Artigo
01/24/2011

Configurando as contas de serviço do Windows

Cada serviço no SQL Server representa um processo ou um conjunto de processos para gerenciar a autenticação das operações do SQL Server com o Windows. Este tópico descreve a configuração padrão de serviços nesta versão do SQL Server e as opções de configuração para serviços do SQL Server que você pode definir durante a instalação do SQL Server.

Dependendo dos componentes que você decidir instalar, a Instalação do SQL Server instalará os seguintes serviços:

SQL Server Database Services - O serviço para o SQL ServerMecanismo de Banco de Dados relacional.

SQL Server Agent - Executa trabalhos, monitora o SQL Server, dispara alertas e habilita a automação de algumas tarefas administrativas.

Observação
Para que o SQL Server e o SQL Server Agent sejam executados como serviços no Windows, é necessário atribuir uma conta de usuário do Windows para o SQL Server e o SQL Server Agent. Para obter mais informações sobre como personalizar informações de conta para cada serviço, consulte Como instalar o SQL Server 2008 (Instalação).

Analysis Services - Fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence.
Reporting Services - Gerencia, executa, cria, agenda e entrega relatórios.
Integration Services - Dá suporte de gerenciamento para o armazenamento e a execução de pacotes do Integration Services.
Pesquisador do SQL Server - O serviço de resolução de nomes que fornece informações de conexão do SQL Server para computadores cliente.
Pesquisa de texto completo - Cria rapidamente índices de texto completo sobre conteúdo e propriedades de dados estruturados e semi-estruturados para oferecer filtragem de documentos e separação de palavras para o SQL Server.
Auxiliar do SQL Server Active Directory - Publica e gerencia serviços do SQL Server no Active Directory.

Gravador do SQL - Permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume).

Importante
Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelo SQL Server ou serviços do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager efetua configurações adicionais, como definição de permissões no Registro do Windows de modo que a nova conta possa ler as configurações do SQL Server. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta mas não alteram as definições vinculadas a ela. Se o serviço não puder acessar a parte do SQL Server do Registro, talvez o serviço não seja iniciado corretamente.

Sempre use as ferramentas do SQL Server, como o SQL Server Configuration Manager, para alterar a conta usada pelo SQL Server ou serviços do SQL Server Agent ou para alterar a senha da conta. Além de alterar o nome da conta, o SQL Server Configuration Manager efetua configurações adicionais, como definição de permissões no Registro do Windows de modo que a nova conta possa ler as configurações do SQL Server. Outras ferramentas, como o Gerenciador de Controle de Serviços do Windows, podem alterar o nome da conta mas não alteram as definições vinculadas a ela. Se o serviço não puder acessar a parte do SQL Server do Registro, talvez o serviço não seja iniciado corretamente.

O restante deste tópico está dividido nas seguintes seções:

Configurando o tipo de inicialização do serviço
Usando contas de inicialização para serviços do SQL Server
Usando SIDs de serviço para serviços do SQL Server
Identificando serviços com e sem reconhecimento de instância
Revisando direitos e privilégios do NT concedidos para contas de serviço do SQL Server
Revisando listas de controle de acesso criadas para contas de serviço do SQL Server
Revisando as permissões do Windows para serviços do SQL Server
Revisando considerações adicionais
Nomes de serviços localizados

Configurando o tipo de inicialização do serviço

Durante a Instalação do SQL Server, é possível configurar o tipo de inicialização – desabilitada, manual ou automática - para alguns serviços do SQL Server. A tabela a seguir mostra os serviços do SQL Server que podem ser configurados durante a instalação. Para instalações autônomas, você pode usar as opções em um arquivo de configuração ou em um prompt de comando.

Nome de serviço do SQL Server	Configurável no Assistente de Instalação?	Opções para instalações autônomas1
MSSQLSERVER	Sim	SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent2	Sim	AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPService	Sim	ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServer	Sim	RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration Services	Sim	ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE

1Para obter mais informações e exemplo de sintaxe para instalações autônomas, consulte Como instalar o SQL Server 2008 do prompt de comando.

2O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e SQL Server Express com Advanced Services.

Usando contas de inicialização para Serviços do SQL Server

Para ser iniciado e executado, cada serviço no SQL Server deve ter uma conta configurada durante a instalação. As contas de inicialização usadas para iniciar e executar o SQL Server podem ser contas internas do sistema, contas de usuário local ou contas de usuário do domínio.

Conta de usuário do domínio

Se o serviço precisar interagir com os serviços de rede, acessar recursos de domínio, como os compartilhamentos de arquivos, ou se usar conexões de servidor vinculadas a outros computadores que estejam executando o SQL Server, você poderá usar uma conta de domínio com privilégios mínimos. Muitas atividades de servidor a servidor podem ser executadas somente com uma conta de usuário do domínio. Essa conta deve ser pré-criada pela administração do domínio do ambiente.

Conta Usuário Local

Se o computador não fizer parte de um domínio, uma conta de usuário local sem permissões de administrador do Windows será recomendada.

Conta Serviço Local

A conta Serviço Local é uma conta interna que tem o mesmo nível de acesso a recursos e objetos que os membros do grupo Usuários. Esse acesso limitado ajuda a salvaguardar o sistema se serviços ou processos individuais forem comprometidos. Os serviços que são executados como a conta Serviço Local acessam os recursos de rede em uma sessão nula, sem credenciais. Lembre-se de que não há suporte para a conta Serviço Local nos serviços SQL Server ou SQL Server Agent. O nome real da conta é "NT AUTHORITY\LOCAL SERVICE".

Conta Serviço de Rede

A conta Serviço de Rede é uma conta interna que tem mais acesso a recursos e objetos do que os membros do grupo Usuários. Os serviços que são executados como a conta Serviço de Rede acessam recursos de rede usando as credenciais da conta do computador. O nome real da conta é "NT AUTHORITY\NETWORK SERVICE".

Conta Sistema Local

Sistema Local é uma conta interna altamente privilegiada. Ela tem privilégios extensos no sistema local e funciona como o computador na rede. O nome real da conta é "NT AUTHORITY\SYSTEM".

Além de ter contas de usuário, todo serviço tem três possíveis estados de inicialização que os usuários podem controlar:

Desabilitado O serviço está instalado, mas não está em execução atualmente.
Manual O serviço está instalado, mas será iniciado somente quando outro serviço ou aplicativo precisar de sua funcionalidade.
Automático O serviço é iniciado automaticamente pelo sistema operacional.

A tabela a seguir mostra contas opcionais para cada serviço do SQL Server e os estados de inicialização de cada serviço.

Nome de serviço do SQL Server	Contas opcionais	Tipo de inicialização	Estado padrão após a Instalação
SQL Server	SQL Server Express: Usuário do Domínio, Sistema Local, Serviço de Rede Todas as demais edições: Usuário do Domínio, Sistema Local, Serviço de Rede1	Automático1	Iniciado Parado, apenas se o usuário não escolher a inicialização automática.
SQL Server Agent	Usuário do Domínio, Sistema Local, Serviço de Rede1	Manual1,2 Automático, apenas se o usuário escolher a inicialização automática	Parado Iniciado, apenas se o usuário escolher a inicialização automática.
Analysis Services	Usuário do Domínio, Serviço de Rede, Serviço Local, Sistema Local1	Automático1	Iniciado Parado, apenas se o usuário não escolher a inicialização automática.
Reporting Services	Usuário do Domínio, Sistema Local, Serviço de Rede, Serviço Local	Automático	Iniciado Parado, apenas se o usuário não escolher a inicialização automática.
Integration Services	Usuário do Domínio, Sistema Local, Serviço de Rede, Serviço Local	Automático	Iniciado Parado, apenas se o usuário não escolher a inicialização automática.
Pesquisa de Texto Completo	Use uma conta diferente da conta do serviço do SQL Server. A conta será padronizada como Serviço Local no Windows Server 2008 e no Windows Vista.	Automático	Iniciado Parado somente se uma conta não estiver especificada no Windows Server 2003 ou no Windows XP.
Pesquisador do SQL Server	Serviço Local	Desabilitado3 Automático, apenas se o usuário escolher a inicialização automática.	Parado Iniciado, apenas se o usuário escolher a inicialização automática.
Auxiliar do SQL Server Active Directory	Sistema Local, Serviço de Rede	Desabilitado	Parado
Gravador do SQL	Sistema local	Automático	Iniciado

Importante

1Para configurações de cluster de failover, use a conta de usuário de domínio e o tipo de inicialização definido como manual.

2O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.

3Por padrão, para instalações de cluster de failover e instâncias nomeadas, o Navegador do SQL Server é definido para iniciar automaticamente após a conclusão da Instalação.

Observação sobre segurança Sempre execute os serviços do SQL Server usando os direitos de usuário mais baixos possíveis. Use uma conta de usuário específica de baixo privilégio ou uma conta de domínio em vez de uma conta compartilhada para serviços do SQL Server. Use contas separadas para serviços diferentes do SQL Server. Não conceda permissões adicionais à conta de serviço ou a grupos de serviço do SQL Server. As permissões serão concedidas por meio da associação de grupo ou concedidas diretamente a um SID de serviço onde ele tiver suporte.

Configurações de serviço com suporte

O SQL Server usa um grupo de segurança para definir ACLs de recurso em vez de usar a conta de serviço diretamente. Dessa forma, a alteração da conta de serviço pode ser realizada sem a necessidade de repetir o processo da ACL de recurso. O grupo de segurança pode ser um grupo de segurança local, um grupo de segurança de domínio ou um SID de serviço.

Durante a instalação do SQL Server, a Instalação do SQL Server cria um grupo de serviço para cada componente do SQL Server. Esses grupos simplificam a concessão das permissões necessárias para executar serviços do SQL Server e outros executáveis, ajudando a proteger os arquivos do SQL Server.

Dependendo da configuração do serviço, a conta de serviço para um serviço ou SID de serviço é adicionada como um membro do grupo de serviço durante a instalação ou a atualização.

O SQL Server permite que o SID por serviço de cada um de seus serviços nos sistemas operacionais Windows Server 2008 ou Windows Vista no SQL Server 2008 forneçam isolamento de serviço e defesa mais eficiente. O SID por serviço é derivado do nome de serviço e é exclusivo ao serviço. Por exemplo, um SID de serviço para o serviço do SQL Server deve ser NT Service\MSSQL$<InstanceName>. O isolamento de serviço permite acessar objetos específicos sem a necessidade de executar uma conta de privilégios mais altos nem de limitar a proteção de segurança do objeto. Ao usar uma entrada de controle de acesso que contenha um SID de serviço, um serviço do SQL Server pode restringir o acesso a seus recursos.

A tabela a seguir mostra as configurações de serviço com suporte para instalações novas e atualizadas no Windows Server 2008 ou no Windows Vista.

Nova instalação	Atualizar
Instância autônoma - Grupo de serviço com SID de serviço Instância de cluster de failover - SID de serviço Instância de cluster de failover - Grupo de serviço de domínio Controlador de Domínio - SID de serviço Controlador de Domínio - Grupo de serviço com conta de serviço	Instância autônoma - Grupo de serviço de domínio com SID de serviço Instância de cluster de failover - Grupo de serviço de domínio com conta de serviço

A tabela a seguir mostra as configurações de serviço para instalações novas e atualizadas no Windows Server 2003 ou no Windows XP.

Nova instalação	Atualizar
Instância autônoma - Grupo de serviços com conta de serviço Instância de cluster de failover - Grupo de serviço de domínio com conta de serviço Controlador de Domínio - Grupo de serviço com conta de serviço	Instância autônoma - Grupo de serviço de domínio com conta de serviço Instância de cluster de failover - Grupo de serviço de domínio com conta de serviço

Para instâncias autônomas do SQL Server nos sistemas operacionais Windows Vista e Windows Server 2008, os SIDs de serviço são adicionados ao grupo de serviço e o SID de serviço para o SQL Server Engine e o SQL Server Agent é adicionado como um logon na função do servidor Sysadmin.

Para as instâncias de cluster de failover do SQL Server nos sistemas operacionais Windows Vista e Windows Server 2008, por padrão, a Instalação do SQL Server usa o SID de serviço e define as ACLs de recursos do SQL Server e do Sistema Operacional ao SID de serviço.

Observação
Para usar grupos de domínio em um cluster de failover do SQL Server, eles devem ser pré-criados antes de você executar a instalação. Recomenda-se que você use grupos de domínio exclusivos ao instalar os serviços do SQL Server em um cluster de failover do SQL Server.

Alterando as propriedades da conta

Para alterar as contas de serviço, a senha, o tipo de inicialização do serviço ou outras propriedades de qualquer serviço relacionado ao SQL Server, use o SQL Server Configuration Manager. Para serviços de relatório, use a Ferramenta de Configuração Reporting Services. Observe que renomear a instância do SQL Server não renomeia os grupos de segurança do SQL Server. Os grupos de segurança continuarão a funcionar com os nomes antigos após a operação de renomeação.

Identificando serviços com e sem reconhecimento de instância

Os serviços com reconhecimento de instância são associados a uma instância específica do SQL Server e têm suas próprias ramificações de registro. Você pode instalar várias cópias de serviços com reconhecimento de instância, executando a Instalação do SQL Server para cada componente ou serviço. Os serviços sem reconhecimento de instância são compartilhados entre todas as instâncias instaladas do SQL Server. Eles não são associados a uma instância específica, são instalados uma só vez e não podem ser instalados lado a lado.

Os serviços com reconhecimento de instância no SQL Server incluem o seguinte:

SQL Server
SQL Server Agent

Esteja ciente de que o serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e SQL Server Express com Advanced Services.
Analysis Services
Reporting Services
Pesquisa de texto completo

Os serviços sem reconhecimento de instância no SQL Server incluem o seguinte:

Integration Services
Pesquisador do SQL Server
Auxiliar do SQL Server Active Directory
Gravador do SQL

Revisando direitos e privilégios do Windows NT concedidos para contas de serviço do SQL Server

A tabela a seguir mostra os grupos de usuários criados pela Instalação do SQL Server que recebem direitos de usuário específicos do Windows NT.

Serviço do SQL Server	Grupo de usuários	Permissões padrão concedidas pela Instalação do SQL Server
SQL Server	Instância padrão: SQLServerMSSQLUser$ComputerName$MSSQLSERVER Instância nomeada: SQLServerMSSQLUser$ComputerName$InstanceName	Fazer logon como um serviço (SeServiceLogonRight)1 Substituir um token de nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar verificação completa (SeChangeNotifyPrivilege) Ajustar cotas de memória para um processo (SeIncreaseQuotaPrivilege) Permissão para iniciar o Auxiliar do SQL Server Active Directory Permissão para iniciar o Gravador do SQL Permissão para ler o serviço de Log de Eventos Permissão para ler o serviço de Chamada de Procedimento Remoto Importante Para as instâncias do SQL Server no Windows Vista ou superior, os direitos de usuário Fazer logon como um serviço, Substituir um token de nível de processo, Ignorar a verificação completa e Ajustar as cotas de memória para um processo são concedidos ao SID de serviço do SQL Server.
SQL Server Agent3	Instância padrão: SQLServerSQLAgentUser$ComputerName$MSSQLSERVER Instância nomeada: SQLServerSQLAgentUser$ComputerName$InstanceName	Fazer logon como um serviço (SeServiceLogonRight) Substituir um token de nível de processo (SeAssignPrimaryTokenPrivilege) Ignorar verificação completa (SeChangeNotifyPrivilege) Ajustar cotas de memória para um processo (SeIncreaseQuotaPrivilege)
Analysis Services	Instância padrão: SQLServerMSASUser$ComputerName$MSSQLSERVER Instância nomeada: SQLServerMSASUser$ComputerName$InstanceName	Fazer logon como um serviço (SeServiceLogonRight)
SSRS	Instância padrão: SQLServerReportServerUser$ComputerName$MSRS10.MSSQLSERVER Instância nomeada: SQLServerReportServerUser$ComputerName$MSRS10.InstanceName	Fazer logon como um serviço (SeServiceLogonRight)
Integration Services	Instância padrão ou nomeada: SQLServerDTSUser$ComputerName	Fazer logon como um serviço (SeServiceLogonRight) Permissão para gravar no log de eventos do aplicativo. Ignorar verificação completa (SeChangeNotifyPrivilege) Representar um cliente após autenticação (SeImpersonatePrivilege)
Pesquisa de texto completo	Instância padrão: SQLServerFDHostUser$ ComputerName$MSSQL10.MSSQLSERVER Instância nomeada: SQLServerFDHostUser$ComputerName$MSSQL10.InstanceName	Fazer logon como um serviço (SeServiceLogonRight) Importante Para as instâncias do SQL Server no Windows Vista ou superior, a permissão Fazer logon como um serviço é concedida ao SID de serviço do Iniciador FD.
Navegador do SQL Server	Instância padrão ou nomeada: SQLServerSQLBrowserUser$ComputerName	Fazer logon como um serviço (SeServiceLogonRight)
Auxiliar do SQL Server Active Directory	Instância padrão ou nomeada: SQLServerMSSQLServerADHelperUser$ComputerName	Nenhuma2
Gravador do SQL	N/D	Nenhuma2

1Essa permissão é concedida por padrão a todos os serviços do SQL Server.

A Instalação do 2SQL Server não verifica ou concede permissões para esse serviço.

3O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e SQL Server Express com Advanced Services.

Revisando listas de controle de acesso criadas para contas de serviço do SQL Server

As contas de serviço do SQL Server devem ter acesso aos recursos. As listas de controle de acesso são definidas no nível de grupo de usuários.

Importante
Para instalações de cluster de failover, os recursos em discos compartilhados devem ser definidos como uma ACL para uma conta local.

A tabela a seguir mostra as ACLs que são definidas pela Instalação do SQL Server:

Conta de serviço1 para	Arquivos e pastas	Acesso
MSSQLServer	Instid\MSSQL\backup	Controle total
	Instid\MSSQL\binn	Leitura, Execução
	Instid\MSSQL\data	Controle total
	Instid\MSSQL\FTData	Controle total
	Instid\MSSQL\Install	Leitura, Execução
	Instid\MSSQL\Log	Controle total
	Instid\MSSQL\Repldata	Controle total
	100\shared	Leitura, Execução
	Instid\MSSQL\Template Data (somente SQL Server Express)	Leitura
SQLServerAgent2	Instid\MSSQL\binn	Controle total
	Instid\MSSQL\binn	Controle total
	Instid\MSSQL\Log	Leitura, Gravação, Exclusão, Execução
	100\com	Leitura, Execução
	100\shared	Leitura, Execução
	100\shared\Errordumps	Leitura, Gravação
	ServerName\EventLog	Controle total
FTS	Instid\MSSQL\FTData	Controle total
	Instid\MSSQL\FTRef	Leitura, Execução
	100\shared	Leitura, Execução
	100\shared\Errordumps	Leitura, Gravação
	Instid\MSSQL\Install	Leitura, Execução
	Instid\MSSQL\jobs	Leitura, Gravação
MSSQLServerOLAPservice	100\shared\ASConfig	Controle total
	Instid\OLAP	Leitura, Execução
	Instid\Olap\Data	Controle total
	Instid\Olap\Log	Leitura, Gravação
	Instid\OLAP\Backup	Leitura, Gravação
	Instid\OLAP\Temp	Leitura, Gravação
	100\shared\Errordumps	Leitura, Gravação
SQLServerReportServerUser	Instid\Reporting Services\Log Files	Leitura, Gravação, Exclusão
	Instid\Reporting Services\ReportServer	Leitura, Execução
	Instid\Reportingservices\Reportserver\global.asax	Controle total
	Instid\Reportingservices\Reportserver\Reportserver.config	Leitura
	Instid\Reporting Services\reportManager	Leitura, Execução
	Instid\Reporting Services\RSTempfiles	Leitura, Gravação, Execução, Exclusão
	100\shared	Leitura, Execução
	100\shared\Errordumps	Leitura, Gravação
MSDTSServer100	100\dts\binn\MsDtsSrvr.ini.xml	Leitura
	100\dts\binn	Leitura, Execução
	100\shared	Leitura, Execução
	100\shared\Errordumps	Leitura, Gravação
Pesquisador do SQL Server	100\shared\ASConfig	Leitura
	100\shared	Leitura, Execução
	100\shared\Errordumps	Leitura, Gravação
MSADHelper	N/D (É executado sob a conta de Serviço de Rede)
SQLWriter	N/A (Executa como sistema local)
Usuário	Instid\MSSQL\binn	Leitura, Execução
	Instid\Reporting Services\ReportServer	Leitura, Execução, Lista de Conteúdo de Pasta
	Instid\Reportingservices\Reportserver\global.asax	Leitura
	Instid\Reporting Services\ReportManager	Leitura, Execução
	Instid\Reporting Services\ReportManager\pages	Leitura
	Instid\Reporting Services\ReportManager\Styles	Leitura
	100\dts	Leitura, Execução
	100\tools	Leitura, Execução
	90\tools	Leitura, Execução
	80\tools	Leitura, Execução
	100\sdk	Leitura
	Microsoft SQL Server\100\Setup Bootstrap	Leitura, Execução

1 Para a instalação de clustering de failover do SQL Server ou a instalação do SQL Server em um controlador de domínio, as ACLs serão definidas para o SID de serviço do SQL Server em vez de serem definidas para o grupo de serviço do SQL Server, nos sistemas operacionais Windows Vista e Windows Server 2008.

2O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e do SQL Server Express com Advanced Services.

Poderá ser necessário conceder algumas permissões de controle de acesso a contas internas ou outras contas de serviço do SQL Server. A tabela a seguir lista ACLs adicionais que são definidas pela Instalação do SQL Server.

Componente solicitante	Conta	Recurso	Permissões
MSSQLServer	Usuários do Log de Desempenho	Instid\MSSQL\binn	Listar conteúdo da pasta
	Usuários do Monitor de Desempenho	Instid\MSSQL\binn	Listar conteúdo da pasta
	Usuários do Log de Desempenho, Usuários do Monitor de Desempenho	\WINNT\system32\sqlctr100.dll	Leitura, Execução
	Somente Administrador	\\.\root\Microsoft\SqlServer\ServerEvents\<nome_da_instância_do_sql>1	Controle total
	Administradores, Sistema	\tools\binn\schemas\sqlserver\2004\07\showplan	Controle total
	Usuários	\tools\binn\schemas\sqlserver\2004\07\showplan	Leitura, Execução
Reporting Services	<Conta Serviço da Web do Servidor de Relatório>	<install>\Reporting Services\LogFiles	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Identidade do pool de aplicativos do Gerenciador de Relatórios, conta do ASP.NET, Todos	<install>\Reporting Services\ReportManager, <install>\Reporting Services\ReportManager\Pages\., <install>\Reporting Services\ReportManager\Styles\., <install>\Reporting Services\ReportManager\webctrl_client\1_0\.	Leitura
	Identidade do pool de aplicativos do Gerenciador de Relatórios	<install>\Reporting Services\ReportManager\Pages\.	Leitura
	<Conta do serviço Web Servidor de Relatório>	<install>\Reporting Services\ReportServer	Leitura
	<Conta do serviço Web Servidor de Relatório>	<install>\Reporting Services\ReportServer\global.asax	Total
	Todos	<install>\Reporting Services\ReportServer\global.asax	READ_CONTROL FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES
	Serviço de Rede	<install>\Reporting Services\ReportServer\ReportService.asmx	Total
	Todos	<install>\Reporting Services\ReportServer\ReportService.asmx	READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_READ_EA FILE_EXECUTE FILE_READ_ATTRIBUTES
	Conta de Serviços do Windows do ReportServer	<install>\Reporting Services\ReportServer\RSReportServer.config	DELETE READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES
	Todos	Chaves do Servidor de Relatório (ramificação Instid)	Consultar Valor Enumerar Subchaves Notificar Controle de Leitura
	Usuários dos Serviços de Terminal	Chaves do Servidor de Relatório (ramificação Instid)	Consultar Valor Definir Valor Criar Subchave Enumerar Subchave Notificar Excluir Controle de Leitura
	Usuários Avançados	Chaves do Servidor de Relatório (ramificação Instid)	Consultar Valor Definir Valor Criar Subchave Enumerar Subchaves Notificar Excluir Controle de Leitura

1Esse é o namespace do provedor WMI.

Revisando as permissões do Windows para serviços do SQL Server

A tabela a seguir mostra nomes de serviços, o termo usado para se referir às instâncias padrão e nomeadas dos serviços do SQL Server, uma descrição da função do serviço e as permissões mínimas necessárias.

Nome de exibição	Nome do serviço	Descrição	Permissões necessárias
SQL Server (InstanceName)	Instância padrão: MSSQLSERVER Instância nomeada: MSSQL$InstanceName	Mecanismo de Banco de Dados do SQL Server. O caminho do arquivo executável é \MSSQL\Binn\sqlservr.exe.	Conta de usuário local ou de usuário de domínio é recomendável. Fazer logon como um serviço (SeServiceLogonRight).1 Substituir um token de nível de processo (SeAssignPrimaryTokenPrivilege). Ignorar verificação completa (SeChangeNotifyPrivilege). Ajustar cotas de memória para um processo (SeIncreaseQuotaPrivilege). Permissão para iniciar o Auxiliar do SQL Server Active Directory. Permissão para iniciar o Gravador do SQL. Permissão para ler o serviço de Log de Eventos. Permissão para ler o serviço de Chamada de Procedimento Remoto. Permissões mínimasFuncionalidade Conta de inicialização do serviço MSSQLServer A conta deve estar na lista de contas que têm permissões Listar Pasta na unidade raiz em que o SQL Server está instalado. Ela também deve estar na raiz de qualquer outra unidade onde os arquivos do SQL Server estão armazenados. Observação As permissões "Listar Pasta" na unidade raiz não precisam ser herdadas pelas subpastas. Conta de inicialização do serviço MSSQLServerA conta deve ter permissões Controle Total em quaisquer pastas em que os arquivos de dados ou de log (.mdf, .ndf, .ldf) irão residir.
SQL Server Agent (InstanceName)1	Instância padrão: SQLServerAgent Instância nomeada: SQLAgent$InstanceName	Executa trabalhos, monitora o SQL Server, dispara alertas e habilita a automação de algumas tarefas administrativas. O caminho do arquivo executável é \MSSQL\Binn\sqlagent.exe.	Permissões mínimasFuncionalidade A conta deve ser membro da função de servidor fixa sysadmin. A conta deve ter as seguintes permissões do Windows:Fazer logon como um serviço. Substituir um token de nível de processo. Ajustar cotas de memória para um processo. Ignorar verificação completa.
Serviços do Analysis Services (InstanceName)	Instância padrão: MSSQLServerOLAPService Instância nomeada: MSOLAP$InstanceName	O serviço que fornece funcionalidade de mineração de dados e OLAP (processamento analítico online) para aplicativos de business intelligence. O caminho do arquivo executável é \OLAP\Bin\msmdsrv.exe.
Reporting Services	Instância padrão: ReportServer Instância nomeada: ReportServer$InstanceName	Gerencia, executa, cria, agenda e entrega relatórios. O caminho do executável é \Reporting Services\ReportServer\Bin\ReportingServicesService.exe.
Integration Services	Instância padrão ou nomeada: MSDTSServer	Dá suporte de gerenciamento para o armazenamento e a execução de pacotes do Integration Services. O caminho do arquivo executável é \DTS\Binn\msdtssrvr.exe.
Pesquisa de texto completo	Instância padrão ou nomeada: Iniciador de Daemon de Filtro de Texto Completo do SQL	O serviço para iniciar o processo de daemon de filtro de texto completo para executar a filtragem de documento e separação de palavras para a pesquisa de texto completo do SQL Server.
Pesquisador do SQL Server	Instância padrão ou nomeada: SQLBrowser	O serviço de resolução de nomes que fornece informações de conexão do SQL Server para computadores cliente. Esse serviço é compartilhado por várias instâncias do SQL Server e do SSIS. O caminho do arquivo executável é <unidade>:\Arquivos de Programas\Microsoft SQL Server\100\Shared\sqlbrowser.exe.
Auxiliar do SQL Server Active Directory	Instância padrão ou nomeada: MSSQLServerADHelper.	Publica e gerencia serviços do SQL Server no Windows Active Directory. O caminho do executável é <unidade>:\Arquivos de Programas\Microsoft SQL Server\100\Shared\sqladhelper.exe.
Gravador do SQL	SQLWriter	Permite que aplicativos de backup e restauração operem na estrutura do VSS (Serviço de Cópias de Sombra de Volume). Há uma única instância do serviço Gravador do SQL para todas as instâncias do SQL Server no servidor. O caminho do arquivo executável é <unidade>:\Arquivos de Programas\Microsoft SQL Server\100\Shared\sqlwriter.exe.

1O serviço SQL Server Agent é desabilitado em instâncias do SQL Server Express e SQL Server Express com Advanced Services.

Revisando considerações adicionais

A tabela a seguir mostra as permissões necessárias para que os serviços do SQL Server forneçam funcionalidade adicional.

Serviço/Aplicativo	Funcionalidade	Permissão necessária
SQL Server (MSSQLSERVER)	Gravar em um slot de email usando xp_sendmail.	Permissões de gravação em rede.
SQL Server (MSSQLSERVER)	Executar xp_cmdshell para um usuário que não seja um administrador do SQL Server.	Atuar como parte do sistema operacional e substituir um token de nível de processo.
SQL Server Agent (MSSQLSERVER)	Usar o recurso de inicialização automática.	Deve ser membro do grupo local Administrators.
Orientador de Otimização do Mecanismo de Banco de Dados	Ajusta bancos de dados para desempenho ideal da consulta.	No primeiro uso, um usuário que tenha credenciais administrativas do sistema deve inicializar o aplicativo. Após a inicialização, os usuários do dbo podem usar o Orientador de Otimização do Mecanismo de Banco de Dados para ajustar apenas as tabelas que são de sua propriedade. Para obter mais informações, consulte "Inicializando o Orientador de Otimização do Mecanismo de Banco de Dados no primeiro uso" nos Manuais Online do SQL Server.

Importante
Antes de atualizar o SQL Server, habilite a Autenticação do Windows para o SQL Server Agent e verifique a configuração padrão exigida: se a conta de serviço do SQL Server Agent é membro do grupo sysadmin do SQL Server.

Nomes de serviços localizados

A tabela a seguir mostra nomes de serviço que são exibidos por versões localizadas do Windows.

Idioma	Nome do serviço local	Nome do serviço de rede	Nome do sistema local	Nome do grupo Admin.
Inglês Chinês Simplificado Chinês Tradicional Coreano Japonês	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Alemão	NT-AUTORITÄT\LOKALER DIENST	NT-AUTORITÄT\NETZWERKDIENST	NT-AUTORITÄT\SYSTEM	VORDEFINIERT\Administratoren
Francês	AUTORITE NT\SERVICE LOCAL	AUTORITE NT\SERVICE RÉSEAU	AUTORITE NT\SYSTEM	BUILTIN\Administrateurs
Italiano	NT AUTHORITY\SERVIZIO LOCALE	NT AUTHORITY\SERVIZIO DI RETE	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Espanhol	NT AUTHORITY\SERVICIO LOC	NT AUTHORITY\SERVICIO DE RED	NT AUTHORITY\SYSTEM	BUILTIN\Administradores
Russo	NT AUTHORITY\LOCAL SERVICE	NT AUTHORITY\NETWORK SERVICE	NT AUTHORITY\SYSTEM	BUILTIN\Администраторы

Histórico de alterações

Conteúdo atualizado
Uma observação referente às ferramentas a serem usadas para definir ou alterar as configurações de conta para os serviços do SQL Server 2008 foi adicionada à seção Introdução.
Foram atualizados parâmetros para a instalação autônoma na tabela Configurando o tipo de inicialização do serviço.
Os alertas para o esclarecimento das permissões concedidas aos SIDs foram adicionados à tabela - Revisando direitos e privilégios do Windows NT concedidos para contas de serviço do SQL Server.

Consulte também

Referência

Configuração do Mecanismo de Banco de Dados – Provisionamento de conta

Configuração do Analysis Services - Provisionamento de conta

Conceitos

Considerações sobre segurança para uma instalação do SQL Server

Locais de arquivos para instâncias padrão e nomeadas do SQL Server

Compartilhar via