Planen der Administrator- und Dienstkonten (Office SharePoint Server for Search)

  • Artikel

Inhalt dieses Artikels:

  • Informationen zu Administrator- und Dienstkonten

  • Standardanforderungen für Konten

  • Planungsempfehlungen für Konten

Verwenden Sie diesen Artikel zum Planen von Kontoanforderungen und Empfehlungen für Konten, die zum Installieren, Konfigurieren und Verwenden von Microsoft Office SharePoint Server 2007 for Search erforderlich sind.

Für diese Konten müssen beim Ausführen des Setups und während der Konfiguration Anmeldeinformationen bereitgestellt werden. In diesem Artikel werden keine Konten behandelt, für die Sie keine Anmeldeinformationen konfigurieren oder bereitstellen müssen.

Informationen zu Administrator- und Dienstkonten

In diesem Abschnitt werden die Konten aufgeführt und beschrieben, die Sie planen müssen. Die Konten sind nach Bereichen gruppiert. Wenn ein Konto einen begrenzten Bereich hat, müssen Sie möglicherweise mehrere Konten für diese Kategorie planen.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Konten beschrieben, mit denen Microsoft SQL Server konfiguriert und Office SharePoint Server 2007 für Search installiert wird.

Konto Zweck

SQL Server-Dienstkonto

In SQL Server wird dieses Konto beim SQL Server-Setup angefordert. Dieses Konto wird als das Dienstkonto für die folgenden SQL Server-Dienste verwendet:

  • MSSQLSERVER

  • SQLSERVERAGENT

Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste folgendermaßen angezeigt:

  • MSSQL$Instanzname

  • SQLAgent$Instanzname

Benutzerkonto für das Setup

Das Benutzerkonto zum Ausführen des Setups auf jedem Server

Serverfarmkonto

Dieses Konto wird auch folgendermaßen bezeichnet:

  • Datenbankzugriffskonto

Dieses Konto hat die folgenden Funktionen:

  • Das Anwendungspoolkonto der Website für die Zentraladministration

  • Das Prozesskonto für den Windows SharePoint Services-Timerdienst (SPAdmin)

In der folgenden Tabelle werden die Konten beschrieben, die zum Einrichten und Konfigurieren eines SSP verwendet werden.

Konto Zweck

Sicherheitskonto des SSP-Anwendungspools

Das Sicherheitskonto für den Anwendungspool, in dem sich der SSP befindet.

SSP-Dienstkonto

Wird von den folgenden Diensten verwendet:

  • SSP-Webdienste für die Kommunikation zwischen Servern

  • SSP-Timerdienst zum Ausführen von Zeitgeberaufträgen

Office SharePoint Server-Suchdienst

Wird als das Dienstkonto für den Office SharePoint Server-Suchdienst verwendet. Es gibt nur eine Instanz dieses Diensts.

Standardkonto für den Inhaltszugriff

Das Standardkonto, das innerhalb des SSP zum Crawlen von Inhalt verwendet wird. Wenn kein bestimmtes Konto angegeben ist, wird das Standardkonto für den Inhaltszugriff verwendet.

Inhaltszugriffskonto

Ein bestimmtes Konto, das für bestimmten Inhalt konfiguriert ist. Dieses Konto ist optional und wird beim Erstellen einer neuen Crawlregel angegeben. Beispielsweise wenn externer Inhalt, der nicht zu Office SharePoint Server 2007 für Search gehört (z. B. eine Dateifreigabe), möglicherweise ein anderes Zugriffskonto erfordert.

Inhaltszugriffskonto für Benutzerprofile und Eigenschaften

Wird für folgende Zwecke verwendet:

  • Zum Herstellen einer Verbindung mit einem Verzeichnisdienst, wie dem Active Directory-Verzeichnisdienst, einem LDAP-Verzeichnis (Lightweight Directory Access-Protokoll) oder einer anderen Verzeichnisquelle.

  • Zum Importieren von Profildaten aus einem Verzeichnisdienst.

Wenn kein Konto angegeben ist, wird das Standardkonto für den Inhaltszugriff verwendet. Wenn das Standardkonto für den Inhaltszugriff nicht über Lesezugriff auf das Verzeichnis oder die Verzeichnisse verfügt, aus denen Sie die Daten importieren möchten, planen Sie die Verwendung eines anderen Kontos. Sie können ein Konto pro Verzeichnisverbindung planen.

Konten für den Windows SharePoint Services-Suchdienst

In der folgenden Tabelle werden die Konten beschrieben, die zum Einrichten und Konfigurieren des Windows SharePoint Services-Suchdiensts verwendet werden. In Office SharePoint Server 2007 für Search wird dieser Dienst als Suchdienst der Windows SharePoint Services-Hilfe bezeichnet, weil dieser Dienst zum Bereitstellen von Suchfunktionen für die Hilfe verwendet wird. Planen Sie beim Installieren von Office SharePoint Server 2007 für Search diese Konten nur, wenn Sie den Dienst zum Durchsuchen des Hilfeinhalts implementieren möchten.

Konto Zweck

Windows SharePoint Services-Suchdienstkonto

Wird als das Dienstkonto für den Windows SharePoint Services-Suchdienst verwendet. Es gibt nur eine Instanz dieses Diensts in einer Farm.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Wird von der Anwendungsserverrolle der Windows SharePoint Services-Suche zum websiteübergreifenden Crawlen von Inhalt verwendet.

Anwendungspoolkonten

In der folgenden Tabelle wird das Anwendungspoolkonto beschrieben. Planen Sie ein Anwendungspoolkonto für jeden Anwendungspool, den Sie implementieren möchten.

Konto Zweck

Anwendungspool-Prozesskonto

Wird zum Zugreifen auf die der Webanwendung zugehörigen Inhaltsdatenbanken verwendet.

Standardanforderungen für Konten

In diesem Abschnitt werden die Anforderungen für jedes der Konten erläutert. Die speziellen Anforderungen für jedes Konto hängen davon ab, ob Sie eine Einzelserverumgebung oder eine Serverfarmumgebung konfigurieren. Die Kontoanforderungen beschreiben die speziellen Berechtigungen, die Sie vor dem Ausführen des Setups erteilen müssen. In einigen Fällen sind zusätzliche Berechtigungen zu beachten, die durch das Ausführen des Setups automatisch erteilt werden.

Gegenwärtig enthält dieser Artikel keine Kontoanforderungen für Umgebungen mit SQL-Authentifizierung.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Standardanforderungen für Konten auf Serverfarmebene beschrieben.

Konto Anforderungen für einzelne Server Anforderungen für Serverfarmen

SQL Server-Dienstkonto

Lokales Systemkonto (Standard)

  • Datenbanksystemadministrator

Benutzerkonto für das Setup

Mitglied der Administratorengruppe auf dem lokalen Computer

  • Domänenbenutzerkonto

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Logins

    • Securityadmin

    • Dbcreator

Serverfarmkonto

Netzwerkdienst (Standard)

Es ist keine manuelle Konfiguration erforderlich.

  • Domänenbenutzerkonto

  • Zusätzliche Berechtigungen werden für dieses Konto automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist und wenn zusätzliche Computer zur Serverfarm hinzugefügt werden. Dazu gehören zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver.

  • Dieses Konto wird automatisch den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

    • Logins

    • Dbcreator

    • Securityadmin

    • Datenbankbesitzer (db_owner) für alle Datenbanken

SSP-Konten

In der folgenden Tabelle werden die Standardanforderungen für SSP-Konten beschrieben.

Konto Anforderungen für einzelne Server Anforderungen für Serverfarmen

SSP-Anwendungspoolkonto

Es ist keine manuelle Konfiguration erforderlich.

Es ist keine manuelle Konfiguration erforderlich.

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist:

  • Datenbankbesitzer für die SSP-Inhaltsdatenbank

  • Lese-/Schreibzugriff auf die SSP-Inhaltsdatenbank

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lesezugriff auf die Inhaltsdatenbank der Zentraladministration

  • Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver

SSP-Dienstkonto

Es ist keine manuelle Konfiguration erforderlich.

Es ist keine manuelle Konfiguration erforderlich. Es werden die gleichen Berechtigungen wie beim SSP-Anwendungspoolkonto automatisch erteilt.

Office SharePoint Server-Suchdienstkonto

Standardmäßig wird dieses Konto als das lokale Dienstkonto ausgeführt. Wenn Sie mithilfe von Crawlregeln Inhalt remote crawlen möchten, ändern Sie dieses Konto in ein Domänenkonto. Wenn Sie dieses Konto nicht in ein Domänenkonto ändern, können Sie das Standardkonto für den Inhaltszugriff nicht in ein Domänenkonto ändern. Diese Einschränkung soll die Rechteerweiterungen für alle anderen unter dem lokalen Dienstkonto ausgeführten Prozesse verhindern.

  • Muss ein Domänenkonto sein

  • Darf kein Mitglied der Farmadministratorengruppe sein

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist:

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lese-/Schreibzugriff auf die Windows SharePoint Services-Suchdatenbank

Standardkonto für den Inhaltszugriff

Es ist keine manuelle Konfiguration erforderlich, wenn dieses Konto nur lokalen Inhalt crawlt. Wenn remote Inhalt mithilfe von Crawlregeln gecrawlt werden soll, ändern Sie dieses Konto in ein Domänenkonto, und wenden Sie die für eine Serverfarm aufgeführten Anforderungen an.

  • Muss ein Domänenkonto sein

  • Darf kein Mitglied der Farmadministratorengruppe sein

  • Lesezugriff auf externe oder sichere Inhaltsquellen, die Sie mithilfe dieses Kontos crawlen möchten

Zusätzliche Berechtigungen für dieses Konto werden automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist.

Inhaltszugriffskonto

Identisch mit dem zuvor aufgeführten SSP-Standardkonto für den Inhaltszugriff

Lesezugriff auf externen oder sicheren Inhalt, für den dieses Konto konfiguriert ist

Inhaltszugriffskonto für Benutzerprofile und Eigenschaften

Dieselben Anforderungen wie für Serverfarmen

  • Lesezugriff auf den Verzeichnisdienst

  • Wenn Serverseitigen inkrementellen Import aktivieren für eine Active Directory-Verbindung ausgewählt ist und es sich um eine Windows 2000 Server-Umgebung handelt, muss das Konto über die Berechtigung zum Replizieren von Änderungen in Active Directory verfügen. Diese Berechtigung ist für Active Directory in einer Windows Server 2003-Umgebung nicht erforderlich.

  • Verwalten der Rechte für gemeinsame Dienste der Benutzerprofile (Berechtigungen für Personalisierungsdienste)

Konten für den Windows SharePoint Services-Suchdienst

In der folgenden Tabelle werden die Standardanforderungen für Windows SharePoint Services-Suchkonten beschrieben.

Konto Anforderungen für einzelne Server Anforderungen für Serverfarmen

Windows SharePoint Services-Suchdienstkonto

Standardmäßig wird dieses Konto als das lokale Dienstkonto ausgeführt. Wenn Sie mithilfe von Crawlregeln Inhalt remote crawlen möchten, ändern Sie dieses Konto in ein Domänenkonto. Wenn Sie dieses Konto nicht in ein Domänenkonto ändern, können Sie das Standardkonto für den Inhaltszugriff nicht in ein Domänenkonto ändern. Dieses Verhalten soll die Erhöhung von Berechtigungen für alle anderen unter dem lokalen Dienstkonto ausgeführten Prozesse verhindern.

  • Muss ein Domänenkonto sein

  • Darf kein Mitglied der Farmadministratorengruppe sein

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist:

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lese-/Schreibzugriff auf die Windows SharePoint Services-Suchdatenbank

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Darf kein Mitglied der Farmadministratorengruppe sein

Lesezugriff auf Webanwendungen

  • Dieselben Anforderungen wie beim Windows SharePoint Services-Suchdienstkonto

  • Lesezugriff auf Webanwendungen

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Office SharePoint Server 2007 für Search installiert ist:

  • Wird der Webanwendungsrichtlinie Alles lesen für Ihre Farm hinzugefügt

Anwendungspoolkonten

In der folgenden Tabelle werden die Standardanforderungen für Anwendungspoolkonten beschrieben.

Konto Anforderungen für einzelne Server Anforderungen für Serverfarmen

Anwendungspool-Prozesskonto

Es ist keine manuelle Konfiguration erforderlich.

Es ist keine manuelle Konfiguration erforderlich.

Die folgenden SQL Server-Rollen und Berechtigungen werden diesem Konto automatisch zugewiesen:

  • Datenbankbesitzerrolle für Inhaltsdatenbanken, die der Webanwendung zugeordnet sind

  • Lese-/Schreibzugriff auf die zugeordnete SSP-Datenbank

  • Lesezugriff auf die Konfigurationsdatenbank

Zusätzlichen Berechtigungen für dieses Konto für Front-End-Webserver und Anwendungsserver werden automatisch durch Office SharePoint Server 2007 für Search erteilt.

Planungsempfehlungen für Konten

In diesem Abschnitt werden Planungsempfehlungen zum Implementieren von Konten in den folgenden zwei Bereitstellungsszenarien beschrieben:

  • Sichere Farmumgebung

  • Einzelserverumgebung

Diese Empfehlungen sind für die meisten Umgebungen geeignet.

Sichere Farmumgebung

Diese Planungsempfehlungen gelten für einzelne Konten in einer sicheren Farmumgebung.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Planungsempfehlungen für Konten auf Serverfarmebene in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

SQL Server-Dienstkonto

Es wird ein Domänenkonto anstelle eines SQL Server-Kontos oder eines lokalen Kontos empfohlen. Es sind keine spezielle Domänenberechtigungen erforderlich.

Verwenden Sie für dieses Konto nicht das Serverfarmkonto.

Benutzerkonto für das Setup

Es wird ein Domänenkonto empfohlen.

Für eine Arbeitsgruppenumgebung kann es sich dabei um ein lokales Windows-Konto handeln.

Serverfarmkonto

Es wird ein Domänenkonto empfohlen.

SSP-Konten

In der folgenden Tabelle werden die Planungsempfehlungen für SSP-Konten in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

SSP-Anwendungspoolkonto

Es wird ein Domänenkonto empfohlen. Verwenden Sie ein eindeutiges Domänenkonto (ein anderes als die Farmkonten oder die Konten für den Inhaltsanwendungspool).

SSP-Dienstkonto

Verwenden Sie das SSP-Anwendungspoolkonto.

Office SharePoint Server-Suchdienstkonto

Standardmäßig wird das lokale Dienstkonto verwendet. Ändern Sie dieses Konto nach Abschluss des Setups in ein Domänenkonto.

Standardkonto für den Inhaltszugriff

Standardmäßig wird das Netzwerkdienstkonto verwendet. Ändern Sie dieses Konto nach Abschluss des Setups in ein Domänenkonto. Geben Sie dem Standardkonto für den Inhaltszugriff keinen Zugriff auf den Verzeichnisdienst.

Inhaltszugriffskonto für Benutzerprofile und Eigenschaften

Verwenden Sie ein Konto, das über Lesezugriff auf den Verzeichnisdienst und die Rechte zum Verwalten von Benutzerprofilen verfügt.

Konten für den Windows SharePoint Services-Suchdienst

In der folgenden Tabelle werden die Planungsempfehlungen für Konten für den Windows SharePoint Services-Suchdienst in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

Windows SharePoint Services-Suchdienstkonto

Standardmäßig wird das lokale Dienstkonto verwendet. Ändern Sie dieses Konto nach Abschluss des Setups in ein Domänenkonto.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Standardmäßig wird das lokale Dienstkonto verwendet. Ändern Sie dieses Konto nach Abschluss des Setups in ein Domänenkonto. Sie können das gleiche Konto wie für den Windows SharePoint Services-Suchdienst verwenden. Wenn Sie jedoch mehrere isolierte Suchserver implementieren, verwenden Sie ein separates Konto. Es wird empfohlen, dass Sie ein eindeutiges Benutzerkonto auswählen, mit dem Inhalt nicht geändert werden kann und das kein Mitglied der Administratorengruppe für die Front-End-Webserver oder für die Datenbankserver ist.

Anwendungspoolkonten

In der folgenden Tabelle werden die Planungsempfehlungen für Anwendungspoolkonten in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

Anwendungspool-Prozesskonto

Planen Sie für jeden Anwendungspool ein eindeutiges Domänenkonto. Es wird empfohlen, dass Sie ein eindeutiges Benutzerkonto auswählen, das nicht über Administratorrechte für die Front-End-Server oder für die Back-End-Datenbankserver verfügt.

Einzelserverumgebung

In der folgenden Tabelle werden die Planungsempfehlungen für mehrere unterschiedliche Einzelserverumgebungen beschrieben. Dabei handelt es sich um Umgebungen, in denen ein einzelner Server alle Serverrollen hostet.

Szenario Empfehlung

Microsoft SQL Server 2005 Express Edition

Verwenden Sie zum Ausführen des Setups das standardmäßige Administratorkonto.

Verwenden Sie die vom Setup zugewiesenen Standardkonten.

Weisen Sie dem Netzwerkdienstkonto die erforderlichen Berechtigungen für SQL Server zu.

SQL Server in einer Domänenumgebung

Verwenden Sie die Empfehlungen für eine sichere Farmumgebung.

SQL Server in einer Arbeitsgruppenumgebung

Verwenden Sie die Empfehlungen für eine sichere Farmumgebung. Verwenden Sie allerdings Windows-Konten anstelle von Domänenkonten.