Windows サービス アカウントと権限の構成Configure Windows Service Accounts and Permissions

適用対象: ○SQL Server XAzure SQL Database XAzure SQL Data Warehouse XParallel Data WarehouseAPPLIES TO: yesSQL Server noAzure SQL Database noAzure SQL Data Warehouse noParallel Data Warehouse

SQL ServerSQL Server の各サービスは、Windows で SQL ServerSQL Server 操作の認証を管理するための、1 つのプロセスまたはプロセス セットを表しています。Each service in SQL ServerSQL Server represents a process or a set of processes to manage authentication of SQL ServerSQL Server operations with Windows. このトピックでは、 SQL ServerSQL Serverのこのリリースにおける既定のサービス構成、および SQL ServerSQL Server のインストール時およびインストール後に設定できる SQL ServerSQL Server サービスの構成オプションについて説明します。This topic describes the default configuration of services in this release of SQL ServerSQL Server, and configuration options for SQL ServerSQL Server services that you can set during and after SQL ServerSQL Server installation. このトピックでは、上級ユーザー向けにサービス アカウントの詳細について説明します。This topic helps advanced users understand the details of the service accounts.

ほとんどのサービスとそのプロパティは、 SQL ServerSQL Server 構成マネージャーを使用して構成できます。Most services and their properties can be configured by using SQL ServerSQL Server Configuration Manager. 最新の 4 つのバージョンへのパスを次に示します (Windows が C ドライブにインストールされている場合)。Here are the paths to the last four versions when Windows is installed on the C drive.

SQL Server 2017SQL Server 2017 C:\Windows\SysWOW64\SQLServerManager14.mscC:\Windows\SysWOW64\SQLServerManager14.msc
SQL ServerSQL Server 20162016 C:\Windows\SysWOW64\SQLServerManager13.mscC:\Windows\SysWOW64\SQLServerManager13.msc
SQL Server 2014 (12.x)SQL Server 2014 (12.x) C:\Windows\SysWOW64\SQLServerManager12.mscC:\Windows\SysWOW64\SQLServerManager12.msc
SQL Server 2012 (11.x)SQL Server 2012 (11.x) C:\Windows\SysWOW64\SQLServerManager11.mscC:\Windows\SysWOW64\SQLServerManager11.msc
SQL Server 2008SQL Server 2008 C:\Windows\SysWOW64\SQLServerManager10.mscC:\Windows\SysWOW64\SQLServerManager10.msc

SQL ServerSQL Server でインストールされるサービスServices Installed by SQL ServerSQL Server

インストールするコンポーネントに応じて、 SQL ServerSQL Server セットアップによって次のサービスがインストールされます。Depending on the components that you decide to install, SQL ServerSQL Server Setup installs the following services:

  • SQL ServerSQL Server データベース サービス - SQL ServerSQL Server リレーショナル データベース エンジンDatabase Engineのサービスです。SQL ServerSQL Server Database Services - The service for the SQL ServerSQL Server relational データベース エンジンDatabase Engine. 実行可能ファイルのパスは <MSSQLPATH>\MSSQL\Binn\sqlservr.exe です。The executable file is <MSSQLPATH>\MSSQL\Binn\sqlservr.exe.

  • SQL ServerSQL Server エージェント - ジョブの実行、 SQL ServerSQL Serverの監視、および警告の発行を行い、一部の管理タスクを自動化できるようにします。SQL ServerSQL Server Agent - Executes jobs, monitors SQL ServerSQL Server, fires alerts, and enables automation of some administrative tasks. SQL ServerSQL Server エージェント サービスは存在しますが、 SQL Server ExpressSQL Server Expressのインスタンスでは無効になっています。The SQL ServerSQL Server Agent service is present but disabled on instances of SQL Server ExpressSQL Server Express. 実行可能ファイルのパスは <MSSQLPATH>\MSSQL\Binn\sqlagent.exe です。The executable file is <MSSQLPATH>\MSSQL\Binn\sqlagent.exe.

  • Analysis ServicesAnalysis Services - ビジネス インテリジェンス アプリケーション用のオンライン分析処理 (OLAP) およびデータ マイニング機能を提供します。Analysis ServicesAnalysis Services - Provides online analytical processing (OLAP) and data mining functionality for business intelligence applications. 実行可能ファイルのパスは <MSSQLPATH>\OLAP\Bin\msmdsrv.exe です。The executable file is <MSSQLPATH>\OLAP\Bin\msmdsrv.exe.

  • Reporting ServicesReporting Services - レポートの管理、実行、作成、スケジュール、および配信を行います。Reporting ServicesReporting Services - Manages, executes, creates, schedules, and delivers reports. 実行可能ファイルのパスは <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe です。The executable file is <MSSQLPATH>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe.

  • Integration ServicesIntegration Services - Integration ServicesIntegration Services パッケージの保存と実行に対する管理サポートを提供します。Integration ServicesIntegration Services - Provides management support for Integration ServicesIntegration Services package storage and execution. 実行可能ファイルのパスは <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe です。The executable path is <MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe

  • SQL ServerSQL Server Browser - クライアント コンピューター用の SQL ServerSQL Server 接続情報を提供する名前解決サービスです。SQL ServerSQL Server Browser - The name resolution service that provides SQL ServerSQL Server connection information for client computers. 実行可能ファイルは c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe です。The executable path is c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe

  • フルテキスト検索 - コンテンツに対するフルテキスト インデックスと構造化データおよび半構造化データのプロパティをすばやく作成し、 SQL ServerSQL Serverに対するドキュメントのフィルター処理および単語区切りを可能にします。Full-text search - Quickly creates full-text indexes on content and properties of structured and semistructured data to provide document filtering and word-breaking for SQL ServerSQL Server.

  • SQL ライター - ボリューム シャドウ コピー サービス (VSS) フレームワークで動作するアプリケーションのバックアップと復元を可能にします。SQL Writer - Allows backup and restore applications to operate in the Volume Shadow Copy Service (VSS) framework.

  • SQL ServerSQL Server Distributed Replay Controller - 複数の Distributed Replay クライアント コンピューターにトレース再生オーケストレーションを提供します。SQL ServerSQL Server Distributed Replay Controller - Provides trace replay orchestration across multiple Distributed Replay client computers.

  • SQL ServerSQL Server Distributed Replay Client - SQL Server データベース エンジンSQL Server Database Engineのインスタンスに対して同時実行ワークロードをシミュレーションするために Distributed Replay コントローラーと共に動作する、1 つ以上の Distributed Replay クライアント コンピューターです。SQL ServerSQL Server Distributed Replay Client - One or more Distributed Replay client computers that work together with a Distributed Replay controller to simulate concurrent workloads against an instance of the SQL Server データベース エンジンSQL Server Database Engine.

  • SQL Server LaunchpadSQL Server Launchpad - R サービスまたは Machine Learning Services の一部としてインストールされる R または Python ランタイムなど、Microsoft によって提供される外部の実行可能ファイルをホストする信頼されたサービスです。SQL Server LaunchpadSQL Server Launchpad - A trusted service that hosts external executables that are provided by Microsoft, such as the R or Python runtimes installed as part of R Services or Machine Learning Services. サテライト プロセスは Launchpad プロセスによって起動できますが、個々のインスタンスの構成に基づいてリソースが制御されます。Satellite processes can be launched by the Launchpad process but will be resource governed based on the configuration of the individual instance. Launchpad サービスは独自のユーザー アカウントで実行され、特定の登録済みランタイムの各サテライト プロセスは Launchpad のユーザー アカウントを継承します。The Launchpad service runs under its own user account, and each satellite process for a specific, registered runtime will inherit the user account of the Launchpad. サテライト プロセスは、実行時に要求に応じて作成および破棄されます。Satellite processes are created and destroyed on demand during execution time.

    ドメイン コントローラーとしても使われているコンピューターに SQL Server をインストールした場合、Launchpad は使用するアカウントを作成できません。Launchpad cannot create the accounts it uses if you install SQL Server on a computer that is also used as a domain controller. そのため、ドメイン コントローラーでの R Services (データベース内) または Machine Learning サービス (データベース内) のセットアップは失敗します。Hence, setup of R Services (In-Database) or Machine Learning Services (In-Database) fails on a domain controller.

  • SQL Server PolyBase エンジン - 外部データ ソースに対する分散クエリ機能を提供します。SQL Server PolyBase Engine - Provides distributed query capabilities to external data sources.

  • SQL Server PolyBase Data Movement Service - SQL Server と外部データ ソースの間、および PolyBase スケールアウト グループ内の SQL ノードの間のデータ移動を有効にします。SQL Server PolyBase Data Movement Service - Enables data movement between SQL Server and External Data Sources and between SQL nodes in PolyBase Scaleout Groups.

サービスのプロパティおよび構成Service Properties and Configuration

SQL ServerSQL Server を開始して実行するために使用する開始アカウントは、 ドメイン ユーザー アカウントローカル ユーザー アカウントマネージド サービス アカウント仮想アカウント、または ビルトイン システム アカウントのいずれでも可能です。Startup accounts used to start and run SQL ServerSQL Server can be domain user accounts, local user accounts, managed service accounts, virtual accounts, or built-in system accounts. SQL ServerSQL Server の各サービスを開始して実行するには、インストール時に構成された開始アカウントが必要です。To start and run, each service in SQL ServerSQL Server must have a startup account configured during installation.

ここでは、SQL ServerSQL Server サービスを開始するために構成できるアカウント、SQL ServerSQL Server セットアップで使用される既定値、サービスごとの SID の概念、スタートアップ オプション、およびファイアウォールの構成について説明します。This section describes the accounts that can be configured to start SQL ServerSQL Server services, the default values used by SQL ServerSQL Server Setup, the concept of per-service SID's, the startup options, and configuring the firewall.

既定のサービス アカウントDefault Service Accounts

次の表に、すべてのコンポーネントをインストールするときにセットアップで使用される既定のサービス アカウントを示します。The following table lists the default service accounts used by setup when installing all components. ここに示されている既定のアカウントは、特に断りがない限り、推奨のアカウントです。The default accounts listed are the recommended accounts, except as noted.

スタンドアロン サーバーまたはドメイン コント ローラーStand-alone Server or Domain Controller

コンポーネントComponent Windows Server 2008Windows Server 2008 Windows 7 および Windows Server 2008Windows Server 2008 R2 以降Windows 7 and Windows Server 2008Windows Server 2008 R2 and higher
データベース エンジンDatabase Engine ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
SQL ServerSQL Server エージェントAgent ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
SSASSSAS ネットワーク サービスNETWORK SERVICE 仮想アカウント* **Virtual Account* **
SSISSSIS ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
SSRSSSRS ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
SQL ServerSQL Server 分散再生コントローラーDistributed Replay Controller ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
SQL ServerSQL Server 分散再生クライアントDistributed Replay Client ネットワーク サービスNETWORK SERVICE 仮想アカウント*Virtual Account*
FD ランチャー (フルテキスト検索)FD Launcher (Full-text Search) ローカル サービスLOCAL SERVICE 仮想アカウントVirtual Account
SQL ServerSQL Server ブラウザーBrowser ローカル サービスLOCAL SERVICE ローカル サービスLOCAL SERVICE
SQL ServerSQL Server VSS WriterVSS Writer ローカル システムLOCAL SYSTEM ローカル システムLOCAL SYSTEM
Advanced Analytics ExtensionsAdvanced Analytics Extensions NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad NTSERVICE\MSSQLLaunchpadNTSERVICE\MSSQLLaunchpad
PolyBase エンジンPolyBase Engine ネットワーク サービスNETWORK SERVICE ネットワーク サービスNETWORK SERVICE
PolyBase Data Movement ServicePolyBase Data Movement Service ネットワーク サービスNETWORK SERVICE ネットワーク サービスNETWORK SERVICE

*SQL ServerSQL Server コンピューターの外部のリソースが必要になる場合、MicrosoftMicrosoft では、必要な最小限の特権で構成された、管理されたサービス アカウント (MSA) を使用することをお勧めします。*When resources external to the SQL ServerSQL Server computer are needed, MicrosoftMicrosoft recommends using a Managed Service Account (MSA), configured with the minimum privileges necessary.
** ドメイン コントローラーにインストールする場合、サービス アカウントとしての仮想アカウントはサポートされません。** When installed on a Domain Controller, a virtual account as the service account is not supported.

SQL Server フェールオーバー クラスター インスタンスSQL Server Failover Cluster Instance

コンポーネントComponent Windows Server 2008Windows Server 2008 Windows Server 2008Windows Server 2008 R2R2
データベース エンジンDatabase Engine [なし] :None. ドメイン ユーザー アカウントを提供します。Provide a domain user account. ドメイン ユーザー アカウントを提供します。Provide a domain user account.
SQL ServerSQL Server エージェントAgent [なし] :None. ドメイン ユーザー アカウントを提供します。Provide a domain user account. ドメイン ユーザー アカウントを提供します。Provide a domain user account.
SSASSSAS [なし] :None. ドメイン ユーザー アカウントを提供します。Provide a domain user account. ドメイン ユーザー アカウントを提供します。Provide a domain user account.
SSISSSIS ネットワーク サービスNETWORK SERVICE 仮想アカウントVirtual Account
SSRSSSRS ネットワーク サービスNETWORK SERVICE 仮想アカウントVirtual Account
FD ランチャー (フルテキスト検索)FD Launcher (Full-text Search) ローカル サービスLOCAL SERVICE 仮想アカウントVirtual Account
SQL ServerSQL Server ブラウザーBrowser ローカル サービスLOCAL SERVICE ローカル サービスLOCAL SERVICE
SQL ServerSQL Server VSS WriterVSS Writer ローカル システムLOCAL SYSTEM ローカル システムLOCAL SYSTEM

アカウント プロパティの変更Changing Account Properties

重要

  • SQL ServerSQL Server のサービスまたは SQL ServerSQL Server エージェントのサービスが使用するアカウントやパスワードを変更する場合は、 SQL Server データベース エンジンSQL Server Database Engine のツール ( SQL ServerSQL Server 構成マネージャーなど) を必ず使用してください。Always use SQL ServerSQL Server tools such as SQL ServerSQL Server Configuration Manager to change the account used by the SQL Server データベース エンジンSQL Server Database Engine or SQL ServerSQL Server Agent services, or to change the password for the account. SQL ServerSQL Server 構成マネージャーでは、アカウント名の変更だけでなく、 データベース エンジンDatabase Engineサービス マスター キーを保護する Windows ローカル セキュリティ ストアの更新など、付加的な構成も行うことができます。In addition to changing the account name, SQL ServerSQL Server Configuration Manager performs additional configuration such as updating the Windows local security store which protects the service master key for the データベース エンジンDatabase Engine. Windows サービス コントロール マネージャーなどの他のツールでもアカウント名を変更できますが、必要なすべての設定を変更することはできません。Other tools such as the Windows Services Control Manager can change the account name but do not change all the required settings.
  • SharePoint ファームに配置した Analysis ServicesAnalysis Services インスタンスの場合、 Power Pivot サービスPower Pivot service アプリケーションと Analysis Services サービスAnalysis Services serviceのサーバー アカウントを変更するときは、必ず SharePoint サーバーの全体管理を使用するようにしてください。For Analysis ServicesAnalysis Services instances that you deploy in a SharePoint farm, always use SharePoint Central Administration to change the server accounts for Power Pivot サービスPower Pivot service applications and the Analysis Services サービスAnalysis Services service. サーバーの全体管理を使用すると、関連の設定と権限が更新され、新しいアカウント情報が使用されます。Associated settings and permissions are updated to use the new account information when you use Central Administration.
  • Reporting ServicesReporting Services オプションを変更するには、Reporting Services 構成ツールを使用します。To change Reporting ServicesReporting Services options, use the Reporting Services Configuration Tool.

管理されたサービス アカウント、グループ管理サービス アカウント、仮想アカウントManaged Service Accounts, Group Managed Service Accounts, and Virtual Accounts

管理されたサービス アカウント、グループ管理サービス アカウント、および仮想アカウントは、 SQL ServerSQL Server などの重要なアプリケーションをアプリケーション独自のアカウントとは別に提供するために設計され、管理者はこれらのアカウントのサービス プリンシパル名 (SPN) や資格情報を手動で管理する必要はありません。Managed service accounts, group managed service accounts, and virtual accounts are designed to provide crucial applications such as SQL ServerSQL Server with the isolation of their own accounts, while eliminating the need for an administrator to manually administer the Service Principal Name (SPN) and credentials for these accounts. これらにより、サービス アカウントのユーザー、パスワード、SPN の長期的な管理は非常に簡単になります。These make long term management of service account users, passwords and SPNs much easier.

  • Managed Service AccountsManaged Service Accounts

    管理されたサービス アカウント (MSA) は、ドメイン コント ローラーによって作成および管理されるドメイン アカウントの一種です。A Managed Service Account (MSA) is a type of domain account created and managed by the domain controller. 管理されたサービス アカウントは、サービスの実行に使用する 1 つのメンバー コンピューターに割り当てられます。It is assigned to a single member computer for use running a service. パスワードは、ドメイン コント ローラーによって自動的に管理されます。The password is managed automatically by the domain controller. MSA を使用して、コンピューターにログインすることはできませんが、コンピューターは、MSA を使用して Windows サービスを開始することができます。You cannot use a MSA to log into a computer, but a computer can use a MSA to start a Windows service. MSA では、servicePrincipalName の読み取りおよび書き込み権限が付与されている場合、Active Directory 内でサービス プリンシパル名 (SPN) を登録することができます。An MSA has the ability to register a Service Principal Name (SPN) within Active Directory when given read and write servicePrincipalName permissions. MSA には、 DOMAIN\ACCOUNTNAME$ など、 $ サフィックスを伴う名前が付けられます。A MSA is named with a $ suffix, for example DOMAIN\ACCOUNTNAME$. MSA を指定する場合は、パスワードを空白のままにします。When specifying a MSA, leave the password blank. MSA は、1 つのコンピューターに割り当てられているため、Windows クラスターの異なるノード上では使用できません。Because a MSA is assigned to a single computer, it cannot be used on different nodes of a Windows cluster.

    注意

    MSA は、 SQL ServerSQL Server セットアップが MSA を SQL ServerSQL Server サービスで使用する前に、ドメイン管理者が Active Directory に作成する必要があります。The MSA must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • グループ管理サービス アカウントGroup Managed Service Accounts

    グループ管理サービス アカウントは、複数サーバーのための MSA です。A Group Managed Service Account is an MSA for multiple servers. Windows は、サーバーのグループで実行されているサービスのサービス アカウントを管理します。Windows manages a service account for services running on a group of servers. Active Directory は、サービスを再起動することなくグループ管理サービス アカウントのパスワードを自動的に更新します。Active Directory automatically updates the group managed service account password without restarting services. グループ管理サービス アカウントのプリンシパルを使用するように SQL Server のサービスを構成できます。You can configure SQL Server services to use a group managed service account principal. SQL Server 2014 より、SQL Server はスタンドアロン インスタンスのグループ管理サービス アカウントを、SQL Server 2016 以降ではフェールオーバー クラスター インスタンスと可用性グループのグループ管理サービス アカウントをサポートします。Beginning with SQL Server 2014, SQL Server supports group managed service accounts for standalone instances, and SQL Server 2016 and later for failover cluster instances, and availability groups.

    SQL Server 2014 以降でグループ管理サービス アカウントを使用するには、オペレーティング システムが Windows Server 2012 R2 以降である必要があります。To use a group managed service account for SQL Server 2014 or later, the operating system must be Windows Server 2012 R2 or later. Windows Server 2012 R2 のサーバーでは、パスワード変更直後に中断することなくサービスがログインできるためには、 KB 2998082 を適用する必要があります。Servers with Windows Server 2012 R2 require KB 2998082 applied so that the services can log in without disruption immediately after a password change.

    詳細については、「グループの管理されたサービス アカウントの概要」を参照してください。For more information, see Group Managed Service Accounts

    注意

    SQL ServerSQL Server のセットアップで SQL ServerSQL Server サービスにグループ管理サービス アカウントを使用できるためには、その前にドメイン管理者が Active Directory でグループ管理サービス アカウントを作成しておく必要があります。The group managed service account must be created in the Active Directory by the domain administrator before SQL ServerSQL Server setup can use it for SQL ServerSQL Server services.

  • Virtual AccountsVirtual Accounts

    Windows Server 2008 R2 および Windows 7 で追加された仮想アカウントは管理されたローカル アカウントであり、サービスの管理を簡単にする次の機能を使用できます。Virtual accounts (beginning with Windows Server 2008 R2 and Windows 7) are managed local accounts that provide the following features to simplify service administration. 仮想アカウントは自動的に管理され、ドメイン環境でネットワークにアクセスすることができます。The virtual account is auto-managed, and the virtual account can access the network in a domain environment. SQL ServerSQL Server のセットアップでサービス アカウントに既定値を使用した場合、NT SERVICE\ <サービス名> の形式でインスタンス名をサービス名として用いる仮想アカウントが使用されます。If the default value is used for the service accounts during SQL ServerSQL Server setup, a virtual account using the instance name as the service name is used, in the format NT SERVICE\<SERVICENAME>. 仮想アカウントとして実行されるサービスは、 <ドメイン名> \ <コンピューター名> $ の形式で、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。Services that run as virtual accounts access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. SQL ServerSQL Server を起動するために仮想アカウントを指定する場合は、パスワードを空白のままにします。When specifying a virtual account to start SQL ServerSQL Server, leave the password blank. 仮想アカウントのサービス プリンシパル名 (SPN) を登録していない場合は、SPN を手動で登録します。If the virtual account fails to register the Service Principal Name (SPN), register the SPN manually. SPN の手動登録の詳細については、 SPN の手動登録に関するページを参照してください。For more information on registering a SPN manually, see Manual SPN Registration.

    注意

    仮想アカウントは、クラスターの各ノードで同じ SID を使用することができないので、 SQL ServerSQL Server フェールオーバー クラスター インスタンスでは使用できません。Virtual accounts cannot be used for SQL ServerSQL Server Failover Cluster Instance, because the virtual account would not have the same SID on each node of the cluster.

    次の表に仮想アカウント名の例を示します。The following table lists examples of virtual account names.

    サービスService 仮想アカウント名Virtual Account Name
    データベース エンジンDatabase Engine サービスの既定のインスタンスDefault instance of the データベース エンジンDatabase Engine service NT SERVICE\MSSQLSERVERNT SERVICE\MSSQLSERVER
    PAYROLL という名前の データベース エンジンDatabase Engine サービスの名前付きインスタンスNamed instance of a データベース エンジンDatabase Engine service named PAYROLL NT SERVICE\MSSQL$PAYROLLNT SERVICE\MSSQL$PAYROLL
    SQL ServerSQL Server の既定のインスタンスの SQL ServerSQL Server エージェント サービスAgent service on the default instance of SQL ServerSQL Server NT SERVICE\SQLSERVERAGENTNT SERVICE\SQLSERVERAGENT
    PAYROLL という名前の SQL ServerSQL Server のインスタンスの SQL ServerSQL Server エージェント サービスSQL ServerSQL Server Agent service on an instance of SQL ServerSQL Server named PAYROLL NT SERVICE\SQLAGENT$PAYROLLNT SERVICE\SQLAGENT$PAYROLL

管理されたサービス アカウントと仮想アカウントの詳細については、「 Service Accounts Step-by-Step Guide 」 (サービス アカウントのステップ バイ ステップ ガイド) の「 Managed service account and virtual account concepts 」 (管理されたサービス アカウントと仮想アカウントの概念) および「 Managed Service Accounts Frequently Asked Questions (FAQ)」 (管理されたサービス アカウントに関してよく寄せられる質問 (FAQ)) をご覧ください。For more information on Managed Service Accounts and Virtual Accounts, see the Managed service account and virtual account concepts section of Service Accounts Step-by-Step Guide and Managed Service Accounts Frequently Asked Questions (FAQ).

セキュリティに関する注意: SQL Server サービスは、常に可能な限り最小のユーザー権限で実行してください。Always run SQL Server services by using the lowest possible user rights.可能な場合は、MSA または仮想アカウントをご使用ください。Security Note: SQL Server サービスは、常に可能な限り最小のユーザー権限で実行してください。Always run SQL Server services by using the lowest possible user rights. Use a MSA or virtual account when possible. MSA または仮想アカウントを使用できない場合は、 SQL ServerSQL Server サービス用の共有アカウントの代わりに、特権レベルの低い特定のユーザー アカウントまたはドメイン アカウントを使用します。When MSA and virtual accounts are not possible, use a specific low-privilege user account or domain account instead of a shared account for SQL ServerSQL Server services. SQL ServerSQL Server サービスごとに個別のアカウントを使用します。Use separate accounts for different SQL ServerSQL Server services. SQL ServerSQL Server サービス アカウントまたはサービス グループに追加の権限を付与しないでください。Do not grant additional permissions to the SQL ServerSQL Server service account or the service groups. 権限は、グループのメンバーシップを通じて付与されるか、サービス SID がサポートされている場合にはサービス SID に直接付与されます。Permissions will be granted through group membership or granted directly to a service SID, where a service SID is supported.

自動起動Automatic startup

ユーザー アカウントに加え、各サービスには 3 種類の起動時の状態があります。これらの状態はユーザーによる制御が可能です。In addition to having user accounts, every service has three possible startup states that users can control:

  • 無効 サービスがインストールされていますが、現在は実行されていません。Disabled The service is installed but not currently running.

  • 手動 サービスがインストールされていますが、別のサービスまたはアプリケーションでその機能が必要な場合のみ開始されます。Manual The service is installed, but will start only when another service or application needs its functionality.

  • 自動 サービスはオペレーティング システムによって自動的に起動されます。Automatic The service is automatically started by the operating system.

起動時の状態は、セットアップ中に選択されます。The startup state is selected during setup. 名前付きインスタンスをインストールする場合は、 SQL ServerSQL Server Browser サービスが自動的に開始されるように設定する必要があります。When installing a named instance, the SQL ServerSQL Server Browser service should be set to start automatically.

無人インストール中のサービスの構成Configuring services during unattended installation

次の表に、インストール時に構成できる SQL ServerSQL Server サービスを示します。The following table shows the SQL ServerSQL Server services that can be configured during installation. 自動インストールを行う場合は、構成ファイルまたはコマンド プロンプトでスイッチを使用できます。For unattended installations, you can use the switches in a configuration file or at a command prompt.

SQL Server サービス名SQL Server service name 自動インストールのスイッチ*Switches for unattended installations*
MSSQLSERVERMSSQLSERVER SQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLSVCACCOUNT, SQLSVCPASSWORD, SQLSVCSTARTUPTYPE
SQLServerAgent**SQLServerAgent** AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEAGTSVCACCOUNT, AGTSVCPASSWORD, AGTSVCSTARTUPTYPE
MSSQLServerOLAPServiceMSSQLServerOLAPService ASSVCACCOUNT、ASSVCPASSWORD、ASSVCSTARTUPTYPEASSVCACCOUNT, ASSVCPASSWORD, ASSVCSTARTUPTYPE
ReportServerReportServer RSSVCACCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPERSSVCACCOUNT, RSSVCPASSWORD, RSSVCSTARTUPTYPE
Integration ServicesIntegration Services ISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPEISSVCACCOUNT, ISSVCPASSWORD, ISSVCSTARTUPTYPE
SQL ServerSQL Server 分散再生コントローラーDistributed Replay Controller DRU_CTLR、CTLRSVCACCOUNT、CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSDRU_CTLR, CTLRSVCACCOUNT,CTLRSVCPASSWORD, CTLRSTARTUPTYPE, CTLRUSERS
SQL ServerSQL Server 分散再生クライアントDistributed Replay Client DRU_CLT、CLTSVCACCOUNT、CLTSVCPASSWORD、CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGDIR、CLTRESULTDIRDRU_CLT, CLTSVCACCOUNT, CLTSVCPASSWORD, CLTSTARTUPTYPE, CLTCTLRNAME, CLTWORKINGDIR, CLTRESULTDIR
R サービスまたは Machine Learning ServicesR Services or Machine Learning Services EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS***EXTSVCACCOUNT, EXTSVCPASSWORD, ADVANCEDANALYTICS***
PolyBase エンジンPolyBase Engine PBENGSVCACCOUNT、PBENGSVCPASSWORD、PBENGSVCSTARTUPTYPE、PBDMSSVCACCOUNT、PBDMSSVCPASSWORD、PBDMSSVCSTARTUPTYPE、PBSCALEOUT、PBPORTRANGEPBENGSVCACCOUNT, PBENGSVCPASSWORD, PBENGSVCSTARTUPTYPE, PBDMSSVCACCOUNT,PBDMSSVCPASSWORD, PBDMSSVCSTARTUPTYPE, PBSCALEOUT, PBPORTRANGE

* 自動インストールの詳細およびサンプル構文については、「コマンド プロンプトからの SQL Server 2016 のインストール」をご覧ください。*For more information and sample syntax for unattended installations, see Install SQL Server 2016 from the Command Prompt.

** SQL ServerSQL Server エージェント サービスは、SQL Server ExpressSQL Server Express および SQL Server ExpressSQL Server Express with Advanced Services のインスタンスで無効になっています。**The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

*** スイッチだけによる Launchpad のアカウントの設定は、現在はサポートされていません。***Setting the account for Launchpad through the switches alone is not currently supported. アカウントおよび他のサービス設定を変更するには、SQL Server 構成マネージャーを使ってください。Use SQL Server Configuration Manager to change the account and other service settings.

ファイアウォール ポートFirewall Port

ほとんどの場合、 データベース エンジンDatabase Engine は、最初にインストールされると、 SQL Server Management StudioSQL Server Management Studio と同じコンピューターにインストールされている SQL ServerSQL Serverなどのツールによって接続できます。In most cases, when initially installed, the データベース エンジンDatabase Engine can be connected to by tools such as SQL Server Management StudioSQL Server Management Studio installed on the same computer as SQL ServerSQL Server. SQL ServerSQL Server セットアップでは、Windows ファイアウォールでポートが開かれません。Setup does not open ports in the Windows firewall. データベース エンジンDatabase Engine が TCP ポートでリッスンするように構成され、Windows ファイアウォールで接続用に適切なポートが開かれるまでは、他のコンピューターから接続できない場合があります。Connections from other computers may not be possible until the データベース エンジンDatabase Engine is configured to listen on a TCP port, and the appropriate port is opened for connections in the Windows firewall. 詳細については、「 Analysis Services のアクセスを許可するための Windows ファイアウォールの構成」を参照してください。For more information, see Configure the Windows Firewall to Allow SQL Server Access.

サービスの権限Service Permissions

このセクションでは、SQL ServerSQL Server サービスのサービスごとの SID のために SQL ServerSQL Server セットアップで構成される権限について説明します。This section describes the permissions that SQL ServerSQL Server Setup configures for the per-service SID's of the SQL ServerSQL Server services.

サービスの構成とアクセス制御Service Configuration and Access Control

SQL Server 2017SQL Server 2017 の場合、各サービスに対してサービスごとの SID を使用することができます。これによって、サービスを分離し、多層防御を実現できます。enables per-service SID for each of its services to provide service isolation and defense in depth. サービスごとの SID は、サービス名から取得されるので、そのサービスに固有です。The per-service SID is derived from the service name and is unique to that service. たとえば、データベース エンジンDatabase Engine サービスのサービス SID 名は、NT Service\MSSQL$ <InstanceName> となります。For example, a service SID name for the データベース エンジンDatabase Engine service might be NT Service\MSSQL$<InstanceName>. サービスを分離すると、高い特権のアカウントを使用したり、オブジェクトのセキュリティ保護を弱めたりすることなく、特定のオブジェクトにアクセスできます。Service isolation enables access to specific objects without the need to run a high-privilege account or weaken the security protection of the object. サービス SID を含むアクセス制御エントリを使用することにより、 SQL ServerSQL Server サービスはそのリソースへのアクセスを制限することができます。By using an access control entry that contains a service SID, a SQL ServerSQL Server service can restrict access to its resources.

注意

Windows 7 と Windows Server 2008Windows Server 2008 R2 以降では、サービスごとの SID は、サービスによって使用される仮想アカウントである場合があります。On Windows 7 and Windows Server 2008Windows Server 2008 R2 (and later) the per-service SID can be the virtual account used by the service.

ほとんどのコンポーネントでは、 SQL ServerSQL Server はサービス アカウントの ACL を直接構成します。したがって、リソース ACL プロセスを繰り返さなくてもサービス アカウントを変更することができます。For most components SQL ServerSQL Server configures the ACL for the per-service account directly, so changing the service account can be done without having to repeat the resource ACL process.

SSASSSASをインストールするときに、 Analysis ServicesAnalysis Services サービスに対してサービスごとの SID が作成されます。When installing SSASSSAS, a per-service SID for the Analysis ServicesAnalysis Services service is created. ローカル Windows グループは、SQLServerMSASUser$ computer_name $ _instance_name* という形式の名前で作成されます。A local Windows group is created, named in the format SQLServerMSASUser$computer_name$_instance_name*. サービスごとの SID NT SERVICE\MSSQLServerOLAPService には、ローカル Windows グループのメンバーシップが付与され、ローカル Windows グループには、ACL の適切な権限が付与されます。The per-service SID NT SERVICE\MSSQLServerOLAPService is granted membership in the local Windows group, and the local Windows group is granted the appropriate permissions in the ACL. Analysis ServicesAnalysis Services サービスを開始するために使用されるアカウントが変更される場合は、 SQL ServerSQL Server 構成マネージャーで一部の Windows 権限 (サービスとしてログオンする権限など) を変更する必要がありますが、サービスごとの SID は変更されていないので、ローカル Windows グループに割り当てられた権限は、更新することなく使用できます。If the account used to start the Analysis ServicesAnalysis Services service is changed, SQL ServerSQL Server Configuration Manager must change some Windows permissions (such as the right to log on as a service), but the permissions assigned to the local Windows group will still be available without any updating, because the per-service SID has not changed. これにより、アップグレード中に Analysis ServicesAnalysis Services サービスの名前を変更できます。This method allows the Analysis ServicesAnalysis Services service to be renamed during upgrades.

SQL ServerSQL Server のインストール中に、 SQL ServerSQL Server セットアップは、 SSASSSAS のローカル Windows グループと SQL ServerSQL Server Browser サービスを作成します。During SQL ServerSQL Server installation, SQL ServerSQL Server Setup creates a local Windows groups for SSASSSAS and the SQL ServerSQL Server Browser service. これらのサービスに対して、 SQL ServerSQL Server はローカル Windows グループの ACL を構成します。For these services, SQL ServerSQL Server configures the ACL for the local Windows groups.

サービス構成に応じて、インストール時またはアップグレード時にサービスまたはサービス SID のサービス アカウントが、サービス グループのメンバーとして追加されます。Depending on the service configuration, the service account for a service or service SID is added as a member of the service group during install or upgrade.

Windows の特権および権限Windows Privileges and Rights

サービスを開始するために割り当てられているアカウントには、サービスを開始、停止、および一時停止するための権限が必要ですThe account assigned to start a service needs the Start, stop and pause permission for the service. SQL ServerSQL Server セットアップ プログラムはこれを自動的に割り当てます。The SQL ServerSQL Server Setup program automatically assigns this. 最初にリモート サーバー管理ツール (RSAT) をインストールします。First install Remote Server Administration Tools (RSAT). Windows 7 用のリモート サーバー管理ツール」を参照してください。See Remote Server Administration Tools for Windows 7.

次の表に、 SQL ServerSQL Server コンポーネントが使用するサービスごとの SID またはローカル Windows グループに対して SQL ServerSQL Server セットアップが要求する権限を示します。The following table shows permissions that SQL ServerSQL Server Setup requests for the per-service SIDs or local Windows groups used by SQL ServerSQL Server components.

SQL ServerSQL Server サービスService SQL ServerSQL Server セットアップで付与される権限Permissions granted by SQL ServerSQL Server Setup
SQL Server データベース エンジンSQL Server Database Engine:SQL Server データベース エンジンSQL Server Database Engine:

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンス: NT SERVICE\MSSQLSERVERDefault instance: NT SERVICE\MSSQLSERVER. 名前付きインスタンス: NT SERVICE\MSSQL$ InstanceName。)Named instance: NT SERVICE\MSSQL$ InstanceName.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

SQL ライターを起動する権限Permission to start SQL Writer

イベント ログ サービスを読み取る権限Permission to read the Event Log service

リモート プロシージャ コール サービスを読み取る権限Permission to read the Remote Procedure Call service
SQL ServerSQL Server エージェント: *SQL ServerSQL Server Agent: *

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンス: NT Service\SQLSERVERAGENTDefault instance: NT Service\SQLSERVERAGENT. 名前付きインスタンス: NT Service\SQLAGENT$ InstanceName 。)Named instance: NT Service\SQLAGENT$InstanceName.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
SSASSSAS:SSASSSAS:

(すべての権限が、ローカル Windows グループに付与されます。(All rights are granted to a local Windows group. 既定のインスタンス: SQLServerMSASUser$ ComputerName $MSSQLSERVERDefault instance: SQLServerMSASUser$ComputerName$MSSQLSERVER. 名前付きインスタンス: SQLServerMSASUser$ ComputerName $ InstanceNameNamed instance: SQLServerMSASUser$ComputerName$InstanceName. Power Pivot for SharePointPower Pivot for SharePoint インスタンス: SQLServerMSASUser$ ComputerName $ PowerPivot 。)instance: SQLServerMSASUser$ComputerName$PowerPivot.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

テーブルのみ:For tabular only:

[プロセス ワーキング セットの増加] (SeIncreaseWorkingSetPrivilege)Increase a process working set (SeIncreaseWorkingSetPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

メモリ内のページをロックする (SeLockMemoryPrivilege) - ページングが完全に無効になっている場合にのみ必要です。Lock pages in memory (SeLockMemoryPrivilege) - this is needed only when paging is turned off entirely.

フェールオーバー クラスター インストールのみ:For failover cluster installations only:

スケジューリングでの優先度を上げる (SeIncreaseBasePriorityPrivilege)Increase scheduling priority (SeIncreaseBasePriorityPrivilege)
SSRSSSRS:SSRSSSRS:

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンス: NT SERVICE\ReportServerDefault instance: NT SERVICE\ReportServer. 名前付きインスタンス: NT SERVICE\ReportServer$ InstanceName 。)Named instance: NT SERVICE\ReportServer$InstanceName.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SSISSSIS:SSISSSIS:

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンスと名前付きインスタンス: NT SERVICE\MsDtsServer130Default instance and named instance: NT SERVICE\MsDtsServer130. Integration ServicesIntegration Services には名前付きインスタンスに対する個別のプロセスはありません)does not have a separate process for a named instance.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

アプリケーション イベント ログに書き込む権限Permission to write to application event log.

スキャン チェックを行わない (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

認証後にクライアントを借用する (SeImpersonatePrivilege)Impersonate a client after authentication (SeImpersonatePrivilege)
フルテキスト検索:Full-text search:

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンス: NT Service\MSSQLFDLauncherDefault instance: NT Service\MSSQLFDLauncher. 名前付きインスタンス: NT Service\ MSSQLFDLauncher$ InstanceName 。)Named instance: NT Service\ MSSQLFDLauncher$InstanceName.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)
SQL ServerSQL Server ブラウザー:SQL ServerSQL Server Browser:

(すべての権限が、ローカル Windows グループに付与されます。(All rights are granted to a local Windows group. 既定のインスタンスまたは名前付きインスタンス: SQLServer2005SQLBrowserUser $ComputerNameDefault or named instance: SQLServer2005SQLBrowserUser$ComputerName. SQL ServerSQL Server Browser には名前付きインスタンスに対する個別のプロセスはありません。)Browser does not have a separate process for a named instance.)
サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server VSS Writer:SQL ServerSQL Server VSS Writer:

(すべての権限が、サービスごとの SID に付与されます。(All rights are granted to the per-service SID. 既定のインスタンスまたは名前付きインスタンス: NT Service\SQLWriterDefault or named instance: NT Service\SQLWriter. SQL ServerSQL Server VSS Writer には名前付きインスタンスに対する個別のプロセスはありません。)VSS Writer does not have a separate process for a named instance.)
SQLWriter サービスは、必要なすべての権限を持つ LOCAL SYSTEM アカウントで実行されます。The SQLWriter service runs under the LOCAL SYSTEM account which has all the required permissions. SQL ServerSQL Server セットアップでは、このサービスのチェックまたは権限の付与は行いません。setup does not check or grant permissions for this service.
SQL ServerSQL Server 分散再生コントローラー:SQL ServerSQL Server Distributed Replay Controller: サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
SQL ServerSQL Server 分散再生クライアント:SQL ServerSQL Server Distributed Replay Client: サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
PolyBase エンジンと DMSPolyBase Engine and DMS サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)
スタート パッド:Launchpad: サービスとしてログオン (SeServiceLogonRight)Log on as a service (SeServiceLogonRight)

プロセス レベル トークンを置き換える (SeAssignPrimaryTokenPrivilege)Replace a process-level token (SeAssignPrimaryTokenPrivilege)

スキャン チェックを行わない (SeChangeNotifyPrivilege)Bypass traverse checking (SeChangeNotifyPrivilege)

プロセスに対してメモリ クォータを調整する (SeIncreaseQuotaPrivilege)Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)
R サービス/Machine Learning Services: SQLRUserGroup (SQL 2016 および 2017)R Services/Machine Learning Services: SQLRUserGroup (SQL 2016 and 2017) 既定では、 [ローカル ログオンを許可する] アクセス許可がありませんDoes not have the Allow Log on locally permission by default
Machine Learning Services 'すべてのアプリケーション パッケージ' [AppContainer] (SQL 2019)Machine Learning Services 'All Application Packages' [AppContainer] (SQL 2019) SQL Server 'Binn'、R_Services、および PYTHON_Services ディレクトリに対する読み取り権限と実行権限Read and execute permissions to the SQL Server 'Binn', R_Services, and PYTHON_Services directories

* SQL ServerSQL Server エージェント サービスは、SQL Server ExpressSQL Server Express のインスタンスで無効になっています。*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express.

SQL Server のサービスごとの SID またはローカル Windows グループに付与されるファイル システム権限File System Permissions Granted to SQL Server Per-service SIDs or Local Windows Groups

SQL ServerSQL Server サービス アカウントは、リソースへのアクセス権を持っている必要があります。service accounts must have access to resources. アクセス制御リストは、サービスごとの SID またはローカル Windows グループに対して設定されます。Access control lists are set for the per-service SID or the local Windows group.

重要

フェールオーバー クラスターのインストールの場合、共有ディスク上のリソースをローカル アカウントの ACL に設定する必要があります。For failover cluster installations, resources on shared disks must be set to an ACL for a local account.

次の表に、 SQL ServerSQL Server セットアップによって設定される ACL を示します。The following table shows the ACLs that are set by SQL ServerSQL Server Setup:

サービス アカウントのサービスService account for ファイルとフォルダーFiles and folders アクセスAccess
MSSQLServerMSSQLServer Instid\MSSQL\backupInstid\MSSQL\backup フル コントロールFull control
Instid\MSSQL\binnInstid\MSSQL\binn 読み取り、実行Read, Execute
Instid\MSSQL\dataInstid\MSSQL\data フル コントロールFull control
Instid\MSSQL\FTDataInstid\MSSQL\FTData フル コントロールFull control
Instid\MSSQL\InstallInstid\MSSQL\Install 読み取り、実行Read, Execute
Instid\MSSQL\LogInstid\MSSQL\Log フル コントロールFull control
Instid\MSSQL\RepldataInstid\MSSQL\Repldata フル コントロールFull control
130\shared130\shared 読み取り、実行Read, Execute
Instid\MSSQL\Template Data (SQL Server ExpressSQL Server Express のみ)Instid\MSSQL\Template Data (SQL Server ExpressSQL Server Express only) ReadRead
SQLServerAgent*SQLServerAgent* Instid\MSSQL\binnInstid\MSSQL\binn フル コントロールFull control
Instid\MSSQL\binnInstid\MSSQL\binn フル コントロールFull control
Instid\MSSQL\LogInstid\MSSQL\Log 読み取り、書き込み、削除、実行Read, Write, Delete, Execute
130\com130\com 読み取り、実行Read, Execute
130\shared130\shared 読み取り、実行Read, Execute
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
ServerName\EventLogServerName\EventLog フル コントロールFull control
FTSFTS Instid\MSSQL\FTDataInstid\MSSQL\FTData フル コントロールFull control
Instid\MSSQL\FTRefInstid\MSSQL\FTRef 読み取り、実行Read, Execute
130\shared130\shared 読み取り、実行Read, Execute
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
Instid\MSSQL\InstallInstid\MSSQL\Install 読み取り、実行Read, Execute
Instid\MSSQL\jobsInstid\MSSQL\jobs 読み取り、書き込みRead, Write
MSSQLServerOLAPServiceMSSQLServerOLAPservice 130\shared\ASConfig130\shared\ASConfig フル コントロールFull control
Instid\OLAPInstid\OLAP 読み取り、実行Read, Execute
Instid\Olap\DataInstid\Olap\Data フル コントロールFull control
Instid\Olap\LogInstid\Olap\Log 読み取り、書き込みRead, Write
Instid\OLAP\BackupInstid\OLAP\Backup 読み取り、書き込みRead, Write
Instid\OLAP\TempInstid\OLAP\Temp 読み取り、書き込みRead, Write
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
SQLServerReportServerUserSQLServerReportServerUser Instid\Reporting Services\Log FilesInstid\Reporting Services\Log Files 読み取り、書き込み、削除Read, Write, Delete
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer 読み取り、実行Read, Execute
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax フル コントロールFull control
Instid\Reportingservices\Reportserver\Reportserver.configInstid\Reportingservices\Reportserver\Reportserver.config ReadRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\reportManager 読み取り、実行Read, Execute
Instid\Reporting Services\RSTempfilesInstid\Reporting Services\RSTempfiles 読み取り、書き込み、実行、削除Read, Write, Execute, Delete
130\shared130\shared 読み取り、実行Read, Execute
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
MSDTSServer100MSDTSServer100 130\dts\binn\MsDtsSrvr.ini.xml130\dts\binn\MsDtsSrvr.ini.xml ReadRead
130\dts\binn130\dts\binn 読み取り、実行Read, Execute
130\shared130\shared 読み取り、実行Read, Execute
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
SQL ServerSQL Server ブラウザーBrowser 130\shared\ASConfig130\shared\ASConfig ReadRead
130\shared130\shared 読み取り、実行Read, Execute
130\shared\Errordumps130\shared\Errordumps 読み取り、書き込みRead, Write
SQLWriterSQLWriter N/A (ローカル システムとして実行)N/A (Runs as local system)
ユーザーUser Instid\MSSQL\binnInstid\MSSQL\binn 読み取り、実行Read, Execute
Instid\Reporting Services\ReportServerInstid\Reporting Services\ReportServer 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
Instid\Reportingservices\Reportserver\global.asaxInstid\Reportingservices\Reportserver\global.asax ReadRead
Instid\Reporting Services\reportManagerInstid\Reporting Services\ReportManager 読み取り、実行Read, Execute
Instid\Reporting Services\ReportManager\pagesInstid\Reporting Services\ReportManager\pages ReadRead
Instid\Reporting Services\ReportManager\StylesInstid\Reporting Services\ReportManager\Styles ReadRead
130\dts130\dts 読み取り、実行Read, Execute
130\tools130\tools 読み取り、実行Read, Execute
100\tools100\tools 読み取り、実行Read, Execute
90\tools90\tools 読み取り、実行Read, Execute
80\tools80\tools 読み取り、実行Read, Execute
130\sdk130\sdk ReadRead
Microsoft SQL Server\130\Setup BootstrapMicrosoft SQL Server\130\Setup Bootstrap 読み取り、実行Read, Execute
SQL ServerSQL Server 分散再生コントローラーDistributed Replay Controller <ToolsDir>\DReplayController\Log\ (空のディレクトリ)<ToolsDir>\DReplayController\Log\ (empty directory) 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.exe<ToolsDir>\DReplayController\DReplayController.exe 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\resources|読み取り、実行、フォルダー内容の一覧表示<ToolsDir>\DReplayController\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\{空のディレクトリ}<ToolsDir>\DReplayController\{all dlls} 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\DReplayController.config<ToolsDir>\DReplayController\DReplayController.config 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRTemplate.tdf<ToolsDir>\DReplayController\IRTemplate.tdf 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayController\IRDefinition.xml<ToolsDir>\DReplayController\IRDefinition.xml 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
SQL ServerSQL Server 分散再生クライアントDistributed Replay Client <ToolsDir>\DReplayClient\Log|読み取り、実行、フォルダー内容の一覧表示<ToolsDir>\DReplayClient\Log|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.exe<ToolsDir>\DReplayClient\DReplayClient.exe 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\resources|読み取り、実行、フォルダー内容の一覧表示<ToolsDir>\DReplayClient\resources|Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\ (すべての dll)<ToolsDir>\DReplayClient\ (all dlls) 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\DReplayClient.config<ToolsDir>\DReplayClient\DReplayClient.config 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRTemplate.tdf<ToolsDir>\DReplayClient\IRTemplate.tdf 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
<ToolsDir>\DReplayClient\IRDefinition.xml<ToolsDir>\DReplayClient\IRDefinition.xml 読み取り、実行、フォルダー内容の一覧表示Read, Execute, List Folder Contents
スタート パッドLaunchpad %binn%binn 読み取り、実行Read, Execute
ExtensiblilityDataExtensiblilityData フル コントロールFull control
Log\ExtensibiltityLogLog\ExtensibiltityLog フル コントロールFull control

* SQL ServerSQL Server エージェント サービスは、SQL Server ExpressSQL Server Express および SQL Server ExpressSQL Server Express with Advanced Services のインスタンスで無効になっています。*The SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

データベース ファイルをユーザー定義の場所に格納する場合は、サービスごとの SID にその場所へのアクセス権を付与する必要があります。When database files are stored in a user-defined location, you must grant the per-service SID access to that location. サービスごとの SID にファイル システム権限を付与する方法の詳細については、「 データベース エンジン アクセスのファイル システム権限の構成」をご覧ください。For more information about granting file system permissions to a per-service SID, see Configure File System Permissions for Database Engine Access.

他の Windows ユーザー アカウントまたはグループに付与されるファイル システム権限File System Permissions Granted to Other Windows User Accounts or Groups

ビルトイン アカウントや他の SQL ServerSQL Server サービス アカウントに、いくつかのアクセス制御権限を付与する必要がある場合があります。Some access control permissions might have to be granted to built-in accounts or other SQL ServerSQL Server service accounts. 次の表は、 SQL ServerSQL Server セットアップによって追加設定される ACL を示しています。The following table lists additional ACLs that are set by SQL ServerSQL Server Setup.

要求元コンポーネントRequesting component アカウントAccount リソースResource アクセス許可Permissions
MSSQLServerMSSQLServer パフォーマンス ログ ユーザーPerformance Log Users Instid\MSSQL\binnInstid\MSSQL\binn フォルダー内容の一覧表示List folder contents
パフォーマンス監視ユーザーPerformance Monitor Users Instid\MSSQL\binnInstid\MSSQL\binn フォルダー内容の一覧表示List folder contents
パフォーマンス ログ ユーザー、パフォーマンス監視ユーザーPerformance Log Users, Performance Monitor Users \WINNT\system32\sqlctr130.dll\WINNT\system32\sqlctr130.dll 読み取り、実行Read, Execute
管理者のみAdministrator only \\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>*\\.\root\Microsoft\SqlServer\ServerEvents\<sql_instance_name>* フル コントロールFull control
管理者、システムAdministrators, System \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan フル コントロールFull control
ユーザーUsers \tools\binn\schemas\sqlserver\2004\07\showplan\tools\binn\schemas\sqlserver\2004\07\showplan 読み取り、実行Read, Execute
Reporting ServicesReporting Services <レポート サーバー Web サービス アカウント><Report Server Web Service Account> <install> \Reporting Services\LogFiles<install> \Reporting Services\LogFiles DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
レポート マネージャー アプリケーション プールの ID、 ASP.NETASP.NET アカウント、EveryoneReport Manager Application pool identity, ASP.NETASP.NET account, Everyone <install> \Reporting Services\ReportManager、 <install> \Reporting Services\ReportManager\Pages\**、 <install> \Reporting Services\ReportManager\Styles\*.*、 <install> \Reporting Services\ReportManager\webctrl_client\1_0\.*<install>* \Reporting Services\ReportManager, <install> \Reporting Services\ReportManager\Pages\*.*, <install> \Reporting Services\ReportManager\Styles\*.*, <install> \Reporting Services\ReportManager\webctrl_client\1_0\*.* ReadRead
レポート マネージャー アプリケーション プールの IDReport Manager Application pool identity <install> \Reporting Services\ReportManager\Pages\.*<install>* \Reporting Services\ReportManager\Pages\*.* ReadRead
<レポート サーバー Web サービス アカウント><Report Server Web Service Account> <install> \Reporting Services\ReportServer<install> \Reporting Services\ReportServer ReadRead
<レポート サーバー Web サービス アカウント><Report Server Web Service Account> <install> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax [完全]Full
Everyone (Everyone)Everyone <install> \Reporting Services\ReportServer\global.asax<install> \Reporting Services\ReportServer\global.asax READ_CONTROLREAD_CONTROL

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
ネットワーク サービスNetwork service <install> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx [完全]Full
Everyone (Everyone)Everyone <install> \Reporting Services\ReportServer\ReportService.asmx<install> \Reporting Services\ReportServer\ReportService.asmx READ_CONTROLREAD_CONTROL

SYNCHRONIZE FILE_GENERIC_READSYNCHRONIZE FILE_GENERIC_READ

FILE_GENERIC_EXECUTEFILE_GENERIC_EXECUTE

FILE_READ_DATAFILE_READ_DATA

FILE_READ_EAFILE_READ_EA

FILE_EXECUTEFILE_EXECUTE

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES
ReportServer Windows サービス アカウントReportServer Windows Services Account <install> \Reporting Services\ReportServer\RSReportServer.config<install> \Reporting Services\ReportServer\RSReportServer.config DELETEDELETE

READ_CONTROLREAD_CONTROL

SYNCHRONIZESYNCHRONIZE

FILE_GENERIC_READFILE_GENERIC_READ

FILE_GENERIC_WRITEFILE_GENERIC_WRITE

FILE_READ_DATAFILE_READ_DATA

FILE_WRITE_DATAFILE_WRITE_DATA

FILE_APPEND_DATAFILE_APPEND_DATA

FILE_READ_EAFILE_READ_EA

FILE_WRITE_EAFILE_WRITE_EA

FILE_READ_ATTRIBUTESFILE_READ_ATTRIBUTES

FILE_WRITE_ATTRIBUTESFILE_WRITE_ATTRIBUTES
Everyone (Everyone)Everyone レポート サーバー キー (Instid ハイブ)Report Server keys (Instid hive) 値のクエリQuery Value

サブキーの列挙Enumerate SubKeys

通知Notify

読み取り制御Read Control
ターミナル サービス ユーザーTerminal Services User レポート サーバー キー (Instid ハイブ)Report Server keys (Instid hive) 値のクエリQuery Value

値の設定Set Value

サブキーの作成Create SubKey

サブキーの列挙Enumerate SubKey

通知Notify

DELETEDelete

読み取り制御Read Control
パワー ユーザーPower Users レポート サーバー キー (Instid ハイブ)Report Server keys (Instid hive) 値のクエリQuery Value

値の設定Set Value

サブキーの作成Create Subkey

サブキーの列挙Enumerate Subkeys

通知Notify

DELETEDelete

読み取り制御Read Control

* これは WMI プロバイダーの名前空間です。*This is the WMI provider namespace.

通常と異なるディスクの場所に関連するファイル システム権限File System Permissions Related to Unusual Disk Locations

インストールの場所の既定のドライブは systemdrive (通常はドライブ C) です。このセクションでは、tempdb またはユーザー データベースを通常とは異なる場所にインストールするときの追加の考慮事項について説明します。The default drive for locations for installation is systemdrive, normally drive C. This section describes additional considerations when tempdb or user databases are installed to unusual locations.

既定以外のドライブNon-default drive

既定のドライブではないローカル ドライブにインストールするときは、サービスごとの SID にそのファイルの場所へのアクセス権がある必要があります。When installed to a local drive that is not the default drive, the per-service SID must have access to the file location. SQL ServerSQL Server セットアップで、必要なアクセスが準備されます。Setup will provision the required access.

ネットワーク共有Network share

データベースをネットワーク共有にインストールする場合は、サービス アカウントにユーザー データベースおよび tempdb データベースのファイルの場所へのアクセス権が必要です。When databases are installed to a network share, the service account must have access to the file location of the user and tempdb databases. SQL ServerSQL Server セットアップでは、ネットワーク共有のアクセスを準備することはできません。Setup cannot provision access to a network share. セットアップを実行する前に、サービス アカウントの tempdb の場所へのアクセス権を準備する必要があります。The user must provision access to a tempdb location for the service account before running setup. ユーザーは、データベースを作成する前にユーザー データベースの場所へのアクセス権を準備する必要があります。The user must provision access to the user database location before creating the database.

注意

仮想アカウントでは、リモートの場所へアクセスすることはできません。Virtual accounts cannot be authenticated to a remote location. どの仮想アカウントも、コンピューター アカウントの権限を使用します。All virtual accounts use the permission of machine account. <domain_name> \ <computer_name> $ の形式でコンピューター アカウントを準備してください。Provision the machine account in the format <domain_name>\<computer_name>$.

その他の注意点の確認Reviewing Additional Considerations

次の表は、 SQL ServerSQL Server サービスが追加の機能を提供するために必要な権限を示しています。The following table shows the permissions that are required for SQL ServerSQL Server services to provide additional functionality.

サービスまたはアプリケーションService/Application 機能Functionality 必要な権限Required permission
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) xp_sendmail を使用してメール スロットに書き込みます。Write to a mail slot using xp_sendmail. ネットワーク書き込み権限。Network write permissions.
SQL ServerSQL Server (MSSQLSERVER)(MSSQLSERVER) SQL ServerSQL Server 管理者以外のユーザーに xp_cmdshell を実行します。Run xp_cmdshell for a user other than a SQL ServerSQL Server administrator. オペレーティング システムの一部としての動作しプロセス レベル トークンを置き換える権限。Act as part of operating system and replace a process-level token.
SQL ServerSQL Server エージェント (MSSQLSERVER)Agent (MSSQLSERVER) 再起動の自動化機能を使用します。Use the autorestart feature. Administrators ローカル グループのメンバーである必要があります。Must be a member of the Administrators local group.
データベース エンジンDatabase Engine チューニング アドバイザーTuning Advisor 最適なクエリ パフォーマンスを得るようにデータベースをチューニングします。Tunes databases for optimal query performance. 初めて使用する場合は、システム管理者の資格情報を持つユーザーがアプリケーションを初期化する必要があります。On first use, a user who has system administrative credentials must initialize the application. 初期化後は、dbo ユーザーが データベース エンジンDatabase Engine チューニング アドバイザーを使用して所有するテーブルのみをチューニングできます。After initialization, dbo users can use the データベース エンジンDatabase Engine Tuning Advisor to tune only those tables that they own. 詳細については、 データベース エンジンDatabase Engine オンライン ブックの「 SQL ServerSQL Server チューニング アドバイザーの初期化」を参照してください。For more information, see "Initializing データベース エンジンDatabase Engine Tuning Advisor on First Use" in SQL ServerSQL Server Books Online.

重要

SQL ServerSQL Serverをアップグレードする前に、 SQL ServerSQL Server エージェントの Windows 認証を有効にし、必要な既定の構成を確認します。つまり、 SQL ServerSQL Server エージェント サービス アカウントが SQL ServerSQL Serversysadmin グループのメンバーであることを確認します。Before you upgrade SQL ServerSQL Server, enable Windows Authentication for SQL ServerSQL Server Agent and verify the required default configuration: that the SQL ServerSQL Server Agent service account is a member of the SQL ServerSQL Serversysadmin group.

レジストリの権限Registry Permissions

インスタンス対応のコンポーネントの場合は、HKLM\Software\Microsoft\Microsoft SQL Server\ <Instance_ID> の下にレジストリ ハイブが作成されます。The registry hive is created under HKLM\Software\Microsoft\Microsoft SQL Server\<Instance_ID> for instance-aware components. 次に例を示します。For example

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstanceHKLM\Software\Microsoft\Microsoft SQL Server\MSASSQL13.MyInstance

  • HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130HKLM\Software\Microsoft\Microsoft SQL Server\MSSQL.130

このレジストリは、インスタンス ID とインスタンス名のマッピングも管理します。The registry also maintains a mapping of instance ID to instance name. インスタンス ID とインスタンス名のマッピングは次のようになります。Instance ID to instance name mapping is maintained as follows:

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\SQL] "InstanceName"="MSSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\OLAP] "InstanceName"="MSASSQL13"

  • [HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"[HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Names\RS] "InstanceName"="MSRSSQL13"

WMIWMI

Windows Management Instrumentation (WMI) は、 データベース エンジンDatabase Engineに接続できる必要があります。Windows Management Instrumentation (WMI) must be able to connect to the データベース エンジンDatabase Engine. これをサポートするには、Windows WMI プロバイダーのサービスごとの SID (NT SERVICE\winmgmt) が データベース エンジンDatabase Engineで準備されている必要があります。To support this, the per-service SID of the Windows WMI provider (NT SERVICE\winmgmt) is provisioned in the データベース エンジンDatabase Engine.

SQL WMI プロバイダーには、以下の権限が必要です。The SQL WMI provider requires the following permissions:

  • msdb データベースの db_ddladmin 固定データベース ロールまたは db_owner 固定データベース ロールのメンバーシップ。Membership in the db_ddladmin or db_owner fixed database roles in the msdb database.

  • サーバーのCREATE DDL EVENT NOTIFICATION 権限。CREATE DDL EVENT NOTIFICATION permission in the server.

  • データベース エンジンDatabase Engine の CREATE TRACE EVENT NOTIFICATION 権限。CREATE TRACE EVENT NOTIFICATION permission in the データベース エンジンDatabase Engine.

  • VIEW ANY DATABASE サーバーレベル権限。VIEW ANY DATABASE server-level permission.

    SQL ServerSQL Server セットアップでは、SQL の WMI 名前空間が作成され、 SQL ServerSQL Server エージェント サービス SID に読み取り権限が付与されます。setup creates a SQL WMI namespace and grants read permission to the SQL ServerSQL Server Agent service-SID.

名前付きパイプNamed Pipes

どのインストールでも、ローカルの名前付きパイプである共有メモリ プロトコルを通じて SQL ServerSQL Server へのアクセス権が SQL Server データベース エンジンSQL Server Database Engine セットアップで提供されますIn all installation, SQL ServerSQL Server Setup provides access to the SQL Server データベース エンジンSQL Server Database Engine through the shared memory protocol, which is a local named pipe.

プロビジョニングProvisioning

ここでは、さまざまな SQL ServerSQL Server コンポーネント内でアカウントが準備されるしくみについて説明します。This section describes how accounts are provisioned inside the various SQL ServerSQL Server components.

データベース エンジンのプロビジョニングDatabase Engine Provisioning

次のアカウントは、 SQL Server データベース エンジンSQL Server Database Engineのログインとして追加されます。The following accounts are added as logins in the SQL Server データベース エンジンSQL Server Database Engine.

Windows プリンシパルWindows Principals

セットアップ中、 SQL ServerSQL Server セットアップでは、 sysadmin 固定サーバー ロールのメンバーとして、少なくとも 1 つのユーザー アカウントの名前を指定する必要があります。During setup, SQL ServerSQL Server Setup requires at least one user account to be named as a member of the sysadmin fixed server role.

sa アカウントsa Account

sa アカウントは常に データベース エンジンDatabase Engine ログインとして存在し、 sysadmin 固定サーバー ロールのメンバーです。The sa account is always present as a データベース エンジンDatabase Engine login and is a member of the sysadmin fixed server role. データベース エンジンDatabase Engine が Windows 認証のみを使用してインストールされている ( SQL ServerSQL Server 認証が有効でない) 場合は、 sa ログインがまだ存在していますが、無効になっています。When the データベース エンジンDatabase Engine is installed using only Windows Authentication (that is when SQL ServerSQL Server Authentication is not enabled), the sa login is still present but is disabled. sa アカウントの有効化の詳細については、「 サーバーの認証モードの変更」を参照してください。For information about enabling the sa account, see Change Server Authentication Mode.

SQL Server のサービスごとの SID のログインと特権SQL Server Per-service SID Login and Privileges

SQL ServerSQL Server サービスのサービスごとの SID は、 データベース エンジンDatabase Engine ログインとして準備されます。The per-service SID of the SQL ServerSQL Server service is provisioned as a データベース エンジンDatabase Engine login. サービスごとの SID ログインは、 sysadmin 固定サーバー ロールのメンバーです。The per-service SID login is a member of the sysadmin fixed server role.

SQL Server エージェントのログインと特権SQL Server Agent Login and Privileges

SQL ServerSQL Server エージェントのサービスごとの SID は、 データベース エンジンDatabase Engine ログインとして準備されます。The per-service SID of the SQL ServerSQL Server Agent service is provisioned as a データベース エンジンDatabase Engine login. サービスごとの SID ログインは、 sysadmin 固定サーバー ロールのメンバーです。The per-service SID login is a member of the sysadmin fixed server role.

Always On 可用性グループAlways On Availability Groups および SQL フェールオーバー クラスター インスタンスと特権Always On 可用性グループAlways On Availability Groups and SQL Failover Cluster Instance and Privileges

データベース エンジンDatabase EngineAlways On 可用性グループAlways On availability groups または SQL フェールオーバー クラスター インスタンス (SQL FCI) としてインストールすると、 LOCAL SYSTEMデータベース エンジンDatabase Engineに準備されます。When installing the データベース エンジンDatabase Engine as a Always On 可用性グループAlways On availability groups or SQL Failover Cluster Instance (SQL FCI), LOCAL SYSTEM is provisioned in the データベース エンジンDatabase Engine. LOCAL SYSTEM ログインには、 ALTER ANY AVAILABILITY GROUP 権限 ( Always On 可用性グループAlways On availability groupsに対して) および VIEW SERVER STATE 権限 (SQL FCI に対して) が付与されます。The LOCAL SYSTEM login is granted the ALTER ANY AVAILABILITY GROUP permission (for Always On 可用性グループAlways On availability groups) and the VIEW SERVER STATE permission (for SQL FCI).

SQL ライターと特権SQL Writer and Privileges

SQL ServerSQL Server VSS Writer サービスのサービスごとの SID は、 データベース エンジンDatabase Engine ログインとして準備されます。The per-service SID of the SQL ServerSQL Server VSS Writer service is provisioned as a データベース エンジンDatabase Engine login. サービスごとの SID ログインは、 sysadmin 固定サーバー ロールのメンバーです。The per-service SID login is a member of the sysadmin fixed server role.

SQL WMI と特権SQL WMI and Privileges

SQL ServerSQL Server セットアップでは、 NT SERVICE\Winmgmt アカウントが データベース エンジンDatabase Engine ログインとして準備され、 sysadmin 固定サーバー ロールに追加されます。Setup provisions the NT SERVICE\Winmgmt account as a データベース エンジンDatabase Engine login and adds it to the sysadmin fixed server role.

SSRS の準備SSRS Provisioning

セットアップ中に指定されたアカウントは、 RSExecRole データベース ロールのメンバーとして準備されます。The account specified during setup is provisioned as a member of the RSExecRole database role. 詳細については、 レポート サーバー サービス アカウントの構成 (SSRS 構成マネージャー)」を参照してください。For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

SSAS の準備SSAS Provisioning

SSASSSAS サービス アカウント要件は、サーバーの配置方法によって異なります。service account requirements vary depending on how you deploy the server. Power Pivot for SharePointPower Pivot for SharePointをインストールする場合、 SQL ServerSQL Server セットアップでは、 Analysis ServicesAnalysis Services サービスをドメイン アカウントで実行するよう構成する必要があります。If you are installing Power Pivot for SharePointPower Pivot for SharePoint, SQL ServerSQL Server Setup requires that you configure the Analysis ServicesAnalysis Services service to run under a domain account. ドメイン アカウントは、SharePoint に組み込まれている管理アカウント機能をサポートするために必要です。Domain accounts are required to support the managed account facility that is built into SharePoint. このため、 SQL ServerSQL Server セットアップでは、 Power Pivot for SharePointPower Pivot for SharePoint のインストールに仮想アカウントなどの既定のサービス アカウントは提供されません。For this reason, SQL ServerSQL Server Setup does not provide a default service account, such as a virtual account, for a Power Pivot for SharePointPower Pivot for SharePoint installation. Power PivotPower Pivot for SharePoint のプロビジョニングの詳細については、「 Power Pivot サービス アカウントの構成」をご覧ください。For more information about provisioning Power PivotPower Pivot for SharePoint, see Configure Power Pivot Service Accounts.

他のすべてのスタンドアロン SSASSSAS インストールでは、サービスを準備してドメイン アカウント、ビルトイン システム アカウント、管理アカウント、または仮想アカウントで実行することができます。For all other standalone SSASSSAS installations, you can provision the service to run under a domain account, built-in system account, managed account, or virtual account. アカウント プロビジョニングの詳細については、「サービス アカウントの構成 (Analysis Services)」を参照してください。For more information about account provisioning, see Configure Service Accounts (Analysis Services).

クラスター化インストールでは、ドメイン アカウントまたはビルトイン システム アカウントを指定する必要があります。For clustered installations, you must specify a domain account or a built-in system account. SSASSSAS フェールオーバー クラスターでは、管理アカウントと仮想アカウントはサポートされていません。Neither managed accounts nor virtual accounts are supported for SSASSSAS failover clusters.

どの SSASSSAS インストールでも、 Analysis ServicesAnalysis Services インスタンスのシステム管理者を指定する必要があります。All SSASSSAS installations require that you specify a system administrator of the Analysis ServicesAnalysis Services instance. 管理者特権は、Analysis Services の サーバー ロールで準備されます。Administrator privileges are provisioned in the Analysis Services Server role.

SSRS の準備SSRS Provisioning

セットアップ中に指定されたアカウントは、 RSExecRole データベース ロールのメンバーとして データベース エンジンDatabase Engine で準備されます。The account specified during setup is provisioned in the データベース エンジンDatabase Engine as a member of the RSExecRole database role. 詳細については、 レポート サーバー サービス アカウントの構成 (SSRS 構成マネージャー)」を参照してください。For more information, see Configure the Report Server Service Account (SSRS Configuration Manager).

以前のバージョンからアップグレードUpgrading From Previous Versions

ここでは、 SQL ServerSQL Serverの以前のバージョンからのアップグレード中に行われる変更について説明します。This section describes the changes made during upgrade from a previous version of SQL ServerSQL Server.

  • SQL Server 2017SQL Server 2017 は、 Windows Server 2008Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.0、Windows Server 2012 R2、または Windows 8.1 が必要です。requires Windows Server 2008Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.0, Windows Server 2012 R2, or Windows 8.1, . 下位バージョンのオペレーティング システムで実行されている、以前のバージョンの SQL ServerSQL Server では、 SQL ServerSQL Serverをアップグレードする前にオペレーティング システムをアップグレードする必要があります。Any previous version of SQL ServerSQL Server running on a lower operating system version must have the operating system upgraded before upgrading SQL ServerSQL Server.

  • SQL Server 2005 (9.x)SQL Server 2005 (9.x) から SQL Server 2017SQL Server 2017へのアップグレード中、 SQL ServerSQL Server セットアップは次の方法で SQL ServerSQL Server を構成します。During upgrade of SQL Server 2005 (9.x)SQL Server 2005 (9.x) to SQL Server 2017SQL Server 2017, SQL ServerSQL Server Setup will configure SQL ServerSQL Server in the following way.

    • データベース エンジンDatabase Engine は、サービスごとの SID のセキュリティ コンテキストで実行されます。The データベース エンジンDatabase Engine runs with the security context of the per-service SID. サービスごとの SID には、 SQL ServerSQL Server インスタンス (DATA など) のファイル フォルダーまたは SQL ServerSQL Server レジストリ キーへのアクセス権が付与されます。The per-service SID is granted access to the file folders of the SQL ServerSQL Server instance (such as DATA), and the SQL ServerSQL Server registry keys.

    • データベース エンジンDatabase Engine のサービスごとの SID は、 sysadmin 固定サーバー ロールのメンバーとして データベース エンジンDatabase Engine で準備されます。The per-service SID of the データベース エンジンDatabase Engine is provisioned in the データベース エンジンDatabase Engine as a member of the sysadmin fixed server role.

    • サービスごとの SID は、SQL ServerSQL Server がフェールオーバー クラスター インスタンスでない場合、ローカルの SQL ServerSQL Server Windows グループに追加されます。The per-service SID's are added to the local SQL ServerSQL Server Windows groups, unless SQL ServerSQL Server is a Failover Cluster Instance.

    • SQL ServerSQL Server リソースは、ローカルの SQL ServerSQL Server Windows グループに準備されたままになります。The SQL ServerSQL Server resources remain provisioned to the local SQL ServerSQL Server Windows groups.

    • サービスのローカル Windows グループの名前が SQLServer2005MSSQLUser$ <computer_name> $ <instance_name> から SQLServerMSSQLUser$ <computer_name> $ <instance_name> に変更されます。The local Windows group for services is renamed from SQLServer2005MSSQLUser$<computer_name>$<instance_name> to SQLServerMSSQLUser$<computer_name>$<instance_name>. 移行されたデータベースのファイルの場所には、ローカル Windows グループにアクセス制御エントリ (ACE) が設定されます。File locations for migrated databases will have Access Control Entries (ACE) for the local Windows groups. 新しいデータベースのファイルの場所には、サービスごとの SID に ACE が設定されます。The file locations for new databases will have ACE's for the per-service SID.

  • SQL Server 2008SQL Server 2008 からのアップグレード中、SQL ServerSQL Server セットアップでは SQL Server 2008SQL Server 2008 のサービスごとの SID の ACE が保持されます。During upgrade from SQL Server 2008SQL Server 2008, SQL ServerSQL Server Setup will be preserve the ACE's for the SQL Server 2008SQL Server 2008 per-service SID.

  • SQL ServerSQL Server フェールオーバー クラスター インスタンスでは、サービスに構成されたドメイン アカウントの ACE が保持されます。For a SQL ServerSQL Server Failover Cluster Instance, the ACE for the domain account configured for the service will be retained.

付録Appendix

ここでは、 SQL ServerSQL Server サービスの追加情報について説明します。This section contains additional information about SQL ServerSQL Server services.

サービス アカウントの説明Description of Service Accounts

サービス アカウントは、 SQL Server データベース エンジンSQL Server Database Engineなどの Windows サービスを開始するために使用されるアカウントです。The service account is the account used to start a Windows service, such as the SQL Server データベース エンジンSQL Server Database Engine.

任意のオペレーティング システムで利用可能なアカウントAccounts Available With Any Operating System

MSA および 仮想アカウント に加えて、次のアカウントを使用することができます。In addition to the new MSA and virtual accounts described earlier, the following accounts can be used.

ドメイン ユーザー アカウントDomain User Account

サービスでネットワーク サービスを操作する必要がある場合は、ファイル共有と同様の方法でドメイン リソースにアクセスします。また、 SQL ServerSQL Serverを実行している他のコンピューターへのリンク サーバー接続をサービスで使用している場合は、最小限の特権しかないドメイン アカウントを使用できます。If the service must interact with network services, access domain resources like file shares or if it uses linked server connections to other computers running SQL ServerSQL Server, you might use a minimally-privileged domain account. 多くのサーバー間操作は、ドメイン ユーザー アカウントを使用しなければ実行できません。Many server-to-server activities can be performed only with a domain user account. このアカウントは、使用している環境のドメイン管理によって事前に作成されている必要があります。This account should be pre-created by domain administration in your environment.

注意

アプリケーションを構成してドメイン アカウントを使用する場合は、アプリケーションの特権を分離することができますが、パスワードを手動で管理するか、これらのパスワードを管理するためのカスタム ソリューションを作成する必要があります。If you configure the application to use a domain account, you can isolate the privileges for the application, but must manually manage passwords or create a custom solution for managing these passwords. 多くのサーバー アプリケーションがこの方法を使用してセキュリティを強化していますが、この方法では管理対象が多くなり、より複雑になります。Many server applications use this strategy to enhance security, but this strategy requires additional administration and complexity. このような配置では、サービス管理者は、Kerberos 認証で必要なサービス パスワードやサービス プリンシパル名 (SPN) の管理などのメンテナンス タスクに相当な時間を費やすことになります。In these deployments, service administrators spend a considerable amount of time on maintenance tasks such as managing service passwords and service principal names (SPNs), which are required for Kerberos authentication. さらに、これらのメンテナンス タスクによってサービスが中断されることがあります。In addition, these maintenance tasks can disrupt service.

Local User AccountsLocal User Accounts

コンピューターがドメインに属していない場合は、Windows 管理者権限のないローカル ユーザー アカウントを使用することをお勧めします。If the computer is not part of a domain, a local user account without Windows administrator permissions is recommended.

ローカル サービス アカウントLocal Service Account

ローカル サービス アカウントは、リソースおよびオブジェクトへのアクセスについて Users グループのメンバーと同じレベルの権限を持つビルトイン アカウントです。The Local Service account is a built-in account that has the same level of access to resources and objects as members of the Users group. このアクセス制限により、個々のサービスまたはプロセスに障害が発生した場合にシステムを保護することができます。This limited access helps safeguard the system if individual services or processes are compromised. ローカル サービス アカウントとして実行されているサービスは、資格情報を使用せずに NULL セッションとしてネットワーク リソースにアクセスします。Services that run as the Local Service account access network resources as a null session without credentials. ローカル サービス アカウントは SQL ServerSQL Server サービスまたは SQL ServerSQL Server エージェント サービスではサポートされていないことに注意してください。Be aware that the Local Service account is not supported for the SQL ServerSQL Server or SQL ServerSQL Server Agent services. ローカル サービスは、これらのサービスを実行するアカウントとしてサポートされていません。ローカル サービスは共有サービスであり、ローカル サービス下で実行中のその他のサービスが SQL ServerSQL Serverに対してシステム管理者のアクセス権を持つためです。Local Service is not supported as the account running those services because it is a shared service and any other services running under local service would have system administrator access to SQL ServerSQL Server. アカウントの実際の名前は、 NT AUTHORITY\LOCAL SERVICEです。The actual name of the account is NT AUTHORITY\LOCAL SERVICE.

ネットワーク サービス アカウントNetwork Service Account

ネットワーク サービス アカウントは、リソースおよびオブジェクトへのアクセスについて Users グループのメンバーより多くの権限を持つビルトイン アカウントです。The Network Service account is a built-in account that has more access to resources and objects than members of the Users group. ネットワーク サービス アカウントとして実行されるサービスは、 <domain_name> \ <computer_name> $ の形式で、コンピューター アカウントの資格情報を使用してネットワーク リソースにアクセスします。Services that run as the Network Service account access network resources by using the credentials of the computer account in the format <domain_name>\<computer_name>$. アカウントの実際の名前は NT AUTHORITY\NETWORK SERVICE です。The actual name of the account is NT AUTHORITY\NETWORK SERVICE.

ローカル システム アカウントLocal System Account

ローカル システムは非常に高い特権を持つビルトイン アカウントです。Local System is a very high-privileged built-in account. ローカル システム上で広範囲の特権を持ち、ネットワーク上のコンピューターとして機能します。It has extensive privileges on the local system and acts as the computer on the network. アカウントの実際の名前は NT AUTHORITY\SYSTEMです。The actual name of the account is NT AUTHORITY\SYSTEM.

インスタンス対応のサービスとインスタンス非対応のサービスの指定Identifying Instance-Aware and Instance-Unaware Services

インスタンス対応のサービスとは、特定の SQL ServerSQL Serverインスタンスに関連付けられているサービスを指し、それぞれに独自のレジストリ ハイブがあります。Instance-aware services are associated with a specific instance of SQL ServerSQL Server, and have their own registry hives. コンポーネントやサービスごとに SQL ServerSQL Server セットアップを実行すると、インスタンス対応サービスの複数のコピーをインストールできます。You can install multiple copies of instance-aware services by running SQL ServerSQL Server Setup for each component or service. インスタンス非対応サービスは、インストールされているすべての SQL ServerSQL Server インスタンスで共有されます。Instance-unaware services are shared among all installed SQL ServerSQL Server instances. インスタンス非対応サービスは、特定のインスタンスに関連付けられておらず、インストールできるのは一度のみであり、サイド バイ サイドでのインストールは行えません。They are not associated with a specific instance, are installed only once, and cannot be installed side-by-side.

SQL ServerSQL Server では、インスタンスに対応するサービスに次のようなものがあります。Instance-aware services in SQL ServerSQL Server include the following:

  • SQL ServerSQL Server

  • SQL ServerSQL Server エージェントAgent

    SQL ServerSQL Server エージェント サービスは、 SQL Server ExpressSQL Server Express および SQL Server ExpressSQL Server Express with Advanced Services のインスタンスで無効になっていることに注意してください。Be aware that the SQL ServerSQL Server Agent service is disabled on instances of SQL Server ExpressSQL Server Express and SQL Server ExpressSQL Server Express with Advanced Services.

  • Analysis ServicesAnalysis Services*

  • Reporting ServicesReporting Services

  • フルテキスト検索Full-text search

SQL ServerSQL Server では、インスタンスに対応しないサービスに次のようなものがあります。Instance-unaware services in SQL ServerSQL Server include the following:

  • Integration ServicesIntegration Services

  • SQL ServerSQL Server ブラウザーBrowser

  • SQL ライターSQL Writer

* SharePoint 統合モードでの Analysis Services は、単一の名前付きインスタンスである "Power PivotPower Pivot" として実行されます。*Analysis Services in SharePoint integrated mode runs as 'Power PivotPower Pivot' as a single, named instance. インスタンス名は固定です。The instance name is fixed. 別の名前を指定することはできません。You cannot specify a different name. "Power PivotPower Pivot" として実行される Analysis Services のインスタンスは、物理サーバーごとに 1 つだけインストールできます。You can install only one instance of Analysis Services running as 'Power PivotPower Pivot' on each physical server.

ローカライズされたサービス名Localized Service Names

次の表は、Windows のローカライズ版で表示されるサービス名を示しています。The following table shows service names that are displayed by localized versions of Windows.

[言語]Language ローカル サービスの名前Name for Local Service ネットワーク サービスの名前Name for Network Service ローカル システムの名前Name for Local System admin グループの名前Name for Admin Group
英語English

簡体字中国語Simplified Chinese

Traditional ChineseTraditional Chinese

KoreanKorean

JapaneseJapanese
NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\Administrators (BUILTIN\Administrators)BUILTIN\Administrators
GermanGerman NT-AUTORITÄT\LOKALER DIENSTNT-AUTORITÄT\LOKALER DIENST NT-AUTORITÄT\NETZWERKDIENSTNT-AUTORITÄT\NETZWERKDIENST NT-AUTORITÄT\SYSTEMNT-AUTORITÄT\SYSTEM VORDEFINIERT\AdministratorenVORDEFINIERT\Administratoren
FrenchFrench AUTORITE NT\SERVICE LOCALAUTORITE NT\SERVICE LOCAL AUTORITE NT\SERVICE RÉSEAUAUTORITE NT\SERVICE RÉSEAU AUTORITE NT\SYSTEMAUTORITE NT\SYSTEM BUILTIN\Administrators (BUILTIN\Administrators)BUILTIN\Administrators
ItalianItalian NT AUTHORITY\SERVIZIO LOCALENT AUTHORITY\SERVIZIO LOCALE NT AUTHORITY\SERVIZIO DI RETENT AUTHORITY\SERVIZIO DI RETE NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\Administrators (BUILTIN\Administrators)BUILTIN\Administrators
スペイン語Spanish NT AUTHORITY\SERVICIO LOCNT AUTHORITY\SERVICIO LOC NT AUTHORITY\SERVICIO DE REDNT AUTHORITY\SERVICIO DE RED NT AUTHORITY\SYSTEMNT AUTHORITY\SYSTEM BUILTIN\AdministradoresBUILTIN\Administradores
RussianRussian NT AUTHORITY\LOCAL SERVICENT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICENT AUTHORITY\NETWORK SERVICE NT AUTHORITY\СИСТЕМАNT AUTHORITY\СИСТЕМА BUILTIN\АдминистраторыBUILTIN\Администраторы

SQL Server インストールにおけるセキュリティの考慮事項Security Considerations for a SQL Server Installation

SQL Server の既定のインスタンスおよび名前付きインスタンスのファイルの場所File Locations for Default and Named Instances of SQL Server

マスター データ サービスのインストールInstall Master Data Services