Comment faire pour modifier le compte de service de SQL Server ou de l'Agent SQL Server sans utiliser SQL Enterprise Manager dans SQL Server 2000 ou le Gestionnaire de configuration SQL Server dans SQL Server 2005

Traductions disponibles Traductions disponibles
Numéro d'article: 283811 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Lorsque vous installez pour la première fois Microsoft SQL Server pour une exécution sur un compte Microsoft Windows NT, SQL Server définit pour ce compte Windows NT différents droits utilisateur Windows et autorisations sur plusieurs fichiers, dossiers et clés de Registre. Si vous modifiez ultérieurement le compte de démarrage pour SQL Server (le service MSSQLServer) et le service de l'Agent SQL Server en utilisant SQL Server Enterprise Manager (SEM) ou le Gestionnaire de configuration (SSCM, SQL Server Configuration Manager), SEM assigne automatiquement toutes les autorisations requises et droits de l'utilisateur Windows au nouveau compte de démarrage de telle sorte que vous n'avez rien à faire. Nous vous recommandons d'utiliser cette approche pour modifier le compte de service.

Remarque Vous devez disposer des droits d'administrateur sur le serveur distant pour que cette fonctionnalité soit disponible dans SQL Server Enterprise Manager.

Cependant, si vous utilisez le complément Services du Panneau de configuration ou des Outils d'administration pour changer les informations de compte de démarrage pour le service MSSQLServer ou le service de l'Agent SQL Server, des autorisations et droits de l'utilisateur supplémentaires doivent être définis.

Cet article décrit les étapes que vous devez suivre lorsque vous modifiez les informations du compte de démarrage en utilisant le complément Services.

Avant de continuer, visitez les sites Web de Microsoft à l'adresse suivante et consultez les articles dans la Base de connaissances Microsoft.
Bulletin de sécurité Microsoft MS02-038 (en anglais)
http://www.microsoft.com/technet/security/bulletin/MS02-038.mspx

Bulletin de sécurité Microsoft MS02-034 (en anglais)
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx
322853 CORRECTIF : SQL Server accorde des autorisations inutiles ou une fonction de chiffrement contient des mémoires tampon non contrôlées
316333 Mise à jour de la sécurité pour SQL Server 2000 pour le Service Pack 2
Remarque L'application de MS02-034 et de MS02-038 supprime les vulnérabilités existantes des informations d'identification administratives et prévient les vulnérabilités futures.

Modification de SQL Server ou du compte de service de l'Agent SQL Server en utilisant le complément Services au lieu d'utiliser SQL Enterprise Manager ou SQL Server Management Studio

Si vous modifiez le compte de service SQL Server ou le compte de service de l'Agent SQL Server en utilisant le complément Services au lieu d'utiliser SEM ou SSCM, certaines autorisations du système de fichiers NTFS et du Registre et les droits de l'utilisateur Microsoft Windows doivent également être définis. Cela est particulièrement vrai pour SQL Server Desktop Engine (également connu sous le nom de MSDE 2000) ou les installations de SQL Server 2005 Express Edition, car vous ne disposez pas de SEM ou SSCM pour exécuter les modifications d'autorisations. Vous devez vous concentrer sur trois éléments spécifiques :
  • les clés de Registre
  • les autorisations du système de fichiers NTFS sur le disque
  • les droits d'utilisateur Windows
Chacun d'entre eux est traité dans les paragraphes suivants.

Clés de Registre

Définissez Contrôle total pour le compte de démarrage pour le service MSSQLServer et le service SQLServerAgent (un compte local Microsoft Windows NT ou un compte Windows NT de domaine) dans les clés de Registre suivantes. Sous les ruches suivantes, les clés de cette liste sont les clés dans lesquelles les Listes de contrôle d'accès Accès (ACL) sont définies. Pour les clusters, procédez comme suit sur chaque n?ud du cluster.

L'autorisation Contrôle total s'applique aux clés suivantes et à toutes les clés enfants :
  • Pour une instance nommée :
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\<nom_instance>
  • Pour une instance par défaut :
    HKEY_LOCAL_MACHINE\Software\Clients\Mail

    HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\80

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Cluster

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Providers

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Replication

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Setup

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\SQLServerAgent

    HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\Tracking

Si vous utilisez SQL Server 2005

Pour une instance nommée ou une instance par défaut, applique l'autorisation Contrôle total aux clés suivantes et à toutes les clés enfants :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\90


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<MSSQL.x>
Remarque Dans cette sous-clé de Registre, < MSSQL.x > est un espace réservé pour la valeur correspondante pour le système. Vous pouvez déterminer la valeur correspondante pour le système à partir de la valeur de l'entrée du Registre nommée comme nom de l'instance dans la sous-clé de Registre suivante. Pour une instance par défaut, le nom de l'instance est MSSQLSERVER :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL\

Autorisations du système de fichiers NTFS sur le disque

Définissez Contrôle total pour le compte de démarrage pour le service MSSQLServer et le service de l'Agent SQLServerAgent (un compte local Windows NT ou un compte Windows NT de domaine) sur ces dossiers NTFS. Pour les clusters, vous devez également modifier les chemins d'accès correspondants sur chaque n?ud d'ordinateur.

Voici un exemple pour une instance nommée :
D:\Program Files\Microsoft SQL Server\MSSQL$_instancename_\
Voici un exemple pour une instance par défaut :
D:\Program Files\Microsoft SQL Server\MSSQL\
Les sous-dossiers et les fichiers doivent également avoir les mêmes autorisations.

Si vous utilisez SQL Server 2005

Le dossier correspondant est le suivant :
Lecteur:\Program Files\Microsoft SQL Server\<MSSQL.1>\MSSQL

Droits d'utilisateur Windows

En règle générale, l'installation par défaut du système d'exploitation donne au Groupe Administrateurs local tous les droits de l'utilisateur nécessaires à SQL Server pour fonctionner correctement. Par conséquent, les comptes Windows NT locaux ou les comptes de domaine qui ont été ajoutés au Groupe Administrateurs local dans le but de servir de compte de démarrage pour le service SQL Server, ont tous les droits de l'utilisateur dont ils ont besoin. Cependant, nous ne vous recommandons pas d'exécuter SQL Server avec ces droits de l'utilisateur.

Pour SQL Server 2005, si vous ne souhaitez pas que le compte SQL Server ou le compte de démarrage de l'Agent SQL Server soit un membre du Groupe Administrateurs local, reportez-vous à la rubrique « Révision des droits et privilèges Windows NT accordés aux comptes de service SQL Server » de la rubrique « Configuration des comptes de services Windows dans la documentation en ligne de SQL Server 2005.

Pour SQL Server 2000, si vous ne souhaitez pas que le compte SQL Server ou le compte de démarrage de l'Agent SQL Server soit un membre du Groupe Administrateurs local, le compte de démarrage pour le service MSSQLServer et le service SQLServerAgent (un compte Windows NT local ou un compte Windows NT de domaine) doit avoir les droits de l'utilisateur suivants :
  • Agir en tant que partie du système d'exploitation = SeTcbPrivilege
  • Outrepasser le contrôle de parcours = SeChangeNotify
  • Verrouiller des pages en mémoire = SeLockMemory
  • Ouvrir une session en tant que tâche = SeBatchLogonRight
  • Ouvrir une session en tant que service = SeServiceLogonRight
  • Remplacer un jeton de niveau processus = SeAssignPrimaryTokenPrivilege
Remarque Pour faciliter la programmation, les noms de droits de l'utilisateur Microsoft Windows NT sont situés à côté du nom complet du droit de l'utilisateur.

Étapes diverses

Remarque Si les autorisations de système de fichiers NTFS par défaut sur votre ordinateur ont été modifiées, assurez-vous que le compte de démarrage SQL Server dispose de l'autorisation Lister le dossier sur le lecteur racine où se trouvent les données de base de données SQL Server et les fichiers journaux.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
239759 L'erreur 5177 peut être levée lors de la création de bases de données

Si le compte que le service MSSQLServer va démarrer est l'un des deux comptes suivants, vous devez ajouter le compte de démarrage pour les services MSSQLServer et SQLServerAgent ou les deux, au rôle sysadmin SQL Server et autoriser l'utilisateur [Domain\NTaccount] à se connecter à SQL Server.
  • N'est pas membre du Groupe Administrateurs local de l'ordinateur.
  • Le nom de connexion BUILTIN\Administrateurs de SQL Server a été supprimé.
Par exemple :
EXEC sp_grantlogin [Example\test]
Puis, ajoutez ce compte au rôle sysadmin :
EXEC sp_addsrvrolemember @loginame = [Example\test] 
   , @rolename =  'sysadmin'

Si vous utilisez SQL Server avec la recherche de texte intégral ou avec le clustering, la modification des comptes de démarrage SQL Server avec autre chose que SEM peut créer des problèmes.

Si vous rencontrez des problèmes avec la recherche de texte intégral ou le clustering, consultez la section « Références » de cet article pour plus d'informations.

Si vous utilisez l'authentification SSPI (Security Support Provider Interface) Kerberos dans un environnement SQL Server 2000 et Microsoft Windows 2000, vous devez abandonner votre ancien nom principal du service (SPN) et en créer un nouveau avec les nouvelles informations du compte. Consultez la « Délégation de compte de sécurité » dans la documentation en ligne SQL Server 2000 pour plus d'informations sur l'utilisation de SETSPN.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
317746 La recherche de texte intégral SQL Server ne remplit pas les catalogues
317232 Les messages ID d'événement 1107 et 1079 se produisent après avoir modifié le mot de passe du compte de service Cluster
295051 CORRECTIF : La modification du compte SQL Server en non-administrateur pour la recherche de texte intégral rend les catalogues existants inutilisables
254321 À faire, à ne pas faire et avertissements de base pour SQL Server en cluster
239885 Comment faire pour modifier les comptes de service sur un serveur virtuel SQL
219264 Ordre d'installation pour l'installation en cluster SQL Server 7.0
198168 BOGUE : Des problèmes peuvent se produire lorsque vous modifiez des informations de compte pour un cluster SQL Server
Pour plus d'informations, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sqlc2.mspx

Propriétés

Numéro d'article: 283811 - Dernière mise à jour: samedi 14 mai 2011 - Version: 11.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Standard
  • Microsoft SQL Server 2000 Édition 64 bits
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Mots-clés : 
kbsqlserverengine kbinfo kbsql2005cluster kbhowtomaster KB283811
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com