Compartir vía


Configuración de permisos y cuentas de servicio de Windows

Se aplica a: SQL Server

Cada servicio de SQL Server representa un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL Server con Windows. En este artículo se describe la configuración predeterminada de los servicios en esta versión de SQL Server, así como las opciones de configuración de los servicios de SQL Server que se pueden establecer durante la instalación de SQL Server y después. Este artículo ayuda a los usuarios avanzados a comprender los detalles de las cuentas de servicio.

La mayoría de servicios y sus propiedades se pueden configurar mediante el Administrador de configuración de SQL Server. Cuando instala Windows en la unidad C, estas son las rutas de acceso a las últimas versiones.

Versión de SQL Server Path
SQL Server 2022 (16.x) C:\Windows\SysWOW64\SQLServerManager16.msc
SQL Server 2019 (15.x) C:\Windows\SysWOW64\SQLServerManager15.msc
SQL Server 2017 (14.x) C:\Windows\SysWOW64\SQLServerManager14.msc
SQL Server 2016 (13.x) C:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.msc

SQL Server habilitado por Azure Arc

Para obtener los permisos necesarios para la extensión de Azure para SQL Server, consulte Configuración de las cuentas de servicio de Windows y los permisos para la extensión de Azure para SQL Server.

Servicios instalados por SQL Server

En función de los componentes que decida instalar, el programa de instalación de SQL Server instalará los servicios siguientes:

Servicio Descripción
Servicios de bases de datos de SQL Server El servicio del Motor de base de datos relacional de SQL Server. El archivo ejecutable es \<MSSQLPATH>\MSSQL\Binn\sqlservr.exe.
Agente SQL Server Ejecuta tareas, realiza el seguimiento de SQL Server, activa alertas y permite la automatización de algunas tareas administrativas. El servicio Agente SQL Server está presente pero deshabilitado en las instancias de SQL Server Express. El archivo ejecutable es \<MSSQLPATH>\MSSQL\Binn\sqlagent.exe.
Analysis Services Proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de inteligencia empresarial. El archivo ejecutable es \<MSSQLPATH>\OLAP\Bin\msmdsrv.exe.
Reporting Services Administra, ejecuta, crea, programa y envía informes. El archivo ejecutable es \<MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Servicio de integración Proporciona soporte de administración para el almacenamiento y la ejecución de paquetes del servicio de integración. La ruta de acceso es \<MSSQLPATH>\150\DTS\Binn\MsDtsSrvr.exe.

Integration Services puede incluir servicios adicionales para las implementaciones de escalado horizontal. Para más información, consulte Tutorial: Configuración de Escalabilidad horizontal de Integration Services (SSIS).

Servicio Descripción
SQL Server Browser El servicio de resolución de nombres que proporciona información de conexión de SQL Server a los equipos cliente. La ruta de acceso es C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
Búsqueda de texto completo Crea rápidamente índices de texto completo del contenido y de las propiedades de los datos estructurados y semiestructurados para permitir el filtrado de documentos y la separación de palabras en SQL Server.
Objeto de escritura de SQL Permite que las aplicaciones de copia de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS).
SQL Server Distributed Replay Controller Proporciona orquestación de reproducción de seguimiento en varios equipos con Distributed Replay Client.
SQL Server Distributed Replay Client Uno o más equipos de Distributed Replay Client que funcionan con un controlador de Distributed Replay para simular cargas de trabajo simultáneas en una instancia del Motor de base de datos de SQL Server.
SQL Server Launchpad Un servicio de confianza que hospeda archivos ejecutables externos que proporciona Microsoft, como los tiempos de ejecución de R o Python instalados como parte de los servicios de R o los servicios de Machine Learning. Los procesos satélite se pueden iniciar mediante el proceso de Launchpad, pero los recursos se regirán por la configuración de la instancia individual. El servicio Launchpad se ejecuta en su propia cuenta de usuario, y cada proceso satélite de un entorno de ejecución registrado específico heredará la cuenta de usuario de Launchpad. Los procesos satélite se crean y destruyen a petición durante el tiempo de ejecución.

Launchpad no puede crear las cuentas que utiliza si instala SQL Server en un equipo que también se utiliza como controlador de dominio. Por lo tanto, el programa de instalación de R Services (en base de datos) o Machine Learning Services (en base de datos) provoca un error en un controlador de dominio.
Motor de SQL Server PolyBase Proporciona funciones de consulta distribuida a orígenes de datos externos.
Servicio de movimiento de datos de SQL Server PolyBase Permite el movimiento de datos entre SQL Server y orígenes de datos externos, así como entre los nodos SQL en los grupos de escalabilidad horizontal de PolyBase.

Servicios CEIP instalados por SQL Server

El servicio Programa para la mejora de la experiencia del usuario (CEIP) devuelve los datos de telemetría a Microsoft.

En función de los componentes que decida instalar, el programa de instalación de SQL Server instalará los servicios CEIP siguientes.

Servicio Descripción
SQLTELEMETRY Programa para la mejora de la experiencia del usuario que devuelve a Microsoft los datos de telemetría del Motor de base de datos.
SSASTELEMETRY Programa para la mejora de la experiencia del usuario que devuelve a Microsoft los datos de telemetría de SSAS.
SSISTELEMETRY Programa para la mejora de la experiencia del usuario que devuelve a Microsoft los datos de telemetría de SSIS.

Propiedades de servicio y configuración

Las cuentas de inicio usadas para iniciar y ejecutar SQL Server pueden ser cuentas de usuario de dominio, cuentas de usuario local, cuentas de servicio administradas, cuentas virtuales o cuentas del sistema integradas. Para poder iniciarse y ejecutarse, cada servicio de SQL Server debe tener una cuenta de inicio configurada durante la instalación.

Nota

Para la instancia de clúster de conmutación por error de SQL Server para SQL Server 2016 (13.x) y versiones posteriores, las cuentas de usuario de dominio o las Cuentas de servicio administradas de grupo se pueden usar como cuentas de inicio para SQL Server.

En esta sección se describen las cuentas que se pueden configurar para iniciar los servicios de SQL Server, los valores predeterminados que usa el programa de instalación de SQL Server, el concepto de SID por servicio, las opciones de inicio y la configuración del firewall.

Cuentas de servicio predeterminadas

En la tabla siguiente se enumeran las cuentas de servicio predeterminadas que utiliza el programa de instalación para instalar todos los componentes. Las cuentas predeterminadas enumeradas son las recomendadas, si no se especifica lo contrario.

Servidor independiente o controlador de dominio

Componente Windows Server 2008 Windows 7, Windows Server 2008 R2 y versiones posteriores
Motor de base de datos SERVICIO DE RED Cuenta virtual 1
Agente SQL Server SERVICIO DE RED Cuenta virtual 1
SSAS SERVICIO DE RED Cuenta virtual 1 2
SSIS SERVICIO DE RED Cuenta virtual 1
SSRS SERVICIO DE RED Cuenta virtual 1
SQL Server Distributed Replay Controller SERVICIO DE RED Cuenta virtual 1
SQL Server Distributed Replay Client SERVICIO DE RED Cuenta virtual 1
Selector de FD (búsqueda de texto completo) SERVICIO LOCAL Cuenta virtual
SQL Server Browser SERVICIO LOCAL SERVICIO LOCAL
SQL Server VSS Writer SISTEMA LOCAL SISTEMA LOCAL
Extensiones de análisis avanzado NTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpad
Motor de PolyBase SERVICIO DE RED SERVICIO DE RED
Servicio de movimiento de datos de PolyBase SERVICIO DE RED SERVICIO DE RED

1 Cuando se necesitan recursos externos al equipo de SQL Server, Microsoft recomienda que se use una cuenta de servicio administrada (MSA), configurada con los privilegios mínimos necesarios.

2 Cuando se instala en un controlador de dominio, no se admiten las cuentas virtuales como cuentas de servicio.

Instancia de clúster de conmutación por error de SQL Server

Componente Windows Server 2008 Windows Server 2008 R2
Motor de base de datos Ninguno. Proporcione una cuenta de usuario de dominio . Proporcione una cuenta de usuario de dominio .
Agente SQL Server Ninguno. Proporcione una cuenta de usuario de dominio . Proporcione una cuenta de usuario de dominio .
SSAS Ninguno. Proporcione una cuenta de usuario de dominio . Proporcione una cuenta de usuario de dominio .
SSIS SERVICIO DE RED Cuenta virtual
SSRS SERVICIO DE RED Cuenta virtual
Selector de FD (búsqueda de texto completo) SERVICIO LOCAL Cuenta virtual
SQL Server Browser SERVICIO LOCAL SERVICIO LOCAL
SQL Server VSS Writer SISTEMA LOCAL SISTEMA LOCAL

Cambio de las propiedades de la cuenta

Importante

  • Utilice siempre herramientas de SQL Server, como el Administrador de configuración de SQL Server, para cambiar la cuenta que utilizan los servicios Motor de base de datos de SQL Server o Agente SQL Server, o para cambiar la contraseña de la cuenta. Además de cambiar el nombre de cuenta, el Administrador de configuración de SQL Server realiza una configuración adicional, como actualizar el almacén de seguridad local de Windows que protege la clave maestra de servicio para el Motor de base de datos. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no toda la configuración requerida.

    Si cambia las cuentas de servicio de cualquier servicio SQL mediante otros medios, pueden producirse errores o comportamientos inesperados. Por ejemplo, si cambia la cuenta del servicio Agente SQL a una cuenta de dominio mediante el applet de servicios de Windows, es posible que observe que los trabajos del Agente SQL que usan pasos del trabajo de sistema operativo (Cmdexec), replicación o SSIS generan un error similar al siguiente:

    Executed as user : Domain\Account.
    The process could not be created for step Step Number of job Unique Job ID (reason: A required privilege is not held by the client). The step failed.
    

    Para resolver este error, debe hacer lo siguiente mediante el Administrador de configuración de SQL Server:

    1. Cambie temporalmente la cuenta del servicio Agente SQL a la cuenta virtual predeterminada (instancia predeterminada: NT Service\SQLSERVERAGENT. Instancia con nombre: NT Service\SQLAGENT$<instance_name>.)
    2. Reinicio del servicio Agente SQL Server
    3. Cambio de la cuenta de servicio a la cuenta de dominio deseada
    4. Reinicio del servicio Agente SQL Server
  • Para las instancias de Analysis Services que se implementen en una granja de servidores de SharePoint, utilice siempre Administración central de SharePoint para cambiar las cuentas del servidor para las aplicaciones de servicio de PowerPivot y del servicio Analysis Services. Se actualizan la configuración y los permisos asociados para usar la nueva información de cuenta cuando utilice Administración central.

  • Para cambiar las opciones de Reporting Services, utilice la herramienta de configuración de Reporting Services.

Cuentas de servicio administradas, cuentas de servicio administradas de grupo y cuentas virtuales

Las cuentas de servicio administradas, las cuentas de servicio administradas de grupo y las cuentas virtuales están diseñadas para proporcionar a aplicaciones vitales como SQL Server el aislamiento de sus propias cuentas, mientras se elimina la necesidad de que un administrador administre manualmente el nombre de la entidad de seguridad del servicio (SPN) y las credenciales de estas cuentas. Estas cuentas facilitan en gran medida la administración a largo plazo de los usuarios de cuentas de servicio, las contraseñas y los SPN.

  • Cuentas de servicio administradas

    Una cuenta de servicio administrada (MSA) es un tipo de cuenta de dominio creada y administrada por el controlador de dominio. Se asigna a un solo equipo de miembro para usarla al ejecutar un servicio. El controlador de dominio administra la contraseña automáticamente. No puede utilizar MSA para iniciar sesión en un equipo, pero un equipo puede utilizar MSA para iniciar un servicio de Windows. Una MSA tiene la posibilidad de registrar un nombre de entidad de seguridad de servicio (SPN) en Active Directory cuando se proporcionan permisos servicePrincipalName de lectura y escritura. Una cuenta MSA se denomina con un sufijo $ , por ejemplo, DOMAIN\ACCOUNTNAME$ . Al especificar MSA, deje en blanco la contraseña. Debido a que una MSA se asigna a un único equipo, no se puede utilizar en nodos diferentes de un clúster de Windows.

    Nota

    El administrador de dominio debe crear la MSA en Active Directory para que la instalación de SQL Server pueda usarla para los servicios de SQL Server.

  • Cuentas de servicio administradas por grupos

    Una cuenta de servicio administrada de grupo (gMSA) es una MSA para varios servidores. Windows administra una cuenta de servicio para los servicios que se ejecutan en un grupo de servidores. Active Directory actualiza automáticamente la contraseña de la cuenta de servicio administrada de grupo sin necesidad de reiniciar los servicios. Puede configurar servicios de SQL Server para usar una entidad de seguridad de cuenta de servicio administrada de grupo. A partir de SQL Server 2014, SQL Server admite cuentas de servicio administradas de grupo para instancias independientes, y SQL Server 2016 y versiones posteriores para instancias de clúster de conmutación por error y grupos de disponibilidad.

    Para usar una gMSA para SQL Server 2014 o posterior, el sistema operativo debe ser Windows Server 2012 R2 o posterior. Los servidores con Windows Server 2012 R2 necesitan que KB 2998082 esté aplicado para que los servicios puedan iniciar sesión sin interrumpirse inmediatamente después de un cambio de contraseña.

    Para más información, consulte Cuentas de servicio administradas de grupo para Windows Server 2016 y versiones posteriores. Para las versiones anteriores de Windows Server, consulte Cuentas de servicio administradas de grupo.

    Nota

    El administrador de dominio debe crear la gMSA en Active Directory para que la instalación de SQL Server pueda usarla para los servicios de SQL Server.

  • Cuentas virtuales

    Las cuentas virtuales (a partir de Windows Server 2008 R2 y Windows 7) son cuentas locales administradas que proporcionan las siguientes características para simplificar la administración del servicio. La cuenta virtual se administra automáticamente y la cuenta virtual puede tener acceso a la red en un entorno de dominio. Si se usa el valor predeterminado de las cuentas de servicio durante la instalación de SQL Server, se usará una cuenta virtual con el nombre de instancia como nombre del servicio, con el formato NT SERVICE\<SERVICENAME>. Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red utilizando las credenciales de la cuenta del equipo en el formato <domain_name>\<computer_name>$. Al especificar una cuenta virtual para iniciar SQL Server, deje en blanco la contraseña. Si la cuenta virtual no puede registrar el nombre principal de servicio (SPN), registre el SPN manualmente. Para más información sobre cómo registrar un SPN manualmente, consulte Registro manual de SPN.

    Nota

    No se pueden usar cuentas virtuales para la instancia de clúster de conmutación por error de SQL Server, ya que la cuenta virtual no tendría el mismo SID en cada nodo del clúster.

    En la tabla siguiente se muestran ejemplos de nombres de cuenta virtuales.

    Servicio Nombre de cuenta virtual
    Instancia predeterminada del servicio Motor de base de datos NT SERVICE\MSSQLSERVER
    Instancia con nombre de un servicio Motor de base de datos denominado PAYROLL NT SERVICE\MSSQL$PAYROLL
    Servicio Agente SQL Server en la instancia predeterminada de SQL Server NT Service\SQLSERVERAGENT
    Servicio Agente SQL Server en una instancia de SQL Server denominada PAYROLL NT SERVICE\SQLAGENT$PAYROLL

Para obtener más información sobre las cuentas de servicio administradas y las cuentas virtuales, vea la sección Conceptos de cuentas de servicio administradas y cuentas virtuales de la Guía paso a paso de cuentas de servicio y P+F sobre cuentas de servicio administradas.

Nota

Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles. Use una cuenta MSA, gMSA o virtual siempre que sea posible. Cuando esto no sea posible, use una cuenta de usuario específica con privilegios bajos o la cuenta de dominio en lugar de una cuenta compartida para los servicios de SQL Server. Utilice cuentas independientes para los diferentes servicios de SQL Server. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios de SQL Server. Los permisos se concederán a través de la pertenencia a un grupo o directamente a un SID de servicio, siempre que se admita el uso de este último.

Inicio automático

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:

  • Deshabilitado. El servicio está instalado, pero no se ejecuta actualmente.
  • Manual. El servicio está instalado, pero solo se inicia cuando otro servicio o aplicación necesitan su funcionalidad.
  • Automático. El sistema operativo inicia automáticamente el servicio.

El estado de inicio se selecciona durante la instalación. Al instalar una instancia con nombre, el servicio SQL Server Browser debe configurarse para que se inicie automáticamente.

Configuración de servicios durante la instalación desatendida

En la tabla siguiente se muestran los servicios de SQL Server que se pueden configurar durante la instalación. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.

Nombre de servicio SQL Server Modificadores para instalaciones desatendidas 1
MSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent 2 AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL Server Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE y CTLRUSERS
SQL Server Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services o Machine Learning Services EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS 3
Motor de PolyBase PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT, PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT y PBPORTRANGE

1 Para obtener más información y ejemplos de sintaxis sobre instalaciones desatendidas, consulte Instalar SQL Server 1 desde el símbolo del sistema.

2 El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

3 Actualmente no se admite la configuración de la cuenta para Launchpad solo con modificadores. Para cambiar la cuenta y otras opciones de configuración del servicio, use el Administrador de configuración de SQL Server.

Puerto de firewall

En la mayoría de los casos, cuando se instala por primera vez, la instancia del Motor de base de datos puede conectarse a herramientas como SQL Server Management Studio instaladas en el mismo equipo que SQL Server. El programa de instalación de SQL Server no abre los puertos en el firewall de Windows. Puede que no sean posibles conexiones desde otros equipos hasta que el Motor de base de datos se configure para escuchar en un puerto TCP y se abra el puerto correspondiente para conexiones en el Firewall de Windows. Para más información, consulte Configurar Firewall de Windows para permitir el acceso a SQL Server.

Permisos de servicio

En esta sección se describen los permisos que el programa de instalación de SQL Server configura para los SID por servicio de los servicios de SQL Server.

Configuración del servicio y control de acceso

SQL Server habilita un SID por cada uno de sus servicios para permitir el aislamiento del servicio y proporcionar una defensa optimizada. El SID por servicio se deriva del nombre del servicio y es único para ese servicio. Por ejemplo, el nombre de un SID de servicio para una instancia con nombre del servicio del Motor de base de dato podría ser NT Service\MSSQL$<instance_name>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto. Usando una entrada de control de acceso que contenga un SID por servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.

Nota

En Windows 7 y Windows Server 2008 R2 (y versiones posteriores) el SID por servicio puede ser la cuenta virtual que utiliza el servicio.

Para la mayoría de los componentes, SQL Server configura la ACL para la cuenta del servicio directamente, con lo que el cambio de la cuenta de servicio puede realizarse sin tener que repetir el proceso de la ACL de recursos.

Al instalar SSAS, se crea un SID por servicio para el servicio Analysis Services. Se crea un grupo de Windows local y se le asigna un nombre con el formato SQLServerMSASUser$<computer_name>$<instance_name>. Al SID por servicio NT SERVICE\MSSQLServerOLAPService se le concede la pertenencia al grupo local de Windows y al grupo local de Windows se le conceden los permisos adecuados en la ACL. Si se cambia la cuenta utilizada para iniciar el servicio Analysis Services, el Administrador de configuración de SQL Server debe cambiar algunos permisos de Windows (como el derecho de iniciar sesión como servicio), pero los permisos asignados al grupo local de Windows estarán disponibles sin actualizar, porque el SID por servicio no ha cambiado. Este método permite cambiar el nombre del servicio de Analysis Services durante las actualizaciones.

Durante la instalación de SQL Server, el programa de instalación de SQL Server crea un grupo local de Windows para SSAS y el servicio de SQL Server Browser. Para estos servicios, SQL Server configura la ACL para los grupos de Windows locales.

En función de la configuración del servicio, la cuenta de servicio o el SID por servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.

Derechos y privilegios de Windows

La cuenta asignada para iniciar un servicio necesita el permiso de inicio, detener y pausar para el servicio. El programa de instalación de SQL Server asigna esto automáticamente. Primera instalación de las Herramientas de administración remota del servidor (RSAT). Vea Herramientas de administración remota del servidor para Windows 10.

En la tabla siguiente se muestran los permisos que el programa de instalación de SQL Server solicita para los SID por servicio o los grupos locales de Windows que usan los componentes de SQL Server.

Servicio de SQL Server Permisos concedidos por el programa de instalación de SQL Server
Motor de base de datos de SQL Server:

(Se conceden todos los derechos al SID por servicio. La instancia predeterminada: NT SERVICE\MSSQLSERVER. Instancia con nombre: NT Service\MSSQL$<instance_name>).
Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)

Permiso para iniciar el objeto de escritura de SQL

Permiso para leer el servicio Registro de eventos

Permiso para leer el servicio Llamada a procedimiento remoto
Agente SQL Server: 1

(Se conceden todos los derechos al SID por servicio. Instancia predeterminada: NT Service\SQLSERVERAGENT. Instancia con nombre: NT Service\SQLAGENT$<instance_name>).
Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)
SSAS:

(Se conceden todos los derechos a un grupo local de Windows. La instancia predeterminada: SQLServerMSASUser$<computer_name>$MSSQLSERVER. Instancia con nombre: SQLServerMSASUser$<computer_name>$<instance_name>. Instancia de Power Pivot para SharePoint: SQLServerMSASUser$<computer_name>$PowerPivot).
Iniciar sesión como servicio (SeServiceLogonRight)

Solo para modo tabular:

Aumentar el espacio de trabajo de un proceso (SeIncreaseWorkingSetPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)

Bloquear páginas en la memoria (SeLockMemoryPrivilege): solo es necesario cuando la paginación está completamente desactivada.

Solo para la instalación de clústeres de conmutación por error:

Aumentar prioridad de programación (SeIncreaseBasePriorityPrivilege)
SSRS:

(Se conceden todos los derechos al SID por servicio. Instancia predeterminada: NT SERVICE\ReportServer. Instancia con nombre: NT SERVICE\ReportServer$<instance_name>).
Iniciar sesión como servicio (SeServiceLogonRight)
SSIS:

Todos los derechos se conceden al SID por servicio. Instancia predeterminada e instancia con nombre: NT SERVICE\MsDtsServer150. Integration Services no tiene un proceso aparte para una instancia con nombre.
Iniciar sesión como servicio (SeServiceLogonRight)

Permiso para escribir en el registro de eventos de la aplicación

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)

Suplantar a un cliente tras la autenticación (SeImpersonatePrivilege)
Búsqueda de texto completo:

(Se conceden todos los derechos al SID por servicio. Instancia predeterminada: NT Service\MSSQLFDLauncher. Instancia con nombre: NT Service\ MSSQLFDLauncher$<instance_name>).
Iniciar sesión como servicio (SeServiceLogonRight)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)
SQL Server Browser:

(Se conceden todos los derechos a un grupo local de Windows. Instancia predeterminada o con nombre: SQLServer2005SQLBrowserUser$<computer_name>. SQL Server Browser no tiene un proceso separado para una instancia con nombre).
Iniciar sesión como servicio (SeServiceLogonRight)
SQL Server VSS Writer:

Todos los derechos se conceden al SID por servicio. Instancia predeterminada o con nombre: NT Service\SQLWriter. SQL Server VSS Writer no tiene un proceso aparte para una instancia con nombre.
El servicio SQLWriter se ejecuta en la cuenta de sistema local que tiene todos los permisos necesarios. El programa de instalación de SQL Server no comprueba ni concede permisos para este servicio.
SQL Server Distributed Replay Controller: Iniciar sesión como servicio (SeServiceLogonRight)
SQL Server Distributed Replay Client: Iniciar sesión como servicio (SeServiceLogonRight)
Motor de PolyBase y DMS: Iniciar sesión como servicio (SeServiceLogonRight)
Launchpad: Iniciar sesión como servicio (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)
R Services/Machine Learning Services: SQLRUserGroup (SQL Server 2016 (13.x) y SQL Server 2017 (14.x)) No tiene el permiso Permitir el inicio de sesión local de forma predeterminada.
Machine Learning Services: 'Todos los paquetes de aplicación' [AppContainer] (SQL Server 2019 (15.x)) Permisos de lectura y escritura para los directorios “Binn”, R_Services y PYTHON_Services de SQL Server

1 El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express.

Permisos del sistema de archivos concedidos a los SID por servicio de SQL Server o grupos locales de Windows

Las cuentas de servicio de SQL Server deben tener acceso a los recursos. Las listas de control de acceso se establecen para el SID por servicio o el grupo local de Windows.

Importante

En las instalaciones de clústeres de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local.

En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL Server:

Cuenta de servicio para Archivos y carpetas Acceso
MSSQLServer Instid\MSSQL\backup Control total
Instid\MSSQL\binn Lectura, Ejecución
Instid\MSSQL\data Control total
Instid\MSSQL\FTData Control total
Instid\MSSQL\Install Lectura, Ejecución
Instid\MSSQL\Log Control total
Instid\MSSQL\Repldata Control total
150\shared Lectura, Ejecución
Instid\MSSQL\Template Data (solo SQL Server Express) Leer
SQLServerAgent 1 Instid\MSSQL\binn Control total
Instid\MSSQL\Log Lectura, Escritura, Eliminación, Ejecución
150\com Lectura, Ejecución
150\shared Lectura, Ejecución
150\shared\Errordumps Lectura, escritura
ServerName\EventLog Control total
FTS Instid\MSSQL\FTData Control total
Instid\MSSQL\FTRef Lectura, Ejecución
150\shared Lectura, Ejecución
150\shared\Errordumps Lectura, escritura
Instid\MSSQL\Install Lectura, Ejecución
Instid\MSSQL\jobs Lectura, escritura
MSSQLServerOLAPService 150\shared\ASConfig Control total
Instid\OLAP Lectura, Ejecución
Instid\Olap\Data Control total
Instid\Olap\Log Lectura, escritura
Instid\OLAP\Backup Lectura, escritura
Instid\OLAP\Temp Lectura, escritura
150\shared\Errordumps Lectura, escritura
ReportServer Instid\Reporting Services\Log Files Lectura, Escritura, Eliminación
Instid\Reporting Services\ReportServer Lectura, Ejecución
Instid\Reporting Services\ReportServer\global.asax Control total
Instid\Reporting Services\ReportServer\rsreportserver.config Lectura
Instid\Reporting Services\RSTempfiles Lectura, Escritura, Ejecución, Eliminación
Instid\Reporting Services\RSWebApp Lectura, Ejecución
150\shared Lectura, Ejecución
150\shared\Errordumps Lectura, escritura
MSDTSServer100 150\dts\binn\MsDtsSrvr.ini.xml Lectura
150\dts\binn Lectura, Ejecución
150\shared Lectura, Ejecución
150\shared\Errordumps Lectura, escritura
SQL Server Browser 150\shared\ASConfig Lectura
150\shared Lectura, Ejecución
150\shared\Errordumps Lectura, escritura
SQLWriter N/D (Se ejecuta como sistema local)
Usuario Instid\MSSQL\binn Lectura, Ejecución
Instid\Reporting Services\ReportServer Lectura, Ejecución, Mostrar el contenido de la carpeta
Instid\Reporting Services\ReportServer\global.asax Lectura
Instid\Reporting Services\RSWebApp Lectura, Ejecución, Mostrar el contenido de la carpeta
150\dts Lectura, Ejecución
150\tools Lectura, Ejecución
100\tools Lectura, Ejecución
90\tools Lectura, Ejecución
80\tools Lectura, Ejecución
150\sdk Lectura
Microsoft SQL Server\150\Setup Bootstrap Lectura, Ejecución
SQL Server Distributed Replay Controller <Dir. herram.>\DReplayController\Log\ (directorio vacío) Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\DReplayController.exe Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\resources|Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\{todas las dll} Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\DReplayController.config Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\IRTemplate.tdf Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayController\IRDefinition.xml Lectura, Ejecución, Mostrar el contenido de la carpeta
SQL Server Distributed Replay Client <Dir. herram.>\DReplayClient\Log|Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\DReplayClient.exe Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\resources|Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\ (todas las dll) Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\DReplayClient.config Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\IRTemplate.tdf Lectura, Ejecución, Mostrar el contenido de la carpeta
<Dir. herram.>\DReplayClient\IRDefinition.xml Lectura, Ejecución, Mostrar el contenido de la carpeta
Launchpad %binn Lectura, Ejecución
ExtensiblilityData Control total
Log\ExtensibilityLog Control total

1 El servicio Agente SQL Server está deshabilitado en las instancias de SQL Server Express y SQL Server Express con Advanced Services.

Cuando los archivos de base de datos se almacenan en una ubicación definida por el usuario, se debe conceder acceso a dicha ubicación al SID por servicio. Para obtener más información sobre la concesión de permisos del sistema de archivos a un SID por servicio, vea Configurar permisos del sistema de archivos para el acceso al motor de base de datos.

Permisos del sistema de archivos concedidos a otras cuentas de usuario o grupos de usuarios de Windows

Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas u otras cuentas de servicio de SQL Server. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL Server.

Componente que realiza la solicitud Cuenta Resource Permisos
MSSQLServer Usuarios del registro de rendimiento Instid\MSSQL\binn Mostrar el contenido de la carpeta
Usuarios de Monitor de rendimiento Instid\MSSQL\binn Mostrar el contenido de la carpeta
Usuarios del registro de rendimiento, Usuarios del monitor de rendimiento \WINNT\system32\sqlctr150.dll Lectura, Ejecución
Solo el administrador \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> 1 Control total
Administradores, sistema \tools\binn\schemas\sqlserver\2004\07\showplan Control total
Usuarios \tools\binn\schemas\sqlserver\2004\07\showplan Lectura, Ejecución
Reporting Services Cuenta de servicio Windows del servidor de informes <instalación>\Reporting Services\LogFiles Delete

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Cuenta de servicio Windows del servidor de informes <instalación>\Reporting Services\ReportServer Lectura
Cuenta de servicio Windows del servidor de informes <instalación>\Reporting Services\ReportServer\global.asax Completo
Cuenta de servicio Windows del servidor de informes <instalación>\Reporting Services\RSWebApp Lectura, Ejecución
Todos <instalación>\Reporting Services\ReportServer\global.asax READ_CONTROL

FILE_READ_DATA

FILE_READ_EA

FILE_READ_ATTRIBUTES
Cuenta de servicios de Windows ReportServer <instalación>\Reporting Services\ReportServer\rsreportserver.config Delete

READ_CONTROL

SYNCHRONIZE

FILE_GENERIC_READ

FILE_GENERIC_WRITE

FILE_READ_DATA

FILE_WRITE_DATA

FILE_APPEND_DATA

FILE_READ_EA

FILE_WRITE_EA

FILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTES
Todos Claves del Servidor de informes (subárbol Instid) Consultar valor

Enumerar subclaves

Notificar

Controles de lectura
Usuario de Terminal Services Claves del Servidor de informes (subárbol Instid) Consultar valor

Establecer valor

Crear subclave

Enumerar subclave

Notificar

Eliminar

Controles de lectura
Usuarios avanzados Claves del Servidor de informes (subárbol Instid) Consultar valor

Establecer valor

Crear subclave

Enumerar subclaves

Notificar

Eliminar

Controles de lectura

1 Este es el espacio de nombres del proveedor de WMI.

Permisos del sistema de archivos relacionados con ubicaciones inusuales de los discos

La unidad predeterminada para las ubicaciones de instalación es system drive, normalmente en la unidad C. En esta sección se describen otras consideraciones que se deben tener en cuenta si se instala tempdb o bases de datos de usuario en ubicaciones inusuales.

Unidad no predeterminada

Cuando se instala una unidad local que no es la predeterminada, el SID por servicio debe tener acceso a la ubicación del archivo. El programa de instalación de SQL Server proporcionará el acceso necesario.

Recurso compartido de red

Cuando las bases de datos se instalan en un recurso compartido de red, la cuenta de servicio debe tener acceso a la ubicación del archivo del usuario y las bases de datos tempdb. El programa de instalación de SQL Server no puede proporcionar acceso a un recurso compartido de red. El usuario debe proporcionar acceso a una ubicación de tempdb para la cuenta de servicio antes de ejecutar el programa de instalación. El usuario debe proporcionar acceso a la ubicación de la base de datos de usuario antes de crear la base de datos.

Nota

Las cuentas virtuales no se pueden autenticar en una ubicación remota. Todas las cuentas virtuales usan el permiso de la cuenta del equipo. Aprovisione la cuenta del equipo en el formato <domain_name>\<computer_name>$.

Revisar consideraciones adicionales

En la tabla siguiente se muestran los permisos que necesitan los servicios de SQL Server para proporcionar una funcionalidad adicional.

Servicio/Aplicación Funcionalidad Permiso necesario
SQL Server (MSSQLSERVER) Escribir en un buzón de correo mediante xp_sendmail. Permisos de escritura de la red.
SQL Server (MSSQLSERVER) Ejecute xp_cmdshell para un usuario que no sea administrador de SQL Server. Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso.
Agente SQL Server (MSSQLSERVER) Use la característica de reinicio automático. Debe ser un miembro del grupo local Administradores.
Database Engine Tuning Advisor Optimiza las bases de datos para un rendimiento óptimo de las consultas. Al utilizarla por primera vez, un usuario que tenga credenciales administrativas debe inicializar la aplicación. Después de la inicialización, los usuarios dbo pueden usar el Asistente para la optimización de motor de base de datos con el fin de optimizar solo aquellas tablas de las que son propietarios. Para obtener más información, consulte Iniciar y utilizar el Asistente para la optimización de motor de base de datos.

Importante

Antes de actualizar SQL Server, habilite el Agente SQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL Server sea miembro del rol fijo de servidor sysadmin de SQL Server.

Permisos del Registro

El subárbol del Registro se crea en HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> para los componentes que reconocen instancias. Por ejemplo:

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL15.MyInstance
  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.150

El Registro también mantiene una asignación de identificador de instancia a nombre de instancia. La asignación de identificador de instancia a nombre de instancia se mantiene de la siguiente forma:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL15"
  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL15"

WMI

El Instrumental de administración de Windows (WMI) debe poder conectarse al Motor de base de datos. Para que esto sea posible, se aprovisiona el SID por servicio del proveedor de WMI de Windows (NT SERVICE\winmgmt) en el Motor de base de datos.

El proveedor WMI de SQL requiere los siguientes permisos mínimos:

  • Pertenencia a los roles fijos de base de datos db_ddladmin o db_owner en la base de datos msdb.

  • El permisoCREATE DDL EVENT NOTIFICATION en el servidor.

  • Permiso CREATE TRACE EVENT NOTIFICATION en el Motor de base de datos.

  • Permiso de nivel de servidorVIEW ANY DATABASE .

    El programa de instalación de SQL Server crea un espacio de nombres WMI SQL y concede el permiso de lectura al SID por servicio del Agente SQL Server.

Canalizaciones con nombre

En toda la instalación, el programa de instalación de SQL Server proporciona acceso al Motor de base de datos de SQL Server a través del protocolo de memoria compartida, que es una canalización con nombre local.

Aprovisionamiento

En esta sección se describe el modo en que se aprovisionan las cuentas dentro de los distintos componentes de SQL Server.

Aprovisionamiento del Motor de base de datos

Las cuentas siguientes se agregan como inicios de sesión en el Motor de base de datos de SQL Server.

Entidades de seguridad de Windows

Durante la instalación, el programa de instalación de SQL Server requiere al menos que una cuenta de usuario se denomine como un miembro del rol fijo de servidor sysadmin.

Cuenta SA

La cuenta sa está siempre presente como inicio de sesión del Motor de base de datos y es miembro del rol fijo de servidor sysadmin. Cuando el Motor de base de datos se instala solo con la autenticación de Windows (es decir, cuando la autenticación de SQL Server no está habilitada), el inicio de sesión con sa sigue estando presente, pero deshabilitado, y la contraseña es compleja y aleatoria. Para obtener información sobre cómo habilitar la cuenta sa , vea Cambiar el modo de autenticación del servidor.

Privilegios e inicio de sesión de SID por servicio de SQL Server

El SID por servicio (a veces también llamado "entidad de seguridad del servicio") del servicio SQL Server se aprovisiona como inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin . Para obtener información sobre los SID por servicio, vea Uso de SID de servicio para conceder permisos a servicios en SQL Server.

Privilegios e inicio de sesión del Agente SQL Server

El SID por servicio del servicio Agente SQL Server se aprovisiona como inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin .

Grupos de disponibilidad Always On y privilegios e instancias de los clústeres de conmutación por error de SQL

Cuando se instala el Motor de base de datos como grupo de disponibilidad Always On o una instancia de clúster de conmutación por error de SQL (SQL FCI), se aprovisiona LOCAL SYSTEM en el Motor de base de datos. Al inicio de sesión LOCAL SYSTEM se le concede el permiso ALTER ANY AVAILABILITY GROUP (para grupos de disponibilidad Always On) y el permiso VIEW SERVER STATE (para SQL FCI).

Objeto de escritura SQL y privilegios

El SID por servicio del servicio SQL Server VSS Writer se aprovisiona como inicio de sesión del Motor de base de datos. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin .

WMI de SQL y privilegios

El programa de instalación de SQL Server aprovisiona la cuenta NT SERVICE\Winmgmt como inicio de sesión del Motor de base de datos y la agrega al rol fijo de servidor sysadmin.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona como miembro del rol de base de datos RSExecRole . Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración del servidor de informes).

Aprovisionamiento de SSAS

Los requisitos de la cuenta de servicio de SSAS varían en función de cómo se implementa el servidor. Si va a instalar PowerPivot para SharePoint, el programa de instalación de SQL Server requiere que se configure el servicio Analysis Services para ejecutarse en una cuenta de dominio. Las cuentas de dominio son necesarias para admitir la facilidad administrada de la cuenta que está integrada en SharePoint. Por esta razón, el programa de instalación de SQL Server no proporciona una cuenta de servicio predeterminada, como una cuenta virtual, para una instalación de PowerPivot para SharePoint. Si desea obtener más información sobre el aprovisionamiento de PowerPivot para SharePoint, vea PowerPivot para SharePoint.

Para todas las demás instalaciones independientes de SSAS, puede aprovisionar el servicio para ejecutarse en una cuenta de dominio, una cuenta del sistema integrada, una cuenta administrada o una cuenta virtual. Para obtener más información sobre el aprovisionamiento de cuentas, vea Configurar las cuentas de servicio (Analysis Services).

Para instalaciones en clúster, debe especificar una cuenta de dominio o una cuenta del sistema integrada. En los clústeres de conmutación por error de SSAS, no se admiten ni cuentas administradas ni cuentas virtuales.

Todas las instalaciones de SSAS requieren que especifique un administrador del sistema de la instancia de Analysis Services. Los privilegios de administrador se aprovisionan en el rol Servidor de Analysis Services.

Aprovisionamiento de SSRS

La cuenta especificada durante la instalación se aprovisiona en el Motor de base de datos como miembro del rol de base de datos RSExecRole. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración del servidor de informes).

Actualización desde versiones anteriores

En esta sección se describen los cambios realizados durante la actualización de una versión anterior de SQL Server.

  • SQL Server 2019 (15.x) requiere un sistema operativo admitido. Cualquier versión anterior de SQL Server que se ejecuta en una versión de sistema operativo inferior debe tener el sistema operativo actualizado antes de actualizar SQL Server.

  • Durante la actualización de SQL Server 2005 (9.x) a SQL Server 2019 (15.x), el programa de instalación configura la instancia de SQL Server de la siguiente manera:

    • El Motor de base de datos se ejecuta con el contexto de seguridad del SID por servicio. Al SID por servicio se le concede acceso a las carpetas de archivos de la instancia de SQL Server (como DATA) y las claves del Registro de SQL Server.
    • El SID por servicio del Motor de base de datos se aprovisiona en el Motor de base de datos como miembro del rol fijo de servidor sysadmin.
    • Los SID por servicio se agregan a los grupos de Windows locales de SQL Server, a menos que SQL Server sea una instancia de clústeres de conmutación por error.
    • Los recursos de SQL Server siguen aprovisionados para los grupos de SQL Server Windows locales.
    • El nombre del grupo local de Windows para los servicios se cambia de SQLServer2005MSSQLUser$<computer_name>$<instance_name> a SQLServerMSSQLUser$<computer_name>$<instance_name>. Las ubicaciones de archivos de las bases de datos migradas tendrán entradas de control de acceso (ACE) para los grupos de Windows locales. Las ubicaciones de archivos para las nuevas bases de datos tendrán ACE para el SID por servicio.
  • Durante la actualización de SQL Server 2008 (10.0.x), el programa de instalación de SQL Server conserva las entradas ACE para el SID por servicio de SQL Server 2008 (10.0.x).

  • Para una instancia de los clústeres de conmutación por error de SQL Server, se conservan los ACE de la cuenta de dominio configurada para el servicio.

Apéndice

Esta sección contiene información adicional sobre los servicios de SQL Server.

Descripción de las cuentas de servicio

La cuenta de servicio es la que se usa para iniciar un servicio de Windows, como el Motor de base de datos de SQL Server. Para ejecutar SQL Server, no es necesario agregar la cuenta de servicio como inicio de sesión a SQL Server además del SID del servicio, que siempre está presente y que es miembro del rol fijo de servidor sysadmin.

Cuentas disponibles con cualquier sistema operativo

Además de las nuevas cuentas MSA, gMSA y virtuales descritas anteriormente, pueden usarse las siguientes cuentas.

Cuenta de usuario de dominio

Si el servicio debe interactuar con servicios de red o acceder a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos. Muchas actividades de servidor a servidor solo se pueden realizar con una cuenta de usuario de dominio. El administrador del dominio del entorno debe haber creado esta cuenta previamente.

Si configura SQL Server para utilizar una cuenta de dominio, puede aislar los privilegios del servicio, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas. Muchas aplicaciones de servidor usan esta estrategia para mejorar la seguridad, pero requiere una administración adicional y conlleva una mayor complejidad. En estas implementaciones, los administradores de servicio dedican un período de tiempo considerable a tareas de mantenimiento como administrar las contraseñas de servicio y nombres de entidades de seguridad de servicio (SPN), que son necesarios para la autenticación Kerberos. Además, estas tareas de mantenimiento pueden interrumpir el servicio.

Cuentas de usuario locales

Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.

Cuenta de servicio local

La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de red como una sesión nula sin credenciales.

La cuenta de servicio local no se admite para los servicios de SQL Server ni del Agente SQL Server. No se admite el servicio local como la cuenta que ejecuta los servicios porque es un servicio compartido y cualquier otro servicio que se ejecute bajo el servicio local tendrá acceso de administrador del sistema a SQL Server.

El nombre real de la cuenta es NT AUTHORITY\LOCAL SERVICE.

Cuenta de servicio de red

La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios. Los servicios que se ejecutan en la cuenta de servicio de red tienen acceso a los recursos de red a través de las credenciales de la cuenta de equipo en el formato <domain_name>\<computer_name>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.

Cuenta del sistema local

Sistema local es una cuenta integrada con un alto nivel de privilegios. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red. El nombre real de la cuenta es NT AUTHORITY\SYSTEM.

Identificación de los servicios que reconocen y que no reconocen instancias

Los servicios que reconocen instancias se asocian a una instancia específica de SQL Server y tienen su propio subárbol del Registro. Puede instalar varias copias de servicios que reconocen instancias ejecutando el programa de instalación de SQL Server para instalar cada componente o servicio. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL Server instaladas. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.

Entre los servicios que reconocen instancias en SQL Server se incluyen los siguientes:

  • SQL Server

  • Agente SQL Server

    Tenga en cuenta que el servicio Agente SQL Server está deshabilitado en instancias de SQL Server Express y SQL Server Express con Advanced Services.

  • Analysis Services

    Analysis Services en modo integrado de SharePoint se ejecuta como 'PowerPivot', como una instancia única con nombre. El nombre de instancia es fijo. No puede especificar un nombre diferente. Solamente puede instalar una instancia de Analysis Services que se ejecute como “PowerPivot” en cada servidor físico.

  • Reporting Services

  • Búsqueda de texto completo

Entre los servicios que no reconocen instancias en SQL Server se incluyen los siguientes:

  • Integration Services
  • SQL Server Browser
  • Objeto de escritura de SQL

Nombres de servicio traducidos

En la tabla siguiente, se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.

Idioma Nombre de Servicio local Nombre de Servicio de red Nombre del sistema local Nombre del grupo de administradores
Inglés

Chino simplificado

Chino tradicional

Coreano

Japonés
NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Alemán NT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEM VORDEFINIERT\Administratoren
Francés AUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEM BUILTIN\Administrators
Italiano NT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEM BUILTIN\Administrators
Español NT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEM BUILTIN\Administradores
Ruso NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМА BUILTIN\Администраторы

Pasos siguientes