Configurer les comptes de service Windows et les autorisationsConfigure Windows Service Accounts and Permissions

Cette rubrique s’applique à : OuiSQL Serveraucunbase de données SQL AzureaucunAzure SQL Data Warehouse aucun Parallel Data WarehouseTHIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

Pour accéder au contenu relatif aux versions précédentes de SQL Server, consultez Configurer les comptes de service Windows et les autorisations.For content related to previous versions of SQL Server, see Configure Windows Service Accounts and Permissions.

Chaque service de SQL ServerSQL Server représente un processus ou un ensemble de processus permettant de gérer l'authentification des opérations de SQL ServerSQL Server avec Windows.Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. Cette rubrique décrit la configuration par défaut des services inclus dans cette version de SQL ServerSQL Server, ainsi que les options de configuration des services SQL ServerSQL Server susceptibles d'être définies durant l'installation de SQL ServerSQL Server et par la suite.This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. Cette rubrique permet aux utilisateurs expérimentés de comprendre les détails des comptes de service.This topic helps advanced users understand the details of the service accounts.

La plupart des services et de leurs propriétés peuvent être configurés à l’aide du Gestionnaire de configuration SQL ServerSQL Server .Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. Voici les chemins d’accès aux quatre dernières versions lorsque Windows est installé sur le lecteur C.Here are the paths to the last four versions when Windows in installed on the C drive.

SQL ServerSQL Server 20162016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014SQL Server 2014 C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012SQL Server 2012 C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

Services installés par SQL ServerSQL ServerServices Installed by SQL ServerSQL Server

En fonction des composants que vous décidez d'installer, le programme d'installation de SQL ServerSQL Server installe les services suivants :Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • Services de base de données SQL ServerSQL Server : service pour le Moteur de base de donnéesDatabase Engine relationnel SQL ServerSQL Server. SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational Moteur de base de donnéesDatabase Engine. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server Agent : exécute les travaux, surveille SQL ServerSQL Server, déclenche les alertes et autorise l’automatisation de certaines tâches administratives. SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. Le service Agent SQL ServerSQL Server est présent mais désactivé sur les instances de SQL Server ExpressSQL Server Express.The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. Le fichier exécutable est <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services : fournit des fonctionnalités de traitement analytique en ligne (OLAP) et d’exploration de données pour les applications décisionnelles. Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. Le fichier exécutable est <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services : gère, exécute, crée, planifie et remet les rapports. Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. Le fichier exécutable est <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services : assure la prise en charge de la gestion du stockage et de l’exécution des packages Integration ServicesIntegration Services . Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. Le chemin du fichier exécutable est <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe.The executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser : service de résolution de noms qui fournit des informations de connexion SQL ServerSQL Server pour les ordinateurs clients. SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. Le chemin d’accès du fichier exécutable est c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exeThe executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • Recherche en texte intégral : crée rapidement des index de recherche en texte intégral sur le contenu et des propriétés de données structurées et semi-structurées pour fournir un filtrage de document et l’analyse lexicale pour SQL ServerSQL Server.Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • SQL Writer : permet aux applications de sauvegarde et restauration de fonctionner dans l’infrastructure du service de cliché instantané de volume (VSS).SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller : fournit l’orchestration de relecture de trace pour plusieurs ordinateurs clients Distributed Replay. SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client : un ou plusieurs ordinateurs clients Distributed Replay qui opèrent avec un contrôleur Distributed Replay pour simuler des charges de travail simultanées sur une instance du Moteur de base de données SQL ServerSQL Server Database Engine. SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the Moteur de base de données SQL ServerSQL Server Database Engine.

  • SQL Server Trusted LaunchpadSQL Server Trusted Launchpad : service approuvé hébergeant les exécutables externes fournis par Microsoft, tels que le composant d’exécution R installé avec R Services (dans la base de données)R Services (In-Database). SQL Server Trusted LaunchpadSQL Server Trusted Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R runtime installed as part of R Services (dans la base de données)R Services (In-Database). Le processus Launchpad peut lancer des processus satellites dont les ressources seront régies par la configuration de l’instance.Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. Le service Launchpad s’exécute sous son propre compte d’utilisateur, et chaque processus satellite d’une exécution déclarée hérite du compte d’utilisateur de Launchpad.The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. Les processus satellites sont créés et détruits à la demande pendant l’exécution.Satellite processes are created and destroyed on demand during execution time.

    LaunchPad ne peut pas créer les comptes qu’elle utilise si vous installez SQL Server sur un ordinateur qui est également utilisé comme un contrôleur de domaine.Launchpad cannot create the accounts it uses if you install SQL Server on a computer that is also used as a domain controller. Par conséquent, l’installation de R Services (en base de données) ou de Machine Learning Services (en base de données) échoue sur un contrôleur de domaine.Hence, setup of R Services (In-Database) or Machine Learning Services (In-Database) fails on a domain controller.

    • Moteur SQL Server PolyBase : fournit des fonctions de requête distribuée aux sources de données externes.SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

    • Service de déplacement de données SQL Server PolyBase : permet le déplacement de données entre SQL Server et les sources de données externes, ainsi qu’entre les nœuds SQL dans les groupes de scale-out PolyBase.SQL Server Polybase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

Propriétés et configuration des servicesService Properties and Configuration

Les comptes de démarrage utilisés pour démarrer et exécuter SQL ServerSQL Server peuvent être des comptes d’utilisateur de domaine, des comptes d’utilisateur local, des comptes de service administrés, des comptes virtuelsou des comptes système intégrés.Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. Pour démarrer et s'exécuter, chaque service dans SQL ServerSQL Server doit posséder un compte de démarrage configuré lors de l'installation.To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

Cette section décrit les comptes qui peuvent être configurés pour démarrer des services SQL ServerSQL Server , les valeurs par défaut utilisées par le programme d'installation de SQL ServerSQL Server , le concept de SID par service, les options de démarrage et la configuration du pare-feu.This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID’s, the startup options, and configuring the firewall.

Comptes de service par défautDefault Service Accounts

Le tableau suivant répertorie les comptes de service par défaut utilisés par le programme d'installation lors de l'installation de tous les composants.The following table lists the default service accounts used by setup when installing all components. Les comptes par défaut répertoriés sont les comptes recommandés, sauf indication contraire.The default accounts listed are the recommended accounts, except as noted.

Serveur autonome ou contrôleur de domaineStand-alone Server or Domain Controller

ComposantComponent Windows Server 2008Windows Server 2008 Windows 7 et Windows Server 2008Windows Server 2008 R2 et versions ultérieuresWindows 7 and Windows Server 2008Windows Server 2008 R2 and higher
Moteur de base de donnéesDatabase Engine SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SQL ServerSQL Server AgentAgent SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SSASSSAS SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SSISSSIS SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SSRSSSRS SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client SERVICE RÉSEAUNETWORK SERVICE Compte virtuel*Virtual Account*
Lanceur FD (recherche en texte intégral)FD Launcher (Full-text Search) SERVICE LOCALLOCAL SERVICE Compte virtuelVirtual Account
SQL ServerSQL Server BrowserBrowser SERVICE LOCALLOCAL SERVICE SERVICE LOCALLOCAL SERVICE
SQL ServerSQL Server Enregistreur VSSVSS Writer SYSTÈME LOCALLOCAL SYSTEM SYSTÈME LOCALLOCAL SYSTEM
Extensions analytiques avancéesAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
Moteur PolyBasePolyBase Engine SERVICE RÉSEAUNETWORK SERVICE SERVICE RÉSEAUNETWORK SERVICE
Service de déplacement de données PolyBasePolyBase Data Movement Service SERVICE RÉSEAUNETWORK SERVICE SERVICE RÉSEAUNETWORK SERVICE

*Quand des ressources externes à l’ordinateur SQL ServerSQL Server sont requises, MicrosoftMicrosoft recommande d’utiliser un compte de service administré (MSA), configuré avec le minimum de privilèges nécessaires.*When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.

Instance de cluster de basculement SQL ServerSQL Server Failover Cluster Instance

ComposantComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2R2
Moteur de base de donnéesDatabase Engine Aucun.None. Fournit un compte d' utilisateur de domaine .Provide a domain user account. Fournit un compte d' utilisateur de domaine .Provide a domain user account.
SQL ServerSQL Server AgentAgent Aucun.None. Fournit un compte d' utilisateur de domaine .Provide a domain user account. Fournit un compte d' utilisateur de domaine .Provide a domain user account.
SSASSSAS Aucun.None. Fournit un compte d' utilisateur de domaine .Provide a domain user account. Fournit un compte d' utilisateur de domaine .Provide a domain user account.
SSISSSIS SERVICE RÉSEAUNETWORK SERVICE Compte virtuelVirtual Account
SSRSSSRS SERVICE RÉSEAUNETWORK SERVICE Compte virtuelVirtual Account
Lanceur FD (recherche en texte intégral)FD Launcher (Full-text Search) SERVICE LOCALLOCAL SERVICE Compte virtuelVirtual Account
SQL ServerSQL Server BrowserBrowser SERVICE LOCALLOCAL SERVICE SERVICE LOCALLOCAL SERVICE
SQL ServerSQL Server Enregistreur VSSVSS Writer SYSTÈME LOCALLOCAL SYSTEM SYSTÈME LOCALLOCAL SYSTEM

Modification des propriétés de compteChanging Account Properties

Important

  • Utilisez toujours des outils SQL ServerSQL Server , tels que le Gestionnaire de configuration SQL ServerSQL Server , pour modifier le compte utilisé par Moteur de base de données SQL ServerSQL Server Database Engine ou les services Agent SQL ServerSQL Server et pour changer le mot de passe du compte.Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the Moteur de base de données SQL ServerSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. En plus de modifier le nom du compte, le Gestionnaire de configuration SQL ServerSQL Server effectue une configuration supplémentaire pour mettre à jour le magasin de sécurité local Windows qui protège la clé principale du service pour le Moteur de base de donnéesDatabase Engine.In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the Moteur de base de donnéesDatabase Engine. D'autres outils tels que le Gestionnaire de contrôle de services Windows peuvent modifier le nom du compte mais pas tous les paramètres requis.Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
    • Pour les instances Analysis ServicesAnalysis Services que vous déployez dans une batterie de serveurs SharePoint, utilisez toujours l'Administration centrale de SharePoint pour modifier les comptes de serveur des applications de Service Power PivotPower Pivot service et du Service Analysis ServicesAnalysis Services service.For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Service Power PivotPower Pivot service applications and the Service Analysis ServicesAnalysis Services service. Les paramètres et autorisations associés sont mis à jour pour utiliser les nouvelles informations de compte lorsque vous utilisez l'Administration centrale.Associated settings and permissions are updated to use the new account information when you use Central Administration.
    • Pour modifier des options Reporting ServicesReporting Services , utilisez l'Outil de configuration de Reporting Services.To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

Comptes de service administrés, comptes de service administrés de groupe et comptes virtuelsManaged Service Accounts, Group Managed Service Accounts, and Virtual Accounts

Les comptes de service administrés, les comptes de service administrés de groupe et les comptes virtuels sont conçus pour fournir des applications cruciales telles que SQL ServerSQL Server avec l’isolation de leurs propres comptes, tout en éliminant le besoin d’un administrateur pour administrer manuellement le nom de principal du service et les informations d’identification de ces comptes.Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. Cela simplifie beaucoup la gestion à long terme des utilisateurs des comptes de service, des mots de passe et des SPN.These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service AccountsManaged Service Accounts

    Un Compte de service administré (MSA) est un type de compte de domaine créé et a géré par le contrôleur de domaine.A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. Il est affecté à un ordinateur membre unique pour exécuter un service.It is assigned to a single member computer for use running a service. Le mot de passe est géré automatiquement par le contrôleur de domaine.The password is managed automatically by the domain controller. Vous ne pouvez pas utiliser un MSA pour vous connecter à un ordinateur, mais un ordinateur peut utiliser un MSA pour démarrer un service Windows.You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. Un MSA a la capacité d'enregistrer le Nom de principal du service (SPN) avec l'Active Directory.An MSA has the ability to register Service Principal Name (SPN) with the Active Directory. Un compte MSA est nommé avec un suffixe $ , par exemple DOMAIN\ACCOUNTNAME$.A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. Lorsque vous spécifiez un MSA, laissez le mot de passe vide.When specifying a MSA, leave the password blank. Comme un MSA est affecté à un ordinateur unique, il ne peut pas être utilisé sur différents nœuds d'un cluster Windows.Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    Note

    Le MSA doit être créé dans Active Directory par l'administrateur de domaine avant que le programme d'installation de SQL ServerSQL Server puisse l'utiliser pour les services SQL ServerSQL Server .The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Comptes de service administrés de groupeGroup Managed Service Accounts

    Un compte de service administré de groupe est un compte MSA pour plusieurs serveurs.A Group Managed Service Account is an MSA for multiple servers. Windows gère un compte de service pour les services en cours d’exécution sur un groupe de serveurs.Windows manages a service account for services running on a group of servers. Active Directory met automatiquement à jour le mot de passe du compte de service administré de groupe sans redémarrer les services.Active Directory automatically updates the group managed service account password without restarting services. Vous pouvez configurer les services SQL Server pour utiliser un principal de compte de service administré de groupe.You can configure SQL Server services to use a group managed service account principal. À compter de SQL Server 2014, SQL Server prend en charge les comptes de service administrés de groupe sur Windows Server 2012 R2 et version ultérieure pour les instances autonomes, les instances de cluster de basculement et les groupes de disponibilité.Beginning with SQL Server 2014, SQL Server supports group managed service accounts on Windows Server 2012 R2 and later for standalone instances, failover cluster instances, and availability groups.

    Pour utiliser un compte de service administré de groupe pour SQL Server 2014 ou version ultérieure, le système d’exploitation doit être Windows Server 2012 R2 ou version ultérieure.To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Les serveurs avec Windows Server 2012 R2 nécessitent l’application de l’article 2998082 de la Base de connaissances afin que les services puissent se connecter sans interruption immédiatement après la modification du mot de passe.Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    Pour plus d’informations, consultez Comptes de service administrés de groupeFor more information, see Group Manged Service Accounts

    Note

    Le compte de service administré de groupe doit être créé dans Active Directory par l’administrateur de domaine avant que le programme d’installation de SQL ServerSQL Server ne puisse l’utiliser pour les services SQL ServerSQL Server .The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    Les comptes virtuels (à partir de Windows Server 2008 R2 et Windows 7) sont des comptes locaux gérés qui fournissent les fonctionnalités suivantes pour simplifier l’administration du service.Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. Le compte virtuel est géré automatiquement, et le compte virtuel peut accéder au réseau dans un environnement de domaine.The virtual account is auto-managed, and the virtual account can access the network in a domain environment. Si la valeur par défaut est utilisée pour les comptes de service lors de l’installation de SQL ServerSQL Server, un compte virtuel qui utilise le nom de l’instance comme nom de service est utilisé, au format NT SERVICE\<NOMSERVICE>.If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. Les services qui s’exécutent comme comptes virtuels accèdent aux ressources réseau à l’aide des informations d’identification du compte de l’ordinateur au format <nom_domaine>\<nom_ordinateur>$.Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Lorsque vous spécifiez un compte virtuel pour démarrer SQL ServerSQL Server, laissez le mot de passe vide.When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. Si le compte virtuel n'inscrit pas le nom de principal du service, inscrivez-le manuellement.If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. Pour plus d’informations sur l’enregistrement manuel d’un SPN, consultez Enregistrement manuel d’un SPN.For more information on registering a SPN manually, see Manual SPN Registration.

    Note

    Les comptes virtuels ne peuvent pas être utilisés pour l'instance de cluster de basculement SQL ServerSQL Server parce que le compte virtuel n'aurait pas le même SID sur chaque nœud du cluster.Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    Le tableau suivant répertorie des exemples de noms du compte virtuels.The following table lists examples of virtual account names.

    ServiceService Nom de compte virtuelVirtual Account Name
    Instance par défaut du service Moteur de base de donnéesDatabase EngineDefault instance of the Moteur de base de donnéesDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    Instance nommée d'un service nommé Moteur de base de donnéesDatabase Engine PAYROLLNamed instance of a Moteur de base de donnéesDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server Service de l'agent sur l'instance par défaut deAgent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    SQL ServerSQL Server sur une instance de SQL ServerSQL Server nommée PAYROLLAgent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

    Pour plus d’informations sur les comptes de service administrés et les comptes virtuels, consultez la section Concepts liés aux comptes de service administrés et aux comptes virtuels du Guide pas à pas des comptes de service et du Forum aux questions des comptes de service administrés.For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

    Remarque relative à la sécurité : Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible.Always run SQL Server services by using the lowest possible user rights. Utilisez un MSA ou les services Agent virtual account quand cela est possible.Security Note: Exécutez toujours les services SQL Server avec le niveau de droits d'utilisateur le plus bas possible.Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. Lorsque MSA et les comptes virtuels ne sont pas possibles, utilisez un compte d'utilisateur ou compte de domaine doté de privilèges minimaux au lieu d'un compte partagé pour les services SQL ServerSQL Server .When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. Utilisez des comptes distincts pour différents services SQL ServerSQL Server .Use separate accounts for different SQL ServerSQL Server services. N'accordez aucune autorisation supplémentaire au compte de service SQL ServerSQL Server ni aux groupes de services.Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. Les autorisations seront accordées par le biais de l'appartenance aux groupes ou accordées directement à un SID de service, lorsqu'un SID de service est pris en charge.Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

Démarrage automatiqueAutomatic startup

Outre le fait que les services doivent posséder des comptes d'utilisateurs, ils ont chacun trois états de démarrage possibles, que les utilisateurs peuvent contrôler :In addition to having user accounts, every service has three possible startup states that users can control:

  • Désactivé Le service est installé mais pas en cours d'exécution.Disabled The service is installed but not currently running.

  • Manuel Le service est installé, mais ne démarre que lorsqu'un autre service ou une autre application a besoin de ses fonctionnalités.Manual The service is installed, but will start only when another service or application needs its functionality.

  • Automatique Le service est démarré automatiquement par le système d'exploitation.Automatic The service is automatically started by the operating system.

    L'état de démarrage est sélectionné pendant l'installation.The startup state is selected during setup. Lors de l'installation d'une instance nommée, le service SQL ServerSQL Server Browser doit être configuré pour démarrer automatiquement.When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

Configuration des services pendant l’installation sans assistanceConfiguring services during unattended installation

Le tableau suivant répertorie les services SQL ServerSQL Server susceptibles d'être configurés durant l'installation.The following table shows the SQL ServerSQL Server services that can be configured during installation. Pour les installations sans assistance, vous pouvez employer les commutateurs dans un fichier de configuration ou à l'invite de commandes.For unattended installations, you can use the switches in a configuration file or at a command prompt.

Nom du service SQL ServerSQL Server service name Commutateurs pour des installations sans assistance*Switches for unattended installations*
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgentSQLServerAgent AGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller DRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client DRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R Services (dans la base de données)R Services (In-Database) EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***
Moteur PolyBasePolyBase Engine PBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

*Pour obtenir plus d’informations et un exemple de syntaxe pour des installations sans assistance, consultez Installer SQL Server 2016 à partir de l’invite de commandes.*For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

Le service SQL ServerSQL Server Agent est désactivé sur les instances de SQL Server ExpressSQL Server Express et SQL Server ExpressSQL Server Express with Advanced Services.The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

***La définition du compte pour Launchpad au moyen des commutateurs seuls n’est pas prise en charge actuellement.***Setting the account for Launchpad through the switches alone is not currently supported. Utilisez le Gestionnaire de configuration SQL Server pour modifier le compte et les autres paramètres de service.Use SQL Server Configuration Manager to change the account and other service settings.

Port de pare-feuFirewall Port

Dans la plupart des cas, lors de l'installation initiale, le Moteur de base de donnéesDatabase Engine peut être connecté par des outils tels que SQL Server Management StudioSQL Server Management Studio installés sur le même ordinateur que SQL ServerSQL Server.In most cases, when initially installed, the Moteur de base de donnéesDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. Le programme d’installation de SQL ServerSQL Server n’ouvre pas de ports dans le pare-feu Windows. SQL ServerSQL Server Setup does not open ports in the Windows firewall. Les connexions d'autres ordinateurs peuvent ne pas être possibles tant que le Moteur de base de donnéesDatabase Engine n'est pas configuré pour écouter sur un port TCP, et tant que le port approprié n'est pas ouvert aux connexions dans le pare-feu Windows.Connections from other computers may not be possible until the Moteur de base de donnéesDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. Pour plus d’informations, consultez Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.For more information, see Configure the Windows Firewall to Allow SQL Server Access.

Autorisations de serviceService Permissions

Cette section décrit les autorisations configurées par le programme d'installation de SQL ServerSQL Server pour le SID par service des services SQL ServerSQL Server .This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID’s of the SQL ServerSQL Server services.

Configuration du service et contrôle d’accèsService Configuration and Access Control

SQL Server 2017SQL Server 2017 active un SID par service pour chacun de ses services pour fournir une isolation de service et une défense en profondeur.enables per-service SID for each of its services to provide service isolation and defense in depth. Le SID par service est dérivé du nom du service et est propre à ce service.The per-service SID is derived from the service name and is unique to that service. Par exemple, un nom de SID pour le service Moteur de base de donnéesDatabase Engine peut être NT Service\MSSQL$<nom_instance>.For example, a service SID name for the Moteur de base de donnéesDatabase Engine service might be NT Service\MSSQL$<InstanceName>. L'isolation de service permet l'accès à des objets spécifiques sans devoir exécuter un compte à privilèges élevés ni affaiblir la protection de sécurité de l'objet.Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. Un service SQL ServerSQL Server peut limiter l'accès à ses ressources via une entrée de contrôle d'accès qui contient un SID de service.By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

Note

Sur Windows 7 et Windows Server 2008Windows Server 2008 R2 (et versions ultérieures) le SID par service peut être le compte virtuel utilisé par le service.On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

Pour la plupart des composants, SQL ServerSQL Server configure directement l'ACL pour le compte par service, par conséquent, la modification du compte de service peut être effectuée sans devoir répéter le processus ACL de la ressource.For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

Lors de l'installation de SSASSSAS, un SID par service est créé pour le service Analysis ServicesAnalysis Services .When installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. Un groupe Windows local est créé, nommé au format SQLServerMSASUser$nom_ordinateur$nom_instance.A local Windows group is created, named in the format SQLServerMSASUser$computer_name$instance_name. Le SID par service NT SERVICE\MSSQLServerOLAPService peut appartenir au groupe Windows local et le groupe Windows local reçoit les autorisations appropriées dans l’ACL.The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Si le compte utilisé pour démarrer le service Analysis ServicesAnalysis Services est modifié, le Gestionnaire de configuration SQL ServerSQL Server doit modifier les autorisations Windows (telles que le droit d'ouvrir une session en tant que service), mais les autorisations affectées au groupe Windows local seront toujours disponibles sans besoin de mise à jour, parce que le SID par service n'a pas changé.If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. Cette méthode permet de renommer le service Analysis ServicesAnalysis Services pendant des mises à niveau.This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

Pendant l'installation de SQL ServerSQL Server , le programme d'installation de SQL ServerSQL Server crée des groupes Windows locaux pour SSASSSAS et le service SQL ServerSQL Server Browser.During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. Pour ces services, SQL ServerSQL Server configure l'ACL pour les groupes Windows locaux.For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

Selon la configuration du service, le compte de service pour un service ou un SID de service est ajouté en tant que membre du groupe de service lors de l'installation ou de la mise à niveau.Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Privilèges et droits WindowsWindows Privileges and Rights

Le compte affecté pour démarrer un service a besoin d' autorisations de démarrage, arrêt et pause pour le service.The account assigned to start a service needs the Start, stop and pause permission for the service. Le programme d'installation de SQL ServerSQL Server les affecte automatiquement.The SQL ServerSQL Server Setup program automatically assigns this. En premier lieu, installez les Outils d'administration de serveur distant.First install Remote Server Administration Tools (RSAT). Consultez la rubrique Outils d'administration de serveur distant pour Windows 7.See Remote Server Administration Tools for Windows 7.

Le tableau suivant affiche les autorisations que le programme d'installation de SQL ServerSQL Server demande pour les SID par service ou les groupes Windows locaux utilisés par les composants SQL ServerSQL Server .The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

SQL ServerSQL Server ServiceService Autorisations accordées par le programme d'installation de SQL ServerSQL ServerPermissions granted by SQL ServerSQL Server Setup
Moteur de base de données SQL ServerSQL Server Database Engine: Moteur de base de données SQL ServerSQL Server Database Engine:

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut : NT SERVICE\MSSQLSERVER.Default instance: NT SERVICE\MSSQLSERVER. Instance nommée : NT SERVICE\MSSQL$NomInstance.)Named instance: NT SERVICE\MSSQL$InstanceName.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorer la vérification transversale (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Autorisation de démarrer SQL WriterPermission to start SQL Writer

Autorisation de lire le service Journal des événementsPermission to read the Event Log service

Autorisation de lire le service d'appel de procédure distante (RPC)Permission to read the Remote Procedure Call service
SQL ServerSQL Server Agent : * SQL ServerSQL Server Agent: *

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut : NT Service\SQLSERVERAGENT.Default instance: NT Service\SQLSERVERAGENT. Instance nommée : NT Service\SQLAGENT$nom_instance.)Named instance: NT Service\SQLAGENT$InstanceName.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorer la vérification transversale (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS: SSASSSAS:

(Tous les droits sont accordés à un groupe Windows local.(All rights are granted to a local Windows group. Instance par défaut : SQLServerMSASUser$nom_ordinateur$MSSQLSERVER.Default instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. Instance nommée : SQLServerMSASUser$nom_ordinateur$nom_instance.Named instance: SQLServerMSASUser$ComputerName$InstanceName. Instance Power Pivot pour SharePointPower Pivot for SharePoint : SQLServerMSASUser$nom_ordinateur$PowerPivot.) Power Pivot pour SharePointPower Pivot for SharePoint instance: SQLServerMSASUser$ComputerName$PowerPivot.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Tabulaire uniquement :For tabular only:

Augmenter une plage de travail de processus (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaSizePrivilege)Adjust memory quotas for a process (SeIncreaseQuotaSizePrivilege)

Verrouiller les pages en mémoire (SeLockMemoryPrivilege) : nécessaire uniquement quand la pagination est totalement désactivée.Lock pages in memory (SeLockMemoryPrivilege) – this is needed only when paging is turned off entirely.

Installations de cluster de basculement uniquement :For failover cluster installations only:

Augmenter la priorité de planification (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS: SSRSSSRS:

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut : NT SERVICE\ReportServer.Default instance: NT SERVICE\ReportServer. Instance nommée : NT SERVICE\ReportServer$nom_instance.)Named instance: NT SERVICE\ReportServer$InstanceName.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS: SSISSSIS:

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut et instance nommée : NT SERVICE\MsDtsServer130.Default instance and named instance: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services n’a pas de processus séparé pour une instance nommée.) does not have a separate process for a named instance.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Autorisation d'écrire dans le journal des événements d'applicationPermission to write to application event log.

Ignorer la vérification transversale (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Emprunter l’identité d’un client après l’authentification (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
Recherche en texte intégral :Full-text search:

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut : NT Service\MSSQLFDLauncher.Default instance: NT Service\MSSQLFDLauncher. Instance nommée : NT Service\ MSSQLFDLauncher$nom_instance.)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Ignorer la vérification transversale (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server Browser : SQL ServerSQL Server Browser:

(Tous les droits sont accordés à un groupe Windows local.(All rights are granted to a local Windows group. Instance par défaut ou instance nommée : SQLServer2005SQLBrowserUser$nom_ordinateur.Default or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser n'a pas de processus séparé pour une instance nommée.) Browser does not have a separate process for a named instance.)
Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server : SQL ServerSQL Server VSS Writer:

(Tous les droits sont accordés au SID par service.(All rights are granted to the per-service SID. Instance par défaut ou instance nommée : NT Service\SQLWriter.Default or named instance: NT Service\SQLWriter. L’enregistreur VSS SQL ServerSQL Server n’a pas de processus séparé pour une instance nommée.) SQL ServerSQL Server VSS Writer does not have a separate process for a named instance.)
Le service SQLWriter s'exécute sous le compte LOCAL SYSTEM qui a toutes les autorisations requises.The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. Le programme d'installation de SQL ServerSQL Server ne vérifie pas et n'accorde pas d'autorisations pour ce service. SQL ServerSQL Server setup does not check or grant permissions for this service.
SQL ServerSQL Server Distributed Replay Controller : SQL ServerSQL Server Distributed Replay Controller: Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server Distributed Replay Client : SQL ServerSQL Server Distributed Replay Client: Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Moteur PolyBase et DMSPolyBase Engine and DMS Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
Launchpad :Launchpad: Ouvrir une session en tant que service (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Ignorer la vérification transversale (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R Services : SQLRUserGroupR Services: SQLRUserGroup Permettre l’ouverture d’une session localeAllow Log on locally

*Le service SQL ServerSQL Server Agent est désactivé sur les instances de SQL Server ExpressSQL Server Express.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

Autorisations de système de fichiers accordées aux SID par service SQL Server ou aux groupes Windows locauxFile System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

SQL ServerSQL Server doivent avoir accès aux ressources.service accounts must have access to resources. Les listes de contrôle d'accès sont définies pour le SID par service ou le groupe Windows local.Access control lists are set for the per-service SID or the local Windows group.

Important

Pour les installations de clusters de basculement, les ressources des disques partagés doivent être attribuées à la liste ACL d'un compte local.For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

Le tableau suivant répertorie les listes ACL définies par le programme d'installation de SQL ServerSQL Server .The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

Compte de service pourService account for Fichiers et dossiersFiles and folders AccèsAccess
MSSQLServerMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup Contrôle totalFull control
Instid\MSSQL\binnInstid\MSSQL\binn Lecture, exécutionRead, Execute
Instid\MSSQL\dataInstid\MSSQL\data Contrôle totalFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData Contrôle totalFull control
Instid\MSSQL\InstallInstid\MSSQL\Install Lecture, exécutionRead, Execute
Instid\MSSQL\LogInstid\MSSQL\Log Contrôle totalFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata Contrôle totalFull control
130\shared130\shared Lecture, exécutionRead, Execute
Données Instid\MSSQL\Template ( SQL Server ExpressSQL Server Express uniquement)Instid\MSSQL\Template Data ( SQL Server ExpressSQL Server Express only) LectureRead
SQLServerAgent*SQLServerAgent* Instid\MSSQL\binnInstid\MSSQL\binn Contrôle totalFull control
Instid\MSSQL\binnInstid\MSSQL\binn Contrôle totalFull control
Instid\MSSQL\LogInstid\MSSQL\Log Lecture, écriture, exécution, suppression (Read, Write, Execute, Delete)Read, Write, Delete, Execute
130\com130\com Lecture, exécutionRead, Execute
130\shared130\shared Lecture, exécutionRead, Execute
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
ServerName\EventLogServerName\EventLog Contrôle totalFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData Contrôle totalFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef Lecture, exécutionRead, Execute
130\shared130\shared Lecture, exécutionRead, Execute
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install Lecture, exécutionRead, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs Lecture, écritureRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig Contrôle totalFull control
Instid\OLAPInstid\OLAP Lecture, exécutionRead, Execute
Instid\Olap\DataInstid\Olap\Data Contrôle totalFull control
Instid\Olap\LogInstid\Olap\Log Lecture, écritureRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup Lecture, écritureRead, Write
Instid\OLAP\TempInstid\OLAP\Temp Lecture, écritureRead, Write
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files Lecture, écriture, suppressionRead, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lecture, exécutionRead, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax Contrôle totalFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config LireRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager Lecture, exécutionRead, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles Lecture, écriture, exécution, suppressionRead, Write, Execute, Delete
130\shared130\shared Lecture, exécutionRead, Execute
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml LireRead
130\dts\binn130\dts\binn Lecture, exécutionRead, Execute
130\shared130\shared Lecture, exécutionRead, Execute
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
SQL ServerSQL Server BrowserBrowser 130\shared\ASConfig130\shared\ASConfig LireRead
130\shared130\shared Lecture, exécutionRead, Execute
130\shared\Errordumps130\shared\Errordumps Lecture, écritureRead, Write
SQLWriterSQLWriter Non applicable (s'exécute en tant que système local)N/A (Runs as local system)
UtilisateurUser Instid\MSSQL\binnInstid\MSSQL\binn Lecture, exécutionRead, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax LireRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager Lecture, exécutionRead, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages LireRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles LireRead
130\dts130\dts Lecture, exécutionRead, Execute
130\tools130\tools Lecture, exécutionRead, Execute
100\tools100\tools Lecture, exécutionRead, Execute
90\tools90\tools Lecture, exécutionRead, Execute
80\tools80\tools Lecture, exécutionRead, Execute
130\sdk130\sdk LireRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap Lecture, exécutionRead, Execute
SQL ServerSQL Server Distributed Replay ControllerDistributed Replay Controller <ToolsDir>\DReplayController\Log\ (répertoire vide)<ToolsDir>\DReplayController\Log\ (empty directory) Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources|Lecture, exécution, listage du contenu des dossiers<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{répertoire vide}<ToolsDir>\DReplayController\{all dlls} Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
SQL ServerSQL Server Distributed Replay ClientDistributed Replay Client <ToolsDir>\DReplayClient\Log|Lecture, exécution, listage du contenu des dossiers<ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources|Lecture, exécution, listage du contenu des dossiers<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (toutes les dll)<ToolsDir>\DReplayClient\ (all dlls) Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml Lecture, exécution, listage du contenu des dossiersRead, Execute, List Folder Contents
LaunchpadLaunchpad %binn%binn Lecture, exécutionRead, Execute
ExtensiblilityDataExtensiblilityData Contrôle totalFull control
Log\ExtensibiltityLogLog\ExtensibiltityLog Contrôle totalFull control

*Le service SQL ServerSQL Server Agent est désactivé sur les instances de SQL Server ExpressSQL Server Express et SQL Server ExpressSQL Server Express with Advanced Services.*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

Lorsque des fichiers de base de données sont stockés à un emplacement défini par l'utilisateur, vous devez octroyer l'accès SID par service à cet emplacement.When database files are stored in a user-defined location, you must grant the per-service SID access to that location. Pour plus d’informations sur l’octroi d’autorisations de système de fichiers à un SID par service, consultez Configurer les autorisations du système de fichiers pour l’accès au moteur de base de données.For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

Autorisations de système de fichiers accordées aux autres comptes d’utilisateur ou groupes WindowsFile System Permissions Granted to Other Windows User Accounts or Groups

Certaines autorisations de contrôle d'accès peuvent avoir été accordées à des comptes intégrés ou à d'autres comptes de services SQL ServerSQL Server .Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. Le tableau suivant répertorie les listes ACL supplémentaires définies par le programme d'installation de SQL ServerSQL Server .The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

Composant demandeurRequesting component CompteAccount RessourceResource AutorisationsPermissions
MSSQLServerMSSQLServer Utilisateurs du journal des performancesPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn Lister le contenu des dossiersList folder contents
Utilisateurs de l'Analyseur de performancesPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn Lister le contenu des dossiersList folder contents
Utilisateurs du journal des performances, Utilisateurs de l'Analyseur de performancesPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll Lecture, exécutionRead, Execute
Administrateur uniquementAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<nom_instance_sql>*\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>* Contrôle totalFull control
Administrateurs, systèmeAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Contrôle totalFull control
UtilisateursUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan Lecture, exécutionRead, Execute
Reporting ServicesReporting Services <Compte du service Web Report Server><Report Server Web Service Account> <installation>\Reporting Services\LogFiles<install>\Reporting Services\LogFiles SuppressionDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Identité du pool de l'Application du Gestionnaire de rapports, compte ASP.NETASP.NET , Tout le mondeReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <installation>\Reporting Services\ReportManager, <installation>\Reporting Services\ReportManager\Pages\*.*, <installation>\Reporting Services\ReportManager\Styles\*.*, <installation>\Reporting Services\ReportManager\webctrl_client\1_0\.*<install>\Reporting Services\ReportManager, *<install>\Reporting Services\ReportManager\Pages\*.*, <install>\Reporting Services\ReportManager\Styles\*.*, <install>\Reporting Services\ReportManager\webctrl_client\1_0\*.* LireRead
Identité du pool d'applications du Gestionnaire de rapportsReport Manager Application pool identity <installation>\Reporting Services\ReportManager\Pages\.*<install>\Reporting Services\ReportManager\Pages\.* LireRead
<Compte du service Web Report Server><Report Server Web Service Account> <installation>\Reporting Services\ReportServer<install>\Reporting Services\ReportServer LireRead
<Compte du service Web Report Server><Report Server Web Service Account> <installation>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax ComplèteFull
Tout le mondeEveryone <installation>\Reporting Services\ReportServer\global.asax<install>\Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
SERVICE RÉSEAUNetwork service <installation>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx ComplèteFull
Tout le mondeEveryone <installation>\Reporting Services\ReportServer\ReportService.asmx<install>\Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
Compte des services Windows ReportServerReportServer Windows Services Account <installation>\Reporting Services\ReportServer\RSReportServer.config<install>\Reporting Services\ReportServer\RSReportServer.config SuppressionDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Tout le mondeEveryone Clés Report Server (ruche Instid)Report Server keys (Instid hive) Demander la valeurQuery Value

Énumérer les sous-clésEnumerate SubKeys

NotifierNotify

Contrôle en lectureRead Control
Utilisateur de Terminal ServicesTerminal Services User Clés Report Server (ruche Instid)Report Server keys (Instid hive) Demander la valeurQuery Value

Définir la valeurSet Value

Créer une sous-cléCreate SubKey

Énumérer les sous-clésEnumerate SubKey

NotifierNotify

DELETEDelete

Contrôle en lectureRead Control
Utilisateurs avec pouvoirPower Users Clés Report Server (ruche Instid)Report Server keys (Instid hive) Demander la valeurQuery Value

Définir la valeurSet Value

Créer une sous-cléCreate Subkey

Énumérer les sous-clésEnumerate Subkeys

NotifierNotify

DELETEDelete

Contrôle en lectureRead Control

*Ceci est l’espace de noms du fournisseur WMI.*This is the WMI provider namespace.

Autorisations de système de fichiers pour des emplacements de disque exceptionnelsFile System Permissions Related to Unusual Disk Locations

L’emplacement d’installation par défaut est systemdrive, en général le lecteur C. Cette section donne des informations supplémentaires dans le cas où les bases de données tempdb ou utilisateur sont installées à des emplacements inhabituels.The default drive for locations for installation is systemdrive, normally drive C. This section describes additional considerations when tempdb or user databases are installed to unusual locations.

Lecteur non défini par défautNon-default drive

En cas d'installation sur un lecteur local autre que l'unité par défaut, le SID par service doit avoir accès à l'emplacement de fichier.When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. Le programme d’installation de SQL ServerSQL Server configurera l’accès requis. SQL ServerSQL Server Setup will provision the required access.

Partage réseauNetwork share

Quand des bases de données sont installées sur un partage réseau, le compte de service doit avoir accès à l’emplacement de fichier des bases de données tempdb et utilisateur.When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. Le programme d'installation de SQL ServerSQL Server ne peut pas configurer l'accès à un partage réseau. SQL ServerSQL Server Setup cannot provision access to a network share. L’utilisateur doit configurer l’accès à un emplacement tempdb pour le compte de service avant d’exécuter le programme d’installation.The user must provision access to a tempdb location for the service account before running setup. L'utilisateur doit configurer l'accès à l'emplacement de la base de données d'utilisateur avant de créer la base de données.The user must provision access to the user database location before creating the database.

Note

Les comptes virtuels ne peuvent pas être authentifiés sur un emplacement distant.Virtual accounts cannot be authenticated to a remote location. Tous les comptes virtuels utilisent l'autorisation de compte d'ordinateur.All virtual accounts use the permission of machine account. Provisionnez le compte d’ordinateur au format <nom_domaine>\<nom_ordinateur>$.Provision the machine account in the format <domain_name>\<computer_name>$.

Considérations supplémentairesReviewing Additional Considerations

Le tableau suivant indique les autorisations nécessaires pour que les services SQL ServerSQL Server fournissent des fonctionnalités supplémentaires.The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

Service/ApplicationService/Application FonctionnalitéFunctionality Autorisation requiseRequired permission
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Écrire sur MailSlot avec xp_sendmail.Write to a mail slot using xp_sendmail. Autorisations d'écriture réseau.Network write permissions.
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) Exécuter xp_cmdshell pour un utilisateur autre qu'un administrateur SQL ServerSQL Server .Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. Fonctionne comme un composant du système d'exploitation et remplace le jeton de niveau processus.Act as part of operating system and replace a process-level token.
SQL ServerSQL Server Agent (MSSQLSERVER)Agent (MSSQLSERVER) Utiliser la fonctionnalité de redémarrage automatique.Use the autorestart feature. Doit être membre du groupe local Administrateurs.Must be a member of the Administrators local group.
Moteur de base de donnéesDatabase Engine Assistant ParamétrageTuning Advisor Règle les bases de données pour des performances de requête optimales.Tunes databases for optimal query performance. À la première utilisation, un utilisateur doté des informations d'identification d'administrateur système doit initialiser l'application.On first use, a user who has system administrative credentials must initialize the application. Après l’initialisation, les utilisateurs dbo peuvent utiliser l’Assistant Paramétrage du Moteur de base de donnéesDatabase Engine pour paramétrer uniquement les tables qui leur appartiennent.After initialization, dbo users can use the Moteur de base de donnéesDatabase Engine Tuning Advisor to tune only those tables that they own. Pour plus d'informations, consultez « Initialisation de l'Assistant Paramétrage du Moteur de base de donnéesDatabase Engine » dans la documentation en ligne de SQL ServerSQL Server .For more information, see "Initializing Moteur de base de donnéesDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

Important

Avant de procéder à une mise à niveau de SQL ServerSQL Server, activez l’authentification Windows pour SQL ServerSQL Server Agent et vérifiez la configuration par défaut requise : le compte de service SQL ServerSQL Server Agent doit être membre du groupe sysadmin SQL ServerSQL Server.Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

Autorisations de RegistreRegistry Permissions

La ruche du Registre est créée sous HKLM\Software\Microsoft\Microsoft SQL Server\<ID_Instance> pour les composants qui prennent les instances en charge.The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. Par exempleFor example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

    Le Registre maintient également le mappage d'un ID d'instance sur un nom d'instance.The registry also maintains a mapping of instance ID to instance name. Le mappage de l'ID d'instance sur le nom d'instance se maintient comme suit :Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMIWMI

Windows Management Instrumentation (WMI) doit être en mesure de se connecter au Moteur de base de donnéesDatabase Engine.Windows Management Instrumentation (WMI) must be able to connect to the Moteur de base de donnéesDatabase Engine. Pour cette prise en charge, le SID par service du fournisseur WMI Windows (NT SERVICE\winmgmt) est configuré dans le Moteur de base de donnéesDatabase Engine.To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the Moteur de base de donnéesDatabase Engine.

Le fournisseur WMI SQL requiert les autorisations suivantes :The SQL WMI provider requires the following permissions:

  • Appartenance aux rôles de base de données fixes db_ddladmin ou db_owner dans la base de données msdb.Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • AutorisationCREATE DDL EVENT NOTIFICATION dans le serveur.CREATE DDL EVENT NOTIFICATION permission in the server.

  • AutorisationCREATE TRACE EVENT NOTIFICATION dans le Moteur de base de donnéesDatabase Engine.CREATE TRACE EVENT NOTIFICATION permission in the Moteur de base de donnéesDatabase Engine.

  • Autorisation de niveau serveurVIEW ANY DATABASE .VIEW ANY DATABASE server-level permission.

    SQL ServerSQL Server Le programme d’installation crée un espace de noms WMI SQL et accorde l’autorisation de lecture au SID de service SQL ServerSQL Server Agent.setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

Canaux nommésNamed Pipes

Pendant toute l'installation, le programme d'installation SQL ServerSQL Server fournit l'accès au Moteur de base de données SQL ServerSQL Server Database Engine via le protocole de mémoire partagée, qui est un canal nommé local.In all installation, SQL ServerSQL Server Setup provides access to the Moteur de base de données SQL ServerSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

ApprovisionnementProvisioning

Cette section décrit comment les comptes sont mis en service à l'intérieur des différents composants SQL ServerSQL Server .This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

Configuration du moteur de base de donnéesDatabase Engine Provisioning

Les comptes suivants sont ajoutés comme connexions dans le Moteur de base de données SQL ServerSQL Server Database Engine.The following accounts are added as logins in the Moteur de base de données SQL ServerSQL Server Database Engine.

Principaux WindowsWindows Principals

Pendant l'installation, le programme d'installation SQL ServerSQL Server requiert qu'au moins un compte d'utilisateur soit nommé comme membre du rôle serveur fixe sysadmin .During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

Compte sasa Account

Le compte sa est toujours présent sous la forme d'une connexion de Moteur de base de donnéesDatabase Engine et est un membre du rôle serveur fixe sysadmin .The sa account is always present as a Moteur de base de donnéesDatabase Engine login and is a member of the sysadmin fixed server role. Quand le Moteur de base de donnéesDatabase Engine est installé en utilisant uniquement l’authentification Windows (c’est-à-dire quand l’authentification SQL ServerSQL Server n’est pas activée), la connexion sa est toujours présente, mais elle est désactivée.When the Moteur de base de donnéesDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. Pour plus d’informations sur l’activation du compte sa , consultez Modifier le mode d’authentification du serveur.For information about enabling the sa account, see Change Server Authentication Mode.

Connexion et privilèges SID par service SQL ServerSQL Server Per-service SID Login and Privileges

Le SID par service du service SQL ServerSQL Server est mis en service comme une connexion du Moteur de base de donnéesDatabase Engine .The per-service SID of the SQL ServerSQL Server service is provisioned as a Moteur de base de donnéesDatabase Engine login. La connexion SID par service est membre du rôle serveur fixe sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Connexion et privilèges de SQL Server AgentSQL Server Agent Login and Privileges

Le SID par service du service Agent SQL ServerSQL Server est approvisionné comme une connexion du Moteur de base de donnéesDatabase Engine .The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a Moteur de base de donnéesDatabase Engine login. La connexion SID par service est membre du rôle serveur fixe sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

Groupes de disponibilité AlwaysOnAlways On Availability Groups et SQL Groupes de disponibilité AlwaysOnAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

Lors de l’installation du Moteur de base de donnéesDatabase Engine comme Groupes de disponibilité Always OnAlways On availability groups ou instance de cluster de basculement SQL, LOCAL SYSTEM est configuré dans le Moteur de base de donnéesDatabase Engine.When installing the Moteur de base de donnéesDatabase Engine as a Groupes de disponibilité Always OnAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the Moteur de base de donnéesDatabase Engine. La connexion LOCAL SYSTEM reçoit l’autorisation ALTER ANY AVAILABILITY GROUP (pour les Groupes de disponibilité Always OnAlways On availability groups) et l’autorisation VIEW SERVER STATE (pour l’instance de cluster de basculement SQL).The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Groupes de disponibilité Always OnAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

Enregistreur et privilèges SQLSQL Writer and Privileges

Le SID par service du service Enregistreur VSS SQL ServerSQL Server est approvisionné comme une connexion du Moteur de base de donnéesDatabase Engine .The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a Moteur de base de donnéesDatabase Engine login. La connexion SID par service est membre du rôle serveur fixe sysadmin .The per-service SID login is a member of the sysadmin fixed server role.

WMI et privilèges SQLSQL WMI and Privileges

SQL ServerSQL Server Le programme d’installation configure le compte NT SERVICE\Winmgmt comme connexion du Moteur de base de donnéesDatabase Engine et l’ajoute au rôle serveur fixe sysadmin .Setup provisions the NT SERVICE\Winmgmt account as a Moteur de base de donnéesDatabase Engine login and adds it to the sysadmin fixed server role.

Approvisionnement SSRSSSRS Provisioning

Le compte spécifié pendant l'installation est approvisionné comme un membre du rôle de base de données RSExecRole .The account specified during setup is provisioned as a member of the RSExecRole database role. Pour plus d’informations, consultez Configurer le compte de service Report Server (Gestionnaire de configuration de SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Approvisionnement SSASSSAS Provisioning

SSASSSAS varient selon le déploiement du serveur.service account requirements vary depending on how you deploy the server. Si vous installez Power Pivot pour SharePointPower Pivot for SharePoint, le programme d'installation SQL ServerSQL Server requiert que vous configuriez le service Analysis ServicesAnalysis Services de façon à ce qu'il soit exécuté sous un compte de domaine.If you are installing Power Pivot pour SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. Les comptes de domaine sont obligatoires pour prendre en charge la fonctionnalité de compte géré intégrée à SharePoint.Domain accounts are required to support the managed account facility that is built into SharePoint. Pour cette raison, le programme d'installation de SQL ServerSQL Server ne fournit pas un compte de service par défaut, tel qu'un compte virtuel, pour une installation Power Pivot pour SharePointPower Pivot for SharePoint .For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a Power Pivot pour SharePointPower Pivot for SharePoint installation. Pour plus d’informations sur la configuration de Power PivotPower Pivot pour SharePoint, consultez Configuration des comptes de service Power Pivot.For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

Pour toutes les autres installations SSASSSAS autonomes, vous pouvez configurer le service pour qu'il s'exécute sous un compte de domaine, un compte système intégré, un compte géré ou un compte virtuel.For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. Pour plus d’informations sur la configuration de compte, consultez Configurer les comptes de service (Analysis Services).For more information about account provisioning, see Configure Service Accounts (Analysis Services).

Pour les installations en cluster, vous devez spécifier un compte de domaine ou un compte système intégré.For clustered installations, you must specify a domain account or a built-in system account. Les comptes gérés ou les comptes virtuels ne sont pas pris en charge pour les clusters de basculement SSASSSAS .Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

Toutes les installations SSASSSAS requièrent que vous spécifiez un administrateur système de l'instance Analysis ServicesAnalysis Services .All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. Les privilèges d'administrateur sont approvisionnés dans le rôle serveur d'Analysis Services.Administrator privileges are provisioned in the Analysis Services Server role.

Approvisionnement SSRSSSRS Provisioning

Le compte spécifié pendant l'installation est approvisionné dans le Moteur de base de donnéesDatabase Engine comme un membre du rôle de base de données RSExecRole .The account specified during setup is provisioned in the Moteur de base de donnéesDatabase Engine as a member of the RSExecRole database role. Pour plus d’informations, consultez Configurer le compte de service Report Server (Gestionnaire de configuration de SSRS).For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

Mise à niveau depuis les versions précédentesUpgrading From Previous Versions

Cette section décrit les modifications effectuées pendant la mise à niveau d'une version précédente de SQL ServerSQL Server.This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, ou Windows 8.1.requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . Toute version précédente de SQL ServerSQL Server qui exécute une version de système d'exploitation antérieure doit avoir le système d'exploitation mis à niveau avant la mise à niveau de SQL ServerSQL Server.Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • Pendant la mise à niveau de SQL Server 2005SQL Server 2005 à SQL Server 2017SQL Server 2017, le programme d'installation SQL ServerSQL Server configurera SQL ServerSQL Server de la façon suivante.During upgrade of SQL Server 2005SQL Server 2005 to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • Le Moteur de base de donnéesDatabase Engine s'exécute avec le contexte de sécurité du SID par service.The Moteur de base de donnéesDatabase Engine runs with the security context of the per-service SID. Le SID par service a accès aux dossiers de fichiers de l'instance SQL ServerSQL Server (tels que DATA), et aux clés de Registre SQL ServerSQL Server .The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • Le SID par service du Moteur de base de donnéesDatabase Engine est configuré dans le Moteur de base de donnéesDatabase Engine comme un membre du rôle serveur fixe sysadmin .The per-service SID of the Moteur de base de donnéesDatabase Engine is provisioned in the Moteur de base de donnéesDatabase Engine as a member of the sysadmin fixed server role.

    • Les SID par service sont ajoutés aux groupes Windows SQL ServerSQL Server locaux, à moins que SQL ServerSQL Server soit une instance de cluster de basculement.The per-service SID’s are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • Les ressources SQL ServerSQL Server restent approvisionnées sur les groupes Windows SQL ServerSQL Server locaux.The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • Le nom du groupe Windows local pour les services SQLServer2005MSSQLUser$<nom_ordinateur>$<nom_instance> est remplacé par SQLServerMSSQLUser$<nom_ordinateur>$<nom_instance>.The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. Les emplacements de fichiers pour les bases de données migrées auront des entrées de contrôle d'accès (ACE) pour les groupes Windows locaux.File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. Les emplacements de fichiers pour les nouvelles bases de données auront des entrées ACE pour le SID par service.The file locations for new databases will have ACE’s for the per-service SID.

  • Pendant la mise à niveau de SQL Server 2008SQL Server 2008, le programme d'installation de SQL ServerSQL Server conservera les ACE pour le SID par service SQL Server 2008SQL Server 2008 .During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE’s for the SQL Server 2008SQL Server 2008 per-service SID.

  • Pour une instance de cluster de basculement SQL ServerSQL Server , l'ACE du compte de domaine configuré pour le service sera conservé.For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

AnnexeAppendix

Cette section contient des informations supplémentaires sur les services SQL ServerSQL Server .This section contains additional information about SQL ServerSQL Server services.

Description des comptes de serviceDescription of Service Accounts

Le compte de service est le compte utilisé pour démarrer un service Windows, comme le Moteur de base de données SQL ServerSQL Server Database Engine.The service account is the account used to start a Windows service, such as the Moteur de base de données SQL ServerSQL Server Database Engine.

Comptes disponibles avec tout système d’exploitationAccounts Available With Any Operating System

En plus des nouveaux comptes MSA et comptes virtuels décrits précédemment, les comptes suivants peuvent être utilisés.In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

Compte d’utilisateur de domaineDomain User Account

Si le service doit interagir avec des services réseau, des ressources de domaine telles que des partages de fichiers, ou s'il utilise des connexions de serveur liées à d'autres ordinateurs qui exécutent SQL ServerSQL Server, vous pouvez utiliser un compte de domaine doté de privilèges minimaux.If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. De nombreuses activités de serveur à serveur ne peuvent être exécutées qu'avec un compte d'utilisateur de domaine.Many server-to-server activities can be performed only with a domain user account. Ce compte doit être créé au préalable via l'administration de domaine dans votre environnement.This account should be pre-created by domain administration in your environment.

Note

Si vous configurez l'application pour utiliser un compte de domaine, vous pouvez isoler les privilèges pour l'application, mais vous devez gérer les mots de passe manuellement ou créer une solution personnalisée pour la gestion de ces mots de passe.If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. De nombreuses applications serveur utilisent cette stratégie pour améliorer la sécurité, mais elle requiert une administration supplémentaire et est plus complexe.Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. Dans ces déploiements, les administrateurs du service passent beaucoup de temps à exécuter des tâches de maintenance telles que la gestion des mots de passe du service et des noms de principal du service (SPN), qui sont obligatoires pour l'authentification Kerberos.In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. De plus, ces tâches de maintenance peuvent interrompre le service.In addition, these maintenance tasks can disrupt service.

Local User AccountsLocal User Accounts

Si l'ordinateur ne fait pas partie d'un domaine, un compte d'utilisateur local sans autorisations d'administrateur Windows est recommandé.If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

Compte de service localLocal Service Account

Le compte de service local est un compte intégré qui bénéficie du même niveau d'accès aux ressources et aux objets que les membres du groupe Utilisateurs.The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. Cet accès limité constitue une mesure de sécurité pour le système, au cas où le fonctionnement de services ou de processus individuels serait compromis.This limited access helps safeguard the system if individual services or processes are compromised. Les services qui s'exécutent en tant que compte de service local accèdent aux ressources réseau dans le cadre d'une session Null, sans informations d'identification.Services that run as the Local Service account access network resources as a null session without credentials. Sachez que le compte de service local n'est pas pris en charge pour les services SQL ServerSQL Server ou Agent SQL ServerSQL Server .Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. Le service local n'est pas pris en charge comme compte exécutant ces services, car il s'agit d'un service partagé et les autres services exécutés sous le service local disposent de droits d'accès d'administrateur système à SQL ServerSQL Server.Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. Le nom réel du compte est NT AUTHORITY\LOCAL SERVICE.The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

Compte de service réseauNetwork Service Account

Le compte de service réseau est un compte intégré qui bénéficie d'un niveau d'accès aux ressources et aux objets supérieur à celui des membres du groupe Utilisateurs.The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. Les services qui s’exécutent en tant que compte de service réseau accèdent aux ressources réseau à l’aide des informations d’identification du compte d’ordinateur au format <nom_domaine>\<nom_ordinateur>$.Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. Le nom réel du compte est NT AUTHORITY\NETWORK SERVICE.The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

Compte système localLocal System Account

Le compte système local est un compte intégré doté de privilèges très élevés.Local System is a very high-privileged built-in account. Il dispose de privilèges étendus sur le système local et représente l'ordinateur sur le réseau.It has extensive privileges on the local system and acts as the computer on the network. Le nom réel du compte est NT AUTHORITY\SYSTEM.The actual name of the account is NT AUTHORITY\SYSTEM.

Identification des services dépendant et ne dépendant pas des instancesIdentifying Instance-Aware and Instance-Unaware Services

Chaque service dépendant d'une instance est associé à une instance spécifique de SQL ServerSQL Serveret possède sa propre ruche de Registre.Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. Vous pouvez installer plusieurs exemplaires de services dépendant d'une instance en exécutant le programme d'installation de SQL ServerSQL Server pour chaque composant ou service.You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. Les services ne dépendant pas d'une instance sont partagés entre toutes les instances SQL ServerSQL Server installées.Instance-unaware services are shared among all installed SQL ServerSQL Server instances. Ils ne sont pas associés à une instance spécifique, ne sont installés qu'une seule fois et ne peuvent pas être installés côte à côte.They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

Les services dépendant d'une instance dans SQL ServerSQL Server incluent les éléments suivants :Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server AgentAgent

    Sachez que le service de l'Agent SQL ServerSQL Server est désactivé sur les instances SQL Server ExpressSQL Server Express et SQL Server ExpressSQL Server Express with Advanced Services.Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • Recherche en texte intégralFull-text search

    Les services ne dépendant pas d'une instance dans SQL ServerSQL Server incluent les éléments suivants :Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server BrowserBrowser

  • SQL WriterSQL Writer

    *Analysis Services en mode intégré SharePoint s’exécute comme ' Power PivotPower Pivot' en tant qu’instance nommée unique.*Analysis Services in SharePoint integrated mode runs as ' Power PivotPower Pivot' as a single, named instance. Le nom de l'instance est fixe.The instance name is fixed. Vous ne pouvez pas spécifier de nom différent.You cannot specify a different name. Vous ne pouvez installer qu’une instance d’Analysis Services s’exécutant comme ' Power PivotPower Pivot' sur chaque serveur physique.You can install only one instance of Analysis Services running as ' Power PivotPower Pivot' on each physical server.

Noms des services localisésLocalized Service Names

Le tableau ci-dessous indique les noms de services affichés dans les versions localisées de Windows.The following table shows service names that are displayed by localized versions of Windows.

LangueLanguage Nom du service localName for Local Service Nom du service réseauName for Network Service Nom du système localName for Local System Nom du groupe AdminName for Admin Group
AnglaisEnglish

Chinois simplifiéSimplified Chinese

Chinois traditionnelTraditional Chinese

CoréenKorean

JaponaisJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
AllemandGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FrançaisFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
ItalienItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministratorsBUILTIN\Administrators
EspagnolSpanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RusseRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\АдминистраторыBUILTIN\Администраторы

Considérations sur la sécurité pour une installation SQL ServerSecurity Considerations for a SQL Server Installation

Emplacements des fichiers pour les instances par défaut et les instances nommées de SQL ServerFile Locations for Default and Named Instances of SQL Server

Installer Master Data ServicesInstall Master Data Services