Configurer les comptes de service Windows et les autorisations

Chaque service de SQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL Server avec Windows. Cette rubrique décrit la configuration par défaut des services inclus dans cette version de SQL Server, ainsi que les options de configuration des services SQL Server susceptibles d'être définies durant l'installation de SQL Server et par la suite.

Sommaire

Cette rubrique est constitué des sections suivantes :

• Services installés par SQL Server

• Propriétés et configuration des services

  • Comptes de service par défaut

    • Modification des propriétés de compte

  • Nouveaux types de comptes disponibles avec Windows 7 et Windows Server 2008 R2

  • Démarrage automatique

  • Configuration des services pendant l'installation sans assistance

  • Port de pare-feu

• Autorisations de service

  • Configuration du service et contrôle d'accès

  • Privilèges et droits Windows

  • Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux

  • Autorisation de système de fichiers accordée aux autres comptes d'utilisateur ou groupes Windows

  • Autorisations de système de fichiers pour des emplacements de disque exceptionnels

  • Considérations supplémentaires

  • Autorisations de Registre

  • WMI

  • Canaux nommés

• Approvisionnement

  • Configuration du moteur de base de données

    • Principaux Windows

    • Compte sa

    • Connexion et privilèges SID par service SQL Server

    • Connexion et privilèges de SQL Server Agent

    • Instance de cluster de basculement et privilèges HADRON et SQL

    • Enregistreur et privilèges SQL

    • WMI et privilèges SQL

  • Approvisionnement SSAS

  • Approvisionnement SSRS

• Mise à niveau depuis les versions précédentes

• Annexe

  • Description des comptes de service

  • Identification des services dépendant et ne dépendant pas des instances

  • Noms des services localisés

Services installés par SQL Server

En fonction des composants que vous décidez d'installer, le programme d'installation de SQL Server installe les services suivants :

• Services de base de données SQL Server : service pour le Moteur de base de données relationnel SQL Server. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

• Agent SQL Server : exécute les travaux, surveille SQL Server, déclenche les alertes et autorise l'automatisation de certaines tâches administratives. Le service Agent SQL Server est présent mais désactivé sur les instances de SQL Server Express. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

• Analysis Services : fournit des fonctionnalités OLAP et d'exploration de données pour les applications de décisionnel. Le fichier exécutable est <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

• Reporting Services : gère, exécute, crée, planifie et remet les rapports. Le fichier exécutable est <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

• Integration Services : assure la prise en charge de la gestion du stockage et de l'exécution des packages Integration Services. Le fichier exécutable est <MSSQLPATH>\110\DTS\Binn\MsDtsSrvr.exe.

• SQL Server Browser : service de résolution de noms qui fournit des informations de connexion SQL Server pour les ordinateurs clients. Le chemin d'accès de l'exécutable est des Fichiers (x86) c:\Program \Microsoft SQL Server\90\Shared\sqlbrowser .exe

• Recherche en texte intégral : crée rapidement des index de recherche en texte intégral sur le contenu et des propriétés de données structurées et semi-structurées pour fournir un filtrage de document et l'analyse lexicale pour SQL Server.

• Enregistreur SQL : permet aux applications de sauvegarde et restauration de fonctionner dans l'infrastructure du service VSS (cliché instantané de volume).

• SQL Server Distributed Replay Controller : fournit l'orchestration de la lecture de la trace à travers plusieurs ordinateurs clients Distributed Replay.

• SQL Server Distributed Replay Client : un ou plusieurs ordinateurs clients Distributed Replay qui fonctionnent avec un contrôleur Distributed Replay pour simuler des charges de travail simultanées sur une instance du Moteur de base de données SQL Server.

Haut

Propriétés et configuration des services

Les comptes de démarrage utilisés pour démarrer et exécuter SQL Server peuvent être des comptes d'utilisateur de domaine, des comptes d'utilisateur local, des comptes de service administrés, des comptes virtuels ou des comptes système intégrés. Pour démarrer et s'exécuter, chaque service dans SQL Server doit posséder un compte de démarrage lors de l'installation.

Cette section décrit les comptes qui peuvent être configurés pour démarrer des services SQL Server, les valeurs par défaut utilisées par le programme d'installation de SQL Server, le concept de SID par service, les options de démarrage et la configuration du pare-feu.

• Comptes de service par défaut

• Démarrage automatique

• Configuration du type de démarrage du service

• Port de pare-feu

Comptes de service par défaut

Le tableau suivant répertorie les comptes de service par défaut utilisés par le programme d'installation lors de l'installation de tous les composants. Les comptes par défaut répertoriés sont les comptes recommandés, sauf indication contraire.

Serveur autonome ou contrôleur de domaine

Composant	Windows Vista et Windows Server 2008	Windows 7 et Windows Server 2008 R2
Moteur de base de données	SERVICE RÉSEAU	Compte virtuel *
Agent SQL Server	SERVICE RÉSEAU	Compte virtuel *
SSAS	SERVICE RÉSEAU	Compte virtuel *
SSIS	SERVICE RÉSEAU	Compte virtuel *
SSRS	SERVICE RÉSEAU	Compte virtuel *
SQL Server Distributed Replay Controller	SERVICE RÉSEAU	Compte virtuel *
SQL Server Distributed Replay Client	SERVICE RÉSEAU	Compte virtuel *
Lanceur FD (recherche en texte intégral)	SERVICE LOCAL	Compte virtuel
SQL Server Browser	SERVICE LOCAL	SERVICE LOCAL
Enregistreur VSS SQL Server	SYSTÈME LOCAL	SYSTÈME LOCAL

* Lorsque des ressources externes à l'ordinateur SQL Server sont requises, Microsoft recommande d'utiliser un compte de service administré (MSA) configuré avec le minimum des privilèges nécessaires.

Instance de cluster de basculement SQL Server

Composant	Windows Server 2008	Windows Server 2008 R2
Moteur de base de données	Aucun. Fournit un compte d'utilisateur de domaine.	Fournit un compte d'utilisateur de domaine.
Agent SQL Server	Aucun. Fournit un compte d'utilisateur de domaine.	Fournit un compte d'utilisateur de domaine.
SSAS	Aucun. Fournit un compte d'utilisateur de domaine.	Fournit un compte d'utilisateur de domaine.
SSIS	SERVICE RÉSEAU	Compte virtuel
SSRS	SERVICE RÉSEAU	Compte virtuel
Lanceur FD (recherche en texte intégral)	SERVICE LOCAL	Compte virtuel
SQL Server Browser	SERVICE LOCAL	SERVICE LOCAL
Enregistreur VSS SQL Server	SYSTÈME LOCAL	SYSTÈME LOCAL

Haut

Modification des propriétés de compte

Important

Utilisez toujours des outils SQL Server, tels que le Gestionnaire de configuration SQL Server, pour modifier le compte utilisé par le Moteur de base de données SQL Server ou les services Agent SQL Server et pour changer le mot de passe du compte. En plus de modifier le nom du compte, le Gestionnaire de configuration SQL Server effectue une configuration supplémentaire pour mettre à jour le magasin de sécurité local Windows qui protège la clé principale du service pour le Moteur de base de données. D'autres outils tels que le Gestionnaire de contrôle de services Windows peuvent modifier le nom du compte mais pas tous les paramètres requis. Pour les instances Analysis Services que vous déployez dans une batterie de serveurs SharePoint, utilisez toujours l'Administration centrale de SharePoint pour modifier les comptes de serveur des applications de Service PowerPivot et du Service Analysis Services. Les paramètres et autorisations associés sont mis à jour pour utiliser les nouvelles informations de compte lorsque vous utilisez l'Administration centrale. Pour modifier des options Reporting Services, utilisez l'Outil de configuration de Reporting Services.

Haut

Nouveaux types de comptes disponibles avec Windows 7 et Windows Server 2008 R2

Windows 7 et Windows Server 2008 R2 ont deux nouveaux types de comptes de service appelés des comptes de service administrés (MSA) et des comptes virtuels. Les comptes de service administrés et les comptes virtuels sont conçus pour fournir des applications cruciales telles que SQL Server avec l'isolation de leurs propres comptes, tout en éliminant le besoin d'un administrateur pour administrer manuellement le Nom de principal du service (SPN) et les informations d'identification de ces comptes. Cela simplifie beaucoup la gestion à long terme des utilisateurs des comptes de service, des mots de passe et des SPN.

• Comptes de service administrés

  Un Compte de service administré (MSA) est un type de compte de domaine créé et a géré par le contrôleur de domaine. Il est affecté à un ordinateur membre unique pour exécuter un service. Le mot de passe est géré automatiquement par le contrôleur de domaine. Vous ne pouvez pas utiliser un MSA pour vous connecter à un ordinateur, mais un ordinateur peut utiliser un MSA pour démarrer un service Windows. Un MSA a la capacité d'enregistrer le Nom de principal du service (SPN) avec l'Active Directory. Un MSA est nommé avec un suffixe $, par exemple DOMAIN\ACCOUNTNAME$. Lorsque vous spécifiez un MSA, laissez le mot de passe vide. Comme un MSA est affecté à un ordinateur unique, il ne peut pas être utilisé sur différents nœuds d'un cluster Windows.

  Remarque
  Le MSA doit être créé dans Active Directory par l'administrateur de domaine avant que le programme d'installation de SQL Server puisse l'utiliser pour les services SQL Server.

• Comptes virtuels

  Les comptes virtuels dans Windows Server 2008 R2 et Windows 7 sont des comptes locaux gérés qui fournissent les fonctionnalités suivantes pour simplifier l'administration du service. Le compte virtuel est géré automatiquement, et le compte virtuel peut accéder au réseau dans un environnement de domaine. Si la valeur par défaut est utilisée pour les comptes de service pendant l'installation de SQL Server sur Windows Server 2008 R2 ou Windows 7, un compte virtuel qui utilise le nom de l'instance comme nom de service est utilisé, selon le format NT SERVICE\<SERVICENAME>. Les services qui s'exécutent comme comptes virtuels accèdent aux ressources réseau à l'aide des informations d'identification du compte de l'ordinateur selon le format <domain_name>\<computer_name>$. Lorsque vous spécifiez un compte virtuel pour démarrer SQL Server, laissez le mot de passe vide. Si le compte virtuel n'inscrit pas le nom de principal du service, inscrivez-le manuellement. Pour plus d'informations sur l'inscription d'un nom SPN manuellement, consultez Inscrire un nom de principal du service pour les connexions Kerberos.

  Remarque
  Les comptes virtuels ne peuvent pas être utilisés pour l'instance de cluster de basculement SQL Server parce que le compte virtuel n'aurait pas le même SID sur chaque nœud du cluster.

  Le tableau suivant répertorie des exemples de noms du compte virtuels.

  Service	Nom de compte virtuel
  Instance par défaut du service Moteur de base de données	NT SERVICE\MSSQLSERVER
  Instance nommée d'un service nommé Moteur de base de données PAYROLL	NT SERVICE\MSSQL$PAYROLL
  SQL Server Service de l'agent sur l'instance par défaut de SQL Server	NT SERVICE\SQLSERVERAGENT
  Service Agent SQL Server sur une instance de SQL Server nommée PAYROLL	NT SERVICE\SQLAGENT$PAYROLL

Pour plus d'informations sur les comptes de service administrés et les comptes virtuels, consultez la section Concepts liés aux comptes de service administrés et aux comptes virtuels du Guide pas à pas des comptes de service et du Forum aux questions des comptes de service administrés.

Remarque relative à la sécurité :  Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible. Utilisez un MSA ou un compte virtuel lorsque cela est possible. Lorsque MSA et les comptes virtuels ne sont pas possibles, utilisez un compte d'utilisateur ou compte de domaine doté de privilèges minimaux au lieu d'un compte partagé pour les services SQL Server. Utilisez des comptes distincts pour différents services SQL Server. N'accordez aucune autorisation supplémentaire au compte de service SQL Server ni aux groupes de services. Les autorisations seront accordées par le biais de l'appartenance aux groupes ou accordées directement à un SID de service, lorsqu'un SID de service est pris en charge.

Démarrage automatique

Outre le fait que les services doivent posséder des comptes d'utilisateurs, ils ont chacun trois états de démarrage possibles, que les utilisateurs peuvent contrôler :

• Désactivé   Le service est installé mais pas en cours d'exécution.

• Manuel   Le service est installé, mais ne démarre que lorsqu'un autre service ou une autre application a besoin de ses fonctionnalités.

• Automatique   Le service est démarré automatiquement par le système d'exploitation.

L'état de démarrage est sélectionné pendant l'installation. Lors de l'installation d'une instance nommée, le service SQL Server Browser doit être configuré pour démarrer automatiquement.

Configuration des services pendant l'installation sans assistance

Le tableau suivant répertorie les services SQL Server susceptibles d'être configurés durant l'installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier de configuration ou à l'invite de commandes.

Nom du service SQL Server	Commutateurs pour les installations sans assistance1
MSSQLSERVER	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Distributed Replay Controller	DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL Server Distributed Replay Client	DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR

1Pour plus d'informations et obtenir un exemple de syntaxe des installations sans assistance, consultez Installer SQL Server 2012 à partir de l'invite de commandes.

2Le service Agent SQL Server est désactivé sur les instances de SQL Server Express et SQL Server Express with Advanced Services.

Port de pare-feu

Dans la plupart des cas, lors de l'installation initiale, le Moteur de base de données peut être connecté par des outils tels que SQL Server Management Studio installés sur le même ordinateur que SQL Server. Le programme d'installation de SQL Server n'ouvre pas de ports dans le pare-feu Windows. Les connexions d'autres ordinateurs peuvent ne pas être possibles tant que le Moteur de base de données n'est pas configuré pour écouter sur un port TCP, et tant que le port approprié n'est pas ouvert aux connexions dans le pare-feu Windows. Pour plus d'informations, consultez Configurer le Pare-feu Windows pour autoriser l'accès à SQL Server.

Haut

Autorisations de service

Cette section décrit les autorisations configurées par le programme d'installation de SQL Server pour le SID par service des services SQL Server.

• Configuration du service et contrôle d'accès

• Privilèges et droits Windows

• Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux SQL Server

• Autorisations de système de fichiers accordées aux autres comptes d'utilisateur ou groupes Windows

• Autorisations de système de fichiers pour des emplacements de disque exceptionnels

• Considérations supplémentaires

• Autorisations de Registre

• WMI

• Canaux nommés

Configuration du service et contrôle d'accès

SQL Server 2012 active un SID par service pour chacun de ses services pour fournir une isolation de service et une défense en profondeur. Le SID par service est dérivé du nom du service et est propre à ce service. Par exemple, un nom de SID pour un service Moteur de base de données peut être NT Service\MSSQL$<InstanceName>. L'isolation de service permet l'accès à des objets spécifiques sans devoir exécuter un compte à privilèges élevés ni affaiblir la protection de sécurité de l'objet. Un service SQL Server peut limiter l'accès à ses ressources via une entrée de contrôle d'accès qui contient un SID de service.

Remarque
Sur Windows 7 et Windows Server 2008 R2 le SID par service peut être le compte virtuel utilisé par le service.

Pour la plupart des composants, SQL Server configure directement l'ACL pour le compte par service, par conséquent, la modification du compte de service peut être effectuée sans devoir répéter le processus ACL de la ressource.

Lors de l'installation de SSAS, un SID par service est créé pour le service Analysis Services. Un groupe Windows local est créé, nommé au format SQLServerMSASUser$computer_name$instance_name. Le SID par service NT SERVICE\MSSQLServerOLAPService peut appartenir au groupe Windows local et le groupe Windows local reçoit les autorisations appropriées dans l'ACL. Si le compte utilisé pour démarrer le service Analysis Services est modifié, le Gestionnaire de configuration SQL Server doit modifier les autorisations Windows (telles que le droit d'ouvrir une session en tant que service), mais les autorisations affectées au groupe Windows local seront toujours disponibles sans besoin de mise à jour, parce que le SID par service n'a pas changé. Cette méthode permet de renommer le service Analysis Services pendant des mises à niveau.

Pendant l'installation de SQL Server, le programme d'installation de SQL Server crée des groupes Windows locaux pour SSAS et le service SQL Server Browser. Pour ces services, SQL Server configure l'ACL pour les groupes Windows locaux.

Selon la configuration du service, le compte de service pour un service ou un SID de service est ajouté en tant que membre du groupe de service lors de l'installation ou de la mise à niveau.

Privilèges et droits Windows

Le compte affecté pour démarrer un service a besoin d'autorisations de démarrage, arrêt et pause pour le service. Le programme d'installation de SQL Server les affecte automatiquement. En premier lieu, installez les Outils d'administration de serveur distant. Consultez la rubrique Outils d'administration de serveur distant pour Windows 7.

Le tableau suivant affiche les autorisations que le programme d'installation de SQL Server demande pour les SID par service ou les groupes Windows locaux utilisés par les composants SQL Server.

Service SQL Server	Autorisations accordées par le programme d'installation de SQL Server
Moteur de base de données SQL Server: (Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\MSSQLSERVER. Instance nommée : NT SERVICE\MSSQL$InstanceName.)	Ouvrir une session en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Ignorer le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) Autorisation de démarrer SQL Writer Autorisation de lire le service Journal des événements Autorisation de lire le service d'appel de procédure distante (RPC)
Agent SQL Server :1 (Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\SQLSERVERAGENT. Instance nommée : NT Service\SQLAGENT$InstanceName.)	Ouvrir une session en tant que service (SeServiceLogonRight) Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege) Ignorer le contrôle de parcours (SeChangeNotifyPrivilege) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege)
SSAS: (Tous les droits sont accordés à un groupe Windows local. Instance par défaut : SQLServerMSASUser$ComputerName$MSSQLSERVER. Instance nommée : SQLServerMSASUser$ComputerName$InstanceName. Instance PowerPivot pour SharePoint : SQLServerMSASUser$ComputerName$PowerPivot.)	Ouvrir une session en tant que service (SeServiceLogonRight)
SSRS: (Tous les droits sont accordés au SID par service. Instance par défaut : NT SERVICE\ReportServer. Instance nommée : NT SERVICE\$InstanceName.)	Ouvrir une session en tant que service (SeServiceLogonRight)
SSIS: (Tous les droits sont accordés au SID par service. Instance par défaut et instance nommée : NT SERVICE\MsDtsServer110. Integration Services n'a pas de processus séparé pour une instance nommée.)	Ouvrir une session en tant que service (SeServiceLogonRight) Autorisation d'écrire dans le journal des événements d'application Ignorer le contrôle de parcours (SeChangeNotifyPrivilege) Emprunter l'identité d'un client après authentification (SeImpersonatePrivilege)
Recherche en texte intégral : (Tous les droits sont accordés au SID par service. Instance par défaut : NT Service\MSSQLFDLauncher. Instance nommée : NT Service\ MSSQLFDLauncher$InstanceName.)	Ouvrir une session en tant que service (SeServiceLogonRight) Changer les quotas de mémoire d'un processus (SeIncreaseQuotaPrivilege) Ignorer le contrôle de parcours (SeChangeNotifyPrivilege)
SQL Server Browser : (Tous les droits sont accordés à un groupe Windows local. Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$ComputerName. SQL Server Browser n'a pas de processus séparé pour une instance nommée.)	Ouvrir une session en tant que service (SeServiceLogonRight)
Enregistreur VSS SQL Server : (Tous les droits sont accordés au SID par service. Instance par défaut ou instance nommée : NT Service\SQLWriter. L'Enregistreur VSS SQL Server n'a pas de processus séparé pour une instance nommée.)	Le service SQLWriter s'exécute sous le compte LOCAL SYSTEM qui a toutes les autorisations requises. Le programme d'installation de SQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service.
SQL Server Distributed Replay Controller :	Ouvrir une session en tant que service (SeServiceLogonRight)
SQL Server Distributed Replay Client :	Ouvrir une session en tant que service (SeServiceLogonRight)

1Le service Agent SQL Server est désactivé sur les instances de SQL Server Express.

Haut

Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locaux

Les comptes de service SQL Server doivent avoir accès aux ressources. Les listes de contrôle d'accès sont définies pour le SID par service ou le groupe Windows local.

Important
Pour les installations de clusters de basculement, les ressources des disques partagés doivent être attribuées à la liste ACL d'un compte local.

Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL Server.

Compte de service pour	Fichiers et dossiers	Accès
MSSQLServer	Instid\MSSQL\backup	Contrôle total
	Instid\MSSQL\binn	Lecture, exécution
	Instid\MSSQL\data	Contrôle total
	Instid\MSSQL\FTData	Contrôle total
	Instid\MSSQL\Install	Lecture, exécution
	Instid\MSSQL\Log	Contrôle total
	Instid\MSSQL\Repldata	Contrôle total
	110\shared	Lecture, exécution
	Données Instid\MSSQL\Template (SQL Server Express uniquement)	Lecture
SQLServerAgent1	Instid\MSSQL\binn	Contrôle total
	Instid\MSSQL\binn	Contrôle total
	Instid\MSSQL\Log	Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete)
	110\com	Lecture, exécution
	110\shared	Lecture, exécution
	110\shared\Errordumps	Lecture, écriture
	ServerName\EventLog	Contrôle total
FTS	Instid\MSSQL\FTData	Contrôle total
	Instid\MSSQL\FTRef	Lecture, exécution
	110\shared	Lecture, exécution
	110\shared\Errordumps	Lecture, écriture
	Instid\MSSQL\Install	Lecture, exécution
	Instid\MSSQL\jobs	Lecture, écriture
MSSQLServerOLAPservice	110\shared\ASConfig	Contrôle total
	Instid\OLAP	Lecture, exécution
	Instid\Olap\Data	Contrôle total
	Instid\Olap\Log	Lecture, écriture
	Instid\OLAP\Backup	Lecture, écriture
	Instid\OLAP\Temp	Lecture, écriture
	110\shared\Errordumps	Lecture, écriture
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Lecture, écriture, suppression
	Instid\Reporting Services\ReportServer	Lecture, exécution
	Instid\Reportingservices\Reportserver\global.asax	Contrôle total
	Instid\Reportingservices\Reportserver\Reportserver.config	Lecture
	Instid\Reporting Services\reportManager	Lecture, exécution
	Instid\Reporting Services\RSTempfiles	Lecture, écriture, exécution, suppression
	110\shared	Lecture, exécution
	110\shared\Errordumps	Lecture, écriture
MSDTSServer100	110\dts\binn\MsDtsSrvr.ini.xml	Lecture
	110\dts\binn	Lecture, exécution
	110\shared	Lecture, exécution
	110\shared\Errordumps	Lecture, écriture
SQL Server Browser	110\shared\ASConfig	Lecture
	110\shared	Lecture, exécution
	110\shared\Errordumps	Lecture, écriture
SQLWriter	Non applicable (s'exécute en tant que système local)
Utilisateur	Instid\MSSQL\binn	Lecture, exécution
	Instid\Reporting Services\ReportServer	Lecture, exécution, listage du contenu des dossiers
	Instid\Reportingservices\Reportserver\global.asax	Lecture
	Instid\Reporting Services\ReportManager	Lecture, exécution
	Instid\Reporting Services\ReportManager\pages	Lecture
	Instid\Reporting Services\ReportManager\Styles	Lecture
	110\dts	Lecture, exécution
	110\tools	Lecture, exécution
	100\tools	Lecture, exécution
	90\tools	Lecture, exécution
	80\tools	Lecture, exécution
	110\sdk	Lecture
	Microsoft SQL Server\110\Setup Bootstrap	Lecture, exécution
SQL Server Distributed Replay Controller	<ToolsDir>\DReplayController\Log\ (répertoire vide)	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\DReplayController.exe	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\resources\	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\{toutes les dll}	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\DReplayController.config	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\IRTemplate.tdf	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayController\IRDefinition.xml	Lecture, exécution, listage du contenu des dossiers
SQL Server Distributed Replay Client	<ToolsDir>\DReplayClient\Log\	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\DReplayClient.exe	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\resources\	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\ (toutes les dll)	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\DReplayClient.config	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\IRTemplate.tdf	Lecture, exécution, listage du contenu des dossiers
	<ToolsDir>\DReplayClient\IRDefinition.xml	Lecture, exécution, listage du contenu des dossiers

1Le service SQL Server Agent est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.

Lorsque des fichiers de base de données sont stockés à un emplacement défini par l'utilisateur, vous devez octroyer l'accès SID par service à cet emplacement. Pour plus d'informations sur l'octroi d'autorisations de système de fichiers à un SID par service, consultez Configurer les autorisations du système de fichiers pour l'accès au moteur de base de données.

Haut

Autorisations de système de fichiers accordées aux autres comptes d'utilisateur ou groupes Windows

Certaines autorisations de contrôle d'accès peuvent avoir été accordées à des comptes intégrés ou à d'autres comptes de services SQL Server. Le tableau suivant répertorie les listes ACL supplémentaires définies par le programme d'installation de SQL Server.

Composant demandeur	Compte	Ressource	Autorisations
MSSQLServer	Utilisateurs du journal des performances	Instid\MSSQL\binn	Lister le contenu des dossiers
	Utilisateurs de l'Analyseur de performances	Instid\MSSQL\binn	Lister le contenu des dossiers
	Utilisateurs du journal des performances, Utilisateurs de l'Analyseur de performances	\WINNT\system32\sqlctr110.dll	Lecture, exécution
	Administrateur uniquement	\\. \root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1	Contrôle total
	Administrateurs, système	\tools\binn\schemas\sqlserver\2004\07\showplan	Contrôle total
	Utilisateurs	\tools\binn\schemas\sqlserver\2004\07\showplan	Lecture, exécution
Reporting Services	<Compte du service Web Report Server>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identité du pool de l'Application du Gestionnaire de rapports, compte ASP.NET, Tout le monde	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.*	Lecture
	Identité du pool d'applications du Gestionnaire de rapports	<install>\Reporting Services\ReportManager\Pages\*.*	Lecture
	<Compte du service Web Report Server>	<install>\Reporting Services\ReportServer	Lecture
	<Compte du service Web Report Server>	<install>\Reporting Services\ReportServer\global.asax	Complet
	Tout le monde	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Service réseau	<install>\Reporting Services\ReportServer\ReportService.asmx	Complet
	Tout le monde	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Compte des services Windows ReportServer	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Tout le monde	Clés Report Server (ruche Instid)	Demander la valeur Énumérer les sous-clés Notifier Contrôle en lecture
	Utilisateur de Terminal Services	Clés Report Server (ruche Instid)	Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture
	Utilisateurs avec pouvoir	Clés Report Server (ruche Instid)	Demander la valeur Définir la valeur Créer une sous-clé Énumérer les sous-clés Notifier Supprimer Contrôle en lecture

1 Ceci est l'espace de noms du fournisseur WMI.

Haut

Autorisations de système de fichiers pour des emplacements de disque exceptionnels

Le lecteur par défaut des emplacements d'installation est systemdrive, en général le lecteur C. Si tempdb ou des bases de données utilisateur sont installées

Lecteur non défini par défaut

En cas d'installation sur un lecteur local autre que l'unité par défaut, le SID par service doit avoir accès à l'emplacement de fichier. Le programme d'installation de SQL Server configurera l'accès requis.

Partage réseau

Lorsque des bases de données sont installées sur un partage réseau, le compte de service doit avoir accès à l'emplacement de fichier des bases de données de l'utilisateur et tempdb. Le programme d'installation de SQL Server ne peut pas configurer l'accès à un partage réseau. L'utilisateur doit configurer l'accès à un emplacement tempdb pour le compte de service avant d'exécuter l'installation. L'utilisateur doit configurer l'accès à l'emplacement de la base de données d'utilisateur avant de créer la base de données.

Remarque
Les comptes virtuels ne peuvent pas être authentifiés sur un emplacement distant. Tous les comptes virtuels utilisent l'autorisation de compte d'ordinateur. Configurez le compte d'ordinateur au format <domain_name>\<computer_name>$.

Considérations supplémentaires

Le tableau suivant indique les autorisations nécessaires pour que les services SQL Server fournissent des fonctionnalités supplémentaires.

Service/Application	Fonctionnalité	Autorisation requise
SQL Server (MSSQLSERVER)	Écrire un message mailslot avec xp_sendmail.	Autorisations d'écriture réseau.
SQL Server (MSSQLSERVER)	Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL Server.	Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus.
SQL Server Agent (MSSQLSERVER)	Utiliser la fonctionnalité de redémarrage automatique.	Doit être membre du groupe local Administrators.
Assistant Paramétrage du Moteur de base de données	Règle les bases de données pour des performances de requête optimales.	À la première utilisation, un utilisateur doté des informations d'identification d'administrateur système doit initialiser l'application. Après l'initialisation, les utilisateurs dbo peuvent utiliser l'Assistant Paramétrage du Moteur de base de données pour régler les tables dont ils sont propriétaires. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du Moteur de base de données » dans la documentation en ligne de SQL Server.

Important
Avant de procéder à une mise à niveau vers SQL Server, activez l'authentification Windows pour l'Agent SQL Server et vérifiez la configuration par défaut requise : le compte de service de l'Agent SQL Server doit être membre du groupe sysadmin SQL Server.

Haut

Autorisations de Registre

La ruche du Registre est créée sous HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> pour les composants qui prennent les instances en charge. Par exemple

• HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL11.MyInstance

• HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL11.MyInstance

• HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.110

Le Registre maintient également le mappage d'un ID d'instance sur un nom d'instance. Le mappage de l'ID d'instance sur le nom d'instance se maintient comme suit :

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL11"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL11"

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL11"

WMI

Windows Management Instrumentation (WMI) doit être en mesure de se connecter au Moteur de base de données. Pour prendre en charge cela, le SID par service du fournisseur WMI Windows (NT SERVICE\winmgmt) est approvisionné dans le Moteur de base de données.

Le fournisseur WMI SQL requiert les autorisations suivantes :

• Appartenance aux rôles de base de données fixes db_ddladmin or db_owner dans la base de données msdb.

• Autorisation CREATE DDL EVENT NOTIFICATION dans le serveur.

• Autorisation CREATE TRACE EVENT NOTIFICATION dans le Moteur de base de données.

• Autorisation VIEW ANY DATABASE de niveau base de données.

  Le programme d'installation de SQL Server crée un espace de noms WMI SQL et accorde l'autorisation de lecture au SID de service de l'Agent SQL Server.

Haut

Canaux nommés

Pendant toute l'installation, le programme d'installation SQL Server fournit l'accès au Moteur de base de données SQL Server via le protocole de mémoire partagée, qui est un canal nommé local.

Haut

Approvisionnement

Cette section décrit comment les comptes sont mis en service à l'intérieur des différents composants SQL Server.

• Configuration du moteur de base de données

  • Principaux Windows

  • Compte sa

  • Connexion et privilèges SID par service SQL Server

  • Connexion et privilèges de SQL Server Agent

  • Instance de cluster de basculement et privilèges HADRON et SQL

  • Enregistreur et privilèges SQL

  • WMI et privilèges SQL

• Approvisionnement SSAS

• Approvisionnement SSRS

Configuration du moteur de base de données

Les comptes suivants sont ajoutés comme connexions dans le Moteur de base de données SQL Server.

Principaux Windows

Pendant l'installation, le programme d'installation SQL Server requiert qu'au moins un compte d'utilisateur soit nommé comme membre du rôle serveur fixe sysadmin.

Compte sa

Le compte sa est toujours présent sous la forme d'une connexion de Moteur de base de données et est un membre du rôle serveur fixe sysadmin. Lorsque le Moteur de base de données est installé en utilisant uniquement l'authentification Windows (c'est-à-dire lorsque l'authentification SQL Server n'est pas activée), la connexion sa est toujours présente mais elle est désactivée. Pour plus d'informations sur la configuration du compte sa, consultez Modifier le mode d'authentification du serveur.

Connexion et privilèges SID par service SQL Server

Le SID par service du service SQL Server est mis en service comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

Connexion et privilèges de SQL Server Agent

Le SID par service du service Agent SQL Server est approvisionné comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

instance de cluster de basculement et privilèges Groupes de disponibilité AlwaysOn et SQL

Lors de l'installation du Moteur de base de données comme une instance de cluster de basculement Groupes de disponibilité AlwaysOn ou SQL (SQL FCI), LOCAL SYSTEM est mis en service dans le Moteur de base de données. La connexion LOCAL SYSTEM reçoit l'autorisation ALTER ANY AVAILABILITY GROUP (pour Groupes de disponibilité AlwaysOn) et l'autorisation VIEW SERVER STATE (pour SQL FCI).

Enregistreur et privilèges SQL

Le SID par service du service Enregistreur VSS SQL Server est approvisionné comme une connexion du Moteur de base de données. La connexion SID par service est membre du rôle serveur fixe sysadmin.

WMI et privilèges SQL

Le programme d'installation de SQL Server approvisionne le compte NT SERVICE\Winmgmt comme une connexion du Moteur de base de données et l'ajoute au rôle serveur fixe sysadmin.

Approvisionnement SSRS

Le compte spécifié pendant l'installation est approvisionné comme un membre du rôle de base de données RSExecRole. Pour plus d'informations, consultez Configurer le compte de service Report Server.

Haut

Approvisionnement SSAS

Les configurations requises pour le compte de service SSAS varient selon le déploiement du serveur. Si vous installez PowerPivot pour SharePoint, le programme d'installation SQL Server requiert que vous configuriez le service Analysis Services de façon à ce qu'il soit exécuté sous un compte de domaine. Les comptes de domaine sont obligatoires pour prendre en charge la fonctionnalité de compte géré intégrée à SharePoint. Pour cette raison, le programme d'installation de SQL Server ne fournit pas un compte de service par défaut, tel qu'un compte virtuel, pour une installation PowerPivot pour SharePoint. Pour plus d'informations sur l'approvisionnement de PowerPivot pour SharePoint, consultez Configuration des comptes de service PowerPivot.

Pour toutes les autres installations SSAS autonomes, vous pouvez configurer le service pour qu'il s'exécute sous un compte de domaine, un compte système intégré, un compte géré ou un compte virtuel. Pour plus d'informations sur l'approvisionnement de compte, consultez Configurer les comptes de service (Analysis Services).

Pour les installations en cluster, vous devez spécifier un compte de domaine ou un compte système intégré. Les comptes gérés ou les comptes virtuels ne sont pas pris en charge pour les clusters de basculement SSAS.

Toutes les installations SSAS requièrent que vous spécifiez un administrateur système de l'instance Analysis Services. Les privilèges d'administrateur sont approvisionnés dans le rôle serveur d'Analysis Services.

Approvisionnement SSRS

Le compte spécifié pendant l'installation est approvisionné dans le Moteur de base de données comme un membre du rôle de base de données RSExecRole. Pour plus d'informations, consultez Configurer le compte de service Report Server.

Haut

Mise à niveau depuis les versions précédentes

Cette section décrit les modifications effectuées pendant la mise à niveau d'une version précédente de SQL Server.

• SQL Server 2012 requiert Windows Vista, Windows 7, Windows Server 2008ou Windows Server 2008 R2. Toute version précédente de SQL Server qui fonctionne sur Windows XP ou Windows Server 2003 doit avoir un système d'exploitation mis à niveau avant la mise à niveau de SQL Server.

• Pendant la mise à niveau de SQL Server 2005 à SQL Server 2012, le programme d'installation SQL Server configurera SQL Server de la façon suivante.

  • Le Moteur de base de données s'exécute avec le contexte de sécurité du SID par service. Le SID par service a accès aux dossiers de fichiers de l'instance SQL Server (tels que DATA), et aux clés de Registre SQL Server.

  • Le SID par service du Moteur de base de données est approvisionné dans le Moteur de base de données comme un membre du rôle serveur fixe sysadmin.

  • Les SID par service sont ajoutés aux groupes Windows SQL Server locaux, à moins que SQL Server soit une instance de cluster de basculement.

  • Les ressources SQL Server restent approvisionnées sur les groupes Windows SQL Server locaux.

  • Le groupe Windows local pour les services SQLServer2005MSSQLUser$<computer_name>$<instance_name> est renommé SQLServerMSSQLUser$<computer_name>$<instance_name>. Les emplacements de fichiers pour les bases de données migrées auront des entrées de contrôle d'accès (ACE) pour les groupes Windows locaux. Les emplacements de fichiers pour les nouvelles bases de données auront des ACE pour le SID par service.

• Pendant la mise à niveau de SQL Server 2008, le programme d'installation de SQL Server conservera les ACE pour le SID par service SQL Server 2008.

• Pour une instance de cluster de basculement SQL Server, l'ACE du compte de domaine configuré pour le service sera conservé.

Haut

Annexe

Cette section contient des informations supplémentaires sur les services SQL Server.

• Description des comptes de service

• Identification des services dépendant et ne dépendant pas des instances

• Noms des services localisés

Description des comptes de service

Le compte de service est le compte utilisé pour démarrer un service Windows, comme le Moteur de base de données SQL Server.

Comptes disponible avec tout système d'exploitation

En plus des nouveaux comptes MSA et comptes virtuels décrits précédemment, les comptes suivants peuvent être utilisés.

Compte d'utilisateur de domaine

Si le service doit interagir avec des services réseau, des ressources de domaine telles que des partages de fichiers, ou s'il utilise des connexions de serveur liées à d'autres ordinateurs qui exécutent SQL Server, vous pouvez utiliser un compte de domaine doté de privilèges minimaux. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.

Remarque

Si vous configurez l'application pour utiliser un compte de domaine, vous pouvez isoler les privilèges pour l'application, mais vous devez gérer les mots de passe manuellement ou créer une solution personnalisée pour la gestion de ces mots de passe. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais elle requiert une administration supplémentaire et est plus complexe. Dans ces déploiements, les administrateurs du service passent beaucoup de temps à exécuter des tâches de maintenance telles que la gestion des mots de passe du service et des noms de principal du service (SPN), qui sont obligatoires pour l'authentification Kerberos. De plus, ces tâches de maintenance peuvent interrompre le service.

Comptes d'utilisateurs locaux

Si l'ordinateur ne fait pas partie d'un domaine, un compte d'utilisateur local sans autorisations d'administrateur Windows est recommandé.

Compte de service local

Le compte de service local est un compte intégré qui bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus individuels serait compromis. Les services qui s'exécutent en tant que compte de service local accèdent aux ressources réseau dans le cadre d'une session Null, sans informations d'identification. Sachez que le compte de service local n'est pas pris en charge pour les services SQL Server ou Agent SQL Server. Le service local n'est pas pris en charge comme compte exécutant ces services, car il s'agit d'un service partagé et les autres services exécutés sous le service local disposent de droits d'accès d'administrateur système à SQL Server. Le nom réel du compte est NT AUTHORITY\LOCAL SERVICE.

Compte de service réseau

Le compte de service réseau est un compte intégré qui bénéficie d'un niveau d'accès aux ressources et aux objets supérieur à celui des membres du groupe Utilisateurs. Les services qui exécutent le compte de service réseau accèdent aux ressources réseau à l'aide des informations d'identification du compte d'ordinateur au format <domain_name>\<computer_name>$. Le nom réel du compte est NT AUTHORITY\NETWORK SERVICE.

Compte système local

Le compte système local est un compte intégré doté de privilèges très élevés. Il dispose de privilèges étendus sur le système local et représente l'ordinateur sur le réseau. Le nom réel du compte est NT AUTHORITY\SYSTEM.

Identification des services dépendant et ne dépendant pas des instances

Chaque service dépendant d'une instance est associé à une instance spécifique de SQL Server et possède sa propre ruche de Registre. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL Server pour chaque composant ou service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances SQL Server installées. Ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.

Les services dépendant d'une instance dans SQL Server incluent les éléments suivants :

• SQL Server

• Agent SQL Server

  Sachez que le service de l'Agent SQL Server est désactivé sur les instances SQL Server Express et SQL Server Express with Advanced Services.

• Analysis Services 1

• Reporting Services

• Recherche en texte intégral

Les services ne dépendant pas d'une instance dans SQL Server incluent les éléments suivants :

• Integration Services

• SQL Server Browser

• Enregistreur SQL

1En mode intégré SharePoint, Analysis Services s'exécute comme « PowerPivot » en tant qu'instance nommée unique. Le nom de l'instance est fixe. Vous ne pouvez pas spécifier de nom différent. Vous ne pouvez installer qu'une seule instance d'Analysis Services s'exécutant comme « PowerPivot » sur chaque serveur physique.

Haut

Noms des services localisés

Le tableau ci-dessous indique les noms de services affichés dans les versions localisées de Windows.

Langage	Nom du service local	Nom du service réseau	Nom du système local	Nom du groupe Admin
Anglais Chinois simplifié Chinois traditionnel Coréen Japonais	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Allemand	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Français	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrators
Italien	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administrators
Espagnol	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russe	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Haut

Contenu connexe

Considérations sur la sécurité pour une installation SQL Server

Emplacements des fichiers pour les instances par défaut et les instances nommées de SQL Server

Installer Master Data Services