Selección de una cuenta para el servicio agente SQL Server
se aplica a:
SQL Serverazure SQL Managed Instance
Importante
Actualmente, en Instancia administrada de Azure SQL, la mayoría, pero no todas las funciones del Agente SQL Server se admiten. Consulte diferencias de T-SQL de Azure SQL Managed Instance con respecto a SQL Server para más información.
La cuenta de inicio del servicio define la cuenta de Microsoft Windows en la que se ejecuta el Agente SQL Server y sus permisos de red. El Agente SQL Server se ejecuta como una cuenta de usuario especificada. Seleccione una cuenta para el servicio Agente SQL Server mediante el Administrador de configuración de SQL Server, donde puede elegir entre las opciones siguientes:
cuenta integrada. Puede elegir entre una lista de las siguientes cuentas de servicio integradas de Windows:
- cuenta de del sistema local. El nombre de esta cuenta es NT AUTHORITY\System. es una cuenta eficaz que tiene acceso sin restricciones a todos los recursos del sistema local. es miembro del grupo Administradores de Windows en el equipo local.
Importante
La opción cuenta de sistema local solo se proporciona para garantizar la compatibilidad con versiones anteriores. La cuenta del sistema local tiene permisos que el Agente SQL Server no necesita. Evite ejecutar el Agente SQL Server como cuenta del sistema local. Para mejorar la seguridad, use una cuenta de dominio de Windows con los permisos enumerados en la sección siguiente, "Permisos de cuenta de dominio de Windows".
Esta cuenta. Permite especificar la cuenta de dominio de Windows en la que se ejecuta el servicio agente SQL Server. Se recomienda elegir una cuenta de usuario de Windows que no sea miembro del grupo administradores de Windows . Sin embargo, hay limitaciones para usar la administración multiservidor cuando la cuenta de servicio del Agente SQL Server no es miembro del grupo local Administradores. Para obtener más información, vea "Tipos de cuenta de servicio admitidos" que se muestra a continuación en este artículo.
Permisos de cuenta de dominio de Windows
Para mejorar la seguridad, seleccione Esta cuenta, que especifica una cuenta de dominio de Windows. La cuenta de dominio de Windows que especifique debe tener los permisos siguientes:
En todas las versiones de Windows, permiso para iniciar sesión como servicio (
SeServiceLogonRight)Nota
La cuenta de servicio del Agente SQL Server debe formar parte del grupo de acceso compatible con versiones anteriores a Windows 2000 en el controlador de dominio, o los trabajos que pertenecen a usuarios de dominio que no son miembros del grupo de Administradores de Windows producen un error.
En los servidores de Windows, la cuenta con la que se ejecuta el servicio Agente de SQL Server requiere los siguientes permisos para poder admitir los proxies del Agente de SQL Server.
- Permiso para omitir la comprobación de recorrido (
SeChangeNotifyPrivilege) - Permiso para reemplazar un token de nivel de proceso (
SeAssignPrimaryTokenPrivilege) - Permiso para ajustar las cuotas de memoria de un proceso (
SeIncreaseQuotaPrivilege) - Permiso para acceder a este equipo desde la red (
SeNetworkLogonRight)
- Permiso para omitir la comprobación de recorrido (
Si la cuenta no tiene los permisos necesarios para admitir servidores proxy, solo los miembros del sysadmin rol fijo de servidor pueden crear trabajos.
Para recibir una notificación de alerta de Instrumentación de administración de Windows (WMI), la cuenta de servicio del agente de SQL Server debe contar con permisos en el espacio de nombres que contiene los eventos WMI y ALTER ANY EVENT NOTIFICATION.
Pertenencia a roles de SQL Server
De forma predeterminada, la cuenta de servicio del Agente SQL Server se asigna al SID de servicio predeterminado del Agente SQL Server (NT SERVICE\SQLSERVERAGENT), que es miembro del rol fijo de servidor sysadmin. La cuenta también debe ser miembro del rol de base de datos de msdbTargetServersRole en el servidor maestro si se usa el procesamiento de trabajos multiservidor. El Asistente para servidores maestros agrega automáticamente la cuenta de servicio a este rol como parte del proceso de incorporación.
Tipos de cuenta de servicio admitidos
En la tabla siguiente se enumeran los tipos de cuenta de Windows que se pueden usar para el servicio agente SQL Server.
| Tipo de cuenta de servicio | Servidor no clúster | Servidor en clúster | Controlador de dominio (no agrupado) |
|---|---|---|---|
| Cuenta de dominio de Microsoft Windows (miembro del grupo Administradores de Windows) | Soportado | Soportado | Soportado |
| Cuenta de dominio de Windows (no administrativa) | Soportado Consulte Limitación 1 más adelante en esta sección. |
Soportado Consulte Limitación 1 más adelante en esta sección. |
Soportado Consulte Limitación 1 más adelante en esta sección. |
Cuenta de servicio de red (NT AUTHORITY\NetworkService) |
Soportado Consulte Limitación 1, 3 y 4 más adelante en esta sección. |
No se admite | No se admite |
| Cuenta de usuario local (no administrativa) | Soportado Consulte Limitación 1 más adelante en esta sección. |
No está soportado | No aplicable |
Cuenta del sistema local (NT AUTHORITY\System) |
Soportado Consulte Limitación 2 más adelante en esta sección. |
No es compatible | Soportado Consulte Limitación 2 más adelante en esta sección. |
Cuenta de servicio local (NT AUTHORITY\LocalService) |
No es compatible | No es compatible | No es compatible |
Limitación 1: Uso de cuentas no administrativas para la administración multiservidor
Es posible que se produzca un error al inscribir servidores de destino en un servidor maestro con el siguiente mensaje de error: The enlist operation failed.
Para resolver este error, reinicie tanto SQL Server como los servicios del Agente SQL Server. Para obtener más información, vea Inicio, detención, pausa, reanudación y reinicio de servicios de SQL Server.
Limitación 2: Uso de la cuenta del sistema local para la administración multiservidor
La administración multiservidor se admite cuando el servicio agente SQL Server se ejecuta en la cuenta del sistema local solo cuando el servidor maestro y el servidor de destino residen en el mismo equipo. Si usa esta configuración, se devuelve el mensaje siguiente al inscribir los servidores de destino en el servidor maestro:
Ensure the agent start-up account for <target_server_computer_name> has rights to log on as targetServer.
Puede omitir este mensaje informativo. La operación de inscripción debe completarse correctamente. Para obtener más información, vea Crear un entorno multiservidor.
Limitación 3: Uso de la cuenta de servicio de red cuando es un usuario de SQL Server
Es posible que el Agente de SQL Server no se inicie si ejecuta el servicio del Agente de SQL Server bajo la cuenta Servicio de red y a la cuenta Servicio de red se le concede explícitamente acceso para iniciar sesión en una instancia de SQL Server como usuario de SQL Server.
Para resolverlo, reinicie el equipo donde se ejecuta SQL Server. Esto solo debe hacerse una vez.
Limitación 4: Uso de la cuenta de servicio de red cuando SQL Server Reporting Services se ejecuta en el mismo equipo
Es posible que el Agente de SQL Server no se inicie si ejecuta el servicio Agente de SQL Server bajo la cuenta "Network Service" y Reporting Services también se está ejecutando en el mismo equipo.
Para resolverlo, reinicie el equipo en el que se ejecuta SQL Server y, a continuación, reinicie tanto SQL Server como los servicios del Agente SQL Server. Esto solo debe hacerse una vez.
Tareas comunes
Use el Administrador de configuración de SQL Server para especificar que el Agente SQL Server debe iniciarse cuando se inicie el sistema operativo.