Configurer le compte de service Report Server (Gestionnaire de configuration de SSRS)Configure the Report Server Service Account (SSRS Configuration Manager)

Reporting ServicesReporting Services est implémenté en tant que service unique qui contient un service Web Report Server, le portail webweb portalet une application de traitement en arrière-plan utilisée pour le traitement des rapports planifié et la remise d’abonnement., and a background processing application that is used for scheduled report processing and subscription delivery. Cette rubrique explique comment le compte de service est configuré initialement et comment modifier le compte ou le mot de passe à l'aide de l'outil de configuration de Reporting Services.This topic explains how the service account is initially configured and how to modify the account or password using the Reporting Services Configuration tool.

Configuration initialeInitial Configuration

Le compte de service Report Server est défini pendant l'installation.The Report Server service account is defined during Setup. Vous pouvez exécuter le service au moyen d’un compte d’utilisateur de domaine ou d’un compte intégré tel que le compte de service virtuel.You can run the service under a domain user account, or a built-in account such as Virtual Service Account. Il n’y a aucun compte par défaut ; le compte que vous spécifiez dans la page Comptes de service de l’Assistant Installation devient le compte initial du service Report Server.There is no default account; whatever account you specify in the Service Accounts page of the Installation Wizard becomes the initial account of the Report Server service.

Important

Bien que le service Web Report Server et portail webweb portal soient des applications ASP.NETASP.NET distinctes, ils s’exécutent sous une architecture de service unique dans la même identité de processus Report Server.Although the Report Server Web service and portail webweb portal are separate ASP.NETASP.NET applications, they run under a single service architecture within the same Report Server process identity.

Note

Les comptes de service Windows intégrés (Service local ou Service réseau) ne sont pas pris en charge comme comptes de service du serveur de rapports sur un ordinateur qui est contrôleur de domaine.Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Modification du compte de serviceChanging the Service Account

Pour afficher et reconfigurer les informations sur le compte de service, utilisez toujours le Gestionnaire de configuration de Reporting ServicesReporting Services .To view and reconfigure service account information, always use the Reporting ServicesReporting Services Configuration Manager. Les informations sur l'identité du service sont stockées en interne dans plusieurs emplacements.Service identity information is stored internally in multiple locations. L'utilisation de l'outil garantit que toutes les références sont mises à jour en conséquence chaque fois que vous modifiez le compte ou le mot de passe.Using the tool ensures that all references are updated accordingly whenever you change the account or password. Le Gestionnaire de configuration de Reporting ServicesReporting Services exécute les étapes supplémentaires suivantes pour s’assurer que le serveur de rapports reste disponible :The Reporting ServicesReporting Services Configuration Manager performs the following additional steps to ensure the report server remains available:

  • Il ajoute automatiquement le nouveau compte au groupe de serveurs de rapports créés sur l'ordinateur local.Automatically adds the new account to the report server group created on the local computer. Ce groupe est spécifié dans les listes de contrôle d'accès qui assurent la sécurité des fichiers de Reporting ServicesReporting Services .This group is specified in the access control lists (ACLs) that secure Reporting ServicesReporting Services files.

  • Il met à jour automatiquement les autorisations de connexion sur l’instance du SQL ServerSQL Server Moteur de base de donnéesDatabase Engine utilisée pour héberger la base de données du serveur de rapports.Automatically updates the login permissions on the SQL ServerSQL Server Moteur de base de donnéesDatabase Engine instance used to host the report server database. Le nouveau compte est ajouté au rôle RSExecRole.The new account will be added to the RSExecRole.

    La connexion de base de données pour l'ancien compte n'est pas supprimée automatiquement.The database login for the old account will not be removed automatically. Assurez-vous de supprimer les comptes qui ne sont plus utilisés.Be sure to remove accounts that are no longer in use. Pour plus d’informations, consultez Administrer une base de données du serveur de rapports (SSRS en mode natif) dans la documentation en ligne de SQL Server.For more information, see Administer a Report Server Database (SSRS Native Mode) in SQL Server Books Online.

    L’accord des autorisations de base de données à un nouveau compte de service a lieu uniquement si vous avez configuré en premier lieu la connexion de base de données du serveur de rapports de façon à utiliser le compte de service.Granting database permissions to a new service account only occurs if you configured the report server database connection to use the service account in the first place. Si vous avez configuré la connexion de base de données du serveur de rapports de façon à utiliser un compte d'utilisateur de domaine ou une connexion de base de données SQL ServerSQL Server , les informations de connexion ne sont pas affectées par la mise à jour du compte de service.If you configured the report server database connection to use a domain user account or a SQL ServerSQL Server database login, the connection information is not affected by the service account update.

  • Il met à jour automatiquement la clé de chiffrement pour inclure les informations de profil du nouveau compte.Automatically updates the encryption key to include the profile information of the new account.

    Note

    Si le serveur de rapports est intégré au déploiement avec montée en puissance parallèle, seul le serveur de rapports en cours de mise à jour est affecté.If the report server is part of the scale-out deployment, only the report server that you are updating is affected. Il n'y a aucune incidence sur les clés de chiffrement des autres serveurs de rapports de ce déploiement.The encryption keys for other report servers in the deployment are unaffected by the service account change.

Pour configurer le compte de service Report ServerTo configure the Report Server service account

  1. Démarrez le Gestionnaire de configuration de Reporting ServicesReporting Services , puis connectez-vous au serveur de rapports.Start the Reporting ServicesReporting Services Configuration manager and connect to the report server.

  2. Dans la page Compte de service, sélectionnez l'option qui décrit le type de compte que vous souhaitez utiliser.On the Service Account page, select the option that describes the type of account you want to use.

  3. Si vous avez sélectionné un compte d'utilisateur Windows, spécifiez le nouveau compte et le nouveau mot de passe.If you selected a Windows user account, specify the new account and password. La longueur du nom du compte ne peut pas excéder 20 caractères.The account cannot be more than 20 characters.

    Si le serveur de rapports est déployé dans un réseau qui prend en charge l'authentification Kerberos, vous devez inscrire le nom de principal du service (SPN) du serveur de rapports avec le compte d'utilisateur de domaine que vous venez de spécifier.If the report server is deployed in a network that supports Kerberos authentication, you must register the report server Service Principal Name (SPN) with the domain user account you just specified. Pour plus d’informations, consultez Inscrire un nom de principal du service (SPN) pour un serveur de rapports.For more information, see Register a Service Principal Name (SPN) for a Report Server.

  4. Cliquez sur Appliquer.Click Apply.

  5. Lorsque vous êtes invité à sauvegarder la clé symétrique, tapez un nom de fichier et un emplacement pour la sauvegarde de la clé symétrique, entrez un mot de passe pour verrouiller et déverrouiller le fichier, puis cliquez sur OK.When prompted to back up the symmetric key, type a file name and location for the symmetric key backup, type a password to lock and unlock the file, and then click OK.

  6. Si le serveur de rapports utilise le compte de service pour se connecter à la base de données du serveur de rapports, les informations de connexion seront mises à jour pour utiliser le nouveau compte ou mot de passe.If the report server uses the service account to connect to the report server database, the connection information will be updated to use the new account or password. La mise à jour des informations de connexion nécessite que vous vous connectiez à la base de données.Updating the connection information requires that you connect to the database. Si la boîte de dialogue SQL ServerSQL Server Database Connection dialog box appears, enter credentials that have permission to connect to the database, and then click OK.If the SQL ServerSQL Server Database Connection dialog box appears, enter credentials that have permission to connect to the database, and then click OK.

  7. Lorsque vous êtes invité à restaurer la clé symétrique, tapez le mot de passe spécifié à l’étape 5, puis cliquez sur OK.When prompted to restore the symmetric key, type the password you specified in step 5, and then click OK.

  8. Examinez les messages d'état dans le volet Résultats pour vérifier que toutes les tâches se sont terminées avec succès.Review the status messages in the Results pane to verify all tasks completed successfully.

Choix d'un compteChoosing an Account

Pour de meilleurs résultats, spécifiez un compte qui a des autorisations de connexion réseau, avec un accès aux contrôleurs de domaine réseau et aux passerelles ou serveurs SMTP d'entreprise.For best results, specify an account that has network connection permissions, with access to network domain controllers and corporate SMTP servers or gateways. Le tableau suivant fournit une synthèse des comptes et des recommandations pour leur utilisation.The following table summarizes the accounts and provides recommendations for using them.

CompteAccount ExplicationExplanation
Comptes d'utilisateurs de domaineDomain user accounts Si vous avez un compte d'utilisateur de domaine Windows qui possède les autorisations minimales requises pour les opérations de serveur de rapports, vous devez l'utiliser.If you have a Windows domain user account that has the minimum permissions required for report server operations, you should use it.

Un compte d'utilisateur de domaine est recommandé car il isole le service Report Server des autres applications.A domain user account is recommended because it isolates the Report Server service from other applications. L'exécution de plusieurs applications sous un compte partagé, tel que Service réseau, accroît le risque qu'un utilisateur malveillant prenne le contrôle du serveur de rapports car une violation de la sécurité pour l'une des applications peut facilement s'étendre à toutes les applications qui s'exécutent sous le même compte.Running multiple applications under a shared account, such as Network Service, increases the risk of a malicious user taking control of the report server because a security breach for any one application can easily extend to all applications that run under the same account.

Notez que si vous utilisez un compte d'utilisateur de domaine, vous devrez modifier régulièrement le mot de passe si votre organisation impose une stratégie d'expiration des mots de passe.Note that if you use a domain user account, you will have to change the password periodically if your organization enforces a password expiration policy. Vous devrez peut-être également inscrire le service avec le compte d'utilisateur.You might also need to register the service with the user account. Pour plus d’informations, consultez Inscrire un nom de principal du service (SPN) pour un serveur de rapports.For more information, see Register a Service Principal Name (SPN) for a Report Server.

Évitez d'utiliser un compte d'utilisateur Windows local.Avoid using a local Windows user account. En général, les comptes locaux ne disposent pas des autorisations suffisantes pour accéder aux ressources sur d'autres ordinateurs.Local accounts typically do not have sufficient permission to access resources on other computers. Pour plus d’informations sur la manière dont l’utilisation d’un compte local limite la fonctionnalité du serveur de rapports, consultez Considérations relatives à l’utilisation des comptes locaux dans cette rubrique.For more information about how using a local account limits report server functionality, see Considerations for Using Local Accounts in this topic.
compte de service virtuelVirtual Service Account Compte de service virtuel représente le service Windows.Virtual Service Account represents the windows service. Il s’agit d’un compte intégré doté des privilèges minimaux, qui possède les autorisations d’ouverture de session sur le réseau.It is a built-in least-privilege account that has network logon permissions. Ce compte est recommandé si vous n'avez pas de compte d'utilisateur de domaine disponible ou si vous souhaitez éviter toute interruption de service qui peut se produire à cause des stratégies d'expiration de mot de passe.This account is recommended if you do not have a domain user account available or if you want to avoid any service disruptions that might occur as a result of password expiration policies.
Service réseauNetwork Service Service réseau est un compte intégré doté des privilèges minimaux, qui possède les autorisations d’ouverture de session sur le réseau.Network Service is a built-in least-privilege account that has network logon permissions.

Si vous sélectionnez Service réseau, essayez de réduire le nombre d’autres services qui s’exécutent sous le même compte.If you select Network Service, try to minimize the number of other services that run under the same account. Une violation de la sécurité pour l'une des applications compromettra la sécurité de toutes les autres applications qui s'exécutent sous le même compte.A security breach for any one application will compromise the security of all other applications that run under the same account.
Service localLocal Service Service local est un compte prédéfini qui s’apparente à un compte d’utilisateur Windows local authentifié.Local Service is a built-in account that is like an authenticated local Windows user account. Les services qui s’exécutent au moyen du compte Service local accèdent aux ressources réseau dans le cadre d’une session nulle, sans informations d’identification.Services that run as the Local Service account access network resources as a null session with no credentials. Ce compte ne convient pas aux scénarios de déploiement intranet où le serveur de rapports doit se connecter à une base de données de serveur de rapports distante ou à un contrôleur de domaine réseau afin d'authentifier un utilisateur avant d'ouvrir un rapport ou de traiter un abonnement.This account is not appropriate for intranet deployment scenarios where the report server must connect to a remote report server database or a network domain controller to authenticate a user prior to opening a report or processing a subscription.
Système localLocal System Système local est un compte doté de privilèges élevés qui n’est pas obligatoire pour l’exécution d’un serveur de rapports.Local System is a highly privileged account that is not required for running a report server. Évitez ce compte pour les installations de serveur de rapports.Avoid this account for report server installations. Choisissez un compte de domaine ou Service réseau à la place.Choose a domain account or Network Service instead.

Considérations relatives à l’utilisation des comptes locaux Considerations for Using Local Accounts

La principale considération liée à l'utilisation des comptes locaux concerne l'obligation, pour le serveur de rapports, de pouvoir accéder aux serveurs de base de données, serveurs de messagerie et contrôleurs de domaine distants.The primary consideration for using local accounts is whether the report server requires access to remote database servers, mail servers, and domain controllers. Si vous configurez le serveur de rapports pour qu'il s'exécute en tant que compte d'utilisateur Windows local, Service local ou Système Local, vous introduisez des considérations qui doivent être prises en compte lors de la définition d'autres paramètres de configuration et de la création et remise d'abonnement :If you configure the report server to run as a local Windows user account, Local Service, or Local System, you introduce considerations that must be factored into how you set other configuration settings, and on subscription creation and delivery:

  • L'exécution du service sous un compte local limitera ultérieurement vos options si vous configurez une connexion à une base de données de serveur de rapports distante.Running the service under a local account will limit your options later if you configure a connection to a remote report server database. En particulier, si vous utilisez une base de données de serveur de rapports distante, vous devez configurer la connexion afin d'utiliser un compte d'utilisateur de domaine ou un utilisateur de base de données SQL ServerSQL Server qui dispose de l'autorisation d'ouverture de session sur l'instance SQL ServerSQL Server distante.Specifically, if you are using a remote report server database, you will have to configure the connection to use a domain user account or SQL ServerSQL Server database user that has permission to log on to the remote SQL ServerSQL Server instance.

  • L'exécution du service sous un compte local introduira de nouvelles conditions requises en matière de création d'abonnement.Running the service under a local account will introduce new requirements on subscription creation. Le serveur de rapports stocke des informations sur l'utilisateur qui crée l'abonnement.The report server stores information about the user who creates the subscription. Si l'utilisateur crée l'abonnement alors qu'il est connecté sous un compte de domaine, le service Report Server essaie de se connecter à un contrôleur de domaine pour authentifier l'utilisateur lors du traitement de l'abonnement.If the user creates the subscription while logged on under a domain account, the Report Server service will try to connect to a domain controller to authenticate the user when the subscription is processed. Si le service s'exécute sous un compte local, la demande d'authentification échoue lorsque le serveur de rapports essaie d'envoyer la demande à un contrôleur de domaine distant.If the service runs under a local account, the authentication request will fail when the report server tries to send the request to a remote domain controller. Pour contourner cette limitation, vous pouvez utiliser une extension personnalisée d'authentification basée sur les formulaires ou faire en sorte que tous les utilisateurs se connectent à un serveur de rapports sous un compte d'utilisateur local.To work around this limitation, you can use a custom forms-based authentication extension or have all users connect to a report server under a local user account.

  • L'exécution du service sous un compte local introduira de nouvelles conditions requises en matière de remise des abonnements.Running the service under a local account will introduce new requirements for subscription delivery. Certaines extensions de remise ont les informations du compte d'utilisateur dans la définition de l'abonnement.Some delivery extensions have user account information in the subscription definition. Si vous envoyez des rapports à des adresses de messagerie basées sur des comptes d'utilisateur de domaine et que vous exécutez le service Report Server sous un compte local, il ne peut pas accéder à un contrôleur de domaine distant pour résoudre le compte de messagerie cible.If you are sending reports to e-mail addresses that are based on domain user accounts and you run the Report Server service under a local account, it cannot access a remote domain controller to resolve the target e-mail account.

  • Les comptes de service Windows intégrés (Service local ou Service réseau) ne sont pas pris en charge comme comptes de service du serveur de rapports sur un ordinateur qui est contrôleur de domaine.Built-in Windows service accounts (Local Service or Network Service) are not supported as report server service accounts on a computer that is a domain controller.

Les instructions et les liens suivants de cette section peuvent vous aider à choisir l'approche la plus appropriée pour votre déploiement.The following guidelines and links in this section can help you decide on an approach that is best for your deployment.

Mise à jour d'un mot de passe expiréUpdating an Expired Password

Si le service Report Server s’exécute sous un compte de domaine et que le mot de passe expire avant que vous puissiez le mettre à jour dans le Gestionnaire de configuration de Reporting Services, le service ne démarrera pas tant que vous n’aurez pas spécifié un nouveau mot de passe.If the Report Server service runs under a domain account and the password expires before you can update it in the Reporting Services Configuration Manager, the service will not start until you specify a new password.

Si le mot de passe du compte de service pour le Moteur de base de donnéesDatabase Engine expire, l’erreur rsReportServerDatabaseUnavailable se produit si vous tentez de vous connecter au serveur de rapports.If the service account password for the Moteur de base de donnéesDatabase Engine expires, the rsReportServerDatabaseUnavailable error occurs when you try to connect to the report server. La réinitialisation du mot de passe résout cette erreur.Resetting the password resolves this error.

Dépannage des erreurs de mise à jour de l'identité du serviceTroubleshooting Service Identity Update Errors

La modification de l'identité du service initialise une série d'événements qui incluent le redémarrage du service, la mise à jour de la clé de chiffrement protégée par mot de passe, la mise à jour des réservations d'URL et la mise à jour des informations de connexion à la base de données du serveur de rapports si vous utilisez le compte de service pour vous connecter à la base de données du serveur de rapports.Changing the service identity initiates a series of events that include restarting the service, updating the password-protected encryption key, updating URL reservations, and updating the report server database connection information if you are using the service account to connect to the report server database. Vous pouvez surveiller l'état de ces événements en consultant les notifications dans le volet Résultats en bas de page.You can monitor the status of these events by viewing the notifications in the Results panel at the bottom of the page. Si des erreurs se produisent pendant ce processus, vous pouvez essayer de les résoudre à l'aide des techniques suivantes :If errors occur during this process, you can try to resolve them using the following techniques:

  • Si la clé symétrique ne peut pas être restaurée, vous pouvez essayer de la restaurer manuellement en utilisant Restaurer dans la page Clés de chiffrement.If the symmetric key cannot be restored, you can try to restore it manually by using Restore in the Encryption Keys page. Si cette technique ne fonctionne pas, envisagez de supprimer le contenu chiffré.If that does not work, consider deleting the encrypted content. Vous devrez recréer les abonnements et les informations de connexion à la source de données, mais le reste du contenu demeurera disponible.You will have to re-create data source connection information and subscriptions, but the rest of your content will still be available. Pour plus d’informations, consultez Back Up and Restore Reporting Services Encryption Keys.For more information, see Back Up and Restore Reporting Services Encryption Keys.

  • Si le service ne démarre pas, redémarrez-le manuellement en utilisant l'application console Services dans les Outils d'administrateur.If the service will not start, restart it manually by using the Services console application in Administrator Tools.

  • Les erreurs de réservation d'URL peuvent se produire lorsque vous mettez à jour le compte de service.URL reservation errors can occur when you update the service account. Chaque réservation d'URL comporte un descripteur de sécurité incluant une liste de contrôle d'accès discrétionnaire (DACL) qui accorde l'autorisation au compte de service d'accepter les demandes sur l'URL.Each URL reservation includes a security descriptor that includes a Discretionary Access Control List (DACL) that grants permission to the service account to accept requests on the URL. Lorsque vous mettez à jour le compte, l'URL doit être recréée pour mettre à jour la liste DACL avec les nouvelles informations de compte.When you update the account, the URL must be recreated to update the DACL with the new account information. Si la réservation d'URL ne peut pas être recréée et que vous savez que le compte est valide, essayez de redémarrer l'ordinateur.If the URL reservation cannot be recreated, and you know the account to be valid, try to restart the computer. Si l'erreur persiste, essayez d'utiliser un autre compte.If the error persists, try to use a different account.

Voir aussiSee Also

Configurer des URL de serveurs de rapports (Gestionnaire de configuration de SSRS) Configure Report Server URLs (SSRS Configuration Manager)
Gestionnaire de configuration de Reporting Services (mode natif) Reporting Services Configuration Manager (Native Mode)