Planifier des comptes d’administration et de service dans SharePoint Server
**Sapplique à :**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Dernière rubrique modifiée :**2017-08-23
Résumé : Obtenir des informations sur les comptes à utiliser pour gérer des services et scénarios de déploiement de SharePoint Server 2016 et SharePoint 2013.
Pour installer SharePoint Server, vous devez avoir des comptes d’administration et de service appropriés sur les serveurs SharePoint Server et SQL Server. Après l’installation, vous devez avoir des comptes d’administration et de service appropriés pour modifier et mettre à jour de l’environnement. Les comptes dont vous avez besoin pour effectuer ces groupes de tâches ne sont pas nécessairement les mêmes. Cet article décrit les comptes dont vous avez besoin après l’installation d’un environnement de serveur unique et un environnement de batterie de serveurs.
Important
N’utilisez pas de nom de compte de service contenant le symbole $.
Dans cet article :
À propos des comptes d'administration et de service
Configuration standard requise pour un serveur
Configuration standard requise pour une batterie de serveurs
Référence technique : configuration de compte requise par scénario
Utilisez cet article avec l’article Comptes d’administration et de service de déploiement initial dans SharePoint Server.
L’article Comptes d’administration et de service requis pour le déploiement initial décrit le compte spécifique et les autorisations que vous devez octroyer avant d’exécuter le programme d’installation.
Cet article ne décrit pas la configuration requise du compte pour l’utilisation du service de banque d’informations sécurisé dans SharePoint Server. Pour plus d’informations, consultez Planifier le service Banque d’informations sécurisé dans SharePoint Server.
Cet article ne décrit pas les rôles de sécurité et les autorisations requises pour administrer dans SharePoint Server.
À propos des comptes d’administration et de service
Cette section répertorie et décrit les comptes que vous devez prévoir pour gérer les serveurs en cours d’exécution SQL Server ou SharePoint Server. Les comptes sont regroupés en fonction de la portée.
Une fois l’installation terminée et les comptes configurés, vérifiez que vous n’utilisez pas le compte de système local pour effectuer des tâches d’administration ou parcourir les sites.
Comptes au niveau des batteries de serveurs
Le tableau suivant décrit les comptes qui sont utilisés pour configurer le logiciel de base de données SQL Server et installer des SharePoint Server.
| Compte | Objectif |
|---|---|
Compte de service SQL Server |
SQL Server demande ce compte lors de l’installation de SQL Server. Ce compte est utilisé comme compte de service pour les services SQL Server suivants :
Si vous n’utilisez pas l’instance par défaut, ces services seront affichés comme suit :
|
Compte d’utilisateur du programme d’installation |
Compte d’utilisateur servant à exécuter : Si vous exécutez des applets de commande Microsoft PowerShell qui influent sur une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données.
|
Compte de batterie de serveurs |
Ce compte est également appelé compte d’accès à la base de données. Il possède les propriétés suivantes :
|
Comptes d’applications de service
Le tableau suivant décrit les comptes utilisés pour installer et configurer une application de service. Vous devez planifier un ensemble d’un pool d’applications et un groupe de proxys pour chaque application de service que vous envisagez d’implémenter.
Pour plus d’informations sur les points de terminaison d’applications de service, voir Utilisation des points de terminaison de service.
Notes
Excel Services et synchronisation de profil utilisateur de service uniquement applyto SharePoint 2013.
| Compte | Service | Objectif | Configuration requise | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Point de terminaison d’application de service |
|
Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Sauf exigences d’isolation particulières, ce pool d’applications peut être utilisé pour héberger plusieurs points de terminaison d’application de service. |
|||||||||||||||||||||||||
Point de terminaison d’application de service |
|
Ce compte sert d’identité au pool d’applications de points de terminaison du service. Sauf exigences d’isolation particulières, ce pool d’applications peut être utilisé pour héberger plusieurs points de terminaison d’application de service. |
Doit être un compte d’utilisateur de domaine. |
||||||||||||||||||||||||
Point de terminaison d’application de service |
|
Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Il doit s’agir du compte de service de la batterie. L’Assistant Configuration des produits SharePoint crée automatiquement le pool d’applications. |
|||||||||||||||||||||||||
Service automatisé |
|
Utilisé avec des classeurs pour actualiser des données. Il est requis lorsque les connexions de classeur spécifient la valeur « Aucune » pour l’authentification, ou lorsque des informations d’identification qui ne sont pas des informations d’identification Windows sont utilisées pour actualiser des données. |
Doit être un compte d’utilisateur de domaine. |
||||||||||||||||||||||||
Service automatisé |
|
Utilisé pour l’authentification auprès de sources de données. |
Doit être un compte d’utilisateur de domaine. |
||||||||||||||||||||||||
Service automatisé |
|
Utilisées avec les documents pour actualiser les données. Il est obligatoire lors de la connexion aux sources de données externes à SharePoint Server, par exemple SQL Server. |
|||||||||||||||||||||||||
Accès au contenu par défaut |
|
Compte par défaut pour l’analyse de contenu. Un administrateur d’application de service de recherche peut créer des règles d’analyse pour spécifier d’autres comptes pour analyser un contenu spécifique. |
Doit disposer d’un accès en lecture au contenu analysé. Des autorisations de lecture totale doivent être octroyées explicitement au contenu situé en dehors de la batterie de serveurs locale. Des autorisations de lecture totale sont configurées automatiquement pour les bases de données de contenu dans la batterie de serveurs locale. |
||||||||||||||||||||||||
Service de recherche |
|
Compte de service Windows pour le service de recherche SharePoint Server. Ce paramètre affecte toutes les applications de service de recherche de la batterie. |
Doit être un compte d’utilisateur de domaine. |
||||||||||||||||||||||||
Service de synchronisation de profil utilisateur |
|
Il s’agit du compte de service Windows pour le service de synchronisation de profil utilisateur. |
Requiert l’autorisation de se connecter localement à l’ordinateur exécutant l’instance du service de synchronisation de profil utilisateur. |
||||||||||||||||||||||||
Connexion de synchronisation |
|
Compte utilisé pour effectuer la synchronisation avec le service d’annuaire distant. Chaque connexion de synchronisation peut accepter un compte. |
Autorisations Réplication des changements de répertoire sur les domaines synchronisés. Autorisations Réplication des changements de répertoire sur la partition de configuration des domaines synchronisés si le nom NetBIOS et le nom de domaine complet ne correspondent pas. |
||||||||||||||||||||||||
Service de gestion des applications |
|
Ce compte vous permet d’installer les applications SharePoint du Banque SharePoint ou du Catalogue d’applications. |
|||||||||||||||||||||||||
Service de conversion PowerPoint |
|
Ce compte convertit les présentations Microsoft PowerPoint dans différents formats. |
|||||||||||||||||||||||||
Service de traduction automatique |
|
Ce compte effectue une traduction automatique. |
|||||||||||||||||||||||||
Access Services 2013 |
|
Ce compte affiche les bases de données Access 2013, les modifie et interagit avec elles dans un navigateur. |
|||||||||||||||||||||||||
Gestion du travail |
|
Ce compte assure l’agrégation des tâches entre les systèmes de gestion du travail, notamment Produits SharePoint, Microsoft Exchange Server et Microsoft Project Server. |
|||||||||||||||||||||||||
Cache distribué |
|
Ce compte fournit des services de mise en cache en mémoire pour plusieurs fonctions dans SharePoint Server. Voici quelques-unes des fonctionnalités qui utilisent le service de Cache distribué :
|
Comptes d’identité de pool d’applications supplémentaires
Si vous créez des pools d’applications supplémentaires pour héberger des sites, vous devez définir des comptes d’identité de pool d’applications supplémentaires. Le tableau suivant décrit le compte d’identité du pool d’applications. Vous devez définir un compte de pool d’applications par pool d’applications que vous envisagez d’implémenter.
| Compte | Objectif |
|---|---|
Identité de pool d’applications |
Compte d’utilisateur que les processus de travail qui servent le pool d’applications utilisent comme identité de processus. Ce compte est utilisé pour accéder aux bases de données de contenu associées aux applications web qui résident dans le pool d’applications. |
Configuration standard requise pour un serveur
Si vous effectuez un déploiement vers un serveur unique, les exigences liées au compte sont nettement réduites. Dans un environnement d’évaluation, vous pouvez utiliser un seul compte pour toutes les utilisations de compte. Dans un environnement de production, assurez-vous que les comptes que vous créez disposent des autorisations appropriées pour leur utilisation.
Pour obtenir la liste des autorisations de compte pour les environnements à un serveur, voir Comptes d’administration et de service de déploiement initial dans SharePoint Server.
Configuration requise pour une batterie de serveurs
Si vous effectuez un déploiement vers plusieurs serveurs, respectez la configuration standard requise pour une batterie de serveurs, afin de vous assurer que les comptes disposent des autorisations appropriées pour exécuter leur processus sur plusieurs ordinateurs. La configuration standard requise pour une batterie de serveurs détaille la configuration minimale nécessaire pour opérer dans un environnement de batterie de serveurs.
Pour obtenir la liste des exigences standard pour les environnements de batterie de serveurs, voir celles énumérées dans la section Référence technique : configuration de compte requise par scénario de cet article.
Pour certains comptes, l’accès aux bases de données ou des autorisations supplémentaires sont configurés lorsque vous lancez le programme d’installation. Ils sont indiqués dans l’outil de planification des comptes. Une des exigences que les administrateurs de base de données doivent connaître constitue l’ajout du rôle de base de données WSS_Content_Application_Pools. Le programme d’installation ajoute ce rôle aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
base de données SharePoint_AdminContent.
Les membres du rôle de base de données WSS_Content_Application_Pools disposent de l’autorisation d’exécution sur un sous-ensemble des procédures stockées pour la base de données. Ils disposent, en outre, de l’autorisation de sélection sur la table de versions (dbo.Versions) de la base de données SharePoint_AdminContent.
Pour les autres bases de données, l’outil de planification des comptes indique que l’accès en lecture à partir de ces bases de données est configuré automatiquement. Dans certains cas, un accès limité en écriture à une base de données est aussi configuré automatiquement. Pour fournir cet accès, des autorisations pour les procédures stockées sont configurées.
Référence technique : configuration de compte requise par scénario
Cette section énumère les configurations de compte requises par scénario :
Configuration standard requise pour un serveur
Configuration standard requise pour une batterie de serveurs
Configuration standard requise pour un serveur
Comptes au niveau des batteries de serveurs
| Compte | Configuration requise |
|---|---|
Service SQL Server |
Compte de système local (défaut) |
Utilisateur du programme d’installation |
Membre du groupe Administrateurs sur l’ordinateur local |
Batterie de serveurs |
Service réseau (défaut) Aucune configuration manuelle n’est requise. |
Comptes d’applications de service
Important
Les comptes de ce tableau ne s’appliquent qu’à SharePoint Server.
| Compte | Configuration requise |
|---|---|
Service de recherche SharePoint Server |
Par défaut, ce compte constitue le compte de système local. Si vous voulez analyser le contenu distant en modifiant le compte d’accès au contenu par défaut ou en utilisant des règles d’analyse, remplacez-le par un compte d’utilisateur de domaine. Dans le cas contraire, vous ne pouvez pas remplacer le compte d’accès au contenu par défaut par un compte d’utilisateur de domaine ou ajouter des règles d’analyse pour analyser ce contenu. Cette restriction sert à prévenir l’élévation de privilège pour tout autre processus constituant le compte de système local. |
Accès au contenu par défaut |
Aucune configuration manuelle n’est requise si ce compte n’analyse que du contenu de batterie locale. Si vous voulez analyser du contenu distant en utilisant des règles d’analyse, remplacez-le par un compte d’utilisateur de domaine et appliquez les exigences indiquées pour une batterie de serveurs. |
Accès au contenu |
Configuration requise identique à celle du compte d’accès au contenu par défaut. |
Accès par défaut pour l’importation de profil |
Configuration requise identique à celle de la batterie de serveurs. |
Service automatisé Excel Services |
Doit être un compte d’utilisateur de domaine. |
Comptes d’identité de pool d’applications supplémentaires
| Compte | Configuration requise |
|---|---|
Identité de pool d’applications |
Aucune configuration manuelle n’est requise. Le compte du service réseau est utilisé pour le site Web par défaut créé lors de l’installation et de la configuration. |
Configuration standard requise pour une batterie de serveurs
Comptes au niveau des batteries de serveurs
Important
Les comptes de ce tableau ne s’appliquent qu’à SharePoint Server.
| Compte | Configuration requise |
|---|---|
Compte de service SQL Server |
Utilisez un compte de système local ou un compte d’utilisateur de domaine. Si vous utilisez un compte d’utilisateur de domaine, celui-ci utilise l’authentification Kerberos par défaut, ce qui nécessite une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom de principal de service non valide (c’est-à-dire qui n’existe pas dans l’environnement de service des services de domaine Active Directory (AD DS)), l’authentification Kerberos échoue et NTLM est utilisé. Si SQL Server utilise un nom de principal de service valide mais qui n’est pas attribué au conteneur approprié dans AD DS, l’authentification échoue. L’authentification essaie toujours d’utiliser le premier nom de principal de service rencontré, aussi, vous devez vous assurer qu’aucun nom de principal de service n’est attribué à des conteneurs inappropriés dans AD DS. Si vous souhaitez effectuer une sauvegarde ou une restauration à partir d’une ressource externe, des autorisations pour cette ressource doivent être octroyées au compte approprié. Si vous utilisez un compte d’utilisateur de domaine pour le compte de service SQL Server, vous devez accorder des autorisations à ce compte d’utilisateur de domaine. Cependant, si vous utilisez le service réseau ou le compte de système local, accordez les autorisations du compte de l’ordinateur ((<nom_domaine>\<nom_hôte_SQL>) à la ressource externe. |
Compte d’utilisateur du programme d’installation |
Si vous exécutez des commandes Stsadm qui influent sur une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données. |
Compte de batterie de serveurs |
Des autorisations supplémentaires sont octroyées automatiquement pour ce compte sur les serveurs Web et les serveurs d’applications associés à une batterie de serveurs. Ce compte est ajouté automatiquement en tant que connexion SQL Server sur l’ordinateur qui exécute SQL Server et aux rôles de sécurité SQL Server suivants :
Notes Si vous configurez le service Banque d’informations sécurisé, l’accès db_owner à la base de données du service Banque d’informations sécurisé ne sera pas automatiquement octroyé au compte de la batterie de serveurs. |
Comptes de service d’applications de service
Important
Les comptes de ce tableau ne s’appliquent qu’à SharePoint Server.
| Compte | Configuration requise |
|---|---|
Compte du service de recherche SharePoint Server |
Les paramètres suivants sont configurés automatiquement :
|
Compte d’accès au contenu par défaut |
Les paramètres suivants sont configurés automatiquement :
|
Compte d’accès au contenu |
|
Compte d’accès par défaut pour l’importation de profil |
|
Compte de service automatisé Excel Services |
Doit être un compte d’utilisateur de domaine. |
Comptes d’identité de pool d’applications supplémentaires
| Compte | Configuration requise |
|---|---|
Identité de pool d’applications |
Aucune configuration manuelle n’est requise. Les paramètres suivants sont configurés automatiquement :
|