Prévoir les comptes d'administration et de service (Windows SharePoint Services)

Mise à jour : 2009-04-23

Dans cet article :

  • À propos des comptes d'administration et de service

  • Conditions standard requises par un serveur unique

  • Conditions standard requises par la batterie de serveurs

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

  • Référence technique : conditions requises par les comptes par scénario

Cet article décrit les comptes que vous devez planifier et les scénarios de déploiement qui affectent les conditions requises par les comptes.

Utilisez cet article avec l'outil de planification suivant : Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais). Cet outil de planification dresse la liste des conditions requises par chaque compte sur la base du scénario de déploiement. Les conditions requises figurent également dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Les conditions requises par les comptes détaillent les autorisations spécifiques que vous devez accorder avant d'exécuter le programme d'installation. Dans certains cas, des autorisations supplémentaires automatiquement accordées par l'exécution du programme d'installation sont indiquées dans l'outil de planification.

Cet article ne décrit pas les rôles de sécurité et les autorisations nécessaires pour administrer Windows SharePoint Services 3.0. Pour plus d'informations, voir Planifier les rôles de sécurité (Windows SharePoint Services).

À propos des comptes d'administration et de service

Cette section répertorie et décrit les comptes que vous devez planifier. Les comptes sont regroupés en fonction de leur portée. Si un compte a une portée limitée, il peut être nécessaire de planifier plusieurs comptes pour cette catégorie.

Après avoir terminé l'installation et la configuration des comptes, vérifiez que vous n'utilisez pas le compte système local pour effectuer des tâches d'administration ou pour parcourir des sites. Par exemple, n'utilisez pas le compte qui est utilisé pour exécuter le programme d'installation afin d'effectuer des tâches d'administration.

Comptes au niveau de la batterie de serveurs

Le tableau suivant décrit les comptes qui sont utilisés pour configurer le logiciel de la base de données Microsoft SQL Server et pour installer Windows SharePoint Services 3.0.

Compte Objectif

Compte de service SQL Server

SQL Server demande ce compte au cours de l'installation de SQL Server. Ce compte est utilisé en tant que compte de service pour les services SQL Server suivants :

  • MSSQLSERVER

  • SQLSERVERAGENT

Si vous n'utilisez pas l'instance par défaut, ces services seront affichés comme suit :

  • MSSQL$*Nom_instance*

  • SQLAgent$*Nom_instance*

Compte d'utilisateur du programme d'installation

Compte d'utilisateur qui est utilisé pour exécuter :

  • L'installation sur chaque ordinateur serveur

  • L'Assistant Configuration des produits et technologies SharePoint

  • L’outil en ligne de commande Psconfig

  • L’outil en ligne de commande Stsadm

Compte de la batterie de serveurs

Ce compte est également appelé compte d'accès à la base de données.

Ce compte est :

  • L'identité du pool d'applications du site Web Administration centrale de SharePoint.

  • Le compte de processus du service Minuteur Windows SharePoint Services.

Comptes du service Recherche Windows SharePoint Services

Le tableau suivant décrit les comptes qui sont utilisé pour installer et configurer le service Recherche Windows SharePoint Services.

Compte Objectif

Compte du service Recherche Windows SharePoint Services

Utilisé en tant que compte de service pour le service Recherche Windows SharePoint Services. Il existe une instance de ce service sur chaque serveur de recherche. En règle générale, une batterie de serveurs ne contient qu'un seul serveur de recherche.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

Utilisé par le rôle serveur d'applications du service Recherche Windows SharePoint Services pour analyser du contenu entre sites.

Prévoyez plusieurs comptes si la batterie de serveurs comprend plusieurs ordinateurs serveurs de recherche. Cette configuration n'est toutefois pas courante.

Comptes d'identités de pools d'applications supplémentaires

Si vous créez des pools d'applications supplémentaires pour héberger des sites, prévoyez des comptes d'identités de pools d'applications supplémentaires. Le tableau suivant décrit le compte d'identité du pool d'applications. Prévoyez un compte de pool d'applications pour chaque application que vous prévoyez d'implémenter.

Compte Objectif

Identité du pool d'applications

Compte d'utilisateur que les processus de travail qui desservent le pool d'applications utilisent comme identité de processus. Ce compte est utilisé pour accéder aux bases de données de contenu associées aux applications Web qui résident dans le pool d'applications.

Conditions standard requises par un serveur unique

Si vous effectuez un déploiement sur un seul ordinateur serveur, les conditions requises par les comptes sont considérablement réduites. Dans un environnement d'évaluation, vous pouvez utiliser un seul compte pour tous les objectifs de compte. Dans un environnement de production, assurez-vous que les comptes que vous créez disposent des autorisations appropriées à leurs objectifs.

Pour obtenir la liste des autorisations de compte pour les environnements à un seul serveur, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez les conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Conditions requises par la batterie de serveurs

Si vous effectuez un déploiement sur plusieurs ordinateurs serveurs, utilisez les conditions standard requises par la batterie de serveurs pour vous assurer que les comptes disposent des autorisations appropriées pour exécuter leurs processus sur plusieurs ordinateurs. Les conditions standard requises par la batterie de serveurs détaillent la configuration minimale qui est nécessaire pour fonctionner dans un environnement de batterie de serveurs. Pour un environnement plus sécurisé, envisagez d'utiliser les conditions requises par l'administration selon les principes des privilèges minimum à l'aide des comptes d'utilisateur de domaine.

Pour obtenir la liste des conditions standard requises par les environnements de batteries de serveurs, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez les conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Pour certains comptes, des autorisations supplémentaires ou un accès aux bases de données sont configurés lorsque vous exécutez le programme d'installation. Ceux-ci sont indiqués dans l'outil de planification des comptes. L'ajout du rôle de base de données WSS_Content_Application_Pools représente une configuration importante pour les administrateurs de base de données. Le programme d'installation ajoute ce rôle aux bases de données suivantes :

  • Base de données SharePoint_Config (base de données de configuration)

  • Base de données SharePoint_AdminContent

Les membres du rôle de base de données WSS_Content_Application_Pools bénéficient de l'autorisation d'exécution sur un sous-ensemble des procédures stockées de la base de données. Ils reçoivent également l'autorisation SELECT sur la table des versions (dbo.Versions) de la base de données SharePoint_AdminContent.

Pour les autres bases de données, l'outil de planification des comptes indique que l'accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées. Pour la base de données SharePoint_Config, par exemple, l'accès aux procédures stockées suivantes est automatiquement configuré :

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine

L'administration selon le principe des privilèges minimum est une pratique de sécurité recommandée dans laquelle chaque service ou utilisateur reçoit uniquement les privilèges minimum nécessaires pour accomplir les tâches qu'il est autorisé à effectuer. Ceci signifie que chaque service obtient l'accès uniquement aux ressources qui sont nécessaires à son objectif. Les conditions minimales requises pour atteindre cet objectif de conception sont les suivantes :

  • Des comptes distincts sont utilisés pour différents services et processus.

  • Aucun service d'exécution ou compte de processus n'est en cours d'exécution avec des autorisations d'administrateur local.

En utilisant des comptes de service séparés pour chaque service et en limitant les autorisations attribuées à chaque compte, vous réduisez la possibilité pour un utilisateur ou un processus malveillant de compromettre votre environnement.

L'administration selon le principe des privilèges minimum avec des comptes d'utilisateur de domaine représente la configuration recommandée pour la plupart des environnements.

Pour obtenir la liste des conditions requises par l'administration selon le principe des privilèges minimum avec des comptes d'utilisateur de domaine, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL

Dans des environnements dans lesquels l'authentification SQL est une condition requise, vous pouvez adopter la méthode de l'administration selon le principe des privilèges minimum. Dans ce scénario :

  • L'authentification SQL est utilisée pour chaque base de données créée.

  • Tous les autres comptes d'administration et de service sont créés en tant que comptes d'utilisateur de domaine.

Installation et configuration

L'utilisation de l'authentification SQL nécessite une installation et une configuration supplémentaires :

  • Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL Server dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés avant la création de toutes les bases de données, y compris la base de données de configuration et la base de données AdminContent.

  • Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu d’administration SharePoint. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. Pour créer une batterie ou pour joindre un ordinateur à une batterie, spécifiez la connexion SQL Server que vous avez créée pour ces bases de données en tant que dbusername et dbpassword. La même connexion SQL Server permet d’accéder aux deux bases de données.

  • Vous pouvez créer des bases de données de contenu supplémentaires dans l'administration centrale en sélectionnant l'option Authentification SQL. Toutefois, vous devez d'abord créer les comptes de connexion SQL Server dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio.

  • Sécurisez toutes les communications avec les serveurs de base de données à l'aide de la sécurité SSL (Secure Sockets Layer) ou du protocole IPSec (Internet Protocol security).

Lorsque l'authentification SQL est utilisée :

  • Les comptes de connexion SQL Server sont chiffrés dans le Registre des serveurs Web et des serveurs d'applications.

  • Le compte de la batterie de serveurs n'est pas utilisé pour accéder à la base de données de configuration et la base de données SharePoint_AdminContent. Ce sont les comptes de connexion SQL Server correspondants qui sont utilisés à la place.

Création de comptes de service et d'administration

Pour obtenir la liste des conditions requises par l'authentification SQL, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Création de connexions SQL Server

Avant de créer des bases de données, créez des connexions SQL Server pour chacune des bases de données. Deux connexions sont créées pour la base de données de configuration et la base de données SharePoint_AdminContent. Créez une connexion pour chaque base de données de contenu.

Le tableau suivant répertorie les connexions à créer. La colonne Connexion indique le compte qui est spécifié ou créé pour la connexion SQL Server. Pour la première connexion, entrez le compte d'utilisateur du programme d'installation. Pour toutes les autres connexions, créez un compte de connexion SQL Server. Pour ces connexions, la colonne Connexion fournit un exemple de nom de compte.

Connexion Base de données Droits SQL

Compte d'utilisateur du programme d'installation

Base de données de configuration et base de données SharePoint_AdminContent

Spécifier l'authentification Windows lors de la création de la connexion.

<*ConfigAdminDBAcc*>

Base de données de configuration et base de données SharePoint_AdminContent

  • Spécifier l'authentification SQL lors de la création de la connexion.

  • Attribuer le rôle serveur dbcreator.

<*WSSSearch_DB_Acc*>

Base de données WSS_Search

  • Spécifier l'authentification SQL lors de la création de la connexion.

  • Attribuer le rôle serveur dbcreator.

<*Content_DB_Acc1*>

Bases de données de contenu

  • Spécifier l'authentification SQL lors de la création de la connexion.

  • Attribuer le rôle serveur dbcreator.

Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Dans des environnements dans lesquels les bases de données ont été pré-créées par un administrateur de base de données, vous pouvez adopter la méthode de l'administration selon le principe des privilèges minimum. Dans ce scénario :

  • Les comptes d'administration et de service sont créés en tant que comptes d'utilisateur de domaine.

  • Des connexions SQL Server sont créées pour les comptes utilisés pour configurer les bases de données.

  • Les bases de données sont créées par un administrateur de base de données.

Pour plus d'informations sur le déploiement de Windows SharePoint Services 3.0 à l'aide de bases de données vides pré-créées, voir Déployer à l'aide de bases de données créées par des administrateurs de base de données (Windows SharePoint Services).

Création de comptes de service et d'administration

Pour obtenir la liste des conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à une base de données vide existante, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.

Création de connexions SQL Server

Avant de créer des bases de données, créez des connexions SQL Server pour chacun des comptes qui accèdent aux bases de données. L'outil de planification des comptes détaille les autorisations spécifiques qui sont configurées pour chaque compte. Pour obtenir des instructions sur la création et l'octroi d'autorisations aux bases de données, voir Déployer à l'aide de bases de données créées par des administrateurs de base de données (Windows SharePoint Services).

Le tableau suivant répertorie les connexions à créer. La colonne Base de données indique les bases de données configurées avec des autorisations pour chaque compte de connexion. Pour chaque connexion, spécifiez l'authentification Windows lors de la création de la connexion.

Connexion

Base de données

Compte d’utilisateur du programme d’installation (exécution en tant qu’utilisateur pour l’outil en ligne de commande Psconfig)

Toutes les bases de données

Compte de la batterie de serveurs (compte d'accès aux bases de données Office SharePoint Server)

  • Base de données SSP

  • Base de données de recherche SSP

Compte du service Recherche Windows SharePoint Services

  • Base de données WSS_Search

  • Base de données de configuration

  • Base de données SharePoint_AdminContent

Identité du pool d'applications pour les bases de données de contenu supplémentaires

  • Base de données SSP

  • Base de données de recherche SSP

  • Bases de données de contenu associées au pool d'applications

Référence technique : conditions requises par les comptes par scénario

Cette section répertorie les exigences des comptes par scénario :

  • Conditions standard requises par un seul serveur

  • Conditions standard requises par la batterie de serveurs

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL

  • Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Conditions standard requises par un seul serveur

Comptes au niveau de la batterie de serveurs

Compte Conditions requises

Compte de service SQL Server

Compte système local (par défaut)

Compte d'utilisateur du programme d'installation

Membre du groupe Administrateurs sur l'ordinateur local

Compte de la batterie de serveurs

Service réseau (par défaut)

Aucune configuration manuelle n'est nécessaire.

Comptes du service Recherche Windows SharePoint Services

Compte Conditions requises

Compte du service Recherche Windows SharePoint Services

Par défaut, ce compte s'exécute en tant que compte système local.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

Ne doit pas être membre du groupe Administrateurs de batterie.

Ce qui suit est automatiquement configuré :

  • Le compte est ajouté à la stratégie Lecture totale de l'application Web pour la batterie.

Comptes d'identités de pools d'applications supplémentaires

Compte Conditions requises

Identité du pool d'applications

Aucune configuration manuelle n'est nécessaire.

Le compte Service réseau est utilisé pour le site Web par défaut qui est créé au cours de l'installation et de la configuration.

Conditions standard requises par la batterie de serveurs

Comptes au niveau de la batterie de serveurs

Compte Conditions requises

Compte de service SQL Server

Utiliser un compte système local ou un compte d'utilisateur de domaine.

Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory.

Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*).

Compte d'utilisateur du programme d'installation

  • Compte d'utilisateur de domaine.

  • Membre du groupe Administrateurs sur chaque serveur sur lequel le programme d'installation est exécuté.

  • Connexion SQL Server sur l'ordinateur qui exécute SQL Server.

  • Membre des rôles de sécurité SQL Server suivants :

    • Rôle serveur fixe securityadmin

    • Rôle serveur fixe dbcreator

Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données.

Compte de la batterie de serveurs

  • Compte d'utilisateur de domaine.

Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs.

Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :

  • Rôle serveur fixe dbcreator

  • Rôle serveur fixe securityadmin

  • Rôle de base de données fixe db_owner pour toutes les bases de données de la batterie de serveurs

Remarque si vous configurez le service Microsoft d'authentification unique, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO).

Comptes du service Recherche Windows SharePoint Services

Compte Conditions requises

Compte du service Recherche Windows SharePoint Services

  • Doit être un compte d'utilisateur de domaine.

  • Ne doit pas être membre du groupe Administrateurs de batterie.

Ce qui suit est automatiquement configuré :

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_Admin Content.

  • Appartenance au rôle db_owner pour la base de données du service Recherche Windows SharePoint Services.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

  • Mêmes conditions requises que le compte de service du service Recherche Windows SharePoint Services.

Ce qui suit est automatiquement configuré :

  • Le compte est ajouté à la stratégie Lecture totale de l'application Web pour la batterie.

Comptes d'identités de pools d'applications supplémentaires

Compte Conditions requises

Identité du pool d'applications

Aucune configuration manuelle n'est nécessaire.

Ce qui suit est automatiquement configuré :

  • Doit être un compte d'utilisateur de domaine.

  • Appartenance au rôle db_owner pour les bases de données de contenu et les bases de données de recherche associées à l'application Web.

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_AdminContent.

  • Des autorisations supplémentaires pour ce compte sont automatiquement accordées aux serveurs Web frontaux et serveurs d'applications.

Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine

Comptes au niveau de la batterie de serveurs

Compte Conditions standard requises par la batterie de serveurs Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum

Compte de service SQL Server

Utiliser un compte système local ou un compte d'utilisateur de domaine.

Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory.

Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

Compte d'utilisateur du programme d'installation

  • Compte d'utilisateur de domaine.

  • Membre du groupe Administrateurs sur chaque serveur sur lequel le programme d'installation est exécuté.

  • Connexion SQL Server sur l'ordinateur qui exécute SQL Server.

  • Membre des rôles de sécurité SQL Server suivants :

    • Rôle serveur fixe securityadmin

    • Rôle serveur fixe dbcreator

Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Ce compte NE doit PAS être membre du groupe Administrateurs sur l'ordinateur qui exécute SQL Server.

Compte de la batterie de serveurs

  • Compte d'utilisateur de domaine.

  • Si la batterie de serveurs est une batterie enfant avec des applications Web qui utilisent les services partagés d'une batterie parente, ce compte doit être membre du rôle de base de données fixe db_owner sur la base de données de configuration de la batterie parente.

Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs.

Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :

  • Rôle serveur fixe dbcreator

  • Rôle serveur fixe securityadmin

  • Rôle de base de données fixe db_owner pour toutes les bases de données de la batterie de serveurs

Remarque Si vous configurez le service d'authentification unique Microsoft Single Sing-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie de serveurs, ni sur l'ordinateur exécutant SQL Server.

  • Ce compte ne nécessite aucune autorisation pour SQL Server avant la création de la base de données de configuration.

Comptes du service Recherche Windows SharePoint Services

Compte Conditions standard requises par la batterie de serveurs Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum

Compte du service Recherche Windows SharePoint Services

  • Doit être un compte d'utilisateur de domaine.

  • Ne doit pas être membre du groupe Administrateurs de batterie.

Ce qui suit est automatiquement configuré :

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_Admin Content.

  • Appartenance au rôle db_owner pour la base de données du service Recherche Windows SharePoint Services.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

  • Mêmes conditions requises que le compte de service du service Recherche Windows SharePoint Services.

Ce qui suit est automatiquement configuré :

  • Le compte est ajouté à la stratégie Lecture totale de l'application Web pour la batterie.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

Comptes d'identités de pools d'applications supplémentaires

Compte Conditions standard requises par la batterie de serveurs Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum

Identité du pool d'applications

Aucune configuration manuelle n'est nécessaire.

Ce qui suit est automatiquement configuré :

  • Appartenance au rôle db_owner pour les bases de données de contenu et les bases de données de recherche associées à l'application Web.

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_AdminContent.

  • Des autorisations supplémentaires pour ce compte sont automatiquement accordées aux serveurs Web frontaux et serveurs d'applications.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct pour chaque pool d'applications.

  • Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.

Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL

Comptes au niveau de la batterie de serveurs

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'authentification SQL utilisant les privilèges minimum

Compte de service SQL Server

Utiliser un compte système local ou un compte d'utilisateur de domaine.

Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory.

Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

Notes

Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL Server dans Microsoft SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés avant la création de toutes les bases de données de contenu, y compris la base de données de configuration et la base de données SharePoint_AdminContent. Créez une connexion SQL Server pour la base de données de configuration comme pour la base de données SharePoint_AdminContent.

Compte d'utilisateur du programme d'installation

  • Compte d'utilisateur de domaine.

  • Membre du groupe Administrateurs sur chaque serveur sur lequel le programme d'installation est exécuté.

  • Connexion SQL Server sur l'ordinateur qui exécute SQL Server.

  • Membre des rôles de sécurité SQL Server suivants :

    • Rôle serveur fixe securityadmin

    • Rôle serveur fixe dbcreator

Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Connexion SQL Server sur l'ordinateur SQL Server.

  • PAS membre des rôles de sécurité SQL Server suivants :

    • Rôle serveur fixe securityadmin

    • Rôle serveur fixe dbcreator

  • PAS membre du groupe Administrateurs sur l'ordinateur qui exécute SQL Server.

Notes

Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu d’administration SharePoint. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. Pour créer une batterie ou pour joindre un ordinateur à une batterie, spécifiez la connexion SQL Server que vous avez créée pour ces bases de données en tant que dbusername et dbpassword. La même connexion SQL Server permet d’accéder aux deux bases de données. Vous pouvez créer toutes les autres bases de données de contenu dans l'administration centrale en sélectionnant l’option d’authentification SQL.

Compte de la batterie de serveurs

  • Compte d'utilisateur de domaine.

  • Si la batterie de serveurs est une batterie enfant avec des applications Web qui utilisent les services partagés d'une batterie parente, ce compte doit être membre du rôle de base de données fixe db_owner sur la base de données de configuration de la batterie parente.

Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs.

Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :

  • Rôle serveur fixe dbcreator

  • Rôle serveur fixe securityadmin

  • Rôle de base de données fixe db_owner pour toutes les bases de données de la batterie de serveurs

Remarque Si vous configurez le service d'authentification unique Microsoft Single Sign-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie de serveurs, ni sur l'ordinateur exécutant SQL Server.

  • PAS de connexion SQL Server sur l'ordinateur qui exécute SQL Server.

  • Ce compte ne nécessite aucune autorisation pour SQL Server avant la création de la base de données de configuration.

Comptes du service Recherche Windows SharePoint Services

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'authentification SQL utilisant les privilèges minimum

Compte du service Recherche Windows SharePoint Services

  • Doit être un compte d'utilisateur de domaine.

  • Ne doit pas être membre du groupe Administrateurs de batterie.

Ce qui suit est automatiquement configuré :

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_Admin Content.

  • Appartenance au rôle db_owner pour la base de données du service Recherche Windows SharePoint Services.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie, ni sur l'ordinateur exécutant SQL Server.

  • PAS de connexion SQL Server.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

  • Mêmes conditions requises que le compte de service du service Recherche Windows SharePoint Services.

Ce qui suit est automatiquement configuré :

  • Le compte est ajouté à la stratégie Lecture totale de l'application Web pour la batterie.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie, ni sur l'ordinateur exécutant SQL Server.

  • PAS de connexion SQL Server.

Comptes d'identités de pools d'applications supplémentaires

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'authentification SQL utilisant les privilèges minimum

Identité du pool d'applications

Aucune configuration manuelle n'est nécessaire.

Ce qui suit est automatiquement configuré :

  • Appartenance au rôle db_owner pour les bases de données de contenu et les bases de données de recherche associées à l'application Web.

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_AdminContent.

  • Des autorisations supplémentaires pour ce compte sont automatiquement accordées aux serveurs Web frontaux et serveurs d'applications.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie, ni sur l'ordinateur exécutant SQL Server.

  • PAS de connexion SQL Server.

Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Comptes au niveau de la batterie de serveurs

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Compte de service SQL Server

Utiliser un compte système local ou un compte d'utilisateur de domaine.

Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory.

  • Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (nom_domaine\SQL_hostname$).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

Compte d'utilisateur du programme d'installation

  • Compte d'utilisateur de domaine.

  • Membre du groupe Administrateurs sur chaque serveur sur lequel le programme d'installation est exécuté.

  • Connexion SQL Server sur l'ordinateur qui exécute SQL Server.

  • Membre des rôles de sécurité SQL Server suivants :

    • Rôle serveur fixe securityadmin

    • Rôle serveur fixe dbcreator

Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • NON membre du groupe Administrateurs sur l'ordinateur qui exécute SQL Server.

Ce compte est utilisé pour configurer des bases de données. Une fois chaque base de données créée, modifiez le propriétaire de la base de données (dbo ou db_owner) sur le compte d'utilisateur du programme d'installation.

Compte de la batterie de serveurs

  • Compte d'utilisateur de domaine.

  • Si la batterie de serveurs est une batterie enfant avec des applications Web qui utilisent les services partagés d'une batterie parente, ce compte doit être membre du rôle de base de données fixe db_owner sur la base de données de configuration de la batterie parente.

Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs.

Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :

  • Rôle serveur fixe dbcreator

  • Rôle serveur fixe securityadmin

  • Rôle de base de données fixe db_owner pour toutes les bases de données de la batterie de serveurs

Remarque Si vous configurez le service d'authentification unique Microsoft Single Sign-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO).

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct.

  • Membre du groupe Administrateurs sur AUCUN serveur de la batterie de serveurs, ni sur l'ordinateur exécutant SQL Server.

  • Ce compte ne nécessite aucune autorisation pour SQL Server avant la création de la base de données de configuration.

Une fois la base de données du fournisseur de services partagés et la base de données de recherche SSP créées, ajoutez ce compte à ce qui suit pour chacune de ce bases de données :

  • Groupe d'utilisateurs

  • Rôle fixe de base de données db_owner

Comptes du service Recherche Windows SharePoint Services

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Compte du service Recherche Windows SharePoint Services

  • Doit être un compte d’utilisateur de domaine.

  • Ne doit pas être membre du groupe Administrateurs de batterie.

Ce qui suit est automatiquement configuré :

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_Admin Content.

  • Appartenance au rôle db_owner pour la base de données du service Recherche Windows SharePoint Services.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d’utilisateur de domaine distinct.

Lors de l’exécution de l’outil en ligne de commande Psconfig pour démarrer le service de recherche Windows SharePoint Services, l’appartenance est automatiquement configurée dans :

  • Le groupe Utilisateurs et le rôle db_owner de la base de données WSS_Search.

  • Le groupe Utilisateurs de la base de données de configuration.

  • Le groupe Utilisateurs de la base de données de contenu de l'administration centrale.

Compte d'accès au contenu du service Recherche Windows SharePoint Services

  • Mêmes conditions requises que le compte de service du service Recherche Windows SharePoint Services.

Ce qui suit est automatiquement configuré :

  • Le compte est ajouté à la stratégie Lecture totale de l'application Web pour la batterie.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d’utilisateur de domaine distinct.

Lors de l’exécution de l’outil en ligne de commande Psconfig pour démarrer le service de recherche Windows SharePoint Services, l’appartenance est automatiquement configurée dans :

  • Le groupe Utilisateurs et le rôle db_owner de la base de données WSS_Search.

  • Le groupe Utilisateurs de la base de données de configuration.

  • Le groupe Utilisateurs de la base de données de contenu de l'administration centrale.

Comptes d'identités de pools d'applications supplémentaires

Compte Conditions standard requises par la batterie de serveurs Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées

Identité du pool d'applications

Aucune configuration manuelle n'est nécessaire.

Ce qui suit est automatiquement configuré :

  • Appartenance au rôle db_owner pour les bases de données de contenu et les bases de données de recherche associées à l'application Web.

  • Accès en lecture à partir de la base de données de configuration et de la base de données SharePoint_AdminContent.

  • Des autorisations supplémentaires pour ce compte sont automatiquement accordées aux serveurs Web frontaux et serveurs d'applications.

Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :

  • Utiliser un compte d'utilisateur de domaine distinct pour chaque pool d'applications.

  • Ce compte ne doit être membre du groupe Administrateurs sur aucun ordinateur de la batterie de serveurs.

Une fois la base de données du fournisseur de services partagés et la base de données de recherche SSP créées, ajoutez ce compte à ce qui suit pour chacune de ce bases de données :

  • Le groupe Utilisateurs

  • Le rôle db_owner

Télécharger ce livre

Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :

Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.

Voir aussi

Concepts

Planifier les rôles de sécurité (Windows SharePoint Services)