Configurar los permisos y las cuentas de servicio de WindowsConfigure Windows Service Accounts and Permissions

Para ver contenido relativo a las versiones anteriores de SQL Server, vea Configurar los permisos y las cuentas de servicio de Windows.For content related to previous versions of SQL Server, see Configure Windows Service Accounts and Permissions.

Cada servicio de SQL ServerSQL Server representa a un proceso o conjunto de procesos para administrar la autenticación de las operaciones de SQL ServerSQL Server con Windows.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. En este tema se describe la configuración predeterminada de los servicios en esta versión de SQL ServerSQL Server, así como las opciones de configuración de los servicios SQL ServerSQL Server que se pueden establecer durante la instalación de SQL ServerSQL Server y después.This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. Este tema ayuda a los usuarios avanzados a comprender los detalles de las cuentas de servicio.This topic helps advanced users understand the details of the service accounts.

La mayoría de servicios y sus propiedades se pueden configurar mediante el Administrador de configuración de SQL ServerSQL Server .Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Cuando instala Windows en la unidad C, estas son las rutas de acceso a las cuatro últimas versiones.Here are the paths to the last four versions when Windows in installed on the C drive.

SQL ServerSQL Server 2016 2016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

Servicios instalados por SQL ServerSQL Server Services Installed by SQL ServerSQL Server

En función de los componentes que decida instalar, el programa de instalación de SQL ServerSQL Server instalará los servicios siguientes:Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • Servicios de bases de datos de SQL ServerSQL Server: servicio de Motor de base de datosDatabase Engine relacional de SQL ServerSQL Server. SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Motor de base de datosDatabase Engine. El archivo ejecutable es <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • Agente SQL ServerSQL Server: ejecuta trabajos, supervisa SQL ServerSQL Server, activa alertas y habilita la automatización de algunas tareas administrativas. SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. El servicio del Agente SQL ServerSQL Server está presente pero deshabilitado en las instancias de SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. El archivo ejecutable es <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services : proporciona funciones de procesamiento analítico en línea (OLAP) y minería de datos para aplicaciones de Business Intelligence. Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. El archivo ejecutable es <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services : administra, ejecuta, crea, programa y envía informes. Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. El archivo ejecutable es <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services : proporciona compatibilidad de administración para el almacenamiento y la ejecución de paquetes de Integration ServicesIntegration Services . Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. La ruta de acceso ejecutable es <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe.The executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser : servicio de resolución de nombres que proporciona información de conexión de SQL ServerSQL Server a los equipos cliente. SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. La ruta de acceso ejecutable es c:\Archivos de programa (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exeThe executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Búsqueda de texto completo : crea rápidamente índices de texto completo del contenido y de las propiedades de los datos estructurados y semiestructurados para permitir el filtrado de documentos y la separación de palabras en SQL ServerSQL Server.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • Objeto de escritura de SQL : permite que las aplicaciones de copia de seguridad y restauración funcionen en el marco del Servicio de instantáneas de volumen (VSS).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller : proporciona la orquestación de la reproducción de seguimiento en varios equipos cliente de Distributed Replay. SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client : uno o más equipos cliente de Distributed Replay que funcionan con un Distributed Replay Controller para simular cargas de trabajo simultáneas en una instancia de Motor de base de datos de SQL ServerSQL Server Database Engine. SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Motor de base de datos de SQL ServerSQL Server Database Engine.

  • SQL Server Trusted LaunchpadSQL Server Trusted Launchpad : servicio de confianza que hospeda archivos ejecutables externos que proporciona Microsoft, como el runtime de R instalado como parte de R Services (en bases de datos)R Services (In-Database). SQL Server Trusted LaunchpadSQL Server Trusted Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R runtime installed as part of R Services (en bases de datos)R Services (In-Database). Los procesos satélite se pueden iniciar mediante el proceso de Launchpad, pero los recursos se regirán por la configuración de la instancia individual.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. El servicio Launchpad se ejecuta en su propia cuenta de usuario, y cada proceso satélite de un tiempo de ejecución registrado específico heredará la cuenta de usuario de Launchpad.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. Los procesos satélite se crean y destruyen a petición durante el tiempo de ejecución.Satellite processes are created and destroyed on demand during execution time.

    • Motor de SQL Server PolyBase: proporciona funciones de consulta distribuida a orígenes de datos externos.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

    • Servicio de movimiento de datos de SQL Server PolyBase: permite mover datos entre SQL Server y los orígenes de datos externos, así como entre los nodos SQL en los grupos de escalabilidad horizontal de PolyBase.SQL Server Polybase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

Propiedades de servicio y configuración Service Properties and Configuration

Las cuentas de inicio usadas para iniciar y ejecutar SQL ServerSQL Server pueden ser cuentas de usuario de dominio, cuentas de usuario local, cuentas de servicio administradas, cuentas virtualeso cuentas del sistema integradas.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Para poder iniciarse y ejecutarse, cada servicio de SQL ServerSQL Server debe tener una cuenta de inicio que se configura durante la instalación.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

En esta sección se describen las cuentas que se pueden configurar para iniciar los servicios de SQL ServerSQL Server , los valores predeterminados utilizados por el programa de instalación de SQL ServerSQL Server , el concepto de SID por servicio, las opciones de inicio y la configuración del firewall.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.

Cuentas de servicio predeterminadas Default Service Accounts

En la tabla siguiente se enumeran las cuentas de servicio predeterminadas que utiliza el programa de instalación para instalar todos los componentes.The following table lists the default service accounts used by setup when installing all components. Las cuentas predeterminadas enumeradas son las recomendadas, si no se especifica lo contrario.The default accounts listed are the recommended accounts, except as noted.

Servidor independiente o controlador de dominioStand-alone Server or Domain Controller

ComponenteComponent Windows Server 2008Windows Server 2008 Windows 7 y Windows Server 2008Windows Server 2008 R2 y posteriorWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Motor de base de datosDatabase Engine SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
e SQL ServerSQL Server SQL ServerSQL Server Agent SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SSASSSAS SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SSISSSIS SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SSRSSSRS SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
Selector de FD (búsqueda de texto completo)FD Launcher (Full-text Search) SERVICIO LOCALLOCAL SERVICE Cuenta virtualVirtual Account
SQL ServerSQL Server Browser Browser SERVICIO LOCALLOCAL SERVICE SERVICIO LOCALLOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer SISTEMA LOCALLOCAL SYSTEM SISTEMA LOCALLOCAL SYSTEM
Extensiones de análisis avanzadoAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
Motor de PolyBasePolyBase Engine SERVICIO DE REDNETWORK SERVICE SERVICIO DE REDNETWORK SERVICE
Servicio de movimiento de datos de PolyBasePolyBase Data Movement Service SERVICIO DE REDNETWORK SERVICE SERVICIO DE REDNETWORK SERVICE

Cuando se necesitan recursos externos al equipo de SQL ServerSQL Server , MicrosoftMicrosoft recomienda el uso de una cuenta de servicio administrada (MSA), configurada con los privilegios mínimos necesarios.When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

Instancia de clústeres de conmutación por error de SQL ServerSQL Server Failover Cluster Instance

ComponenteComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2 R2
Motor de base de datosDatabase Engine Ninguno.None. Proporcione una cuenta de usuario de dominio .Provide a domain user account. Proporcione una cuenta de usuario de dominio .Provide a domain user account.
e SQL ServerSQL Server SQL ServerSQL Server Agent Ninguno.None. Proporcione una cuenta de usuario de dominio .Provide a domain user account. Proporcione una cuenta de usuario de dominio .Provide a domain user account.
SSASSSAS Ninguno.None. Proporcione una cuenta de usuario de dominio .Provide a domain user account. Proporcione una cuenta de usuario de dominio .Provide a domain user account.
SSISSSIS SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
SSRSSSRS SERVICIO DE REDNETWORK SERVICE Cuenta virtualVirtual Account
Selector de FD (búsqueda de texto completo)FD Launcher (Full-text Search) SERVICIO LOCALLOCAL SERVICE Cuenta virtualVirtual Account
SQL ServerSQL Server Browser Browser SERVICIO LOCALLOCAL SERVICE SERVICIO LOCALLOCAL SERVICE
SQL ServerSQL Server VSS Writer VSS Writer SISTEMA LOCALLOCAL SYSTEM SISTEMA LOCALLOCAL SYSTEM

Cambiar las propiedades de las cuentas Changing Account Properties

Importante

  • Utilice siempre herramientas de SQL ServerSQL Server como el Administrador de configuración de SQL ServerSQL Server para cambiar la cuenta utilizada por Motor de base de datos de SQL ServerSQL Server Database Engine o los servicios del Agente SQL ServerSQL Server , o para cambiar la contraseña de la cuenta.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the Motor de base de datos de SQL ServerSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. Además de cambiar el nombre de cuenta, el Administrador de configuración de SQL ServerSQL Server realiza una configuración adicional como actualizar la seguridad local de Windows almacenada que protege la clave maestra de servicio para el Motor de base de datosDatabase Engine.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Motor de base de datosDatabase Engine. Otras herramientas, como el Administrador de control de servicios de Windows, pueden cambiar el nombre de la cuenta, pero no toda la configuración requerida.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
    • Para las instancias de Analysis ServicesAnalysis Services que se implementen en una granja de SharePoint, utilice siempre Administración central de SharePoint para cambiar las cuentas de servidor para las aplicaciones de Servicio de Power PivotPower Pivot service y de Servicio Analysis ServicesAnalysis Services service.For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Servicio de Power PivotPower Pivot service applications and the Servicio Analysis ServicesAnalysis Services service. Se actualizan la configuración y los permisos asociados para usar la nueva información de cuenta cuando utilice Administración central.Associated settings and permissions are updated to use the new account information when you use Central Administration.
    • Para cambiar las opciones de Reporting ServicesReporting Services , utilice la herramienta configuración de Reporting Services.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

Cuentas de servicio administradas, cuentas de servicio administradas de grupo y cuentas virtuales Managed Service Accounts, Group Managed Service Accounts, and Virtual Accounts

Las cuentas de servicio administradas, las cuentas de servicio administradas de grupo y las cuentas virtuales están diseñadas para proporcionar a aplicaciones vitales como SQL ServerSQL Server el aislamiento de sus propias cuentas, mientras se elimina la necesidad de que un administrador administre manualmente el nombre de la entidad de seguridad del servicio (SPN) y las credenciales de estas cuentas.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Estas cuentas facilitan en gran medida la administración a largo plazo de los usuarios de cuentas de servicio, las contraseñas y los SPN.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service Accounts Managed Service Accounts

    Una cuenta de servicio administrada (MSA) es un tipo de cuenta de dominio creada y administrada por el controlador de dominio.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Se asigna a un solo equipo de miembro para usarla al ejecutar un servicio.It is assigned to a single member computer for use running a service. El controlador de dominio administra la contraseña automáticamente.The password is managed automatically by the domain controller. No puede utilizar MSA para iniciar sesión en un equipo, pero un equipo puede utilizar MSA para iniciar un servicio de Windows.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. Una MSA puede registrar el nombre principal de servicio (SPN) con Active Directory.An MSA has the ability to register Service Principal Name (SPN) with the Active Directory. Una MSA se denomina con un sufijo $ , por ejemplo, DOMINIO\NOMBREDECUENTA$.A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. Al especificar MSA, deje en blanco la contraseña.When specifying a MSA, leave the password blank. Debido a que una MSA se asigna a un único equipo, no se puede utilizar en nodos diferentes de un clúster de Windows.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Nota

    El administrador de dominio debe crear la MSA en Active Directory para que la instalación de SQL ServerSQL Server pueda usarla para los servicios de SQL ServerSQL Server .The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Cuentas de servicio administradas de grupo Group Managed Service Accounts

    Una cuenta de servicio administrada de grupo es una MSA para varios servidores.A Group Managed Service Account is an MSA for multiple servers. Windows administra una cuenta de servicio para los servicios que se ejecutan en un grupo de servidores.Windows manages a service account for services running on a group of servers. Active Directory actualiza automáticamente la contraseña de la cuenta de servicio administrada de grupo sin necesidad de reiniciar los servicios.Active Directory automatically updates the group managed service account password without restarting services. Puede configurar servicios de SQL Server para usar una entidad de seguridad de cuenta de servicio administrada de grupo.You can configure SQL Server services to use a group managed service account principal. A partir de SQL Server 2014, SQL Server admite cuentas de servicio administradas de grupo en Windows Server 2012 R2 y posterior para instancias independientes, instancias de clúster de conmutación por error y grupos de disponibilidad.Beginning with SQL Server 2014, SQL Server supports group managed service accounts on Windows Server 2012 R2 and later for standalone instances, failover cluster instances, and availability groups.

    Para usar una cuenta de servicio administrada de grupo para SQL Server 2014 o posterior, el sistema operativo debe ser Windows Server 2012 R2 o posterior.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Los servidores con Windows Server 2012 R2 necesitan que KB 2998082 esté aplicado para que los servicios puedan iniciar sesión sin interrumpirse inmediatamente después de un cambio de contraseña.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Para obtener más información, vea Group Managed Service Accounts (Cuentas de servicio administradas de grupo).For more information, see Group Manged Service Accounts

    Nota

    El administrador de dominio debe crear la cuenta de servicio administrada de grupo en Active Directory para que la instalación de SQL ServerSQL Server pueda usarla para los servicios de SQL ServerSQL Server .The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    Las cuentas virtuales (a partir de Windows Server 2008 R2 y Windows 7) son cuentas locales administradas que proporcionan las siguientes características para simplificar la administración del servicio.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. La cuenta virtual se administra automáticamente y la cuenta virtual puede tener acceso a la red en un entorno de dominio.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Si se usa el valor predeterminado de las cuentas de servicio durante la instalación de SQL ServerSQL Server, se usará una cuenta virtual con el nombre de instancia como nombre del servicio, con el formato NT SERVICE\<NOMBRE DEL SERVICIO>.If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Los servicios que se ejecutan como cuentas virtuales acceden a los recursos de red mediante las credenciales de la cuenta del equipo con el formato <nombre_dominio>\<nombre_equipo>$.Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Al especificar una cuenta virtual para iniciar SQL ServerSQL Server, deje en blanco la contraseña.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Si la cuenta virtual no puede registrar el nombre principal de servicio (SPN), registre el SPN manualmente.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Para más información sobre cómo registrar un SPN manualmente, consulte Registro manual de SPN.For more information on registering a SPN manually, see Manual SPN Registration.

    Nota

    No se pueden usar cuentas virtuales para la instancia de clúster de conmutación por error de SQL ServerSQL Server , ya que la cuenta virtual no tendría el mismo SID en cada nodo del clúster.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    En la tabla siguiente se muestran ejemplos de nombres de cuenta virtuales.The following table lists examples of virtual account names.

    ssNoVersionService Nombre de cuenta virtualVirtual Account Name
    Instancia predeterminada del servicio del Motor de base de datosDatabase Engine .Default instance of the Motor de base de datosDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    Instancia con nombre de un servicio de Motor de base de datosDatabase Engine denominado PAYROLLNamed instance of a Motor de base de datosDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server en la instancia predeterminada de SQL ServerSQL Server Agent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server en una instancia de SQL ServerSQL Server denominada PAYROLL Agent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

    Para obtener más información sobre las cuentas de servicio administradas y las cuentas virtuales, vea la sección Managed service account and virtual account concepts (Conceptos de cuentas de servicio administradas y cuentas virtuales) de Service Accounts Step-by-Step Guide (Guía paso a paso de cuentas de servicio) y Managed Service Accounts Frequently Asked Questions (FAQ) (P+F sobre cuentas de servicio administradas).For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

    Nota de seguridad: Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles.Always run SQL Server services by using the lowest possible user rights. Use una MSA o los servicios del Agente virtual account cuando sea posible.Security Note: Ejecute siempre los servicios SQL Server con los derechos de usuario mínimos posibles.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. Cuando no se puedan usar MSA ni cuentas virtuales, emplee una cuenta de usuario específica con privilegios bajos o la cuenta de dominio en lugar de una cuenta compartida para los servicios de SQL ServerSQL Server .When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. Utilice cuentas independientes para los diferentes servicios de SQL ServerSQL Server .Use separate accounts for different SQL ServerSQL Server services. No otorgue permisos adicionales a la cuenta de servicio ni a los grupos de servicios de SQL ServerSQL Server .Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. Los permisos se concederán a través de la pertenencia a un grupo o se concederán directamente a un SID por servicio, siempre que se admita su uso.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Inicio automático Automatic Startup

Además de las cuentas de usuario, cada servicio tiene tres posibles estados de inicio que los usuarios pueden controlar:In addition to having user accounts, every service has three possible startup states that users can control:

  • Deshabilitado El servicio se ha instalado, pero no se ejecuta actualmente.Disabled The service is installed but not currently running.

  • Manual : el servicio se ha instalado, pero solo se iniciará cuando otro servicio o aplicación necesite su funcionalidad.Manual The service is installed, but will start only when another service or application needs its functionality.

  • Automático : el sistema operativo inicia automáticamente el servicio.Automatic The service is automatically started by the operating system.

    El estado de inicio se selecciona durante la instalación.The startup state is selected during setup. Al instalar una instancia con nombre, el servicio SQL ServerSQL Server Browser debe establecerse para iniciarse automáticamente.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Servicios de configuración durante la instalación desatendida Configuring Services During Unattended Installation

En la tabla siguiente se muestran los servicios de SQL ServerSQL Server que se pueden configurar durante la instalación.The following table shows the SQL ServerSQL Server services that can be configured during installation. En instalaciones desatendidas, puede usar los modificadores en un archivo de configuración o en el símbolo del sistema.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Nombre de servicio SQL ServerSQL Server service name Modificadores para instalaciones desatendidasSwitches for unattended installations
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgentSQLServerAgent AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT, CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services (en bases de datos)R Services (In-Database) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICSEXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS
Motor de PolyBasePolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

Para obtener más información y ejemplos de sintaxis sobre instalaciones desatendidas, vea Instalar SQL Server 2016 desde el símbolo del sistema.For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

El servicio Agente SQL ServerSQL Server está deshabilitado en las instancias de SQL Server ExpressSQL Server Express y SQL Server ExpressSQL Server Express con Advanced Services.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Puerto de firewall Firewall Port

En la mayoría de los casos, cuando se instala inicialmente, el Motor de base de datosDatabase Engine puede conectarse con herramientas como SQL Server Management StudioSQL Server Management Studio instaladas en el mismo equipo que SQL ServerSQL Server.In most cases, when initially installed, the Motor de base de datosDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. El programa de instalación de SQL ServerSQL Server no abre los puertos en el firewall de Windows. SQL ServerSQL Server Setup does not open ports in the Windows firewall. Las conexiones desde otros equipos pueden no ser posibles hasta que el Motor de base de datosDatabase Engine se configura para escuchar en un puerto TCP y el puerto adecuado se abre para las conexiones en el firewall de Windows.Connections from other computers may not be possible until the Motor de base de datosDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Para obtener más información vea Configurar Firewall de Windows para permitir el acceso a SQL Server.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Permisos de servicio Service Permissions

En esta sección se describen los permisos que el programa de instalación de SQL ServerSQL Server configura para el SID por servicio de los servicios de SQL ServerSQL Server .This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID’s of the SQL ServerSQL Server services.

Configuración del servicio y control de acceso Service Configuration and Access Control

SQL Server 2017SQL Server 2017 habilita un SID por servicio por cada uno de sus servicios para permitir el aislamiento del servicio y proporcionar una defensa optimizada. enables per-service SID for each of its services to provide service isolation and defense in depth. El SID por servicio se deriva del nombre del servicio y es único para ese servicio.The per-service SID is derived from the service name and is unique to that service. Por ejemplo, el nombre de un SID del servicio Motor de base de datosDatabase Engine podría ser NT Service\MSSQL$<nombreDeInstancia>.For example, a service SID name for the Motor de base de datosDatabase Engine service might be NT Service\MSSQL$<InstanceName>. El aislamiento del servicio permite obtener acceso a objetos concretos sin necesidad de ejecutar una cuenta con un alto nivel de privilegios ni debilitar la protección de seguridad del objeto.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Mediante el uso de una entrada de control de acceso que contenga un SID por servicio, un servicio de SQL ServerSQL Server puede restringir el acceso a sus recursos.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Nota

En Windows 7 y Windows Server 2008Windows Server 2008 R2 (y posteriores) el SID por servicio puede ser la cuenta virtual que utiliza el servicio.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Para la mayoría de los componentes SQL ServerSQL Server configura la ACL para la cuenta del servicio directamente, con lo que el cambio de la cuenta de servicio puede realizarse sin tener que repetir el proceso de la ACL de recursos.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

Al instalar SSASSSAS, se crea un SID por servicio para el servicio de Analysis ServicesAnalysis Services .When installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. Se crea un grupo de Windows local y se le asigna un nombre con el formato SQLServerMSASUser$computer_name$instance_name.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. Al SID por servicio NT SERVICE\MSSQLServerOLAPService se le concede la pertenencia al grupo local de Windows y al grupo local de Windows se le conceden los permisos adecuados en la ACL.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Si la cuenta utilizada para iniciar el servicio de Analysis ServicesAnalysis Services se cambia, el Administrador de configuración de SQL ServerSQL Server debe cambiar algunos permisos de Windows (como el derecho de iniciar sesión como servicio), pero los permisos asignados al grupo local de Windows no estarán disponibles sin actualizar, porque el SID por servicio no ha cambiado.If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Este método permite cambiar el nombre del servicio de Analysis ServicesAnalysis Services durante las actualizaciones.This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

Durante la instalación de SQL ServerSQL Server , el programa de instalación de SQL ServerSQL Server crea grupos de Windows locales para SSASSSAS y el servicio SQL ServerSQL Server Browser.During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. Para estos servicios, SQL ServerSQL Server configura la ACL para los grupos de Windows locales.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

En función de la configuración del servicio, la cuenta de servicio o el SID por servicio se agregará como miembro del grupo de servicios durante el proceso de instalación o actualización.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Derechos y privilegios de Windows Windows Privileges and Rights

La cuenta asignada para iniciar un servicio necesita el permiso de inicio, detener y pausar para el servicio.The account assigned to start a service needs the Start, stop and pause permission for the service. El programa de instalación de SQL ServerSQL Server asigna esto automáticamente.The SQL ServerSQL Server Setup program automatically assigns this. Primera instalación de las Herramientas de administración remota del servidor (RSAT).First install Remote Server Administration Tools (RSAT). Vea las Herramientas de administración remota del servidor para Windows 7.See Remote Server Administration Tools for Windows 7.

En la tabla siguiente se muestran los permisos que el programa de instalación de SQL ServerSQL Server solicita para las SID por servicio o los grupos locales de Windows que usan los componentes de SQL ServerSQL Server .The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

Servicio SQL ServerSQL Server SQL ServerSQL Server Service Permisos concedidos por el programa de instalación de SQL ServerSQL ServerPermissions granted by SQL ServerSQL Server Setup
Motor de base de datos de SQL ServerSQL Server Database Engine: Motor de base de datos de SQL ServerSQL Server Database Engine:

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada: NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Instancia con nombre: NT SERVICE\MSSQL$InstanceName).Named instance: NT SERVICE\MSSQL$InstanceName.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Permiso para iniciar el objeto de escritura de SQLPermission to start SQL Writer

Permiso para leer el servicio Registro de eventosPermission to read the Event Log service

Permiso para leer el servicio Llamada a procedimiento remotoPermission to read the Remote Procedure Call service
SQL ServerSQL Server : * SQL ServerSQL Server Agent: *

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada: NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Instancia con nombre: NT Service\SQLAGENT$InstanceName).Named instance: NT Service\SQLAGENT$InstanceName.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS: SSASSSAS:

(Todos los derechos se conceden a un grupo local de Windows.(All rights are granted to a local Windows group. Instancia predeterminada: SQLServerMSASUser$ComputerName$MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instancia con nombre: SQLServerMSASUser$ComputerName$InstanceName.Named instance: SQLServerMSASUser$ComputerName$InstanceName. PowerPivot para SharePointPower Pivot for SharePoint : SQLServerMSASUser$ComputerName$PowerPivot.) instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Solo para modo tabular:For tabular only:

Aumentar el espacio de trabajo de un proceso (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege)

Bloquear páginas en la memoria (SeLockMemoryPrivilege): solo es necesario cuando la paginación está completamente desactivada.Lock pages in memory (SeLockMemoryPrivilege) – this is needed only when paging is turned off entirely.

Solo para la instalación de clústeres de conmutación por error:For failover cluster installations only:

Aumentar prioridad de programación (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS: SSRSSSRS:

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada: NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Instancia con nombre: NT SERVICE\ReportServer$InstanceName.)Named instance: NT SERVICE\ReportServer$InstanceName.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS: SSISSSIS:

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada e instancia con nombre: NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services no tiene un proceso independiente para una instancia con nombre). does not have a separate process for a named instance.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Permiso para escribir en el registro de eventos de la aplicaciónPermission to write to application event log.

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Suplantar a un cliente tras la autenticación (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Búsqueda de texto completo:Full-text search:

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada: NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Instancia con nombre: NT Service\ MSSQLFDLauncher$InstanceName).Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server Browser: SQL ServerSQL Server Browser:

(Todos los derechos se conceden a un grupo local de Windows.(All rights are granted to a local Windows group. Instancia predeterminada o con nombre: SQLServer2005SQLBrowserUser$ComputerName.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser no tiene un proceso independiente para una instancia con nombre). Browser does not have a separate process for a named instance.)
Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server VSS Writer: SQL ServerSQL Server VSS Writer:

(Todos los derechos se conceden al SID por servicio.(All rights are granted to the per-service SID. Instancia predeterminada o con nombre: NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. SQL ServerSQL Server VSS Writer no tiene un proceso independiente para una instancia con nombre). VSS Writer does not have a separate process for a named instance.)
El servicio SQLWriter se ejecuta en la cuenta de sistema local que tiene todos los permisos necesarios.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. El programa de instalación de SQL ServerSQL Server no comprueba ni concede permisos para este servicio. SQL ServerSQL Server setup does not check or grant permissions for this service.
SQL ServerSQL Server Distributed Replay Controller: SQL ServerSQL Server Distributed Replay Controller: Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client: SQL ServerSQL Server Distributed Replay Client: Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Motor de PolyBase y DMSPolyBase Engine and DMS Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Launchpad:Launchpad: Iniciar sesión como servicio (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Omitir comprobación de recorrido (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajustar las cuotas de la memoria para un proceso (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R Services: SQLRUserGroupR Services: SQLRUserGroup Permitir el inicio de sesión localAllow Log on locally

El servicio Agente SQL ServerSQL Server se deshabilita en las instancias de SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Permisos del sistema de archivos concedidos a SID por servicio de SQL Server o grupos locales de Windows File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

Las cuentas de servicio de SQL ServerSQL Server deben tener acceso a los recursos. SQL ServerSQL Server service accounts must have access to resources. Las listas de control de acceso se establecen para el SID por servicio o el grupo local de Windows.Access control lists are set for the per-service SID or the local Windows group.

Importante

En las instalaciones de clústeres de conmutación por error, los recursos de discos compartidos se deben establecer en una ACL de una cuenta local.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

En la tabla siguiente se muestran las ACL establecidas mediante el programa de instalación de SQL ServerSQL Server :The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Cuenta de servicio paraService account for Archivos y carpetasFiles and folders AccesoAccess
MSSQLSERVERMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup Control totalFull control
Instid\MSSQL\binnInstid\MSSQL\binn Lectura, EjecuciónRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data Control totalFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData Control totalFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Lectura, EjecuciónRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log Control totalFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata Control totalFull control
130\shared130\shared Lectura, EjecuciónRead, Execute
Instid\MSSQL\Template Data (solo SQL Server ExpressSQL Server Express )Instid\MSSQL\Template Data ( SQL Server ExpressSQL Server Express only) LeerRead
SQLServerAgentSQLServerAgent Instid\MSSQL\binnInstid\MSSQL\binn Control totalFull control
Instid\MSSQL\binnInstid\MSSQL\binn Control totalFull control
Instid\MSSQL\LogInstid\MSSQL\Log Lectura, Escritura, Eliminación, EjecuciónRead, Write, Delete, Execute
130\com130\com Lectura, EjecuciónRead, Execute
130\shared130\shared Lectura, EjecuciónRead, Execute
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
ServerName\EventLogServerName\EventLog Control totalFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData Control totalFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Lectura, EjecuciónRead, Execute
130\shared130\shared Lectura, EjecuciónRead, Execute
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Lectura, EjecuciónRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Lectura, EscrituraRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig Control totalFull control
Instid\OLAPInstid\OLAP Lectura, EjecuciónRead, Execute
Instid\Olap\DataInstid\Olap\Data Control totalFull control
Instid\Olap\LogInstid\Olap\Log Lectura, EscrituraRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Lectura, EscrituraRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Lectura, EscrituraRead, Write
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Lectura, Escritura, EliminaciónRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lectura, EjecuciónRead, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax Control totalFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config LeerRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager Lectura, EjecuciónRead, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Lectura, Escritura, Ejecución, EliminaciónRead, Write, Execute, Delete
130\shared130\shared Lectura, EjecuciónRead, Execute
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml LeerRead
130\dts\binn130\dts\binn Lectura, EjecuciónRead, Execute
130\shared130\shared Lectura, EjecuciónRead, Execute
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
SQL ServerSQL Server Browser Browser 130\shared\ASConfig130\shared\ASConfig LeerRead
130\shared130\shared Lectura, EjecuciónRead, Execute
130\shared\Errordumps130\shared\Errordumps Lectura, EscrituraRead, Write
SQLWriterSQLWriter N/D (Se ejecuta como sistema local)N/A (Runs as local system)
UsuarioUser Instid\MSSQL\binnInstid\MSSQL\binn Lectura, EjecuciónRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax LeerRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager Lectura, EjecuciónRead, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages LeerRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles LeerRead
130\dts130\dts Lectura, EjecuciónRead, Execute
130\tools130\tools Lectura, EjecuciónRead, Execute
100\tools100\tools Lectura, EjecuciónRead, Execute
90\tools90\tools Lectura, EjecuciónRead, Execute
80\tools80\tools Lectura, EjecuciónRead, Execute
130\sdk130\sdk LeerRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap Lectura, EjecuciónRead, Execute
SQL ServerSQL Server Distributed Replay Controller Distributed Replay Controller <ToolsDir>\DReplayController\Log\ (directorio vacío)<ToolsDir>\DReplayController\Log\ (empty directory) Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources\<ToolsDir>\DReplayController\resources\ Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\{todas las DLL}<ToolsDir>\DReplayController\{all dlls} Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
SQL ServerSQL Server Distributed Replay Client Distributed Replay Client <ToolsDir>\DReplayClient\Log\<ToolsDir>\DReplayClient\Log\ Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources\<ToolsDir>\DReplayClient\resources\ Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (todas las DLL)<ToolsDir>\DReplayClient\ (all dlls) Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Lectura, Ejecución, Mostrar el contenido de la carpetaRead, Execute, List Folder Contents
LaunchpadLaunchpad %binn%binn Lectura, EjecuciónRead, Execute
ExtensiblilityDataExtensiblilityData Control totalFull control
Log\ExtensibiltityLogLog\ExtensibiltityLog Control totalFull control

El servicio Agente SQL ServerSQL Server está deshabilitado en las instancias de SQL Server ExpressSQL Server Express y SQL Server ExpressSQL Server Express con Advanced Services.The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Cuando los archivos de base de datos se almacenan en una ubicación definida por el usuario, se debe conceder acceso a dicha ubicación al SID por servicio.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Para obtener más información sobre la concesión de permisos del sistema de archivos a un SID por servicio, vea Configurar permisos del sistema de archivos para el acceso al motor de base de datos.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Permisos del sistema de archivos concedidos a otras cuentas de usuario o grupos de Windows File System Permissions Granted to Other Windows User Accounts or Groups

Es posible que sea necesario conceder algunos permisos de control de acceso a cuentas integradas o a otras cuentas de servicio de SQL ServerSQL Server .Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. La tabla siguiente muestra las ACL adicionales que son establecidas mediante el programa de instalación de SQL ServerSQL Server :The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Componente que realiza la solicitudRequesting component CuentaAccount RecursoResource PermisosPermissions
MSSQLSERVERMSSQLServer Usuarios del registro de rendimientoPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Mostrar el contenido de la carpetaList folder contents
Usuarios del monitor de sistemaPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Mostrar el contenido de la carpetaList folder contents
Usuarios del registro de rendimiento, Usuarios del monitor de rendimientoPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll Lectura, EjecuciónRead, Execute
Solo el administradorAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name> Control totalFull control
Administradores, sistemaAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Control totalFull control
UsuariosUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Lectura, EjecuciónRead, Execute
Reporting ServicesReporting Services <Cuenta de servicio web del servidor de informes><Report Server Web Service Account> <instalación>\Reporting Services\LogFiles<install>\Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Identidad del grupo de aplicaciones del Administrador de informes, cuenta ASP.NETASP.NET , TodosReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <instalación>\Reporting Services\ReportManager, <instalación>\Reporting Services\ReportManager\Pages\*.*, <instalación>\Reporting Services\ReportManager\Styles\*.*, <instalación>\Reporting Services\ReportManager\webctrl_client\1_0\.*<install>\Reporting Services\ReportManager, *<install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* LecturaRead
Identidad del grupo de aplicaciones del Administrador de informesReport Manager Application pool identity <instalación>\Reporting Services\ReportManager\Pages\.*<install>\Reporting Services\ReportManager\Pages\.* LecturaRead
<Cuenta de servicio web del servidor de informes><Report Server Web Service Account> <instalación>\Reporting Services\ReportServer<install>\Reporting Services\ReportServer LecturaRead
<Cuenta de servicio web del servidor de informes><Report Server Web Service Account> <instalación>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax CompletoFull
TodosEveryone <instalación>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
SERVICIO DE REDNetwork service <instalación>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx CompletoFull
TodosEveryone <instalación>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Cuenta de servicios de Windows ReportServerReportServer Windows Services Account <instalación>\Reporting Services\ReportServer\RSReportServer.config<install>\Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
TodosEveryone Claves del Servidor de informes (subárbol Instid)Report Server keys (Instid hive) Consultar valorQuery Value

Enumerar subclavesEnumerate SubKeys

NotificarNotify

Controles de lecturaRead Control
Usuario de Terminal ServicesTerminal Services User Claves del Servidor de informes (subárbol Instid)Report Server keys (Instid hive) Consultar valorQuery Value

Establecer valorSet Value

Crear subclaveCreate SubKey

Enumerar subclaveEnumerate SubKey

NotificarNotify

DELETEDelete

Controles de lecturaRead Control
Usuarios avanzadosPower Users Claves del Servidor de informes (subárbol Instid)Report Server keys (Instid hive) Consultar valorQuery Value

Establecer valorSet Value

Crear subclaveCreate Subkey

Enumerar subclavesEnumerate Subkeys

NotificarNotify

DELETEDelete

Controles de lecturaRead Control

Este es el espacio de nombres del proveedor de WMI.This is the WMI provider namespace.

La unidad predeterminada para las ubicaciones de instalación es systemdrive, normalmente la unidad C: al instalar bases de datos tempdb o de usuarioThe default drive for locations for installation is systemdrive, normally drive C. When tempdb or user databases are installed

Unidad de disco no predeterminadaNon-default Drive

Cuando se instala una unidad local que no es la predeterminada, el SID por servicio debe tener acceso a la ubicación del archivo.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. El programa de instalación de SQL ServerSQL Server proporcionará el acceso necesario. SQL ServerSQL Server Setup will provision the required access.

Recurso compartido de redNetwork Share

Cuando las bases de datos se instalan en un recurso compartido de red, la cuenta de servicio debe tener acceso a la ubicación del archivo de las bases de datos de usuario y tempdb.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. El programa de instalación de SQL ServerSQL Server no puede proporcionar acceso a un recurso compartido de red. SQL ServerSQL Server Setup cannot provision access to a network share. El usuario debe proporcionar acceso a una ubicación de tempdb para la cuenta de servicio antes de ejecutar el programa de instalación.The user must provision access to a tempdb location for the service account before running setup. El usuario debe proporcionar acceso a la ubicación de la base de datos de usuario antes de crear la base de datos.The user must provision access to the user database location before creating the database.

Nota

Las cuentas virtuales no se pueden autenticar en una ubicación remota.Virtual accounts cannot be authenticated to a remote location. Todas las cuentas virtuales usan el permiso de la cuenta del equipo.All virtual accounts use the permission of machine account. Aprovisione la cuenta de equipo con el formato <nombre_dominio>\<nombre_equipo>$.Provision the machine account in the format <domain_name>\<computer_name>$.

Revisar las consideraciones adicionales Reviewing Additional Considerations

En la tabla siguiente se muestran los permisos que necesitan los servicios de SQL ServerSQL Server para proporcionar una funcionalidad adicional.The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Servicio/AplicaciónService/Application FuncionalidadFunctionality Permiso necesarioRequired permission
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) Escribir en un buzón de correo mediante xp_sendmail.Write to a mail slot using xp_sendmail. Permisos de escritura de la red.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER) (MSSQLSERVER) Ejecute xp_cmdshell para un usuario que no sea administrador de SQL ServerSQL Server .Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Actuar como parte del sistema operativo y reemplazar un token de nivel de proceso.Act as part of operating system and replace a process-level token.
Agente SQL ServerSQL Server (MSSQLSERVER) SQL ServerSQL Server Agent (MSSQLSERVER) Usar la característica de reinicio automático.Use the autorestart feature. Debe ser un miembro del grupo local Administradores.Must be a member of the Administrators local group.
Asistente para la optimización de Motor de base de datosDatabase Engine Motor de base de datosDatabase Engine Tuning Advisor Optimiza las bases de datos para un rendimiento óptimo de las consultas.Tunes databases for optimal query performance. Al utilizarla por primera vez, un usuario que tenga credenciales administrativas debe inicializar la aplicación.On first use, a user who has system administrative credentials must initialize the application. Después de la inicialización, los usuarios de dbo pueden usar el Asistente para la optimización de Motor de base de datosDatabase Engine para optimizar solo aquellas tablas de las que son propietarios.After initialization, dbo users can use the Motor de base de datosDatabase Engine Tuning Advisor to tune only those tables that they own. Para obtener más información, vea el tema que trata sobre cómo inicializar el Asistente para la optimización del Motor de base de datosDatabase Engine en los Libros en pantalla de SQL ServerSQL Server .For more information, see "Initializing Motor de base de datosDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Importante

Antes de actualizar SQL ServerSQL Server, habilite la autenticación de Windows para el Agente SQL ServerSQL Server y compruebe la configuración predeterminada necesaria: que la cuenta de servicio del Agente SQL ServerSQL Server sea miembro del grupo SQL ServerSQL Serversysadmin.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

Permisos del Registro Registry Permissions

El subárbol del Registro se crea en HKLM\Software\Microsoft\Microsoft SQL Server\<Id_instancia> para los componentes que dependen de la instancia.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Por ejemploFor example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

    El Registro también mantiene una asignación de identificador de instancia a nombre de instancia.The registry also maintains a mapping of instance ID to instance name. La asignación de identificador de instancia a nombre de instancia se mantiene de la siguiente forma:Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMI WMI

El Instrumental de administración de Windows (WMI) debe poder conectarse al Motor de base de datosDatabase Engine.Windows Management Instrumentation (WMI) must be able to connect to the Motor de base de datosDatabase Engine. Para admitir esto, el SID por servicio del proveedor WMI de Windows (NT SERVICE\winmgmt) se aprovisiona en Motor de base de datosDatabase Engine.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Motor de base de datosDatabase Engine.

El proveedor WMI de SQL requiere los siguientes permisos:The SQL WMI provider requires the following permissions:

  • Pertenencia a los roles fijos de base de datos db_ddladmin o db_owner en la base de datos msdb.Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • El permisoCREATE DDL EVENT NOTIFICATION en el servidor.CREATE DDL EVENT NOTIFICATION permission in the server.

  • El permisoCREATE TRACE EVENT NOTIFICATION en el Motor de base de datosDatabase Engine.CREATE TRACE EVENT NOTIFICATION permission in the Motor de base de datosDatabase Engine.

  • Permiso de nivel de servidorVIEW ANY DATABASE .VIEW ANY DATABASE server-level permission.

    El programa de instalación de SQL ServerSQL Server crea un espacio de nombres WMI SQL y concede el permiso de lectura al SID por servicio del Agente SQL ServerSQL Server . SQL ServerSQL Server setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Canalizaciones con nombre Named Pipes

En toda la instalación, el programa de instalación de SQL ServerSQL Server proporciona acceso al Motor de base de datos de SQL ServerSQL Server Database Engine a través del protocolo de memoria compartida, que es una canalización con nombre local.In all installation, SQL ServerSQL Server Setup provides access to the Motor de base de datos de SQL ServerSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

Aprovisionamiento Provisioning

En esta sección se describe el modo en que se aprovisionan las cuentas dentro de los distintos componentes de SQL ServerSQL Server .This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Aprovisionamiento del motor de base de datos Database Engine Provisioning

Las cuentas siguientes se agregan como inicios de sesión en el Motor de base de datos de SQL ServerSQL Server Database Engine.The following accounts are added as logins in the Motor de base de datos de SQL ServerSQL Server Database Engine.

Entidades de seguridad de Windows Windows Principals

Durante la instalación, el programa de instalación de SQL ServerSQL Server requiere al menos que una cuenta de usuario se denomine como un miembro del rol fijo de servidor sysadmin .During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

Cuenta sa sa Account

La cuenta sa está siempre presente como inicio de sesión de Motor de base de datosDatabase Engine y es miembro del rol fijo de servidor sysadmin .The sa account is always present as a Motor de base de datosDatabase Engine login and is a member of the sysadmin fixed server role. Cuando Motor de base de datosDatabase Engine se instala solo con autenticación de Windows (es decir, cuando la autenticación de SQL ServerSQL Server no está habilitada), el inicio de sesión de sa aún está presente, aunque deshabilitado.When the Motor de base de datosDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. Para obtener información sobre cómo habilitar la cuenta sa , vea Cambiar el modo de autenticación del servidor.For information about enabling the sa account, see Change Server Authentication Mode.

Privilegios e inicio de sesión de SID por servicio de SQL Server SQL Server Per-service SID Login and Privileges

El SID por servicio del SQL ServerSQL Server se proporciona como inicio de sesión del Motor de base de datosDatabase Engine .The per-service SID of the SQL ServerSQL Server service is provisioned as a Motor de base de datosDatabase Engine login. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Privilegios e inicio de sesión del Agente SQL Server SQL Server Agent Login and Privileges

El SID por servicio del servicio Agente SQL ServerSQL Server se proporciona como un inicio de sesión del Motor de base de datosDatabase Engine .The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Motor de base de datosDatabase Engine login. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Grupos de disponibilidad AlwaysOnAlways On Availability Groups Grupos de disponibilidad AlwaysOnAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

Al instalar Motor de base de datosDatabase Engine como una instancia de los clústeres de conmutación por error de SQL (SQL FCI) o Grupos de disponibilidad AlwaysOnAlways On availability groups , LOCAL SYSTEM se proporciona en Motor de base de datosDatabase Engine.When installing the Motor de base de datosDatabase Engine as a Grupos de disponibilidad AlwaysOnAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Motor de base de datosDatabase Engine. Al inicio de sesión a LOCAL SYSTEM se le concede el permiso ALTER ANY AVAILABILITY GROUP (para Grupos de disponibilidad AlwaysOnAlways On availability groups) y el permiso VIEW SERVER STATE (para SQL FCI).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Grupos de disponibilidad AlwaysOnAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

Objeto de escritura SQL y privilegios SQL Writer and Privileges

El SID por servicio del servicio SQL ServerSQL Server VSS Writer se proporciona como un inicio de sesión del Motor de base de datosDatabase Engine .The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Motor de base de datosDatabase Engine login. El inicio de sesión del SID por servicio es un miembro del rol fijo de servidor sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

WMI y privilegios de SQL SQL WMI and Privileges

El programa de instalación de SQL ServerSQL Server aprovisiona la cuenta NT SERVICE\Winmgmt como un inicio de sesión de Motor de base de datosDatabase Engine y la agrega al rol fijo de servidor sysadmin . SQL ServerSQL Server Setup provisions the NT SERVICE\Winmgmt account as a Motor de base de datosDatabase Engine login and adds it to the sysadmin fixed server role.

Aprovisionamiento de SSRSSSRS Provisioning

La cuenta especificada durante la instalación se aprovisiona como miembro del rol de base de datos RSExecRole .The account specified during setup is provisioned as a member of the RSExecRole database role. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración de SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Aprovisionamiento de SSAS SSAS Provisioning

Los requisitos de cuentas de servicio de SSASSSAS varían en función de cómo se implementa en el servidor. SSASSSAS service account requirements vary depending on how you deploy the server. Si va a instalar PowerPivot para SharePointPower Pivot for SharePoint, el programa de instalación de SQL ServerSQL Server requiere que se configure el servicio de Analysis ServicesAnalysis Services para ejecutarse en una cuenta de dominio.If you are installing PowerPivot para SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. Las cuentas de dominio son necesarias para admitir la facilidad administrada de la cuenta que está integrada en SharePoint.Domain accounts are required to support the managed account facility that is built into SharePoint. Por esta razón, el programa de instalación de SQL ServerSQL Server no proporciona una cuenta de servicio predeterminada, como una cuenta virtual, para una instalación de PowerPivot para SharePointPower Pivot for SharePoint .For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a PowerPivot para SharePointPower Pivot for SharePoint installation. Para obtener más información sobre el aprovisionamiento de Power PivotPower Pivot para SharePoint, vea Configurar las cuentas de servicio Power Pivot.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

Para todas las demás instalaciones independientes de SSASSSAS, puede aprovisionar el servicio para ejecutarse en una cuenta de dominio, una cuenta del sistema integrada, una cuenta administrada o una cuenta virtual.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Para obtener más información sobre el aprovisionamiento de cuentas, vea Configurar las cuentas de servicio (Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Para instalaciones en clúster, debe especificar una cuenta de dominio o una cuenta del sistema integrada.For clustered installations, you must specify a domain account or a built-in system account. Ni las cuentas administradas ni las cuentas virtuales se admiten en los clústeres de conmutación por error de SSASSSAS .Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

Todas las instalaciones de SSASSSAS requieren que especifique un administrador del sistema de la instancia de Analysis ServicesAnalysis Services .All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. Los privilegios de administrador se aprovisionan en el rol Servidor de Analysis Services.Administrator privileges are provisioned in the Analysis Services Server role.

Aprovisionamiento de SSRS SSRS Provisioning

La cuenta especificada durante la instalación se aprovisiona en el Motor de base de datosDatabase Engine como miembro del rol de base de datos RSExecRole .The account specified during setup is provisioned in the Motor de base de datosDatabase Engine as a member of the RSExecRole database role. Para obtener más información, vea Configurar la cuenta de servicio del servidor de informes (Administrador de configuración de SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Actualización de versiones anteriores Upgrading From Previous Versions

En esta sección se describen los cambios realizados durante la actualización de una versión anterior de SQL ServerSQL Server.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 requiere Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2 o Windows 8.1. requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Cualquier versión anterior de SQL ServerSQL Server que se ejecuta en una versión de sistema operativo inferior debe tener el sistema operativo actualizado antes de actualizar SQL ServerSQL Server.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Durante la actualización de Resultado deSQL Server 2005 a SQL Server 2017SQL Server 2017, el programa de instalación de SQL ServerSQL Server configurará SQL ServerSQL Server del modo siguiente.During upgrade of Resultado deSQL Server 2005 to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • El Motor de base de datosDatabase Engine se ejecuta con el contexto de seguridad del SID por servicio.The Motor de base de datosDatabase Engine runs with the security context of the per-service SID. Al SID por servicio se el concede el acceso a las carpetas de archivos de la instancia de SQL ServerSQL Server (como DATA) y las claves del Registro de SQL ServerSQL Server .The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • El SID por servicio de Motor de base de datosDatabase Engine se aprovisiona en Motor de base de datosDatabase Engine como miembro del rol fijo de servidor sysadmin .The per-service SID of the Motor de base de datosDatabase Engine is provisioned in the Motor de base de datosDatabase Engine as a member of the sysadmin fixed server role.

    • Los SID por servicio se agregan a los grupos de Windows locales de SQL ServerSQL Server , a menos que SQL ServerSQL Server sea una instancia de clústeres de conmutación por error.The per-service SID’s are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • Los recursos de SQL ServerSQL Server siguen aprovisionados para los grupos de SQL ServerSQL Server Windows locales.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • El nombre del grupo de Windows local de los servicios se cambia de SQLServer2005MSSQLUser$<nombre_equipo>$<nombre_instancia> a SQLServerMSSQLUser$<nombre_equipo>$<nombre_instancia>.The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. Las ubicaciones de archivos de las bases de datos migradas tendrán entradas de control de acceso (ACE) para los grupos de Windows locales.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. Las ubicaciones de archivos para las nuevas bases de datos tendrán ACE para el SID por servicio.The file locations for new databases will have ACE’s for the per-service SID.

  • Durante la actualización de SQL Server 2008SQL Server 2008, el programa de instalación de SQL ServerSQL Server se preservará las ACE para el SID por servicio de SQL Server 2008SQL Server 2008 .During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE’s for the SQL Server 2008SQL Server 2008 per-service SID.

  • Para una instancia de los clústeres de conmutación por error de SQL ServerSQL Server , se conservará la ACE de la cuenta de dominio configurada para el servicio.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

Apéndice Appendix

Esta sección contiene información adicional sobre los servicios de SQL ServerSQL Server .This section contains additional information about SQL ServerSQL Server services.

Descripción de las cuentas de servicio Description of Service Accounts

La cuenta de servicio es la que se usa para iniciar un servicio de Windows, como Motor de base de datos de SQL ServerSQL Server Database Engine.The service account is the account used to start a Windows service, such as the Motor de base de datos de SQL ServerSQL Server Database Engine.

Cuentas disponibles con cualquier sistema operativo Accounts Available With Any Operating System

Además de las nuevas cuentas MSA y las cuentas virtuales descritas anteriormente, pueden usarse las siguientes cuentas.In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

Cuenta de usuario de dominio Domain User Account

Si el servicio debe interactuar con servicios de red o tener acceso a recursos de un dominio como los recursos compartidos de archivos, o si utiliza conexiones con el servidor vinculadas a otros equipos que ejecutan SQL ServerSQL Server, podría utilizar una cuenta de servidor de dominio con privilegios mínimos.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. Muchas actividades de servidor a servidor solo se pueden realizar con una cuenta de usuario de dominio.Many server-to-server activities can be performed only with a domain user account. El administrador del dominio del entorno debe haber creado esta cuenta previamente.This account should be pre-created by domain administration in your environment.

Nota

Si configura la aplicación para utilizar una cuenta de dominio, puede aislar los privilegios de la aplicación, pero debe administrar manualmente contraseñas o crear una solución personalizada para administrar estas contraseñas.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. Muchas aplicaciones de servidor usan esta estrategia para mejorar la seguridad, pero requiere una administración adicional y conlleva una mayor complejidad.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. En estas implementaciones, los administradores de servicios emplean un tiempo considerable en las tareas de mantenimiento como la administración de las contraseñas de servicio y los nombres principales de servicio (SPN), que son necesarios para la autenticación Kerberos.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. Además, estas tareas de mantenimiento pueden interrumpir el servicio.In addition, these maintenance tasks can disrupt service.

Local User Accounts Local User Accounts

Si el equipo no forma parte de un dominio, se recomienda usar una cuenta de usuario local sin permisos de administrador de Windows.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Cuenta de servicio local Local Service Account

La cuenta de servicio local es una cuenta integrada que tiene el mismo nivel de acceso a los recursos y objetos que los miembros del grupo Usuarios.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Este acceso limitado ayuda a proteger el sistema en caso de que los servicios o procesos individuales se vean comprometidos.This limited access helps safeguard the system if individual services or processes are compromised. Los servicios que se ejecutan en la cuenta de servicio local obtienen acceso a los recursos de la red como una sesión nula sin credenciales.Services that run as the Local Service account access network resources as a null session without credentials. Tenga en cuenta que la cuenta de servicio local no se admite para los servicios de SQL ServerSQL Server ni de Agente SQL ServerSQL Server .Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. No se admite el servicio local como la cuenta que ejecuta los servicios porque es un servicio compartido y cualquier otro servicio que se ejecute bajo el servicio local tendrá acceso de administrador del sistema a SQL ServerSQL Server.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. El nombre real de la cuenta es NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Cuenta de servicio de red Network Service Account

La cuenta de servicio de red es una cuenta integrada que tiene un mayor nivel de acceso a los recursos y a los objetos que los miembros del grupo Usuarios.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Los servicios que se ejecutan como cuenta de servicio de red acceden a los recursos de red mediante las credenciales de la cuenta de equipo con el formato <nombre_dominio>\<nombre_equipo>$.Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. El nombre real de la cuenta es NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Cuenta de sistema local Local System Account

Sistema local es una cuenta integrada con un alto nivel de privilegios.Local System is a very high-privileged built-in account. Tiene amplios privilegios en el sistema local y actúa como el equipo en la red.It has extensive privileges on the local system and acts as the computer on the network. El nombre real de la cuenta es NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Identificar los servicios que reconocen y que no reconocen instancias Identifying Instance-Aware and Instance-Unaware Services

Los servicios que reconocen instancias se asocian a una instancia específica de SQL ServerSQL Servery tienen su propio subárbol del Registro.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. Puede instalar varias copias de servicios que reconocen instancias mediante la ejecución del programa de instalación de SQL ServerSQL Server para instalar cada componente o servicio.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. Los servicios que no reconocen instancias se comparten entre todas las instancias de SQL ServerSQL Server instaladas.Instance-unaware services are shared among all installed SQL ServerSQL Server instances. No se asocian a una instancia concreta, se instalan solamente una vez y no se pueden instalar en paralelo.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Entre los servicios que reconocen instancias en SQL ServerSQL Server se incluyen los siguientes:Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • e SQL ServerSQL Server SQL ServerSQL Server Agent

    Tenga en cuenta que el Agente SQL ServerSQL Server se deshabilita en instancias de SQL Server ExpressSQL Server Express y SQL Server ExpressSQL Server Express con Advanced Services.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • Búsqueda de texto completoFull-text search

    Entre los servicios que no reconocen instancias en SQL ServerSQL Server se incluyen los siguientes:Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server Browser Browser

  • Objeto de escritura de SQLSQL Writer

    Analysis Services en modo integrado de SharePoint se ejecuta como ' Power PivotPower Pivot', como una instancia con nombre única.Analysis Services in SharePoint integrated mode runs as ' Power PivotPower Pivot' as a single, named instance. El nombre de instancia es fijo.The instance name is fixed. No puede especificar un nombre diferente.You cannot specify a different name. Solamente puede instalar una instancia de Analysis Services que se ejecute como ' Power PivotPower Pivot' en cada servidor físico.You can install only one instance of Analysis Services running as ' Power PivotPower Pivot' on each physical server.

Nombres de servicio traducidos Localized Service Names

En la tabla siguiente, se muestran los nombres de servicio que se ven en las versiones traducidas de Windows.The following table shows service names that are displayed by localized versions of Windows.

LenguajeLanguage Nombre de Servicio localName for Local Service Nombre de Servicio de redName for Network Service Nombre del sistema localName for Local System Nombre del grupo de administradoresName for Admin Group
InglésEnglish

Chino simplificadoSimplified Chinese

Chino tradicionalTraditional Chinese

CoreanoKorean

JaponésJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
AlemánGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FrancésFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ItalianoItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
EspañolSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RusoRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\АдминистраторыBUILTIN\Администраторы

Consideraciones de seguridad para una instalación de SQL ServerSecurity Considerations for a SQL Server Installation

Ubicaciones de archivos para las instancias predeterminadas y con nombre de SQL ServerFile Locations for Default and Named Instances of SQL Server

Instalar Master Data ServicesInstall Master Data Services