y ejecutar SQL Server pueden ser cuentas de usuario de dominio, cuentas de usuario local, cuentas de servicio administradas, cuentas virtuales o cuentas del sistema integradas. Para poder iniciarse y ejecutarse, cada servicio de SQL Server debe tener una cuenta de inicio que se configura durante la instalación.

En esta sección se describen las cuentas que se pueden configurar para iniciar los servicios de SQL Server, los valores predeterminados utilizados por el programa de instalación de SQL Server, el concepto de SID por servicio, las opciones de inicio y la configuración del firewall.

Cuentas de servicio predeterminadas

En la tabla siguiente se enumeran las cuentas de servicio predeterminadas que utiliza el programa de instalación para instalar todos los componentes. Las cuentas predeterminadas enumeradas son las recomendadas, si no se especifica lo contrario.

Servidor independiente o controlador de dominio

Componente

Windows Server 2008

Windows 7 y Windows Server 2008 R2 y posterior

Motor de base de datos

SERVICIO DE RED

Cuenta virtual *

Agente SQL Server

SERVICIO DE RED

Cuenta virtual *

SSAS

SERVICIO DE RED

Cuenta virtual *

SSIS

SERVICIO DE RED

Cuenta virtual *

SSRS

SERVICIO DE RED

Cuenta virtual *

SQL Server Distributed Replay Controller

SERVICIO DE RED

Cuenta virtual *

SQL Server Distributed Replay Client

SERVICIO DE RED

Cuenta virtual *

Selector de FD (búsqueda de texto completo)

SERVICIO LOCAL

Cuenta virtual

SQL Server Browser

SERVICIO LOCAL

SERVICIO LOCAL

SQL Server VSS Writer

SISTEMA LOCAL

SISTEMA LOCAL

* Cuando se necesitan recursos externos al equipo de SQL Server, Microsoft recomienda el uso de una cuenta de servicio administrada, configurada con los privilegios mínimos necesarios.

Instancia de clústeres de conmutación por error de SQL Server

Componente

Windows Server 2008

Windows Server 2008 R2

Motor de base de datos

Ninguna. Proporcione una cuenta de usuario de dominio.

Proporcione una cuenta de usuario de dominio.

Agente SQL Server

Ninguna. Proporcione una cuenta de usuario de dominio.

Proporcione una cuenta de usuario de dominio.

SSAS

Ninguna. Proporcione una cuenta de usuario de dominio.

Proporcione una cuenta de usuario de dominio.

SSIS

SERVICIO DE RED

Cuenta virtual

SSRS

SERVICIO DE RED

Cuenta virtual

Selector de FD (búsqueda de texto completo)

SERVICIO LOCAL

Cuenta virtual

SQL Server Browser

SERVICIO LOCAL

SERVICIO LOCAL

SQL Server VSS Writer

SISTEMA LOCAL

SISTEMA LOCAL

Arriba

Cambiar las propiedades de las cuentas

Nota importante Importante
  • Utilice siempre herramientas de SQL Server como el Administrador de configuración de SQL Server para cambiar la cuenta utilizada por Motor de base de datos de SQL Server o los servicios del Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional como actualizar la seguridad local de Windows almacenada que protege la clave maestra de servicio para el Motor de base de datos. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no toda la configuración requerida.

  • Para las instancias de Analysis Services que se implementen en una granja de SharePoint, utilice siempre Administración central de SharePoint para cambiar las cuentas de servidor para las aplicaciones de Servicio PowerPivot y de Servicio Analysis Services. Se actualizan la configuración y los permisos asociados para usar la nueva información de cuenta cuando utilice Administración central.

  • Para cambiar las opciones de Reporting Services, utilice la herramienta configuración de Reporting Services.

Arriba

Nuevos tipos de cuenta disponibles con Windows 7 y Windows Server 2008 R2

Windows 7 y Windows Server 2008 R2 tienen dos nuevos tipos de cuentas de servicio denominadas cuentas de servicio administradas (MSA) y cuentas virtuales. Ambas cuentas se han diseñado para permitir a las aplicaciones cruciales como SQL Server el aislamiento de sus propias cuentas, al tiempo que hace innecesario que un administrador administre manualmente el nombre principal de servicio (SPN) y las credenciales para estas cuentas. Estas cuentas facilitan en gran medida la administración a largo plazo de los usuarios de cuentas de servicio, las contraseñas y los SPN.

  • Cuentas de servicio administradas

    Una cuenta de servicio administrada (MSA) es un tipo de cuenta de dominio creada y administrada por el controlador de dominio. Se asigna a un solo equipo de miembro para usarla al ejecutar un servicio. El controlador de dominio administra la contraseña automáticamente. No puede utilizar MSA para iniciar sesión en un equipo, pero un equipo puede utilizar MSA para iniciar un servicio de Windows. Una MSA puede registrar el nombre principal de servicio (SPN) con Active Directory. Una MSA se denomina con el sufijo $, por ejemplo DOMINIO\NOMBREDECUENTA$. Al especificar MSA, deje en blanco la contraseña. Debido a que una MSA se asigna a un único equipo, no se puede utilizar en nodos diferentes de un clúster de Windows.

    Nota Nota

    El administrador de dominio debe crear la MSA en Active Directory para que la instalación de SQL Server pueda usarla para los servicios de SQL Server.

  • Cuentas virtuales

    Las cuentas virtuales en Windows Server 2008 R2 y Windows 7 son cuentas locales administradas que proporcionan las siguientes características para simplificar la administración del servicio. La cuenta virtual se administra automáticamente y la cuenta virtual puede tener acceso a la red en un entorno de dominio. Si se utiliza el valor predeterminado para las cuentas de servicio durante la instalación de SQL Server en Windows Server 2008 R2 o Windows 7, se usa una cuenta virtual con el nombre de instancia como nombre del servicio, con el formato NT SERVICE\<SERVICENAME>. Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red utilizando las credenciales de la cuenta del equipo en formato <domain_name>\<computer_name>$. Al especificar una cuenta virtual para iniciar SQL Server, deje en blanco la contraseña. Si la cuenta virtual no puede registrar el nombre principal de servicio (SPN), registre el SPN manualmente. Para obtener más información sobre cómo registrar un SPN manualmente, vea Registro manual de SPN.

    Nota Nota

    No se pueden usar cuentas virtuales para la instancia de clúster de conmutación por error de SQL Server, ya que la cuenta virtual no tendría el mismo SID en cada nodo del clúster.

    En la tabla siguiente se muestran ejemplos de nombres de cuenta virtuales.

    Servicio

    Nombre de cuenta virtual

    Instancia predeterminada del servicio del Motor de base de datos.

    NT SERVICE\MSSQLSERVER

    Instancia con nombre de un servicio de Motor de base de datos denominado PAYROLL

    NT SERVICE\MSSQL$PAYROLL

    SQL Server Servicio Agente en la instancia predeterminada de SQL Server

    NT SERVICE\SQLSERVERAGENT

    El servicio Agente SQL Server en una instancia de SQL Server denominada PAYROLL

    NT SERVICE\SQLAGENT$PAYROLL

Para obtener más información sobre las cuentas de servicio administradas y las cuentas virtuales, vea Conceptos sobre la cuenta de servicio administrada y la cuenta virtual de la Guía paso a paso de las cuentas de servicio y las Preguntas más frecuentes (P+F) sobre las cuentas de servicio administradas.

Nota de seguridad:  Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles. Use una MSA o una cuenta virtual siempre que sea posible. Cuando no se puedan usar MSA ni cuentas virtuales, emplee una cuenta de usuario específica con privilegios bajos o la cuenta de dominio en lugar de una cuenta compartida para los servicios de SQL Server. Utilice cuentas independientes para los diferentes servicios de SQL Server. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios de SQL Server. Los permisos se concederán a través de la pertenencia a un grupo o se concederán directamente a un SID por servicio, siempre que se admita su uso.

Inicio automático

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:

  • Deshabilitado   El servicio se ha instalado, pero no se ejecuta actualmente.

  • Manual: el servicio se ha instalado, pero solo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.

  • Automático: el sistema operativo inicia automáticamente el servicio.

El estado de inicio se selecciona durante la instalación. Al instalar una instancia con nombre, el servicio SQL Server Browser debe establecerse para iniciarse automáticamente.

Servicios de configuración durante la instalación desatendida

En la tabla siguiente se muestran los servicios de SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.

Nombre de servicio SQL Server

Modificadores para las instalaciones desatendidas1

MSSQLSERVER

SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE

SQLServerAgent2

AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE

MSSQLServerOLAPService

ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE

ReportServer

RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE

Integration Services

ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

SQL Server Distributed Replay Controller

DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS

SQL Server Distributed Replay Client

DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Para obtener más información y la sintaxis de ejemplo de las instalaciones desatendidas, vea Instalar SQL Server 2014 desde el símbolo del sistema.

2El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Puerto de firewall

En la mayoría de los casos, cuando se instala inicialmente, el Motor de base de datos puede conectarse con herramientas como SQL Server Management Studio instaladas en el mismo equipo que SQL Server. El programa de instalación de SQL Server no abre los puertos en el firewall de Windows. Las conexiones desde otros equipos pueden no ser posibles hasta que el Motor de base de datos se configura para escuchar en un puerto TCP y el puerto adecuado se abre para las conexiones en el firewall de Windows. Para obtener más información, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Arriba

En esta sección se describen los permisos que el programa de instalación de SQL Server configura para el SID por servicio de los servicios de SQL Server.

Configuración del servicio y control de acceso

SQL Server 2014 habilita un SID por servicio por cada uno de sus servicios para permitir el aislamiento del servicio y proporcionar una defensa optimizada. El SID por servicio se deriva del nombre del servicio y es único para ese servicio. Por ejemplo, el nombre de un SID de un servicio Motor de base de datos podría ser NT Service\MSSQL$<InstanceName>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto. Mediante el uso de una entrada de control de acceso que contenga un SID por servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.

Nota Nota

En Windows 7 y Windows Server 2008 R2 el SID puede ser la cuenta virtual que utiliza el servicio.

Para la mayoría de los componentes SQL Server configura la ACL para la cuenta del servicio directamente, con lo que el cambio de la cuenta de servicio puede realizarse sin tener que repetir el proceso de la ACL de recursos.

Al instalar SSAS, se crea un SID por servicio para el servicio de Analysis Services. Se crea un grupo de Windows local, con un nombre que tiene el formato SQLServerMSASUser$computer_name$instance_name. Al SID por servicio NT SERVICE\MSSQLServerOLAPService se le concede la pertenencia al grupo local de Windows y al grupo local de Windows se le conceden los permisos adecuados en la ACL. Si la cuenta utilizada para iniciar el servicio de Analysis Services se cambia, el Administrador de configuración de SQL Server debe cambiar algunos permisos de Windows (como el derecho de iniciar sesión como servicio), pero los permisos asignados al grupo local de Windows no estarán disponibles sin actualizar, porque el SID por servicio no ha cambiado. Este método permite cambiar el nombre del servicio de Analysis Services durante las actualizaciones.

Durante la instalación de SQL Server, el programa de instalación de SQL Server crea grupos de Windows locales para SSAS y el servicio SQL Server Browser. Para estos servicios, SQL Server configura la ACL para los grupos de Windows locales.

En función de la configuración del servicio, la cuenta de servicio o el SID por servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.

Derechos y privilegios de Windows

La cuenta asignada para iniciar un servicio necesita el permiso de inicio, detener y pausar para el servicio. El programa de instalación de SQL Server asigna esto automáticamente. Primera instalación de las Herramientas de administración remota del servidor (RSAT). Vea las Herramientas de administración remota del servidor para Windows 7.

En la tabla siguiente se muestran los permisos que el programa de instalación de SQL Server solicita para las SID por servicio o los grupos locales de Windows que usan los componentes de SQL Server.

Servicio SQL Server

Permisos concedidos por el programa de instalación de SQL Server

Motor de base de datos de SQL Server:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT SERVICE\MSSQLSERVER. Instancia con nombre: NT SERVICE\MSSQL$NombreDeInstancia).

Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Permiso para iniciar el objeto de escritura de SQL

Permiso para leer el servicio Registro de eventos

Permiso para leer el servicio Llamada a procedimiento remoto

Agente SQL Server: 1

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT Service\SQLSERVERAGENT. Instancia con nombre: NT Service\SQLAGENT$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

SSAS:

(Todos los derechos se conceden a un grupo local de Windows. Instancia predeterminada: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instancia con nombre: SQLServerMSASUser$ComputerName$InstanceName. Instancia de PowerPivot para SharePoint: SQLServerMSASUser$ComputerName$PowerPivot).

Iniciar sesión como servicio (SeServiceLogonRight)

Aumentar el espacio de trabajo de un proceso (SeIncreaseWorkingSetPrivilege) - solo para el modo Tabular.

SSRS:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT SERVICE\ReportServer. Instancia con nombre: NT SERVICE\$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

SSIS:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada e instancia con nombre: NT SERVICE\MsDtsServer120. Integration Services no tiene un proceso independiente para una instancia con nombre).

Iniciar sesión como servicio (SeServiceLogonRight)

Permiso para escribir en el registro de eventos de la aplicación

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

Suplantar un cliente después de la autenticación (SeImpersonatePrivilege)

Búsqueda de texto completo:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada: NT Service\MSSQLFDLauncher. Instancia con nombre: NT Service\ MSSQLFDLauncher$InstanceName).

Iniciar sesión como servicio (SeServiceLogonRight)

Ajustar las cuotas de memoria de un proceso (SeIncreaseQuotaPrivilege)

Omitir la comprobación transversal (SeChangeNotifyPrivilege)

SQL Server Browser:

(Todos los derechos se conceden a un grupo local de Windows. Instancia predeterminada o con nombre: SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser no tiene un proceso independiente para una instancia con nombre).

Iniciar sesión como servicio (SeServiceLogonRight)

SQL Server VSS Writer:

(Todos los derechos se conceden al SID por servicio. Instancia predeterminada o con nombre: NT Service\SQLWriter. SQL Server El Objeto de escritura de VSS no tiene un proceso independiente para una instancia con nombre).

El servicio SQLWriter se ejecuta en la cuenta de sistema local que tiene todos los permisos necesarios. El programa de instalación de SQL Server no comprueba ni concede permisos para este servicio.

SQL Server Distributed Replay Controller:

Iniciar sesión como servicio (SeServiceLogonRight)

SQL Server Distributed Replay Client:

Iniciar sesión como servicio (SeServiceLogonRight)

1El servicio Agente SQL Server se deshabilita en las instancias de SQL Server Express.

Arriba

Permisos del sistema de archivos concedidos a SID por servicio de SQL Server o grupos locales de Windows

Las cuentas de servicio de SQL Server deben tener acceso a los recursos. Las listas de control de acceso se establecen para el SID por servicio o el grupo local de Windows.

Nota importante Importante

En las instalaciones de clústeres de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local.

En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL Server:

Cuenta de servicio para

Archivos y carpetas

Acceso

MSSQLServer

Instid\MSSQL\backup

Control total

 

Instid\MSSQL\binn

Lectura, Ejecución

 

Instid\MSSQL\data

Control total

 

Instid\MSSQL\FTData

Control total

 

Instid\MSSQL\Install

Lectura, Ejecución

 

Instid\MSSQL\Log

Control total

 

Instid\MSSQL\Repldata

Control total

 

120\shared

Lectura, Ejecución

 

Instid\MSSQL\Template Data (solo SQL Server Express)

Lectura

SQLServerAgent1

Instid\MSSQL\binn

Control total

 

Instid\MSSQL\binn

Control total

 

Instid\MSSQL\Log

Lectura, Escritura, Eliminación, Ejecución

 

120\com

Lectura, Ejecución

 

120\shared

Lectura, Ejecución

 

120\shared\Errordumps

Lectura, Escritura

ServerName\EventLog

Control total

FTS

Instid\MSSQL\FTData

Control total

 

Instid\MSSQL\FTRef

Lectura, Ejecución

 

120\shared

Lectura, Ejecución

 

120\shared\Errordumps

Lectura, Escritura

 

Instid\MSSQL\Install

Lectura, Ejecución

Instid\MSSQL\jobs

Lectura, Escritura

MSSQLServerOLAPservice

120\shared\ASConfig

Control total

 

Instid\OLAP

Lectura, Ejecución

 

Instid\Olap\Data

Control total

 

Instid\Olap\Log

Lectura, Escritura

 

Instid\OLAP\Backup

Lectura, Escritura

 

Instid\OLAP\Temp

Lectura, Escritura

 

120\shared\Errordumps

Lectura, Escritura

SQLServerReportServerUser

Instid\Reporting Services\Log Files

Lectura, Escritura, Eliminación

 

Instid\Reporting Services\ReportServer

Lectura, Ejecución

 

Instid\Reportingservices\Reportserver\global.asax

Control total

 

Instid\Reportingservices\Reportserver\Reportserver.config

Lectura

 

Instid\Reporting Services\reportManager

Lectura, Ejecución

 

Instid\Reporting Services\RSTempfiles

Lectura, Escritura, Ejecución, Eliminación

 

120\shared

Lectura, Ejecución

 

120\shared\Errordumps

Lectura, Escritura

MSDTSServer100

120\dts\binn\MsDtsSrvr.ini.xml

Lectura

 

120\dts\binn

Lectura, Ejecución

 

120\shared

Lectura, Ejecución

 

120\shared\Errordumps

Lectura, Escritura

Examinador SQL Server

120\shared\ASConfig

Lectura

 

120\shared

Lectura, Ejecución

 

120\shared\Errordumps

Lectura, Escritura

SQLWriter

N/D (Se ejecuta como sistema local)

 

Usuario

Instid\MSSQL\binn

Lectura, Ejecución

 

Instid\Reporting Services\ReportServer

Lectura, Ejecución, Mostrar el contenido de la carpeta

 

Instid\Reportingservices\Reportserver\global.asax

Lectura

 

Instid\Reporting Services\ReportManager

Lectura, Ejecución

 

Instid\Reporting Services\ReportManager\pages

Lectura

 

Instid\Reporting Services\ReportManager\Styles

Lectura

 

120\dts

Lectura, Ejecución

 

120\tools

Lectura, Ejecución

100\tools

Lectura, Ejecución

 

90\tools

Lectura, Ejecución

 

80\tools

Lectura, Ejecución

 

120\sdk

Lectura

 

Microsoft SQL Server\120\Setup Bootstrap

Lectura, Ejecución

SQL Server Distributed Replay Controller

<ToolsDir>\DReplayController\Log\ (directorio vacío)

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\DReplayController.exe

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\resources\

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\{all dlls}

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\DReplayController.config

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\IRTemplate.tdf

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayController\IRDefinition.xml

Lectura, Ejecución, Mostrar el contenido de la carpeta

SQL Server Distributed Replay Client

<ToolsDir>\DReplayClient\Log\

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\DReplayClient.exe

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\resources\

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\ (todas las DLL)

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\DReplayClient.config

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\IRTemplate.tdf

Lectura, Ejecución, Mostrar el contenido de la carpeta

<ToolsDir>\DReplayClient\IRDefinition.xml

Lectura, Ejecución, Mostrar el contenido de la carpeta

1El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Cuando los archivos de base de datos se almacenan en una ubicación definida por el usuario, se debe conceder acceso a dicha ubicación al SID por servicio. Para obtener más información sobre cómo conceder permisos del sistema de archivos a un SID por servicio, vea Configurar permisos del sistema de archivos para el acceso al motor de base de datos.

Arriba

Permisos del sistema de archivos concedidos a otras cuentas de usuario o grupos de Windows

Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas o a otras cuentas de servicio de SQL Server. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL Server:

Componente que realiza la solicitud

Cuenta

Recurso

Permisos

MSSQLServer

Usuarios del registro de rendimiento

Instid\MSSQL\binn

Mostrar el contenido de la carpeta

 

Usuarios del monitor de sistema

Instid\MSSQL\binn

Mostrar el contenido de la carpeta

 

Usuarios del registro de rendimiento, Usuarios del monitor de rendimiento

\WINNT\system32\sqlctr120.dll

Lectura, Ejecución

 

Solo el administrador

\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1

Control total

 

Administradores, sistema

\tools\binn\schemas\sqlserver\2004\07\showplan

Control total

 

Usuarios

\tools\binn\schemas\sqlserver\2004\07\showplan

Lectura, Ejecución

Reporting Services

<Cuenta de servicio web del servidor de informes>

<install>\Reporting Services\LogFiles

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Identidad del grupo de aplicaciones del Administrador de informes, cuenta ASP.NET, Todos

<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*

Lectura

 

Identidad del grupo de aplicaciones del Administrador de informes

<install>\Reporting Services\ReportManager\Pages\*.*

Lectura

 

<Cuenta de servicio web del servidor de informes>

<install>\Reporting Services\ReportServer

Lectura

 

<Cuenta de servicio web del servidor de informes>

<install>\Reporting Services\ReportServer\global.asax

Total

 

Todos

<install>\Reporting Services\ReportServer\global.asax

READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES

 

Servicio de red

<install>\Reporting Services\ReportServer\ReportService.asmx

Total

 

Todos

<install>\Reporting Services\ReportServer\ReportService.asmx

READ_CONTROL

SYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTE

FILE_READ_DATA

FILE_READ_EA

FILE_EXECUTE

FILE_READ_ATTRIBUTES

 

Cuenta de servicios de Windows ReportServer

<install>\Reporting Services\ReportServer\RSReportServer.config

DELETE

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES

 

Todos

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Enumerar subclaves

Notificar

Controles de lectura

 

Usuario de Terminal Services

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Establecer valor

Crear subclave

Enumerar subclave

Notificar

Eliminar

Controles de lectura

 

Usuarios avanzados

Claves del Servidor de informes (subárbol Instid)

Consultar valor

Establecer valor

Crear subclave

Enumerar subclaves

Notificar

Eliminar

Controles de lectura

1Este es el espacio de nombres del proveedor WMI.

Arriba

Permisos del sistema de archivos relacionados con las ubicaciones inusuales de los discos

La unidad predeterminada para las ubicaciones de estas instalaciones es systemdrive, normalmente la unidad C. Cuando las bases de datos tempdb o de usuario se instalan

Unidad de disco no predeterminada

Cuando se instala una unidad local que no es la predeterminada, el SID por servicio debe tener acceso a la ubicación del archivo. El programa de instalación de SQL Server proporcionará el acceso necesario.

Recurso compartido de red

Cuando las bases de datos se instalan en un recurso compartido de red, la cuenta de servicio debe tener acceso a la ubicación del archivo de las bases de datos de usuario y tempdb. El programa de instalación de SQL Server no puede proporcionar acceso a un recurso compartido de red. El usuario debe proporcionar acceso a una ubicación de tempdb para la cuenta de servicio antes de ejecutar el programa de instalación. El usuario debe proporcionar acceso a la ubicación de la base de datos de usuario antes de crear la base de datos.

Nota Nota

Las cuentas virtuales no se pueden autenticar en una ubicación remota. Todas las cuentas virtuales utilizan el permiso de la cuenta del equipo. Proporcione la cuenta del equipo en formato <domain_name>\<computer_name>$.

Revisar las consideraciones adicionales

En la tabla siguiente se muestran los permisos que necesitan los servicios de SQL Server para proporcionar una funcionalidad adicional.

Servicio/Aplicación

Funcionalidad

Permiso necesario

SQL Server (MSSQLSERVER)

Escribir en un buzón de correo mediante xp_sendmail.

Permisos de escritura de la red.

SQL Server (MSSQLSERVER)

Ejecute xp_cmdshell para un usuario que no sea administrador de SQL Server.

Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso.

Agente SQL Server (MSSQLSERVER)

Usar la característica de reinicio automático.

Miembro del grupo local Administrators.

Asistente para la optimización de Motor de base de datos

Optimiza las bases de datos para un rendimiento óptimo de las consultas.

Al utilizarla por primera vez, un usuario que tenga credenciales administrativas debe inicializar la aplicación. Después de la inicialización, los usuarios de dbo pueden usar el Asistente para la optimización de Motor de base de datos para optimizar solo aquellas tablas de las que son propietarios. Para obtener más información, vea el tema que trata sobre cómo inicializar el Asistente para la optimización del Motor de base de datos en los Libros en pantalla de SQL Server.

Nota importante Importante

Antes de actualizar SQL Server, habilite la autenticación de Windows para el Agente SQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL Server sea miembro del grupo sysadmin de SQL Server.

Arriba

Permisos del Registro

El subárbol del Registro se crea debajo de HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> para los componentes dependientes de la instancia. Por ejemplo

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL12.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL12.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.120

El Registro también mantiene una asignación de identificador de instancia a nombre de instancia. La asignación de identificador de instancia a nombre de instancia se mantiene de la siguiente forma:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL12"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL12"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL12"

Instrumental de administración de Windows (WMI)

El Instrumental de administración de Windows (WMI) debe poder conectarse al Motor de base de datos. Para admitir esto, el SID por servicio del proveedor WMI de Windows (NT SERVICE\winmgmt) se aprovisiona en el Motor de base de datos.

El proveedor WMI de SQL requiere los siguientes permisos:

  • La pertenencia a los roles fijos de base de datos db_ddladmin o db_owner en la base de datos msdb.

  • El permiso CREATE DDL EVENT NOTIFICATION en el servidor.

  • El permiso CREATE TRACE EVENT NOTIFICATION en el Motor de base de datos.

  • El permiso de nivel de servidor VIEW ANY DATABASE.

    El programa de instalación de SQL Server crea un espacio de nombres WMI SQL y concede el permiso de lectura al SID por servicio del Agente SQL Server.

Arriba

Canalizaciones con nombre

En toda la instalación, el programa de instalación de SQL Server proporciona acceso al Motor de base de datos de SQL Server a través del protocolo de memoria compartida, que es una canalización con nombre local.

Arriba

En esta sección se describe el modo en que se aprovisionan las cuentas dentro de los distintos componentes de SQL Server.

Aprovisionamiento del motor de base de datos

Las cuentas siguientes se agregan como inicios de sesión en el Motor de base de datos de SQL Server.

Entidades de seguridad de Windows

Durante la instalación, el programa de instalación de SQL Server requiere al menos que una cuenta de usuario se denomine como un miembro del rol fijo de servidor sysadmin.

Cuenta sa

La cuenta sa está siempre presente como inicio de sesión de Motor de base de datos y es miembro del rol fijo de servidor sysadmin. Cuando el Motor de base de datos se instala solo con la autenticación de Windows (es decir, cuando la autenticación de SQL Server no está habilitada), el inicio de sesión de sa aún está presente pero está deshabilitado. Para obtener información sobre cómo habilitar la cuenta de sa, vea Cambiar el modo de autenticación del servidor.

Privilegios e inicio de sesión de SID por servicio de SQL Server

El SID por servicio del SQL Server se proporciona como inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

Privilegios e inicio de sesión del Agente SQL Server

El SID por servicio del servicio Agente SQL Server se proporciona como un inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

Instancia y privilegios de los clústeres de conmutación por error de SQL y Grupos de disponibilidad AlwaysOn

Al instalar el Motor de base de datos como una instancia de los clústeres de conmutación por error de SQL (SQL FCI) o Grupos de disponibilidad AlwaysOn, SYSTEM LOCAL se proporciona en el Motor de base de datos. Al inicio de sesión SYSTEM LOCAL se le concede el permiso ALTER ANY AVAILABILITY GROUP (para Grupos de disponibilidad AlwaysOn) y el permiso VIEW SERVER STATE (para SQL FCI).

Objeto de escritura SQL y privilegios

El SID por servicio del servicio SQL Server VSS Writer se proporciona como un inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin.

WMI y privilegios de SQL

El programa de instalación de SQL Server aprovisiona la cuenta NT SERVICE\Winmgmt como un inicio de sesión del Motor de base de datos y lo agrega al rol fijo de servidor sysadmin.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona como miembro del rol de base de datos RSExecRole. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración de SSRS).

Arriba

Aprovisionamiento de SSAS

Los requisitos de cuentas de servicio de SSAS varían en función de cómo se implementa en el servidor. Si va a instalar PowerPivot para SharePoint, el programa de instalación de SQL Server requiere que se configure el servicio de Analysis Services para ejecutarse en una cuenta de dominio. Las cuentas de dominio son necesarias para admitir la facilidad administrada de la cuenta que está integrada en SharePoint. Por esta razón, el programa de instalación de SQL Server no proporciona una cuenta de servicio predeterminada, como una cuenta virtual, para una instalación de PowerPivot para SharePoint. Para obtener más información sobre cómo aprovisionar PowerPivot para SharePoint, vea Configurar las cuentas de servicio PowerPivot.

Para todas las demás instalaciones independientes de SSAS, puede aprovisionar el servicio para ejecutarse en una cuenta de dominio, una cuenta del sistema integrada, una cuenta administrada o una cuenta virtual. Para obtener más información acerca de cómo aprovisionar las cuentas, vea Configurar las cuentas de servicio (Analysis Services).

Para instalaciones en clúster, debe especificar una cuenta de dominio o una cuenta del sistema integrada. Ni las cuentas administradas ni las cuentas virtuales se admiten en los clústeres de conmutación por error de SSAS.

Todas las instalaciones de SSAS requieren que especifique un administrador del sistema de la instancia de Analysis Services. Los privilegios de administrador se aprovisionan en el rol Servidor de Analysis Services.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona en el Motor de base de datos como miembro del rol de base de datos RSExecRole. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración de SSRS).

Arriba

En esta sección se describen los cambios realizados durante la actualización de una versión anterior de SQL Server.

  • SQL Server 2014 requiere Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 o Windows 8.1. Cualquier versión anterior de SQL Server que se ejecuta en una versión de sistema operativo inferior debe tener el sistema operativo actualizado antes de actualizar SQL Server.

  • Durante la actualización de SQL Server 2005 a SQL Server 2014, el programa de instalación de SQL Server configurará SQL Server del modo siguiente.

    • El Motor de base de datos se ejecuta con el contexto de seguridad del SID por servicio. Al SID por servicio se el concede el acceso a las carpetas de archivos de la instancia de SQL Server (como DATA) y las claves del Registro de SQL Server.

    • El SID por servicio del Motor de base de datos se aprovisiona en el Motor de base de datos como miembro del rol fijo de servidor sysadmin.

    • Los SID por servicio se agregan a los grupos de Windows locales de SQL Server, a menos que SQL Server sea una instancia de clústeres de conmutación por error.

    • Los recursos de SQL Server siguen aprovisionados para los grupos de SQL Server Windows locales.

    • El nombre del grupo local de Windows para los servicios se cambia de SQLServer2005MSSQLUser$<computer_name>$<instance_name> a SQLServerMSSQLUser$<computer_name>$<instance_name>. Las ubicaciones de archivos de las bases de datos migradas tendrán entradas de control de acceso (ACE) para los grupos de Windows locales. Las ubicaciones de archivos para las nuevas bases de datos tendrán ACE para el SID por servicio.

  • Durante la actualización de SQL Server 2008, el programa de instalación de SQL Server se preservará las ACE para el SID por servicio de SQL Server 2008.

  • Para una instancia de los clústeres de conmutación por error de SQL Server, se conservará la ACE de la cuenta de dominio configurada para el servicio.

Arriba

Esta sección contiene información adicional sobre los servicios de SQL Server.

Descripción de las cuentas de servicio

La cuenta de servicio es la que se usa para iniciar un servicio de Windows, como Motor de base de datos de SQL Server.

Cuentas disponibles con cualquier sistema operativo

Además de las nuevas cuentas MSA y las cuentas virtuales descritas anteriormente, pueden usarse las siguientes cuentas.

Cuenta de usuario de dominio

Si el servicio debe interactuar con servicios de red o tener acceso a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos. Muchas actividades de servidor a servidor solo se pueden realizar con una cuenta de usuario de dominio. El administrador del dominio del entorno debe haber creado esta cuenta previamente.

Nota Nota

Si configura la aplicación para utilizar una cuenta de dominio, puede aislar los privilegios de la aplicación, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas. Muchas aplicaciones de servidor usan esta estrategia para mejorar la seguridad, pero requiere una administración adicional y conlleva una mayor complejidad. En estas implementaciones, los administradores de servicios emplean un tiempo considerable en las tareas de mantenimiento como la administración de las contraseñas de servicio y los nombres principales de servicio (SPN), que son necesarios para la autenticación Kerberos. Además, estas tareas de mantenimiento pueden interrumpir el servicio.

Cuentas de usuario locales

Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.

Cuenta de servicio local

La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de la red como una sesión nula sin credenciales. Tenga en cuenta que la cuenta de servicio local no se admite para los servicios de SQL Server ni de Agente SQL Server. No se admite el servicio local como la cuenta que ejecuta los servicios porque es un servicio compartido y cualquier otro servicio que se ejecute bajo el servicio local tendrá acceso de administrador del sistema a SQL Server. El nombre real de la cuenta es NT AUTHORITY\LOCAL SERVICE.

Cuenta de servicio de red

La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo en el formato <domain_name>\<computer_name>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.

Cuenta de sistema local

Sistema local es una cuenta integrada con un alto nivel de privilegios. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red. El nombre real de la cuenta es NT AUTHORITY\SYSTEM.

Identificar los servicios que reconocen y que no reconocen instancias

Los servicios que reconocen instancias se asocian a una instancia específica de SQL Server y tienen su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.

Entre los servicios que reconocen instancias en SQL Server se incluyen los siguientes:

  • SQL Server

  • Agente SQL Server

    Tenga en cuenta que el Agente SQL Server se deshabilita en instancias de SQL Server Express y SQL Server Express con Advanced Services.

  • Analysis Services 1

  • Reporting Services

  • Búsqueda de texto completo

Entre los servicios que no reconocen instancias en SQL Server se incluyen los siguientes:

  • Integration Services

  • SQL Server Browser

  • Objeto de escritura SQL

1Analysis Services en modo integrado de SharePoint se ejecuta como 'PowerPivot', como una instancia única con nombre. El nombre de instancia es fijo. No puede especificar un nombre diferente. Solamente puede instalar una instancia de Analysis Services que se ejecute como 'PowerPivot' en cada servidor físico.

Arriba

Nombres de servicio traducidos

En la tabla siguiente, se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.

Lenguaje

Nombre de Servicio local

Nombre de Servicio de red

Nombre del sistema local

Nombre del grupo de administradores

Inglés

Chino simplificado

Chino tradicional

Coreano

Japonés

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Alemán

NT-AUTORITÄT\LOKALER DIENST

NT-AUTORITÄT\NETZWERKDIENST

NT-AUTORITÄT\SYSTEM

VORDEFINIERT\Administratoren

Francés

AUTORITE NT\SERVICE LOCAL

AUTORITE NT\SERVICE RÉSEAU

AUTORITE NT\SYSTEM

BUILTIN\Administrators

Italiano

NT AUTHORITY\SERVIZIO LOCALE

NT AUTHORITY\SERVIZIO DI RETE

NT AUTHORITY\SYSTEM

BUILTIN\Administrators

Español

NT AUTHORITY\SERVICIO LOC

NT AUTHORITY\SERVICIO DE RED

NT AUTHORITY\SYSTEM

BUILTIN\Administradores

Ruso

NT AUTHORITY\LOCAL SERVICE

NT AUTHORITY\NETWORK SERVICE

NT AUTHORITY\SYSTEM

BUILTIN\Администраторы

Arriba

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft