Seleccionar una cuenta para el servicio del Agente SQL Server
Actualizado: 5 de diciembre de 2005
La cuenta de inicio del servicio define la cuenta de Microsoft Windows en la que se ejecuta el Agente SQL Server y sus permisos de red. El Agente SQL Server se ejecuta como una cuenta de usuario especificada. Por compatibilidad con versiones anteriores de SQL Server, el Agente SQL Server también se puede ejecutar en la cuenta del sistema local.
Se puede seleccionar una cuenta para el servicio del Agente SQL Server mediante el Administrador de configuración de SQL Server, donde se pueden seleccionar las opciones siguientes:
- Cuenta integrada. Puede elegirla de una lista con las siguientes cuentas de servicio de Windows integradas:
- Cuenta Sistema local. El nombre de esta cuenta es NT AUTHORITY\System. Es una cuenta eficaz con acceso sin restricciones a todos los recursos del sistema local. Es miembro del grupo Administradores de Windows del equipo local y, por tanto, miembro de la función fija de servidor sysadmin en SQL Server.
Nota de seguridad: La opción Cuenta del sistema local se mantiene sólo por motivos de compatibilidad con versiones anteriores. La cuenta del sistema local tiene permisos que el Agente SQL Server no necesita. Evite ejecutar el Agente SQL Server en la cuenta del sistema local. Para mejorar la seguridad, utilice una cuenta de dominio de Windows con los permisos que se enumeran en la sección siguiente, "Permisos de cuentas de dominio de Windows". - Cuenta Servicio de red. El nombre de esta cuenta es NT AUTHORITY\NetworkService. Está disponible en Microsoft Windows XP y Microsoft Windows Server 2003. Todos los servicios que se ejecutan en la cuenta de servicio de red se autentican en los recursos de red como el equipo local.
Nota de seguridad: Puesto que varios servicios pueden utilizar esta cuenta, es difícil controlar qué servicios tienen acceso a los recursos de red, incluidas las bases de datos de SQL Server. No se recomienda utilizar la cuenta de servicio de red para el Agente SQL Server.
Importante: No seleccione la cuenta Servicio local. El servicio del Agente SQL Server no se puede ejecutar en esta cuenta, no se admite. El nombre de esta cuenta es NT AUTHORITY\LocalService y tiene acceso a los recursos de red como una sesión nula sin credenciales. Está disponible en Microsoft Windows XP y en Microsoft Windows Server 2003. - Cuenta Sistema local. El nombre de esta cuenta es NT AUTHORITY\System. Es una cuenta eficaz con acceso sin restricciones a todos los recursos del sistema local. Es miembro del grupo Administradores de Windows del equipo local y, por tanto, miembro de la función fija de servidor sysadmin en SQL Server.
- Esta cuenta. Permite especificar la cuenta de dominio de Windows en la que se ejecuta el servicio del Agente SQL Server. Se recomienda que la cuenta de usuario de Windows que elija no sea miembro del grupo Administradores de Windows. Sin embargo, existen limitaciones en el uso de la administración multiservidor cuando la cuenta de servicio del Agente SQL Server no es miembro del grupo Administradores local. Para obtener más información, vea Tipos de cuentas de servicio compatibles con el Agente SQL Server.
Para obtener información acerca de la funcionalidad del Agente SQL Server que es compatible con los distintos tipos de cuentas de servicio, vea Tipos de cuentas de servicio compatibles con el Agente SQL Server.
Permisos de cuentas de dominio de Windows
Para una seguridad mejorada, seleccione Esta cuenta, que especifica una cuenta de dominio de Windows. La cuenta de dominio de Windows que especifique debe tener los permisos siguientes:
- En todas las versiones de Windows, permiso para iniciar sesión como servicio (SeServiceLogonRight).
[!NOTA] La cuenta de servicio del Agente SQL Server debe formar parte del grupo Acceso compatible con versiones anteriores de Windows 2000 en el controlador de dominio; de lo contrario, los trabajos que pertenecen a usuarios del dominio que no son miembros del grupo Administradores de Windows producirán un error.
- En servidores de Windows, la cuenta con la que se ejecuta el servicio del Agente SQL Server requiere los permisos siguientes para poder admitir servidores proxy del Agente SQL Server.
- Permiso para actuar como parte del sistema operativo (SeTcbPrivilege) (sólo en Windows 2000)
- Permiso para omitir la comprobación transversal (SeChangeNotifyPrivilege)
- Permiso para reemplazar un token (símbolo) del proceso (SeAssignPrimaryTokenPrivilege)
- Permiso para ajustar cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege)
- Permiso para iniciar una sesión mediante el tipo de inicio de sesión por lotes (SeBatchLogonRight)
[!NOTA] Si la cuenta no tiene los permisos necesarios para admitir servidores proxy, sólo los miembros de la función fija de servidor sysadmin pueden crear trabajos.
[!NOTA] Para recibir una notificación de alerta WMI, la cuenta de servicio para el Agente SQL Server debe tener el concedido el permiso al espacio de nombres que contiene los eventos WMI y ALTER ANY EVENT NOTIFICATION.
Pertenencia a funciones de SQL Server
La cuenta que ejecuta el servicio del Agente SQL Server debe ser miembro de las funciones de SQL Server siguientes:
- La cuenta debe ser miembro de la función fija de servidor sysadmin.
- Para utilizar el procesamiento de trabajos multiservidor, la cuenta debe ser miembro de la función TargetServersRole de la base de datos msdb en el servidor principal.
Pertenencia al grupo de Windows
La cuenta en la que se ejecuta el servicio del Agente SQL Server debe ser miembro del grupo de Windows siguiente:
- La cuenta debe ser miembro del grupo Acceso compatible con versiones anteriores de Windows 2000 en el controlador de dominio para ejecutar trabajos de usuarios que no son miembros del grupo Administradores.
Nota de seguridad: Para mejorar la seguridad, el servicio del Agente SQL Server no debería ser miembro del grupo Administradores local. Sin embargo, existen limitaciones en el uso de la administración multiservidor cuando la cuenta de servicio del Agente SQL Server no es miembro del grupo Administradores local. Para obtener más información, vea Tipos de cuentas de servicio compatibles con el Agente SQL Server.
Tareas comunes
Para especificar la cuenta de inicio del servicio del Agente SQL Server
Para especificar el perfil de correo del Agente SQL Server
[!NOTA] Utilice el Administrador de configuración de SQL Server para especificar que el Agente SQL Server debe iniciarse cuando se inicie el sistema operativo.
Vea también
Conceptos
Seguridad en la administración del Agente SQL Server
Implementar la seguridad del Agente SQL Server
Otros recursos
Configurar cuentas de servicio de Windows
Administrar servicios con el Administrador de configuración de SQL Server
Ayuda e información
Obtener ayuda sobre SQL Server 2005
Historial de cambios
Versión | Historial |
---|---|
5 de diciembre de 2005 |
|