Planen von Administrator- und Dienstkonten (Search Server 2008)

  • Artikel

Tipp

Falls nicht anders angegeben, beziehen sich die Informationen in diesem Artikel sowohl auf Microsoft Search Server 2008 als auch auf Microsoft Search Server 2008 Express.

Die Informationen in diesem Artikel beschreiben die Rollen der Planungsteams, die möglicherweise an der Bereitstellung und Verwaltung von Microsoft Search Server 2008 beteiligt sind. Anschließend werden die Administrator- und Dienstkonten beschrieben, die beim Installieren und Warten von Search Server 2008 verwendet werden.

Inhalt dieses Artikels:

  • Informationen zum Suchplanungsteam

  • Informationen zu Administrator- und Dienstkonten

  • Standardanforderungen für Konten

  • Planungsempfehlungen für Konten

Informationen zum Suchplanungsteam

Bevor Sie mit dem Planen der Features und der Bereitstellung von Search Server 2008 beginnen, sollten Sie die Rolle des Suchplanungsteams verstehen. Die Planung der Suche erfordert möglicherweise einige oder alle der folgenden Teammitglieder je nach Größe der Organisation und der Bereitstellungspläne:

  • Ein Suchdienstadministrator, der die Konfiguration des Suchdiensts verwaltet. Diese Verantwortung umfasst das Definieren der Inhaltsquellen, die gecrawlt werden, das Einrichten von Crawlregeln und das Planen der Crawlvorgänge. Zusätzlich überwacht der Suchdienstadministrator die Indizes, um sicherzustellen, dass die Inhaltsquellen erfolgreich gecrawlt werden.

  • Mindestens ein Websitesammlungsadministrator, der die Standardwebsitesammlung verwaltet, die die Suchcenter-Website enthält. Dieser Administrator verwaltet die Belange der Endbenutzer auf Website- und Websitesammlungsebene. Seine Verantwortung umfasst das Definieren von Schlüsselwörtern, besten Suchergebnissen und Bereichen. Wenn die Farm weitere Websitesammlungen enthält, die SharePoint-Websites hosten, sind möglicherweise weitere Websitesammlungsadministratoren erforderlich.

  • IT-Administratoren, die die Architektur und Topologie für eine oder mehrere Serverfarmen in der Organisation auf der Grundlage von Inhaltsanforderungen planen. Normalerweise beschäftigen sich IT-Administratoren nicht mit Inhalten, es sei denn, diese betreffen IT-Vorgänge wie Verfügbarkeit, Zuverlässigkeit und Kapazitätsplanung.

Informationen zu Administrator- und Dienstkonten

Administrator- und Dienstkonten werden in Search Server 2008 verwendet, um Zugriff und Sicherheit bereitzustellen. Die Informationen in den folgenden Abschnitten enthalten eine Beschreibung des Zwecks jedes Kontos, die Standardanforderungen für Konten in Einzelserver- und Multiserverinstallationen sowie Planungsempfehlungen.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Konten beschrieben, die für die Konfiguration von Microsoft SQL Server und die Installation von Search Server 2008 verwendet werden.

Konto Zweck

SQL Server-Dienstkonto

Dieses Konto wird von SQL Server bei der SQL Server-Installation angefordert.

Das Konto wird als Dienstkonto für die folgenden SQL Server-Dienste verwendet:

  • MSSQLSERVER

  • SQLSERVERAGENT

Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste folgendermaßen angezeigt:

  • MSSQL$Instanzname

  • SQLAgent$Instanzname

Setup-Benutzerkonto

Das Konto der Person, die während der Installation von Search Server 2008 angemeldet ist.

Serverfarmkonto

Dieses Konto wird auch wie folgt bezeichnet:

  • Datenbankzugriffskonto

Dieses Konto fungiert als:

  • Anwendungspoolkonto für die Website für die Zentraladministration

  • Prozesskonto für den Windows SharePoint Services-Timerdienst (sptimerV3)

  • Sicherheitskonto für den SSP

SSP-Konten (Shared Services Provider, Anbieter für gemeinsame Dienste)

In der folgenden Tabelle werden die im SSP, für den Suchdienst und für Inhaltscrawls verwendeten Konten beschrieben.

Konto Zweck Speicherort

Anmeldeinformationen für den SSP-Dienst

Dieses Konto wird von folgenden Diensten verwendet:

  • SSP-Webdienste zur Kommunikation zwischen Servern

  • SSP-Timerdienst zum Ausführen von Zeitgeberaufträgen

Während einer erweiterten Installation von Search Server 2008 können Sie dieses Konto im optionalen Abschnitt der Search Server-Konfigurationsseite unter Suchdienste-Verwaltungskonto angeben.

Zum Ändern des Kontos wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann auf Anwendungsverwaltung. Klicken Sie unter Gemeinsame Dienste von Office SharePoint Server auf Gemeinsame Dienste dieser Farm erstellen oder konfigurieren. Klicken Sie auf der Seite Gemeinsame Dienste dieser Farm verwalten auf den Pfeil neben dem Namen des SSP-Kontos, das Sie ändern möchten, und klicken Sie anschließend auf Eigenschaften bearbeiten. Geben Sie unter Anmeldeinformationen für den SSP-Dienst die neuen Kontoinformationen in die Felder Benutzername und Kennwort ein.

Office SharePoint Server-Suchdienst

Wird als Dienstkonto für den Office SharePoint Server-Suchdienst verwendet. Es gibt nur eine Instanz dieses Diensts.

Während einer erweiterten Installation von Search Server 2008 können Sie dieses Konto auf der Search Server-Konfigurationsseite unter Suchdienstkonto definieren.

Zum Ändern des Kontos nach der Installation wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann auf Vorgänge. Klicken Sie unter Topologie und Dienste auf Dienste auf dem Server. Klicken Sie unter Dienst auf Office SharePoint Server-Suchdienst. Geben Sie auf der Seite Einstellungen für den Office SharePoint Server-Suchdienst konfigurieren unter Suchdienstkonto der Farm die neuen Kontoinformation in die Felder Benutzername und Kennwort ein.

Standardkonto für den Inhaltszugriff

Wird zum Crawlen von Inhalt verwendet und ist das Standardkonto. Wenn kein bestimmtes Konto angegeben ist, wird das Standardkonto für den Inhaltszugriff verwendet.

Zum Ändern des Kontos wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann unter Verwaltung der gemeinsamen Dienste auf SharedServices1. Klicken Sie auf der Seite Suchverwaltung im Abschnitt zum Crawlvorgang auf Standardkonto für den Inhaltszugriff. Geben Sie auf der Seite Standardkonto für den Inhaltszugriff die neuen Kontoinformationen in die Felder Konto und Kennwort ein.

Inhaltszugriffskonto

Wird in einer Crawlregel verwendet, mit der bestimmte Inhalte gecrawlt werden. Es handelt sich um ein optionales Konto. Bezüglich Search Server 2008 externe Inhalte, z. B. eine Dateifreigabe, erfordern möglicherweise ein anderes Zugriffskonto als das standardmäßige.

Zum Ändern des Kontos wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann unter Verwaltung der gemeinsamen Dienste auf SharedServices1. Klicken Sie auf der Seite Suchverwaltung im Abschnitt zum Crawlvorgang auf Crawlregeln. Legen Sie die Anmeldeinformationen in einer neuen oder vorhandenen Crawlregel fest.

Konten für die Windows SharePoint Services-Suche

In der folgenden Tabelle werden die Konten beschrieben, die zum Einrichten und Konfigurieren des Windows SharePoint Services-Suchdiensts verwendet werden. In Search Server 2008 wird dieser Dienst als Suchdienst der Windows SharePoint Services-Hilfe bezeichnet, weil dieser Dienst zum Bereitstellen von Suchfunktionen für die Hilfe verwendet wird. Die Konten werden beim Installieren von Search Server 2008 automatisch für die Ausführung als lokale Dienste vordefiniert.

Konto Zweck Speicherort

Windows SharePoint Services-Suchdienstkonto

Wird als Dienstkonto für den Windows SharePoint Services-Suchdienst verwendet. Es gibt nur eine Instanz dieses Diensts in einer Farm.

Während einer erweiterten Installation von Search Server 2008 definieren Sie dieses Konto unter Hilfesuchdienstkonto auf der Search Server-Konfigurationsseite.
Zum Ändern des Kontos nach der Installation wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann auf Vorgänge. Klicken Sie unter Topologie und Dienste auf Dienste auf dem Server. Klicken Sie auf der Seite Dienste auf dem Server unter Dienst auf Windows SharePoint Services-Suche. Geben Sie auf der Seite Einstellungen für den Windows SharePoint Services-Suchdienst konfigurieren unter Dienstkonto die neuen Kontoinformation in die Felder Benutzername und Kennwort ein.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Wird von der Anwendungsserverrolle für die Windows SharePoint Services-Suche verwendet, um Hilfeinhalt auf Websites zu crawlen.

Das Konto wird automatisch während der Installation konfiguriert.

Zum Ändern des Kontos nach der Installation wechseln Sie auf die Website für die Zentraladministration, und klicken Sie dann auf Vorgänge. Klicken Sie auf der Seite Vorgänge unter Topologie und Dienste auf Dienste auf dem Server. Klicken Sie auf der Seite Dienste auf dem Server unter Dienst auf Windows SharePoint Services-Suche. Geben Sie auf der Seite Einstellungen für den Windows SharePoint Services-Suchdienst konfigurieren unter Inhaltszugriffskonto die neuen Kontoinformation in die Felder Benutzername und Kennwort ein.

Anwendungspoolkonten

In der folgenden Tabelle wird das Anwendungspoolkonto beschrieben. Planen Sie ein Anwendungspoolkonto für jeden Anwendungspool, den Sie implementieren möchten.

Bei der Installation von Search Server 2008 werden zwei Anwendungspools automatisch erstellt. Der eine dient für die Zentraladministration und verwendet das Serverfarmkonto, der andere dient für die Suchcenter-Webanwendung oder den SSP.

Konto Zweck Speicherort

Anwendungspoolprozess-Konto

Mit diesem Konto wird auf die Inhaltsdatenbanken zugegriffen, die der Webanwendung zugeordnet sind.

Das Konto wird beim Erstellen der Webanwendung definiert und kann in Internetinformationsdienste (IIS) geändert werden.

Standardanforderungen für Konten

Dieser Abschnitt enthält die Anforderungen für jedes der Konten in Einzelserverbereitstellungen (Standardinstallation) und Multiserverbereitstellungen (erweiterte Installation). In den Anforderungen sind Berechtigungen aufgeführt, die Sie möglicherweise vor der Installation erteilen müssen. In einigen Fällen sind zusätzliche Berechtigungen angegeben, die bei der Installation automatisch erteilt werden.

Tipp

Dieser Artikel enthält keine Kontoanforderungen für Umgebungen mit SQL-Authentifizierung.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Standardanforderungen für Konten auf Serverfarmebene beschrieben.

Konto Anforderungen für einzelne Server Serverfarmanforderungen

SQL Server-Dienstkonto

  • Lokales Systemkonto (Standard)

  • Datenbanksystemadministrator

Setup-Benutzerkonto

  • Mitglied der Administratorengruppe auf dem lokalen Computer

  • Domänenbenutzerkonto

  • Mitglied der Administratorengruppe auf jedem Server, auf dem Search Server 2008 installiert wird.

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Anmeldungen

    • Securityadmin

    • Dbcreator

Serverfarmkonto

  • Netzwerkdienst (Standard)

  • Es ist keine manuelle Konfiguration erforderlich.

  • Domänenbenutzerkonto

  • Zusätzliche Berechtigungen werden für dieses Konto automatisch erteilt, wenn Search Server 2008 installiert wird und wenn der Farm zusätzliche Computer hinzugefügt werden. Dazu gehören zusätzliche Berechtigungen für Web-Front-End-Server (WFE) und Anwendungsserver.

  • Dieses Konto wird automatisch den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

    • Anmeldungen

    • Dbcreator

    • Securityadmin

    • Datenbankbesitzer (db_owner) für alle Datenbanken

SSP-Konten

In der folgenden Tabelle werden die Standardanforderungen für SSP-Konten beschrieben.

Konto Anforderungen für einzelne Server Serverfarmanforderungen

SSP-Dienstkonto

  • Es ist keine manuelle Konfiguration erforderlich.

Es ist keine manuelle Konfiguration erforderlich.

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Search Server 2008 installiert wird:

  • Datenbankbesitzer für die SSP-Inhaltsdatenbank

  • Lese-/Schreibzugriff auf die SSP-Inhaltsdatenbank

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lesezugriff auf die Inhaltsdatenbank der Zentraladministration

  • Zusätzliche Berechtigungen für WFEs und Anwendungsserver

Office SharePoint Server-Suchkonto

  • Standardmäßig wird dieses Konto als das lokale Dienstkonto ausgeführt.

  • Zum Crawlen von Remoteinhalt mithilfe von Crawlregeln ändern Sie dieses Konto in ein Domänenkonto, sodass das Standardkonto für den Inhaltszugriff geändert werden kann.

  • Muss ein Domänenkonto sein

  • Das Konto sollte kein Mitglied der Gruppe der Farmadministratoren sein.

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Search Server 2008 installiert wird:

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lese-/Schreibzugriff auf die Windows SharePoint Services-Suchdatenbank

Standardkonto für den Inhaltszugriff

  • Es ist keine manuelle Konfiguration erforderlich, wenn dieses Konto nur lokalen Inhalt crawlt.

  • Zum Crawlen von Remoteinhalt ändern Sie das Konto in ein Domänenkonto, verwenden Sie eine Crawlregel, und wenden Sie die beschriebenen Anforderungen für eine Serverfarm an.

  • Muss ein Domänenkonto sein

  • Das Konto sollte kein Mitglied der Gruppe der Farmadministratoren sein.

  • Lesezugriff auf externe oder sichere Inhaltsquellen, die Sie mithilfe dieses Kontos crawlen möchten

Zusätzliche Berechtigungen für dieses Konto werden automatisch erteilt, wenn Search Server 2008 installiert wird.

Inhaltszugriffskonto

  • Es ist keine manuelle Konfiguration erforderlich, wenn dieses Konto nur lokalen Inhalt crawlt.

  • Zum Crawlen von Remoteinhalt ändern Sie das Konto in ein Domänenkonto, verwenden Sie eine Crawlregel, und wenden Sie die beschriebenen Anforderungen für eine Serverfarm an.

  • Lesezugriff auf externe oder sichere Inhaltsquellen, die Sie mithilfe dieses Kontos crawlen möchten

  • Vollständiger Lesezugriff auf externe SharePoint-Websites

Konten für die Windows SharePoint Services-Suche

In der folgenden Tabelle werden die Standardanforderungen für Windows SharePoint Services-Suchkonten beschrieben. In Search Server 2008 werden diese Konten nur zum Durchsuchen und Indizieren von Hilfeinhalten verwendet.

Konto Anforderungen für einzelne Server Serverfarmanforderungen

Windows SharePoint Services-Suchdienstkonto

  • Standardmäßig wird dieses Konto als das lokale Dienstkonto ausgeführt.

  • Muss ein Domänenkonto sein

  • Muss kein Mitglied der Gruppe der Farmadministratoren sein

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Search Server 2008 installiert wird:

  • Lese-/Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen

  • Lesezugriff auf die Konfigurationsdatenbank

  • Lese-/Schreibzugriff auf die Windows SharePoint Services-Suchdatenbank

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Das Konto sollte kein Mitglied der Gruppe der Farmadministratoren sein.

  • Lesezugriff auf Webanwendungen

  • Dieselben Anforderungen wie beim Windows SharePoint Services-Suchdienstkonto

  • Lesezugriff auf Webanwendungen

Die folgenden Berechtigungen werden für dieses Konto automatisch erteilt, wenn Search Server 2008 installiert wird:

  • Wird der Webanwendungsrichtlinie Alles lesen für Ihre Farm hinzugefügt

Anwendungspoolkonten

In der folgenden Tabelle werden die Standardanforderungen für Anwendungspoolkonten beschrieben.

Konto Anforderungen für einzelne Server Serverfarmanforderungen

Anwendungspoolprozess-Konto

  • Es ist keine manuelle Konfiguration erforderlich.

Es ist keine manuelle Konfiguration erforderlich.

Die folgenden SQL Server-Rollen und Berechtigungen werden diesem Konto automatisch zugewiesen:

  • Datenbankbesitzerrolle für Inhaltsdatenbanken, die der Webanwendung zugeordnet sind

  • Lese-/Schreibzugriff auf die zugeordnete SSP-Datenbank

  • Lesezugriff auf die Konfigurationsdatenbank

Zusätzliche Berechtigungen für dieses Konto für WFEs und Anwendungsserver werden automatisch durch Search Server 2008 erteilt.

Planungsempfehlungen für Konten

In diesem Abschnitt werden praktische Planungsempfehlungen zum Implementieren von Konten in den meisten Umgebungen in den folgenden zwei Bereitstellungsszenarien beschrieben:

  • Sichere Farmumgebung

  • Einzelserverumgebung

Sichere Farmumgebung

Diese Planungsempfehlungen gelten für einzelne Konten in einer sicheren Farmumgebung.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Planungsempfehlungen für Konten auf Serverfarmebene in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

SQL Server-Dienstkonto

  • Es wird ein Domänenkonto anstelle eines SQL Server-Kontos oder eines lokalen Kontos empfohlen. Hierzu müssen Sie möglicherweise einen gültigen Dienstprinzipalnamen (Service Principal Name, SPN) in den Active Directory-Domänendiensten für das Domänenbenutzerkonto festlegen.

  • Verwenden Sie für dieses Konto nicht das Serverfarmkonto.

Setup-Benutzerkonto

  • Es wird ein Domänenkonto empfohlen.

  • Für eine Arbeitsgruppenumgebung kann es sich dabei um ein lokales Windows-Konto handeln.

Serverfarmkonto

  • Es wird ein Domänenkonto empfohlen.

SSP-Konten

In der folgenden Tabelle werden die Planungsempfehlungen für SSP-Konten in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

SSP-Dienstkonto

  • Das Standardkonto für Dienste wird standardmäßig verwendet.

  • Ändern Sie dieses Konto nach Abschluss der Installation in ein Domänenkonto.

Office SharePoint Server-Suchkonto

  • Das Standardkonto für Dienste wird standardmäßig verwendet.

  • Ändern Sie dieses Konto nach Abschluss der Installation in ein Domänenkonto.

Standardkonto für den Inhaltszugriff

  • Standardmäßig wird das Netzwerkdienstkonto verwendet. Ändern Sie dieses Konto nach Abschluss der Installation in ein Domänenkonto.

  • Gewähren Sie dem Standardkonto für den Inhaltszugriff keinen Zugriff auf den Verzeichnisdienst.

Konten für die Windows SharePoint Services-Suche

In der folgenden Tabelle werden die Planungsempfehlungen für Konten für den Windows SharePoint Services-Suchdienst in einer sicheren Farmumgebung beschrieben. In Search Server 2008 werden diese Konten nur zum Crawlen und Indizieren der Hilfe verwendet.

Konto Empfehlung

Windows SharePoint Services-Suchdienstkonto

  • Standardmäßig wird das lokale Dienstkonto verwendet.

  • Ändern Sie dieses Konto nach Abschluss der Installation in ein Domänenkonto.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Standardmäßig wird das lokale Dienstkonto verwendet.

Anwendungspoolkonten

In der folgenden Tabelle werden die Planungsempfehlungen für Anwendungspoolkonten in einer sicheren Farmumgebung beschrieben.

Konto Empfehlung

Anwendungspoolprozess-Konto

  • Planen Sie für jeden Anwendungspool ein eindeutiges Domänenkonto.

  • Wählen Sie ein eindeutiges Benutzerkonto aus, das nicht über Administratorrechte für die Front-End-Server oder für die Back-End-Datenbankserver verfügt.

Einzelserverumgebung

In der folgenden Tabelle werden die Planungsempfehlungen für die Verwendung von Search Server 2008 in Einzelserverumgebungen beschrieben. Dabei handelt es sich um Umgebungen, in denen ein einzelner Server alle Serverrollen hostet.

Szenario Empfehlung

Search Server 2008 Express
NoteHinweis:
Diese Informationen gelten nur für Search Server 2008 Express.

  • Verwenden Sie zum Ausführen der Installation das standardmäßige Administratorkonto.

  • Verwenden Sie die von der Installation zugewiesenen Standardkonten.

  • Weisen Sie dem Netzwerkdienstkonto die erforderlichen Berechtigungen für SQL Server zu.

SQL Server in einer Domänenumgebung

  • Verwenden Sie die Empfehlungen für eine sichere Farmumgebung.

SQL Server in einer Arbeitsgruppenumgebung

  • Verwenden Sie die Empfehlungen für eine sichere Farmumgebung. Verwenden Sie allerdings Windows-Konten anstelle von Domänenkonten.