Planen von Administrator- und Dienstkonten in SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-08-23

Zusammenfassung: Informationen Sie zu den zu verwendenden Konten zur Verwaltung von SharePoint 2013 und SharePoint Server 2016 Bereitstellungsszenarien und-Diensten.

Um SharePoint Server zu installieren, müssen Sie entsprechende Administrator- und Dienstkonten auf Servern mit SharePoint Server und SQL Server haben. Nach der Installation benötigen Sie entsprechende Administrator- und Dienstkonten zu ändern und die Umgebung zu verwalten. Die Konten, die Sie benötigen, für die Durchführung dieser Gruppen von Vorgängen entsprechen nicht unbedingt. In diesem Artikel werden die Konten, die Sie nach der Installation für einen einzelnen Server-Umgebung und einer serverfarmumgebung erfordern.

Wichtig

Verwenden Sie keine Dienstkontonamen, die das Symbol $ enthalten.

Inhalt dieses Artikels:

  • Informationen zu Administrator- und Dienstkonten

  • Standardanforderungen für Einzelserver

  • Standardanforderungen für Serverfarmen

  • Technische Referenz: Kontoanforderungen nach Szenario

Verwenden Sie diesen Artikel zusammen mit Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.

In diesem Artikel zur Erstbereitstellung von Administrator- und Dienstkonten werden das jeweilige Konto sowie die Berechtigungen beschrieben, die Sie vor dem Ausführen des Setups erteilen müssen.

Die kontoanforderungen für die Verwendung von Secure Store Service in SharePoint Server beschrieben in diesem Artikel nicht. Weitere Informationen finden Sie unter Planen von Secure Store Service in SharePoint Server.

Sicherheitsrollen und die erforderlichen Berechtigungen zum Verwalten von SharePoint Server beschrieben in diesem Artikel nicht.

Informationen zu Administrator- und Dienstkonten

In diesem Abschnitt aufgelistet und beschrieben die Konten, denen Sie zum Verwalten von Servern mit SQL Server oder SharePoint Server berücksichtigen müssen. Die Konten werden nach Bereich gruppiert.

Achten Sie nach dem Abschließen der Installation und Konfiguration von Konten darauf, nicht das lokale Systemkonto zum Ausführen von Verwaltungsaufgaben oder zum Durchsuchen von Websites zu verwenden.

Konten auf Serverfarmebene

Die folgende Tabelle beschreibt die Konten, die zum Konfigurieren von SQL Server-Datenbanksoftware und zum Installieren von SharePoint Server verwendet werden.

Konto Zweck

SQL Server-Dienstkonto

SQL Server erfordert dieses Konto während des Setups von SQL Server. Dieses Konto wird für folgende SQL Server-Dienste als Dienstkonto verwendet:

  • MSSQLSERVER

  • SQLSERVERAGENT

Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste folgendermaßen angezeigt:

  • MSSQL<InstanceName>

  • SQLAgent<InstanceName>

Setup-Benutzerkonto

Benutzerkonto, mit dem Folgendes ausgeführt wird:

Wenn Sie Microsoft PowerShell-Cmdlets ausführen, die eine Datenbank betreffen, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

  • Setup auf den jeweiligen Servercomputern

  • Konfigurations-Assistent für SharePoint-Produkte

  • Befehlszeilentool "Psconfig"

  • Befehlszeilentool "Stsadm"

Serverfarmkonto

Dieses Konto wird auch als "Datenbankzugriffskonto" bezeichnet.

Dieses Konto hat die folgenden Eigenschaften:

  • Anwendungspoolidentität für die Website für die SharePoint-Zentraladministration

  • Prozesskonto für den Windows SharePoint Services-Zeitgerberdienst

Dienstanwendungskonten

In der folgenden Tabelle sind die Konten beschrieben, die zum Einrichten und Konfigurieren einer Dienstanwendung verwendet werden. Planen Sie einen Satz mit einem Anwendungspool und einer Proxygruppe für jede Dienstanwendung, die Sie implementieren möchten.

Weitere Informationen zu Dienstanwendungsendpunkten finden Sie unter Verwenden von Dienstendpunkten.

Hinweis

Excel Services und Benutzerprofilsynchronisierung-service nur auf SharePoint 2013.

Konto Dienst Zweck Anforderungen

Dienstanwendungsendpunkt

 

Dienstname In SharePoint Server In SharePoint Foundation

Access Services

X

  

Business Data Connectivity Service

X

X

Secure Store Service

X

Dienst für die Erfassung von Verwendungs- und Integritätsdaten

X

Benutzerprofildienst

X

Visio-Grafikdienst

X

Word Automation Services

X

Dieses Konto wird als Identität für den Dienstanwendungsendpunkt-Anwendungspool verwendet. Der Anwendungspool kann zum Hosten mehrerer Dienstanwendungsendpunkte verwendet werden, außer es bestehen bestimmte Isolierungsanforderungen.

Dienstanwendungsendpunkt

 

Dienstname In SharePoint Server In SharePoint Foundation

Excel Services

X

Verwalteter Metadatendienst

X

PerformancePoint-Dienst

X

Suchdienst

X

Dieses Konto wird als Identität für den Dienstendpunkt-Anwendungspool verwendet. Der Anwendungspool kann zum Hosten mehrerer Dienstanwendungsendpunkten verwendet werden, außer es bestehen bestimmte Isolierungsanforderungen.

Muss ein Domänenbenutzerkonto sein.

Dienstanwendungsendpunkt

 

Dienstname In SharePoint Server In SharePoint Foundation

Sicherheitstokendienst

X

Anwendungserkennung und Lastenausgleichsdienst

X

X

Dieses Konto wird als Identität für den Dienstanwendungsendpunkt-Anwendungspool verwendet. Dieses Konto muss das Farmdienstkonto sein, und Konfigurations-Assistent für SharePoint-Produkte erstellt den Anwendungspool automatisch.

Unbeaufsichtigter Dienst

 

Dienstname In SharePoint Server In SharePoint Foundation

Excel Services

X

Wird von Arbeitsmappen zum Aktualisieren von Daten verwendet. Dieser Dienst ist erforderlich, wenn in Arbeitsmappenverbindungen für die Authentifizierung "Ohne" angegeben ist oder für die Aktualisierung von Daten nicht von Windows stammende Anmeldeinformationen verwendet werden.

Muss ein Domänenbenutzerkonto sein.

Unbeaufsichtigter Dienst

 

Dienstname In SharePoint Server In SharePoint Foundation

PerformancePoint-Dienst

X

Wird für die Authentifizierung mit Datenquellen verwendet.

Muss ein Domänenbenutzerkonto sein.

Unbeaufsichtigter Dienst

 

Dienstname In SharePoint Server In SharePoint Foundation

Visio-Grafikdienst

X

Mit Dokumenten verwendet, um Daten zu aktualisieren. Es ist erforderlich, beim Herstellen einer Verbindung mit Datenquellen, die außerhalb SharePoint Server wie SQL Server sind.

Standardkonto für den Inhaltszugriff

 

Dienstname In SharePoint Server In SharePoint Foundation

SharePoint Server-Suche

X

Das Standardkonto für das Durchforsten von Inhalten. Ein Suchdienstanwendungsadministrator kann Durchforstungsregeln erstellen, um andere Konten für das Durchforsten von bestimmten Inhalten festzulegen.

Muss über Lesezugriff auf den durchforsteten Inhalt verfügen.

Diesem Konto müssen explizit die Berechtigungen "Alles lesen" für Inhalte außerhalb der lokalen Farm erteilt werden.

Für Inhaltsdatenbanken in der lokalen Farm werden die Berechtigungen "Alles lesen" automatisch erteilt.

Suchdienst

 

Dienstname In SharePoint Server In SharePoint Foundation

SharePoint Server-Suche

X

Das Windows-Dienstkonto für den SharePoint Server-Suchdienst. Diese Einstellung gilt für alle Suchdienstanwendungen in der Farm.

Muss ein Domänenbenutzerkonto sein.

Benutzerprofil-Synchronisierungsdienst

 

Dienstname In SharePoint Server In SharePoint Foundation

Benutzerprofil-Synchronisierungsdienst

X

Hierbei handelt es sich um das Windows-Dienstkonto für den Benutzerprofil-Synchronisierungsdienst.

Muss über die Berechtigung zum lokalen Anmelden an dem Computer verfügen, auf dem die Instanz des Benutzerprofil-Synchronisierungsdiensts ausgeführt wird.

Synchronisierungsverbindung

 

Dienstname In SharePoint Server In SharePoint Foundation

Benutzerprofildienst

X

Dieses Konto wird zum Ausführen der Synchronisation mit dem Remoteverzeichnisdienst verwendet. Pro Synchronisierungsverbindung ist ein Konto möglich.

Berechtigungen "Verzeichnisänderungen replizieren" für die synchronisierten Domänen.

Berechtigungen "Verzeichnisänderungen replizieren" auf der Konfigurationspartition der synchronisierten Domänen, wenn der NetBIOS-Name und der vollqualifizierte Domänenname (FQDN) nicht übereinstimmen.

App-Verwaltungsdienst

 

Dienstname In SharePoint Server In SharePoint Foundation

App-Verwaltung

X

X

Mit diesem Konto können Sie SharePoint-Apps aus dem SharePoint Store oder dem App-Katalog installieren.

PowerPoint-Konvertierungsdienst

 

Dienstname In SharePoint Server In SharePoint Foundation

PowerPoint-Konvertierungsdienst

X

Dieses Konto konvertiert Microsoft PowerPoint-Präsentationen in verschiedene Formate.

Maschineller Übersetzungsdienst

 

Dienstname In SharePoint Server In SharePoint Foundation

Maschineller Übersetzungsdienst

X

Dieses Konto führt automatische maschinelle Übersetzungen durch.

Access Services 2013

 

Dienstname In SharePoint Server In SharePoint Foundation

Access Services in SharePoint Server 2013

X

Mit diesem Konto werden Access 2013-Datenbanken in einem Browser angezeigt, bearbeitet und mit diesen interagiert.

Arbeitsverwaltung

 

Dienstname In SharePoint Server In SharePoint Foundation

Arbeitsverwaltung

X

Mit diesem Konto ist die Vorgangsaggregation über mehrere Arbeitsverwaltungssysteme hinweg möglich, darunter SharePoint-Produkte, Microsoft Exchange Server und Microsoft Project Server.

Verteilter Cache

 

Dienstname In SharePoint Server In SharePoint Foundation

Verteilter Cache

X

X

Dieses Konto bietet die speicherinterne caching Services an verschiedenen Funktionen in SharePoint Server. Einige der Features, mit denen den verteilte Cachedienst umfassen:

  • Newsfeeds

  • Authentifizierung

  • OneNote-Clientzugriff

  • Sicherheitskürzung

  • Seitenladeleistung

Zusätzliche Anwendungspool-Identitätskonten

Wenn Sie zusätzliche Anwendungspools für das Hosten von Websites erstellen, planen Sie auch zusätzliche Anwendungspool-Identitätskonten. In der folgenden Tabelle ist das Anwendungspool-Identitätskonto beschrieben. Planen Sie ein Anwendungspool-Identitätskonto pro Anwendungspool, den Sie implementieren möchten.

Konto Zweck

Anwendungspoolidentität

Das Benutzerkonto, das die Arbeitsprozesse, von denen der Anwendungspool bedient wird, als Prozessidentität verwenden. Das Konto dient dem Zugriff auf Inhaltsdatenbanken, die den Webanwendungen zugeordnet sind, die sich im Anwendungspool befinden.

Standardanforderungen für Einzelserver

Wenn die Bereitstellung auf einem einzelnen Servercomputer erfolgt, fallen nur minimale Kontoanforderungen an. In einer Evaluierungsumgebung können Sie ein Konto für alle Kontozwecke verwenden. In einer Produktionsumgebung müssen Sie sicherstellen, dass die erstellten Konten ihrem Zweck entsprechende geeignete Berechtigungen aufweisen.

Eine Liste mit Kontoberechtigungen für Einzelserverumgebungen finden Sie unter Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.

Serverfarmanforderungen

Wenn die Bereitstellung auf mehreren Servercomputern erfolgt, verwenden Sie die Informationen zu den Standardanforderungen für Serverfarmen, um sicherzustellen, dass die Konten die erforderlichen Berechtigungen aufweisen, damit sie die ihnen zugewiesenen Prozesse auf mehreren Computern ausführen können. In den Standardanforderungen für Serverfarmen wird ausführlich die Mindestkonfiguration beschrieben, die für den Betrieb in einer Serverfarmumgebung erforderlich ist.

Eine Liste der Standardanforderungen für Serverfarmumgebungen finden Sie in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Für manche Konten werden zusätzliche Berechtigungen oder der Zugriff auf Datenbanken konfiguriert, wenn Sie das Setup ausführen. Diese werden im Kontoplanungstool genannt. Eine wichtige Konfiguration, von der Datenbankadministratoren Kenntnis haben sollten, ist das Hinzufügen der Datenbankrolle WSS_Content_Application_Pools. Diese Rolle wird während des Setups den folgenden Datenbanken hinzugefügt:

  • Datenbank SharePoint_Config (Konfigurationsdatenbank)

  • Datenbank SharePoint_AdminContent

Mitglieder der Datenbankrolle WSS_Content_Application_Pools erhalten die Berechtigung zum Ausführen für eine Untermenge der gespeicherten Prozeduren für die Datenbank. Zudem erhalten Mitglieder dieser Rolle die Berechtigung zum Auswählen für die Versionstabelle (dbo.Versions) in der SharePoint_AdminContent-Datenbank.

Für andere Datenbanken gibt das Kontoplanungstool an, dass der Zugriff zum Lesen aus diesen Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert.

Technische Referenz: Kontoanforderungen nach Szenario

In diesem Abschnitt werden die Kontoanforderungen nach Szenario aufgeführt:

  • Standardanforderungen für Einzelserver

  • Standardanforderungen für Serverfarmen

Standardanforderungen für Einzelserver

Konten auf Serverfarmebene

Konto Anforderungen

SQL Server-Dienst

Lokales Systemkonto (Standard)

Setupbenutzer

Mitglied der Administratorengruppe auf dem lokalen Computer

Serverfarm

Netzwerkdienst (Standard)

Keine manuelle Konfiguration erforderlich

Dienstanwendungskonten

Wichtig

Konten in dieser Tabelle gelten nur für SharePoint Server.

Konto Anforderungen

SharePoint Server-Suchdienst

Dieses Konto wird standardmäßig als das lokale Systemkonto ausgeführt.

Wenn Sie Remoteinhalte durch Ändern des Standardkontos für den Inhaltszugriff oder die Verwendung von Durchforstungsregeln durchforsten möchten, ändern Sie dieses Konto zu einem Domänenbenutzerkonto. Wenn Sie dieses Konto nicht zu einem Domänenbenutzerkonto ändern, können Sie das Standardkonto für den Inhaltszugriff nicht zu einem Domänenbenutzerkonto ändern oder Durchforstungsregeln für diesen Inhalt hinzufügen. Diese Einschränkung dient dazu, Rechteerweiterungen für alle anderen Prozesse zu verhindern, die als lokales Systemkonto ausgeführt werden.

Standardkonto für den Inhaltszugriff

Wenn dieses Konto ausschließlich für das Durchforsten von lokalem Farminhalt verwendet wird, ist keine manuelle Konfiguration erforderlich. Wenn Sie Remoteinhalt mithilfe von Durchforstungsregeln durchforsten möchten, ändern Sie dieses Konto in ein Domänenbenutzerkonto, und wenden Sie die für eine Serverfarm aufgeführten Anforderungen an.

Inhaltszugriff

Es gelten dieselben Anforderungen wie für das Standardkonto für den Inhaltszugriff.

Profilimport-Standardzugriff

Es gelten dieselben Anforderungen wie für eine Serverfarm.

Unbeaufsichtigter Excel Services-Dienst

Muss ein Domänenbenutzerkonto sein.

Zusätzliche Anwendungspool-Identitätskonten

Konto Anforderungen

Anwendungspoolidentität

Keine manuelle Konfiguration erforderlich

Für die im Rahmen des Setups und der Konfiguration erstellte Standardwebsite wird das Netzwerkdienstkonto verwendet.

Serverfarm-Standardanforderungen

Konten auf Serverfarmebene

Wichtig

Die Konten in dieser Tabelle gelten nur für SharePoint Server.

Konto Anforderungen

SQL Server-Dienstkonto

Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto standardmäßig die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind.

Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto ((<Domänenname>\<SQL_Hostname>) Berechtigungen für die externe Ressource.

Setup-Benutzerkonto

  • Domänenbenutzerkonto.

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird

  • SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird

  • Mitglied der SQL Server-Sicherheitsrolle Serveradministrator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarmkonto

  • Domänenbenutzerkonto

Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt.

Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

  • Feste Serverrolle dbcreator

  • Feste Serverrolle securityadmin

  • Feste Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis

Wenn Sie den Secure Store Service konfigurieren, erhält das Serverfarmkonto nicht automatisch db_owner-Zugriff auf die Secure Store Service-Datenbank.

Dienstkonten für Dienstanwendungen

Wichtig

Die Konten in dieser Tabelle gelten nur für SharePoint Server.

Konto Anforderungen

SharePoint Server-Suchdienstkonto

  • Muss ein Domänenbenutzerkonto sein.

  • Darf kein Mitglied der Gruppe "Farmadministratoren" sein.

Folgendes wird automatisch konfiguriert:

  • Lesezugriff auf die Konfigurationsdatenbank, die Inhaltsdatenbank für die Verwaltung, die Suchverwaltungsdatenbank und Durchforstungsdatenbanken.

  • Vollzugriff auf die Indexpartitionen auf den Abfrageservern.

Standardkonto für den Inhaltszugriff

  • Muss ein Domänenbenutzerkonto sein.

  • Darf kein Mitglied der Gruppe "Farmadministratoren" sein.

  • Lesezugriff auf externe oder sichere Inhaltsquellen, die mithilfe dieses Kontos durchforstet werden sollen.

  • Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen "Alles lesen" für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.

Folgendes wird automatisch konfiguriert:

  • Den durch die Serverfarm gehosteten Inhaltsdatenbanken werden automatisch die Berechtigungen "Alles lesen" erteilt.

Inhaltszugriffskonto

  • Lesezugriff auf externe oder sichere Inhaltsquellen, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann.

  • Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen "Alles lesen" für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.

Profilimport-Standardzugriffskonto

  • Lesezugriff auf den Verzeichnisdienst

  • Das Konto muss in AD DS über die Berechtigung zum Replizieren von Änderungen verfügen.

  • Verwalten der Personalisierungsdiensteberechtigung "Benutzerprofile"

  • Anzeigen von Berechtigungen für Entitäten, die in Geschäftsdatenkatalog-Importverbindungen verwendet werden.

Unbeaufsichtigtes Excel Services-Dienstkonto

Muss ein Domänenbenutzerkonto sein.

Zusätzliche Anwendungspool-Identitätskonten

Konto Anforderungen

Anwendungspoolidentität

Keine manuelle Konfiguration erforderlich

Folgendes wird automatisch konfiguriert:

  • Mitgliedschaft in der SP_DATA_ACCESS-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.

  • Mitgliedschaft in bestimmten Anwendungspoolrollen für die Konfigurationsdatenbanken und die SharePoint_AdminContent-Datenbanken.

  • Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

See also

Planen von SharePoint Server 2016