Windows サービス アカウントの設定
更新 : 2006 年 12 月 12 日
SQL Server の各サービスは、Microsoft Windows による SQL Server 操作の認証を管理するための、1 つのプロセスまたはプロセス セットを表しています。このトピックでは、SQL Server のこのリリースにおける既定のサービス構成、および SQL Server のインストール時に設定できる SQL Server サービスの構成オプションについて説明します。
セキュリティ上の注意 SQL Server サービスは、常に可能な限り最小のユーザー権限で実行してください。
インストール対象として選択した Microsoft SQL Server 2005 コンポーネントに応じて、SQL Server 2005 セットアップによって次のサービスがインストールされます。
- SQL Server データベース サービス SQL Server リレーショナル データベース エンジンのサービスです。
- SQL Server エージェント ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。
メモ : SQL Server と SQL Server エージェントを Windows のサービスとして実行するには、SQL Server と SQL Server エージェントが Windows ユーザー アカウントに割り当てられている必要があります。通常、SQL Server と SQL Server エージェントの両方に、ローカル システム アカウントまたはドメイン ユーザー アカウントとして同じユーザー アカウントを割り当てます。ただし、インストール時に各サービスの設定をカスタマイズすることもできます。各サービスのアカウント情報をカスタマイズする方法については、「サービス アカウント」を参照してください。 - Analysis Services ビジネス インテリジェンス アプリケーション用のオンライン分析処理 (OLAP) およびデータ マイニング機能を提供します。
- Reporting Services レポートの管理、実行、表示、スケジュール、および配信を行います。
- Notification Services 通知の生成と送信を行うアプリケーションを開発し配置するためのプラットフォームです。
- Integration Services Integration Services パッケージの保存と実行に対する管理サポートを提供します。
- フルテキスト検索 コンテンツのフルテキスト インデックスと構造化および半構造化されたデータのプロパティをすばやく作成し、このデータでの言語の高速検索を可能にします。
- SQL Server Browser クライアント コンピュータ用の SQL Server 接続情報を提供する名前解決サービスです。
- SQL Server Active Directory Helper Active Directory の SQL Server サービスをパブリッシュして管理します。
- SQL ライタ ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。
このトピックには次のセクションがあります。
- SQL Server セットアップに表示されるサービスの構成
- SQL Server サービスの開始アカウントの使用
- インスタンス対応のサービスとインスタンス非対応のサービス
- SQL Server サービス アカウントに付与された Windows NT の権限の確認
- SQL Server サービス アカウントに作成されたアクセス制御リストの確認
- SQL Server サービスに対する Windows 権限の確認
- その他の注意点の確認
- ローカライズされたサービス名
SQL Server セットアップに表示されるサービスの構成
SQL Server のセットアップ時に、一部の SQL Server サービスの開始アカウントを指定し、サービスを自動的に開始するかどうかを構成できます。次の表は、インストール時に構成できる SQL Server サービスを示しています。自動インストールを行う場合は、インストール ファイルまたはコマンド プロンプトでスイッチを使用できます。
SQL Server サービス名 | インストール ウィザードでの構成 | 自動インストールのスイッチ1 |
---|---|---|
MSSQLSERVER |
可 |
SQLACCOUNT、SQLPASSWORD、SQLAUTOSTART |
SQLServerAgent |
可 |
AGTACCOUNT、AGTPASSWORD、AGTAUTOSTART |
MSSQLServerOLAPService |
可 |
ASACCOUNT、ASPASSWORD、ASAUTOSTART |
ReportServer |
可 |
RSACCOUNT、RSPASSWORD、RSAUTOSTART |
SQLBrowser |
可 |
SQLBROWSERACCOUNT、SQLBROWSERPASSWORD、SQLBROWSERAUTOSTART2 |
1 リモート インストールと自動インストールに関する詳細およびサンプル構文については、「コマンド プロンプトから SQL Server 2005 をインストールする方法」を参照してください。
2 SQLBROWSERAUTOSTART は、SQL Server Browser をインストール済みの場合も指定できます。
次のサービスはインストール時に構成できません。既定の設定でインストールされます。
- Notification Services
- Integration Services
- フルテキスト検索
- Active Directory Helper
- SQL ライタ
SQL Server サービスの開始アカウントの使用
SQL Server 2005 の各サービスを開始して実行するには、ユーザー アカウントを持っている必要があります。ユーザー アカウントは、ビルトイン システム アカウント、ドメイン ユーザー アカウントのいずれでも可能です。
ユーザー アカウントに加え、各サービスには 3 種類の起動時の状態があります。これらの状態はユーザーによる制御が可能です。
- 無効 サービスがインストールされていますが、現在は実行されていません。
- 手動 サービスがインストールされていますが、別のサービスまたはアプリケーションでその機能が必要な場合のみ開始されます。
- 自動 起動時にデバイス ドライバが読み込まれた後、オペレーティング システムによってサービスが開始されます。
次の表は、SQL Server サービスの既定のアカウントとオプションのアカウント、および各サービスの起動時の状態を示しています。
SQL Server サービス名 | 既定のアカウント | オプションのアカウント | 起動の種類 | セットアップ後の既定の状態 |
---|---|---|---|---|
SQL Server |
Windows 2000 の SQL Server Express Edition : ローカル システム 他のすべてのサポートされるオペレーティング システムの SQL Server Express Edition : ネットワーク サービス サポートされるすべてのオペレーティング システムのその他すべてのエディション : ドメイン ユーザー1 |
SQL Server Express Edition : ドメイン ユーザー、ローカル システム、ネットワーク サービス1 他のすべてのエディション : ドメイン ユーザー、ローカル システム、ネットワーク サービス1 |
自動2 |
開始 ユーザーが自動開始を選択しない場合のみ停止 |
SQL Server エージェント |
ドメイン ユーザー3 |
ドメイン ユーザー、ローカル システム、ネットワーク サービス1,6 |
無効 ユーザーが自動開始を選択した場合のみ自動 |
停止 ユーザーが自動開始を選択した場合のみ開始 |
Analysis Services |
ドメイン ユーザー3 |
ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス |
自動 |
開始 ユーザーが自動開始を選択しない場合のみ停止 |
Reporting Services |
ドメイン ユーザー3 |
ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス |
自動 |
開始 ユーザーが自動開始を選択しない場合のみ停止 |
Notification Services4 |
N/A |
N/A |
N/A |
N/A |
Integration Services |
Windows 2000 : ローカル システム 他のすべてのサポートされるオペレーティング システム : ネットワーク サービス |
ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス |
自動 |
開始 ユーザーが自動開始を選択しない場合のみ停止 |
フルテキスト検索 |
SQL Server と同じアカウント |
ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス |
手動 |
停止 ユーザーが自動開始を選択した場合のみ開始 |
SQL Server Browser |
Windows 2000 の SQL Server Express Edition : ローカル システム 他のすべてのサポートされるオペレーティング システムの SQL Server Express Edition : ローカル サービス サポートされるすべてのオペレーティング システムのその他すべてのエディション : ドメイン ユーザー1,3 |
ドメイン ユーザー、ローカル システム、ネットワーク サービス、ローカル サービス |
無効5 ユーザーが自動開始を選択した場合のみ自動 |
停止5 ユーザーが自動開始を選択した場合のみ開始 |
SQL Server Active Directory Helper |
ネットワーク サービス |
ローカル システム、ネットワーク サービス |
無効 |
停止 |
SQL ライタ |
ローカル システム |
ローカル システム |
自動 |
開始 |
1重要 SQL Server サービスまたは SQL Server エージェント サービスには、ネットワーク サービス アカウントを使用しないことをお勧めします。これらの SQL Server サービスには、ローカル ユーザー アカウントまたはドメイン ユーザー アカウントの方が適しています。
2 フェールオーバー クラスタ化構成では、手動に設定してください。
3 自動インストールの場合、このプロパティは必須です。指定しないと、セットアップが失敗します。ローカル システムを指定するには、SQLAccount=LocalSystem または ASAccount=LocalSystem を使用します。リモート インストールと自動インストールの詳細およびサンプル構文については、「コマンド プロンプトから SQL Server 2005 をインストールする方法」を参照してください。
4 SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。
5 フェールオーバー クラスタのインストールの場合は、SQL Server Browser が自動的に開始するように設定され、既定ではセットアップ後に開始されます。
6 SQL Server エージェントでサポートされる Windows アカウントの詳細については、「SQL Server 2005 での SQL Server エージェント サービスの実行用にサポートされている Windows アカウントの種類」を参照してください。
重要 : |
---|
フェールオーバー クラスタのインストールでは、SQL Server、SQL Server エージェント、および SSAS などのクラスタ化サービスにローカル システム アカウントとローカル サービス アカウントが許可されません。詳細については、「フェールオーバー クラスタリングをインストールする前に」を参照してください。 SQL Server の前のバージョンとサイド バイ サイドでインストールされている SQL Server 2005 の場合、SQL Server 2005 サービスは、グローバル ドメイン グループのみで検出されたアカウントを使用する必要があります。さらに、SQL Server 2005 サービスによって使用されるアカウントは、ローカルの Administrators グループに表示されないようにする必要があります。このガイドラインに沿っていない場合、予期しないセキュリティ動作が発生します。 |
ドメイン ユーザー アカウントの使用
ネットワーク サービスを操作するサービスには、ドメイン ユーザー アカウントが適していることがあります。多くのサーバー間操作は、ドメイン ユーザー アカウントを使用しなければ実行できません。次に例を示します。
- リモート プロシージャ コール
- レプリケーション
- ネットワーク デバイスへのバックアップ
- リモート データ ソースを含む異なる種類のデータの結合
- SQL Server エージェントのメール機能および SQL Mail。この制限は、Microsoft Exchange の使用時に適用されます。他の多くのメール システムでも、クライアント (SQL Server サービスおよび SQL Server エージェント サービスなど) をネットワーク アクセス権を持つアカウントで実行する必要があります。
ローカル サービス アカウントの使用
ローカル サービス アカウントは、認証済みユーザー アカウントに類似した特殊なビルトイン アカウントです。ローカル サービス アカウントでは、リソースとオブジェクトに対し、ユーザー グループのメンバと同じレベルのアクセス権があります。個々のサービスまたは処理にセキュリティの問題が発生した場合、このようなアクセス制限はシステムの保護に役立ちます。ローカル サービス アカウントとして実行されるサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。
ネットワーク サービス アカウントの使用
ネットワーク サービス アカウントは、認証済みユーザー アカウントに類似した特殊なビルトイン アカウントです。ネットワーク サービス アカウントには、リソースとオブジェクトに対し、ユーザー グループのメンバと同じレベルのアクセス権があります。ネットワーク サービス アカウントとして実行されるサービスは、コンピュータ アカウントの資格情報を使用してネットワーク リソースにアクセスします。
重要 : |
---|
SQL Server サービスまたは SQL Server エージェント サービスには、ネットワーク サービス アカウントを使用しないことをお勧めします。これらの SQL サービスには、ローカル ユーザー アカウントまたはドメイン ユーザー アカウントの方が適しています。 |
ローカル システム アカウントの使用
ローカル システム アカウントは高い特権を持つアカウントです。ローカル システム権限を SQL Server サービス アカウントに割り当てる場合は慎重に行ってください。
セキュリティ メモ : |
---|
SQL Server インストールのセキュリティを強化するには、最低限の権限を持つローカル Windows アカウントで SQL Server サービスを実行します。 |
ユーザー アカウントの変更
SQL Server に関連するサービスのパスワードまたはその他のプロパティを変更するには、SQL Server 構成マネージャを使用します。Windows のパスワードを変更する場合は、Windows の SQL Server サービスの設定も必ず更新してください。Kerberos が有効になっている場合は、Active Directory のサービス プリンシパル名 (SPN) ディレクトリ プロパティを更新してください。
詳細については、「パスワードおよびユーザー アカウントの変更」を参照してください。Microsoft Windows の [サービス] アドインを使用して SQL Server サービス アカウントを変更する方法の詳細については、「SQL Server 2000 の SQL Enterprise Manager または SQL Server 2005 の SQL Server 構成マネージャを使用せずに SQL Server または SQL Server エージェント サービスのアカウントを変更する方法」を参照してください。
インスタンス対応のサービスとインスタンス非対応のサービス
SQL Server サービスには、インスタンスに対応するものと、インスタンスに対応しないものがあります。インスタンスに対応する各サービスは特定の SQL Server インスタンスに関連付けられており、独自のレジストリ ハイブがあります。コンポーネントやサービスのインストールごとに SQL Server セットアップを実行すると、インスタンスに対応するサービスの複数のコピーをインストールできます。インスタンスに対応しないサービスは、インストールされているすべての SQL Server インスタンスで共有されます。特定のインスタンスに関連付けられておらず、一度だけインストールされ、サイド バイ サイドでインストールできません。
Microsoft SQL Server 2005 では、インスタンスに対応するサービスに次のようなものがあります。
- SQL Server
- SQL Server エージェント
- Analysis Services
- Reporting Services
- フルテキスト検索
SQL Server 2005 では、インスタンスに対応しないサービスに次のようなものがあります。
- Notification Services
- Integration Services
- SQL Server Browser
- SQL Server Active Directory Helper
- SQL ライタ
SQL Server サービス アカウントに付与された Windows NT の権限の確認
SQL Server セットアップを実行すると、各種 SQL Server サービスについてユーザー グループが作成され、必要に応じて、それらのユーザー グループにサービス アカウントが追加されます。グループを作成することで、SQL Server サービスやその他の実行可能ファイルを実行するのに必要な権限の許可が簡素化され、SQL Server ファイルのセキュリティを保護できます。ドメイン コントローラに SQL Server 2005 をインストールする場合は、グループ名が一意であることが条件となります。
SQL Server のセットアップで作成されたユーザー グループには、以下の Windows NT の権限が許可されます。
SQL Server サービス | ユーザー グループ | SQL Server セットアップによって付与される既定の権限 |
---|---|---|
SQL Server |
既定のインスタンス : SQLServer2005MSSQLUser$ComputerName$MSSQLSERVER 名前付きインスタンス : SQLServer2005MSSQLUser$ComputerName$InstanceName |
サービスとしてログオン (SeServiceLogonRight) オペレーティング システムの一部として動作 (SeTcbPrivilege) (Windows 2000 でのみ) バッチ ジョブとしてログオン (SeBatchLogonRight) プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege) スキャン チェックを行わない (SeChangeNotifyPrivilege) プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege) SQL Server Active Directory Helper を起動する権限 SQL ライタを起動する権限 |
SQL Server エージェント |
既定のインスタンス : SQLServer2005SQLAgentUser$ComputerName$MSSQLSERVER 名前付きインスタンス : SQLServer2005SQLAgentUser$ComputerName$InstanceName |
サービスとしてログオン (SeServiceLogonRight) オペレーティング システムの一部として動作 (SeTcbPrivilege) (Windows 2000 でのみ) バッチ ジョブとしてログオン (SeBatchLogonRight) プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege) スキャン チェックを行わない (SeChangeNotifyPrivilege) プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege) |
Analysis Services |
既定のインスタンス : SQLServer2005MSOLAPUser$ComputerName$MSSQLSERVER 名前付きインスタンス : SQLServer2005MSOLAPUser$ComputerName$InstanceName |
サービスとしてログオン (SeServiceLogonRight) |
Reporting Services1 |
既定のインスタンス : SQLServer2005ReportServerUser$ComputerName$MSSQLSERVER および SQLServer2005ReportingServicesWebServiceUser$ComputerName$MSSQLSERVER 名前付きインスタンス : SQLServer2005ReportServerUser$ComputerName$InstanceName および SQLServer2005ReportingServicesWebServiceUser$ComputerName$InstanceName |
サービスとしてログオン (SeServiceLogonRight) |
Notification Services2 |
既定のインスタンスまたは名前付きインスタンス : SQLServer2005NotificationServicesUser$ComputerName |
N/A |
Integration Services |
既定のインスタンスまたは名前付きインスタンス : SQLServer2005DTSUser$ComputerName |
サービスとしてログオン (SeServiceLogonRight) アプリケーション イベント ログに書き込む権限 スキャン チェックを行わない (SeChangeNotifyPrivilege) グローバル オブジェクトを作成する (SeCreateGlobalPrivilege) 認証後にクライアントを借用する (SeImpersonatePrivilege) |
フルテキスト検索 |
既定のインスタンス : SQLServer2005MSFTEUser$ComputerName$MSSQLSERVER 名前付きインスタンス : SQLServer2005MSFTEUser$ComputerName$InstanceName |
サービスとしてログオン (SeServiceLogonRight) |
SQL Server Browser |
既定のインスタンスまたは名前付きインスタンス : SQLServer2005SQLBrowserUser$ComputerName |
サービスとしてログオン (SeServiceLogonRight) |
SQL Server Active Directory Helper |
既定のインスタンスまたは名前付きインスタンス : SQLServer2005MSSQLServerADHelperUser$ComputerName |
なし3 |
SQL ライタ |
N/A |
なし3 |
1 Reporting Services の場合、SQL Server セットアップによって SQLServer2005ReportingServicesWebServiceUser$InstanceName および SQLServer2005ASP.NETUser ユーザー グループも作成され、これらにアクセス制御リスト (ACL) が付与されている必要があります。詳細については、以下のアクセス制御リストを参照してください。
2 SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。
3 SQL Server セットアップではこのサービスの権限がチェックされません。また、権限付与も行われません。
SQL Server サービス アカウントに作成されたアクセス制御リストの確認
SQL Server 2005 サービス アカウントは、リソースへのアクセス権を持っている必要があります。アクセス制御リスト (ACL) はユーザー グループ レベルで設定されます。次の表は、SQL Server セットアップによって設定される ACL を示しています。
重要 : |
---|
フェールオーバー クラスタのインストールの場合、共有ディスク上のリソースをローカル ユーザー グループの ACL 用に設定できません。代わりに、リソースはローカル アカウントの ACL 用に設定されます。 |
サービス アカウントのサービス | ファイルとフォルダ | アクセス権 |
---|---|---|
MSSQLServer |
Instid\MSSQL\backup |
フル コントロール |
|
Instid\MSSQL\binn |
読み取り、実行 |
|
Instid\MSSQL\data |
フル コントロール |
|
Instid\MSSQL\FTData |
フル コントロール |
|
Instid\MSSQL\Install |
読み取り、実行 |
|
Instid\MSSQL\Log |
フル コントロール |
|
Instid\MSSQL\Repldata |
フル コントロール |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
|
90\com |
読み取り、実行 |
|
Instid\MSSQL\Template Data (SQL Server Express のみ) |
読み取り |
SQLServerAgent |
Instid\MSSQL\binn |
フル コントロール |
|
Instid\MSSQL\Log |
フル コントロール |
|
Instid\MSSQL\jobs |
フル コントロール |
|
90\com |
読み取り、実行 |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
FTS |
Instid\MSSQL\FTData |
フル コントロール |
|
Instid\MSSQL\FTRef |
読み取り、実行 |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
|
Instid\MSSQL\Install |
読み取り、実行 |
MSSQLServerOLAPservice |
90\shared |
読み取り、実行 |
|
90\shared\msmdlocal.ini |
フル コントロール |
|
Instid\OLAP |
読み取り、実行 |
|
Instid\Olap\Data |
フル コントロール |
|
Instid\Olap\Log |
読み取り、書き込み |
|
90\shared\Errordumps |
読み取り、書き込み |
SQLServer2005ReportServerUser |
Instid\Reporting Services\Log Files |
読み取り、書き込み、削除 |
|
Instid\Reporting Services\ReportServer |
読み取り、実行 |
|
Instid\Reportingservices\Reportserver\global.asax |
フル コントロール |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
読み取り、書き込み |
|
Instid\Reporting Services\reportManager |
読み取り、実行 |
|
Instid\Reporting Services\RSTempfiles |
読み取り、書き込み |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
SQLServer2005ReportingServicesWebServiceUser |
Instid\Reporting Services\Log Files |
読み取り、書き込み、削除 |
|
Instid\Reporting Services\ReportServer |
読み取り、実行 |
|
Instid\Reportingservices\Reportserver\global.asax |
フル コントロール |
|
InstID\Reporting Services\reportservice.asmx |
フル コントロール |
|
Instid\Reportingservices\Reportserver\Reportserver.config |
読み取り、書き込み、削除 |
|
Instid\Reporting Services\reportManager |
読み取り、実行 |
|
Instid\Reporting Services\RSTempfiles |
読み取り、書き込み |
|
Instid\Reporting Services\reportManager\pages |
読み取り |
|
Instid\Reporting Services\reportManager\Styles |
読み取り |
|
Instid\Reporting Services\reportManager\webctrl_client\1_0 |
読み取り |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
Notification services |
90\Notification services |
読み取り、実行、フォルダ内容の一覧表示 |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
MSDTSServer |
90\dts\binn\MsDtsSrvr.ini.xml |
読み取り |
|
90\dts\binn |
読み取り、実行 |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
SQL Server Browser |
90\shared\msmdlocal.ini |
読み取り |
|
90\shared |
読み取り、実行 |
|
90\shared\Errordumps |
読み取り、書き込み |
MSADHekper |
N/A (ビルトイン アカウントとして実行) |
|
SQLWriter |
N/A (ローカル システムとして実行) |
|
ユーザー |
Instid\MSSQL\binn |
読み取り、実行 |
|
Instid\Reporting Services\ReportServer |
読み取り、実行 |
|
Instid\Reportingservices\Reportserver\global.asax |
読み取り |
|
InstID\Reporting Services\reportservice.asmx |
読み取り、実行 |
|
Instid\Reporting Services\reportManager |
読み取り、実行 |
|
Instid\Reporting Services\reportManager\pages |
読み取り |
|
Instid\Reporting Services\reportManager\Styles |
読み取り |
|
90\dts |
読み取り、実行 |
|
90\tools |
読み取り、実行 |
|
80\tools |
読み取り、実行 |
|
90\sdk |
読み取り |
|
Microsoft SQL Server\90\Setup Bootstrap |
読み取り、実行 |
SQL Server サービスの開始アカウントに加えて、ビルトイン アカウントや他の SQL Server サービス アカウントにアクセス制御権限も付与する必要がある場合があります。次の表は、SQL Server セットアップによって追加設定される ACL を示しています。
要求元コンポーネント | アカウント | リソース | 権限 |
---|---|---|---|
MSSQLServer |
パフォーマンス ログ ユーザー |
Instid\MSSQL\binn |
フォルダ内容の一覧表示 |
|
パフォーマンス監視ユーザー |
Instid\MSSQL\binn |
フォルダ内容の一覧表示 |
|
パフォーマンス ログ ユーザー |
Instid\MSSQL\binn\sqlctr90.dll |
読み取り、実行 |
|
パフォーマンス監視ユーザー |
Instid\MSSQL\binn\sqlctr90.dll |
読み取り、実行 |
|
管理者のみ |
\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>1 |
フル コントロール |
|
管理者 |
\tools\binn\schemas\sqlserver\2003\03\showplan |
フル コントロール |
|
システム |
\tools\binn\schemas\sqlserver\2003\03\showplan |
フル コントロール |
|
ユーザー |
\tools\binn\schemas\sqlserver\2003\03\showplan |
読み取り、実行 |
Reporting services |
<レポート サーバー Web サービス アカウント> |
<install>\Reporting Services\LogFiles |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
レポート マネージャ アプリケーション プールの ID |
<install>\Reporting Services\ReportManager |
読み取り |
|
ASP.NET アカウント |
<install>\Reporting Services\ReportManager |
読み取り |
|
Everyone |
<install>\Reporting Services\ReportManager |
読み取り |
|
レポート マネージャ アプリケーション プールの ID |
<install>\Reporting Services\ReportManager\Pages\*.* |
読み取り |
|
ASP.NET アカウント |
<install>\Reporting Services\ReportManager\Pages\*.* |
読み取り |
|
Everyone |
<install>\Reporting Services\ReportManager\Pages\*.* |
読み取り |
|
レポート マネージャ アプリケーション プールの ID |
<install>\Reporting Services\ReportManager\Styles\*.* |
読み取り |
|
ASP.NET アカウント |
<install>\Reporting Services\ReportManager\Styles\*.* |
読み取り |
|
Everyone |
<install>\Reporting Services\ReportManager\Styles\*.* |
読み取り |
|
レポート マネージャ アプリケーション プールの ID |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
読み取り |
|
ASP.NET アカウント |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
読み取り |
|
Everyone |
<install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* |
読み取り |
|
<レポート サーバー Web サービス アカウント> |
<install>\Reporting Services\ReportServer |
読み取り |
|
<レポート サーバー Web サービス アカウント> |
<install>\Reporting Services\ReportServer\global.asax |
フル コントロール |
|
Everyone |
<install>\Reporting Services\ReportServer\global.asax |
READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES |
|
ネットワーク サービス |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
フル コントロール |
|
Everyone |
<intsall>\Reporting Services\ReportServer\ReportService.asmx |
READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES |
|
ReportServer Windows サービス アカウント |
<Install>\Reporting Services\ReportServer\RSReportServer.config |
DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES |
|
Everyone |
レポート サーバー キー (Instid ハイブ) |
値のクエリ サブキーの列挙 通知 読み取り制御 |
|
ターミナル サービス ユーザー |
レポート サーバー キー (Instid ハイブ) |
値のクエリ 値の設定 サブキーの作成 サブキーの列挙 通知 削除 読み取り制御 |
|
パワー ユーザー |
レポート サーバー キー (Instid ハイブ) |
値のクエリ 値の設定 サブキーの作成 サブキーの列挙 通知 削除 読み取り制御 |
1 これは WMI プロバイダの名前空間です。
SQL Server サービスに対する Windows 権限の確認
次の表は、サービス名、SQL Server サービスの既定のインスタンスと名前付きインスタンスを指す用語、サービス機能の説明、および必要な最低限の権限を示しています。
表示名
サービス名
説明
必要な権限
SQL Server (InstanceName)
既定のインスタンス : MSSQLSERVER
名前付きインスタンス : MSSQL$InstanceName
SQL Server データベース エンジン.
実行可能ファイルへのパスは \MSSQL\Binn\sqlservr.exe です。
ローカル ユーザーをお勧めします。
最低限の権限
機能
MSSQLServer サービスの開始アカウント
アカウントは、SQL Server がインストールされているルート ドライブ、および SQL Server ファイルが保存されている他のドライブのルートで、フォルダ一覧表示権限を持つアカウントのリスト内にある必要があります。
メモ :
ルート ドライブのフォルダ一覧表示権限をサブフォルダに継承する必要はありません。
MSSQLServer サービスの開始アカウントアカウントは、データまたはログ ファイル (.mdf, .ndf, .ldf) が常駐するフォルダに対するフル コントロール権限を持っている必要があります。
SQL Server エージェント (InstanceName)
既定のインスタンス : SQLServerAgent
名前付きインスタンス : SQLAgent$InstanceName
ジョブの実行、SQL Server の監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。
実行可能ファイルへのパスは \MSSQL\Binn\sqlagent90.exe です。
最低限の権限
機能
アカウントは、sysadmin 固定サーバー ロールのメンバでなければなりません。
アカウントは、次の Windows 権限を持っている必要があります。1サービスとしてログオン バッチ ジョブとしてログオン プロセス レベル トークンを置き換える プロセスに対してメモリ クォータを調整する オペレーティング システムの一部として動作 スキャン チェックを行わない
Analysis Services サービス (InstanceName)
既定のインスタンス : MSSQLServerOLAPService
名前付きインスタンス : MSOLAP$InstanceName
サービスは、ビジネス インテリジェンス アプリケーションのオンライン分析処理 (OLAP) 機能とデータ マイニング機能を提供します。
実行可能ファイルへのパスは \OLAP\Bin\msmdsrv.exe です。
レポート サーバー
既定のインスタンス : ReportServer
名前付きインスタンス : ReportServer$InstanceName
レポートの管理、実行、表示、スケジュール、および配信
実行可能ファイルへのパスは \Reporting Services\ReportServer\Bin\ReportingServicesService.exe です。
Notification Services
Notification Services は通知の生成と送信を行うアプリケーションを開発し配置するためのプラットフォームです。SQL Server セットアップによってインストールできますが、Notification Services が構成されません。セットアップ後に Notification Services を有効にする方法については、SQL Server 2005 Books Online の「Notification Services Windows サービスの構成」を参照してください。
Integration Services
既定のインスタンスまたは名前付きインスタンス : MSDTSServer
Integration Services パッケージの保存と実行に対する管理サポートを提供します。
実行可能ファイルへのパスは \DTS\Binn\msdtssrvr.exe です。
SQL Server Browser
既定のインスタンスまたは名前付きインスタンス : SQLBrowser
クライアント コンピュータ向け SQL Server 接続情報を提供する名前解決サービスです。このサービスは複数の SQL Server および SSIS インスタンス間で共有されます。
実行可能ファイルへのパスは \90\shared\sqlbrowser.exe です。
Microsoft フルテキスト検索 (MSFTESQL)
既定のインスタンス : MSFTESQL
名前付きインスタンス : MSFTESQL$InstanceName
コンテンツのフルテキスト インデックスと構造化および半構造化されたデータのプロパティをすばやく作成し、このデータでの言語の高速検索を可能にします。
実行可能ファイルへのパスは \MSSQL\Binn\msftesql.exe です。
SQL Server Active Directory Helper
既定のインスタンスまたは名前付きインスタンス : MSSQLServerADHelper
Windows Active Directory の SQL Server サービスをパブリッシュおよび管理します。
実行可能ファイルへのパスは \90\Shared\sqladhelper.exe です。
SQL ライタ
SQLWriter
ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。サーバーのすべての SQL Server インスタンスに対して SQL ライタ サービスのインスタンスが 1 つあります。
実行可能ファイルへのパスは \90\Shared\sqlwriter.exe です。
1 各必須 Windows 権限の設定を確認する方法の詳細については、「SQL Server サービスの権限を確認する方法」を参照してください。
その他の注意点の確認
次の表は、機能を追加するために必要な SQL Server サービスの権限を示しています。
サービスまたはアプリケーション | 機能 | 必要な権限 |
---|---|---|
SQL Server (MSSQLSERVER) |
xp_sendmail を使用してメール スロットに書き込みます。 |
ネットワークでの書き込みの権限。 |
SQL Server (MSSQLSERVER) |
SQL Server 管理者以外のユーザーに xp_cmdshell を実行します。 |
オペレーティング システムの一部としての動作しプロセス レベル トークンを置き換える権限。 |
SQL Server エージェント (MSSQLSERVER) |
再起動の自動化機能を使用します。 |
Administrators ローカル グループのメンバである必要があります。 |
データベース エンジン チューニング アドバイザ |
最適なクエリ パフォーマンスを得るようにデータベースをチューニングします。 |
初めて使用する場合は、システム管理者特権を持つユーザーがアプリケーションを初期化する必要があります。初期化後は、テーブルを所有するユーザー (dbo ユーザー) がデータベース エンジン チューニング アドバイザを使用して所有するテーブルのみをチューニングできます。詳細については、SQL Server 2005 Books Online の「データベース エンジン チューニング アドバイザの初期化」を参照してください。 |
重要 : |
---|
SQL Server 2005 にアップグレードする前に、SQL Server エージェントの Windows 認証を有効にし、SQL Server エージェントのサービス アカウントが SQL Server sysadmin グループのメンバであることを確認してください。 |
ローカライズされたサービス名
次の表は、Microsoft Windows のローカライズ版で使用されるサービス名を示しています。
言語 | ローカル サービスの名前 | ネットワーク サービスの名前 | ローカル システムの名前 | admin グループの名前 |
---|---|---|---|---|
英語 中国語 (簡体字) 中国語 (繁体字) 韓国語 (韓国) 日本語 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
ドイツ語 |
NT-AUTORITÄT\LOKALER DIENST |
NT-AUTORITÄT\NETZWERKDIENST |
NT-AUTORITÄT\SYSTEM |
VORDEFINIERT\Administratoren |
フランス語 |
AUTORITE NT\SERVICE LOCAL |
AUTORITE NT\SERVICE RÉSEAU |
AUTORITE NT\SYSTEM |
BUILTIN\Administrateurs |
イタリア語 |
NT AUTHORITY\SERVIZIO LOCALE |
NT AUTHORITY\SERVIZIO DI RETE |
NT AUTHORITY\SYSTEM |
BUILTIN\Administrators |
スペイン語 |
NT AUTHORITY\SERVICIO LOC |
NT AUTHORITY\SERVICIO DE RED |
NT AUTHORITY\SYSTEM |
BUILTIN\Administradores |
ロシア語 |
NT AUTHORITY\LOCAL SERVICE |
NT AUTHORITY\NETWORK SERVICE |
NT AUTHORITY\SYSTEM |
BUILTIN\Администраторы |
参照
関連項目
概念
SQL Server インストールのセキュリティに関する注意点
ヘルプおよび情報
変更履歴
リリース | 履歴 |
---|---|
2006 年 12 月 12 日 |
|
2006 年 7 月 17 日 |
|
2005 年 12 月 5 日 |
|