管理アカウントおよびサービス アカウントを計画する (Windows SharePoint Services)

この記事の内容 :

  • 管理アカウントおよびサービス アカウントについて

  • 単一サーバーの標準的な要件

  • サーバー ファームの標準的な要件

  • ドメイン ユーザー アカウントを使用する場合の最小限の特権の管理要件

  • SQL 認証を使用する場合の最小限の特権の管理要件

  • 事前に作成されたデータベースに接続する場合の最小限の特権の管理要件

  • テクニカル リファレンス : シナリオ別のアカウント要件

この記事では、計画する必要のあるアカウントについて説明し、アカウント要件に影響する展開シナリオについて説明します。

この記事は、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールと併せて使用します。この計画ツールでは、展開シナリオに基づいてアカウントごとの要件が示されています。この要件は、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションでも示されます。

アカウント要件では、セットアップの実行前に与えておく必要のある具体的な権限が詳細に示されます。セットアップの実行によって自動的に与えられる追加の権限については、計画ツールで説明されています。

この記事では、Windows SharePoint Services 3.0 の管理に必要なセキュリティ ロールと権限については説明しません。詳細については、「セキュリティ ロールを計画する (Windows SharePoint Services)」を参照してください。

管理アカウントおよびサービス アカウントについて

ここでは、計画が必要なアカウントを示します。アカウントは、対象範囲に応じてグループ分けしてあります。アカウントの範囲が限られている場合は、そのカテゴリに対して複数のアカウントを作成する必要がある可能性があります。

アカウントのインストールおよび構成が完了した後は、管理タスクの実行やサイトの閲覧にローカル システム アカウントを使用しないようにしてください。たとえば、セットアップの実行に使用したのと同じアカウントを、管理タスクの実行に使用しないでください。

サーバー ファームレベルのアカウント

次の表では、Microsoft SQL Server データベース ソフトウェアの構成と Windows SharePoint Services 3.0 のインストールに使用されるアカウントについて説明します。

アカウント 目的

SQL Server サービス アカウント

SQL Server のセットアップ時にこのアカウントが要求されます。このアカウントは、以下の SQL Server サービスのサービス アカウントとして使用されます。

  • MSSQLSERVER

  • SQLSERVERAGENT

既定のインスタンスを使用していない場合、これらのサービスは以下のように表示されます。

  • MSSQL$*InstanceName*

  • SQLAgent$*InstanceName*

セットアップ ユーザー アカウント

以下を実行するために使用されるユーザー アカウントです。

  • 各サーバー コンピュータでのセットアップ

  • SharePoint 製品とテクノロジ構成ウィザード

  • Psconfig コマンド ライン ツール

  • Stsadm コマンド ライン ツール

サーバー ファーム アカウント

このアカウントは、データベース アクセス アカウントとも呼ばれます。

このアカウントは、以下のとおりです。

  • SharePoint サーバーの全体管理 Web サイトのアプリケーション プール ID

  • Windows SharePoint Services Timer サービスのプロセス アカウント

Windows SharePoint Services Search アカウント

次の表では、Windows SharePoint Services Search のセットアップと構成に使用されるアカウントについて説明します。

アカウント 目的

Windows SharePoint Services Search サービス アカウント

Windows SharePoint Services Search サービスのサービス アカウントとして使用されます。このサービスのインスタンスは検索サーバーごとに 1 つあります。通常、検索サーバーはサーバー ファームに 1 つだけ含まれます。

Windows SharePoint Services Search コンテンツ アクセス アカウント

Windows SharePoint Services Search アプリケーション サーバー ロールがサイト内のコンテンツをクロールするために使用します。

サーバー ファームに複数の検索サーバー コンピュータが含まれる場合は、複数のアカウントを計画します (そのような場合はまれです)。

追加のアプリケーション プール ID アカウント

追加のアプリケーション プールを作成してサイトをホストする場合、追加のアプリケーション プール ID アカウントを計画します。次の表では、アプリケーション プール ID アカウントについて説明します。実装する予定のアプリケーション プールごとに 1 つのアプリケーション プール アカウントを計画します。

アカウント 目的

アプリケーション プール ID

アプリケーション プールをサービスするワーカー プロセスがプロセス ID として使用するユーザー アカウント。このアカウントは、アプリケーション ツール内に存在する Web アプリケーションに関連付けられたコンテンツ データベースへのアクセスに使用されます。

単一サーバーの標準的な要件

単一のサーバー コンピュータに展開する場合、アカウント要件は非常に少なくなります。評価環境では、単一のアカウントをすべてのアカウント目的に使用できます。運用環境では、必ず、作成するアカウントに、その目的に適した権限を与えてください。

単一のサーバー環境でのアカウント権限のリストについては、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションで示す要件を確認してください。

サーバー ファームの要件

複数のサーバー コンピュータに展開する場合、サーバー ファームの標準的な要件を使用して、複数のコンピュータでプロセスを実行するための適切な権限をアカウントに与えます。サーバー ファームの標準的な要件には、サーバー ファーム環境での操作に必要な最小限の構成が詳細に示されています。よりセキュリティが強化された環境では、ドメイン ユーザー アカウントを使用した最小限の特権の管理要件を検討してください。

サーバー ファーム環境の標準的な要件のリストについては、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションで示す要件を確認してください。

一部のアカウントでは、データベースへの追加権限またはアクセス権が、セットアップの実行時に構成されます。これらについては、アカウント計画ツールに記載されています。データベース管理者が注意する必要のある構成は、WSS_Content_Application_Pools データベース ロールの追加です。このロールはセットアップによって次のデータベースに追加されます。

  • SharePoint_Config データベース (構成データベース)

  • SharePoint_AdminContent データベース

WSS_Content_Application_Pools データベース ロールのメンバには、データベースのストアド プロシージャのサブセットに対する実行権限が与えられます。また、このロールのメンバには、SharePoint_AdminContent データベース内のバージョン テーブル (dbo.Versions) に対する選択権限が与えられます。

他のデータベースについては、アカウント計画ツールでは、これらのデータベースから読み取るためのアクセスが自動的に構成されることが示されています。データベースに書き込むための制限付きアクセスも自動的に構成される場合があります。このアクセスを可能にするために、ストアド プロシージャに対する権限が構成されます。たとえば SharePoint_Config データベースの場合、次のストアド プロシージャへのアクセス権が自動的に構成されます。

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

ドメイン ユーザー アカウントを使用する場合の最小限の特権の管理要件

最低特権の管理は、それぞれのサービスまたはユーザーに、実行を認められているタスクの遂行に必要な最低限の特権だけを与えるという、推奨するセキュリティのための方法です。したがって、それぞれのサービスには、その目的に必要なリソースへのアクセスしか認められません。この設計目標の達成に必要な最低限の要件は次のとおりです。

  • 異なるサービスおよびプロセスに別々のアカウントを使用する。

  • 実行サービスまたはプロセス アカウントがローカル管理者権限で実行されていない。

サービスごとに別々のサービス アカウントを使用し、それぞれのアカウントに割り当てる権限を制限することによって、悪意のあるユーザーまたはプロセスが環境を悪用する機会を減らします。

ドメイン ユーザー アカウントを使用した最低特権管理は、ほとんどの環境にお勧めできる構成です。

ドメイン ユーザー アカウントを使用した最低特権の管理要件のリストについては、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションで示す要件を確認してください。

SQL 認証を使用する場合の最低特権の管理要件

SQL 認証が要件となっている環境では、最低特権管理の原則を使用できます。このシナリオでの前提は次のとおりです。

  • SQL 認証は、作成されたすべてのデータベースに使用されます。

  • 他のすべての管理アカウントおよびサービス アカウントは、ドメイン ユーザー アカウントとして作成されます。

セットアップと構成

SQL 認証を使用するには、追加のセットアップと構成が必要です。

  • すべてのデータベース アカウントを SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio の SQL Server ログイン アカウントとして作成する必要があります。これらのアカウントは、構成データベース、AdminContent データベースなど、あらゆるデータベースの作成前に作成する必要があります。

  • Psconfig コマンド ライン ツールを使用して、構成データベースと SharePoint_AdminContent データベースを作成する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。ファームを作成するか、コンピュータをファームに参加させるには、これらのデータベースを作成した SQL Server ログインを dbusername および dbpassword として指定します。この SQL Server ログインは、両方のデータベースにアクセスするために使用されます。

  • [SQL 認証] オプションを選択することによって、サーバーの全体管理で追加のコンテンツ データベースを作成できます。ただし、最初に、SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で SQL Server ログイン アカウントを作成する必要があります。

  • SSL (Secure Sockets Layer) またはインターネット プロトコル セキュリティ (IPsec) を使用して、データベース サーバーとのすべての通信をセキュリティで保護します。

SQL 認証が使用される場合

  • SQL Server ログイン アカウントは Web サーバーおよびアプリケーション サーバーのレジストリ内で暗号化されます。

  • サーバー ファーム アカウントは、構成データベースや SharePoint_AdminContent データベースへのアクセスには使用されません。代わりに、SQL Server ログイン アカウントが使用されます。

サービスおよび管理アカウントを作成する

SQL 認証を使用した最低特権の管理要件のリストについては、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションで示す要件を確認してください。

SQL Server ログインを作成する

データベースの作成前に、それぞれのデータベース用の SQL Server ログインを作成します。構成データベースおよび SharePoint_AdminContent データベース用に 2 つのログインを作成します。コンテンツ データベースごとに 1 つのログインを作成します。

次の表に、作成する必要のあるログインを示します。[ログイン] 列には、SQL Server ログインに対して指定または作成されるアカウントが示されます。最初のログインの場合、セットアップ ユーザー アカウントを入力する必要があります。他のすべてのログインには、新しい SQL Server ログイン アカウントを作成します。これらのログインの [ログイン] 列には、サンプルのアカウント名が示されています。

ログイン データベース SQL の権限

セットアップ ユーザー アカウント

構成データベースおよび SharePoint_AdminContent データベース

ログインを作成するときに、Windows 認証を指定します。

<*ConfigAdminDBAcc*>

構成データベースおよび SharePoint_AdminContent データベース

  • ログインを作成するときに、SQL 認証を指定します。

  • dbcreator サーバー ロールを割り当てます。

<*WSSSearch_DB_Acc*>

WSS_Search データベース

  • ログインを作成するときに、SQL 認証を指定します。

  • dbcreator サーバー ロールを割り当てます。

<*Content_DB_Acc1*>

コンテンツ データベース

  • ログインを作成するときに、SQL 認証を指定します。

  • dbcreator サーバー ロールを割り当てます。

事前に作成されたデータベースに接続する場合の最低特権の管理要件

データベースがデータベース管理者によって事前に作成されている環境では、最低特権管理の原則を使用できます。このシナリオでの前提は次のとおりです。

  • 管理アカウントおよびサービスアカウントは、ドメイン ユーザー アカウントとして作成されます。

  • SQL Server ログインは、データベースの構成に使用されるアカウント用に作成されます。

  • データベースはデータベース管理者によって作成されます。

事前に作成された空白のデータベースを使用して Windows SharePoint Services 3.0 を展開する方法については、「DBA が作成するデータベースを使用して展開する (Windows SharePoint Services)」を参照してください。

サービス アカウントおよび管理アカウントを作成する

既存の空白のデータベースに接続する場合の最低特権の管理要件のリストについては、「Windows SharePoint Services のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x411) 計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」セクションで示す要件を確認してください。

SQL Server ログインを作成する

データベースを作成する前に、データベースにアクセスするアカウントごとに SQL Server ログインを作成します。アカウント計画ツールでは、アカウントごとに構成する具体的な権限が詳細に示されます。データベースに対する権限を作成および許可する方法については、「DBA が作成するデータベースを使用して展開する (Windows SharePoint Services)」を参照してください。

次の表に、作成する必要のあるログインを示します。データベース列には、各ログイン アカウントの権限で構成されるデータベースが示されます。ログインごとに、そのログインを作成するときの Windows 認証を指定します。

ログイン

データベース

セットアップ ユーザー アカウント (Psconfig コマンド ライン ツールの run-as ユーザー)

すべてのデータベース

サーバー ファーム アカウント (Office SharePoint Server データベース アクセス アカウント)

  • SSP データベース

  • SSP 検索データベース

Windows SharePoint Services Search サービス アカウント

  • WSS_Search データベース

  • 構成データベース

  • SharePoint_AdminContent データベース

追加のコンテンツ データベースのアプリケーション プール ID

  • SSP データベース

  • SSP 検索データベース

  • アプリケーション プールに関連付けられているコンテンツ データベース

テクニカル リファレンス : シナリオ別のアカウント要件

このセクションでは、シナリオ別にアカウント要件を示します。

  • 単一サーバーの標準的な要件

  • サーバー ファームの標準的な要件

  • ドメイン ユーザー アカウントを使用する場合の最低特権の管理要件

  • SQL 認証を使用する場合の最低特権の管理要件

  • 事前に作成されたデータベースに接続する場合の最低特権の管理要件

単一サーバーの標準的な要件

サーバー ファームレベルのアカウント

アカウント 要件

SQL Server サービス アカウント

ローカル システム アカウント (既定)

セットアップ ユーザー アカウント

ローカル コンピュータの Administrators グループのメンバ

サーバー ファーム アカウント

ネットワーク サービス (既定)

手動の構成は不要です。

Windows SharePoint Services Search アカウント

アカウント 要件

Windows SharePoint Services Search サービス アカウント

既定では、このアカウントはローカル システム アカウントとして実行されます。

Windows SharePoint Services Search コンテンツ アクセス アカウント

ファーム管理者グループのメンバではない必要があります。

次の構成は自動的に行われます。

  • ファームの Web アプリケーション完全読み取りポリシーに追加されます。

追加のアプリケーション プール ID アカウント

アカウント 要件

アプリケーション プール ID

手動の構成は不要です。

ネットワーク サービス アカウントは、セットアップおよび構成中に作成される既定の Web サイトについて使用されます。

サーバー ファームの標準的な要件

サーバー ファームレベルのアカウント

アカウント 要件

SQL Server サービス アカウント

ローカル システム アカウントまたはドメイン ユーザー アカウントのどちらかを使用します。

ドメイン ユーザー アカウントを使用する場合、このアカウントは既定で Kerberos 認証を使用するため、ネットワーク環境で追加構成を行う必要があります。有効ではない (つまり、Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を SQL Server が使用する場合、Kerberos 認証は失敗し、NTLM が使用されます。有効だが Active Directory 内の適切なコンテナに割り当てられていない SPN を SQL Server が使用する場合は、認証は失敗し、「SSPI コンテキストを生成できません」というエラー メッセージが表示されます。認証は常に、最初に検出した SPN を使用しようとするので、Active Directory 内で不適切なコンテナに割り当てられた SPN がないようにしてください。

外部リソースにバックアップしたり、外部リソースから復元する予定の場合は、その外部リソースに対する権限を適切なアカウントに与えている必要があります。SQL Server サービス アカウントにドメイン ユーザー アカウントを使用する場合、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントまたはローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。

セットアップ ユーザー アカウント

  • ドメイン ユーザー アカウント

  • セットアップが実行される各サーバーの Administrators グループのメンバ

  • SQL Server が動作しているコンピュータでの SQL Server ログイン

  • 次の SQL Server セキュリティ ロールのメンバであること。

    • securityadmin 固定サーバー ロール。

    • dbcreator 固定サーバー ロール。

データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントはデータベースの db_owner 固定データベース ロールのメンバである必要があります。

サーバー ファーム アカウント

  • ドメイン ユーザー アカウント

このアカウントには、サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーの追加権限が自動的に与えられます。

このアカウントは、SQL Server を実行しているコンピュータでの SQL Server ログインとして自動的に追加され、次の SQL Server セキュリティ ロールに追加されます。

  • dbcreator 固定サーバー ロール

  • securityadmin 固定サーバー ロール

  • サーバー ファーム内のすべてのデータベースに使用する db_owner 固定データベース ロール

メモ   Microsoft Single Sign-On Service を設定する場合、サーバー ファーム アカウントが db_owner に SSO データベースへのアクセスを自動的に与えるわけではありません。

Windows SharePoint Services Search アカウント

アカウント 要件

Windows SharePoint Services Search サービス アカウント

  • ドメイン ユーザー アカウントである必要があります。

  • ファーム管理者グループのメンバではない必要があります。

次の構成は自動的に行われます。

  • 構成データベースと SharePoint_Admin コンテンツ データベースから読み取るためのアクセス

  • Windows SharePoint Services Search データベースの db_owner ロールのメンバシップ

Windows SharePoint Services Search コンテンツ アクセス アカウント

  • Windows SharePoint Services Search サービス アカウントと同じ要件

次の構成は自動的に行われます。

  • ファームの Web アプリケーション完全読み取りポリシーに追加されます。

追加のアプリケーション プール ID アカウント

アカウント 要件

アプリケーション プール ID

手動の構成は不要です。

次の構成は自動的に行われます。

  • ドメイン ユーザー アカウントである必要があります。

  • Web アプリケーションに関連付けられているコンテンツ データベースおよび検索データベースの db_owner ロールのメンバシップ

  • 構成データベースおよび SharePoint_AdminContent データベースから読み取るためのアクセス

  • このアカウントには、フロントエンド Web サーバーとアプリケーション サーバーに対する追加権限が自動的に与えられます。

ドメイン ユーザー アカウントを使用する場合の最低特権の管理要件

サーバー ファームレベルのアカウント

アカウント サーバー ファームの標準的な要件を使用します。 ドメイン ユーザー アカウント要件を使用する最低特権です。

SQL Server サービス アカウント

ローカル システム アカウントまたはドメイン ユーザー アカウントのどちらかを使用します。

ドメイン ユーザー アカウントを使用する場合、このアカウントは既定で Kerberos 認証を使用するため、ネットワーク環境で追加構成を行う必要があります。有効ではない (つまり、Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を SQL Server が使用する場合、Kerberos 認証は失敗し、NTLM が使用されます。有効だが Active Directory 内の適切なコンテナに割り当てられていない SPN を SQL Server が使用する場合は、認証は失敗し、「SSPI コンテキストを生成できません」というエラー メッセージが表示されます。認証は常に、最初に検出した SPN を使用しようとするので、Active Directory 内で不適切なコンテナに割り当てられた SPN がないようにしてください。

外部リソースにバックアップしたり、外部リソースから復元する予定の場合は、その外部リソースに対する権限を適切なアカウントに与えている必要があります。SQL Server サービス アカウントにドメイン ユーザー アカウントを使用する場合、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントまたはローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

セットアップ ユーザー アカウント

  • ドメイン ユーザー アカウント

  • セットアップが実行される各サーバーの Administrators グループのメンバ

  • SQL Server が動作しているコンピュータでの SQL Server ログイン

  • 次の SQL Server セキュリティ ロールのメンバであること。

    • securityadmin 固定サーバー ロール

    • dbcreator 固定サーバー ロール

データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントはデータベースの db_owner 固定データベース ロールのメンバである必要があります。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • このアカウントは、SQL Server を実行しているコンピュータ上の Administrators グループのメンバではないこと。

サーバー ファーム アカウント

  • ドメイン ユーザー アカウント

  • サーバー ファームが子ファームであり、親ファームの共有サービスを消費する Web アプリケーションを使用している場合、このアカウントは、親ファームの構成データベースの db_owner 固定データベース ロールのメンバである必要があります。

このアカウントには、サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーの追加権限が自動的に与えられます。

このアカウントは、SQL Server を実行しているコンピュータでの SQL Server ログインとして自動的に追加され、次の SQL Server セキュリティ ロールに追加されます。

  • dbcreator 固定サーバー ロール

  • securityadmin 固定サーバー ロール

  • サーバー ファーム内のすべてのデータベースに使用する db_owner 固定データベース ロール

メモ Microsoft Single Sign-On Service を構成する場合、サーバー ファーム アカウントに SSO データベースの db_owner 権限が自動的に付与されません。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、サーバー ファーム内のあらゆるサーバーの Administrators グループのメンバではないこと。

  • このアカウントは、構成データベースを作成するために、SQL Server に対する権限を必要としません。

Windows SharePoint Services Search アカウント

アカウント サーバー ファームの標準的な要件を使用します。 ドメイン ユーザー アカウント要件を使用する最低特権

Windows SharePoint Services Search サービス アカウント

  • ドメイン ユーザー アカウントである必要があります。

  • ファーム管理者グループのメンバではない必要があります。

次の構成は自動的に行われます。

  • 構成データベースと SharePoint_Admin コンテンツ データベースから読み取るためのアクセス

  • Windows SharePoint Services Search データベースの db_owner ロールのメンバシップ

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

Windows SharePoint Services Search コンテンツ アクセス アカウント

  • Windows SharePoint Services Search サービス アカウントと同じ要件

次の構成は自動的に行われます。

  • ファームの Web アプリケーション完全読み取りポリシーに追加されます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

追加のアプリケーション プール ID アカウント

アカウント サーバー ファームの標準的な要件を使用します。 ドメイン ユーザー アカウント要件を使用する最低特権

アプリケーション プール ID

手動の構成は不要です。

次の構成は自動的に行われます。

  • Web アプリケーションに関連付けられているコンテンツ データベースおよび検索データベースの db_owner ロールのメンバシップ

  • 構成データベースおよび SharePoint_AdminContent データベースから読み取るためのアクセス

  • このアカウントには、フロントエンド Web サーバーとアプリケーション サーバーに対する追加権限が自動的に与えられます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • アプリケーション プールごとに別々のドメイン ユーザー アカウントを使用します。

  • このアカウントは、サーバー ファーム内のコンピュータ上の Administrators グループのメンバにしないでください。

SQL 認証を使用する場合の最低特権の管理要件

サーバー ファームレベルのアカウント

アカウント サーバー ファームの標準的な要件を使用します。 SQL 認証を使用する最低特権を使用します。

SQL Server サービス アカウント

ローカル システム アカウントまたはドメイン ユーザー アカウントのどちらかを使用します。

ドメイン ユーザー アカウントを使用する場合、このアカウントは既定で Kerberos 認証を使用するため、ネットワーク環境で追加構成を行う必要があります。有効ではない (つまり、Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を SQL Server が使用する場合、Kerberos 認証は失敗し、NTLM が使用されます。有効だが Active Directory 内の適切なコンテナに割り当てられていない SPN を SQL Server が使用する場合は、認証は失敗し、「SSPI コンテキストを生成できません」というエラー メッセージが表示されます。認証は常に、最初に検出した SPN を使用しようとするので、Active Directory 内で不適切なコンテナに割り当てられた SPN がないようにしてください。

外部リソースにバックアップしたり、外部リソースから復元する予定の場合は、その外部リソースに対する権限を適切なアカウントに与える必要があります。SQL Server サービス アカウントにドメイン ユーザー アカウントを使用する場合、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントまたはローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

注意

すべてのデータベース アカウントを Microsoft SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio の SQL Server ログイン アカウントとして作成する必要があります。これらのアカウントは、構成データベース、SharePoint_AdminContent データベースなど、コンテンツ データベースが作成される前に作成する必要があります。構成データベースと SharePoint_AdminContent データベースの両方に対して 1 つの SQL Server ログインを作成します。

セットアップ ユーザー アカウント

  • ドメイン ユーザー アカウント。

  • セットアップが実行される各サーバーの Administrators グループのメンバ。

  • SQL Server が動作しているコンピュータでの SQL Server ログイン。

  • 次の SQL Server セキュリティ ロールのメンバであること。

    • securityadmin 固定サーバー ロール。

    • dbcreator 固定サーバー ロール。

データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントはデータベースの db_owner 固定データベース ロールのメンバである必要があります。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server コンピュータでの SQL Server ログイン。

  • 次の SQL Server セキュリティ ロールのメンバではないこと。

    • securityadmin 固定サーバー ロール。

    • dbcreator 固定サーバー ロール。

  • SQL Server を実行しているコンピュータ上の Administrators グループのメンバではないこと。

注意

Psconfig コマンド ライン ツールを使用して、構成データベースと SharePoint_AdminContent データベースを作成する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。ファームを作成するか、コンピュータをファームに参加させるには、これらのデータベースを作成した SQL Server ログインを dbusername および dbpassword として指定します。この SQL Server ログインは、両方のデータベースにアクセスするために使用されます。他のすべてのコンテンツ データベースは、サーバーの全体管理で SQL 認証オプションを選択することによって作成できます。

サーバー ファーム アカウント

  • ドメイン ユーザー アカウント。

  • サーバー ファームが子ファームであり、親ファームの共有サービスを消費する Web アプリケーションを使用している場合、このアカウントは、親ファームの構成データベースの db_owner 固定データベース ロールのメンバである必要があります。

このアカウントには、サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーの追加権限が自動的に与えられます。

このアカウントは、SQL Server を実行しているコンピュータでの SQL Server ログインとして自動的に追加され、次の SQL Server セキュリティ ロールに追加されます。

  • dbcreator 固定サーバー ロール

  • securityadmin 固定サーバー ロール

  • サーバー ファーム内のすべてのデータベースに使用する db_owner 固定データベース ロール

メモ Microsoft Single Sign-On Service を構成する場合、サーバー ファーム アカウントに SSO データベースの db_owner 権限が自動的に付与されません。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、サーバー ファーム内のサーバーの Administrators グループのメンバではないこと。

  • SQL Server が動作しているコンピュータでの SQL Server ログインにしないでください。

  • このアカウントは、構成データベースを作成するために、SQL Server に対する権限を必要としません。

Windows SharePoint Services Search アカウント

アカウント サーバー ファームの標準的な要件を使用します。 SQL 認証を使用する最低特権を使用します。

Windows SharePoint Services Search サービス アカウント

  • ドメイン ユーザー アカウントである必要があります。

  • ファーム管理者グループのメンバではない必要があります。

次の構成は自動的に行われます。

  • 構成データベースと SharePoint_Admin コンテンツ データベースから読み取るためのアクセス

  • Windows SharePoint Services Search データベースの db_owner ロールのメンバシップ

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、ファーム内のサーバーの Administrators グループのメンバではないこと。

  • SQL Server ログインにしないでください。

Windows SharePoint Services Search コンテンツ アクセス アカウント

  • Windows SharePoint Services Search サービス アカウントの場合と同じ要件

次の構成は自動的に行われます。

  • ファームの Web アプリケーション完全読み取りポリシーに追加されます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、ファーム内のサーバーの Administrators グループのメンバではないこと。

  • SQL Server ログインにしないでください。

追加のアプリケーション プール ID アカウント

アカウント サーバー ファームの標準的な要件を使用します。 SQL 認証を使用する最低特権を使用します。

アプリケーション プール ID

手動の構成は不要です。

次の構成は自動的に行われます。

  • Web アプリケーションに関連付けられているコンテンツ データベースおよび検索データベースの db_owner ロールのメンバシップ

  • 構成データベースおよび SharePoint_AdminContent データベースから読み取るためのアクセス

  • このアカウントには、フロントエンド Web サーバーとアプリケーション サーバーに対する追加権限が自動的に与えられます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、ファーム内のサーバーの Administrators グループのメンバではないこと。

  • SQL Server ログインにしないでください。

事前に作成されたデータベースに接続する場合の最低特権の管理要件

サーバー ファームレベルのアカウント

アカウント サーバー ファームの標準的な要件を使用します。 事前に作成されたデータベースに接続するための最低特権が必要です。

SQL Server サービス アカウント

ローカル システム アカウントまたはドメイン ユーザー アカウントのどちらかを使用します。

ドメイン ユーザー アカウントを使用する場合、このアカウントは既定で Kerberos 認証を使用するため、ネットワーク環境で追加構成を行う必要があります。有効ではない (つまり、Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を SQL Server が使用する場合、Kerberos 認証は失敗し、NTLM が使用されます。有効だが Active Directory 内の適切なコンテナに割り当てられていない SPN を SQL Server が使用する場合は、認証は失敗し、「SSPI コンテキストを生成できません」というエラー メッセージが表示されます。認証は常に、最初に検出した SPN を使用しようとするので、Active Directory 内で不適切なコンテナに割り当てられた SPN がないようにしてください。

  • 外部リソースにバックアップしたり、外部リソースから復元する予定の場合は、その外部リソースに対する権限を適切なアカウントに与える必要があります。SQL Server サービス アカウントにドメイン ユーザー アカウントを使用する場合、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントまたはローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (domain_name\SQL_hostname$) に与えます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

セットアップ ユーザー アカウント

  • ドメイン ユーザー アカウント

  • セットアップが実行される各サーバーの Administrators グループのメンバ

  • SQL Server が動作しているコンピュータでの SQL Server ログイン

  • 次の SQL Server セキュリティ ロールのメンバであること。

    • securityadmin 固定サーバー ロール

    • dbcreator 固定サーバー ロール

データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントはデータベースの db_owner 固定データベース ロールのメンバである必要があります。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータ上の Administrators グループのメンバではないこと。

このアカウントはデータベースの構成に使用されます。それぞれのデータベースを作成した後、データベース所有者 (dbo または db_owner) をセットアップ ユーザー アカウントに変更します。

サーバー ファーム アカウント。

  • ドメイン ユーザー アカウント。

  • サーバー ファームが子ファームであり、親ファームの共有サービスを消費する Web アプリケーションを使用している場合、このアカウントは、親ファームの構成データベースの db_owner 固定データベース ロールのメンバである必要があります。

このアカウントには、サーバー ファームに参加している Web サーバーおよびアプリケーション サーバーの追加権限が自動的に与えられます。

このアカウントは、SQL Server を実行しているコンピュータへの SQL Server ログインとして自動的に追加され、次の SQL Server セキュリティ ロールに追加されます。

  • dbcreator 固定サーバー ロール

  • securityadmin 固定サーバー ロール

  • サーバー ファーム内のすべてのデータベースに使用する db_owner 固定データベース ロール

メモ Microsoft Single Sign-On Service を構成する場合、サーバー ファーム アカウントに SSO データベースの db_owner 権限が自動的に付与されません。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

  • SQL Server を実行しているコンピュータを含め、サーバー ファーム内のあらゆるサーバーの Administrators グループのメンバではないこと。

  • このアカウントは、構成データベースを作成するために、SQL Server に対する権限を必要としません。

共有サービス プロバイダ (SSP) データベースおよび SSP 検索データベースを作成した後、これらの各データベースの次の要素にこのアカウントを追加します。

  • ユーザー グループ

  • db_owner 固定データベース ロール

Windows SharePoint Services Search アカウント

アカウント サーバー ファームの標準的な要件を使用します。 事前に作成されたデータベースに接続するための最低特権が必要です。

Windows SharePoint Services Search サービス アカウント

  • ドメイン ユーザー アカウントである必要があります。

  • ファーム管理者グループのメンバではない必要があります。

次の構成は自動的に行われます。

  • 構成データベースと SharePoint_Admin コンテンツ データベースから読み取るためのアクセス。

  • Windows SharePoint Services Search データベースの db_owner ロールのメンバシップ。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

Psconfig コマンド ライン ツールを実行して Windows SharePoint Services Search サービスを起動する場合、メンバシップは次の要素内に自動的に作成されます。

  • WSS_Search データベースのユーザー グループおよび db_owner ロール

  • 構成データベース内のユーザー グループ

  • サーバーの全体管理コンテンツ データベースのユーザー グループ

Windows SharePoint Services Search コンテンツ アクセス アカウント

  • Windows SharePoint Services Search サービス アカウントの場合と同じ要件

次の構成は自動的に行われます。

  • ファームの Web アプリケーション完全読み取りポリシーに追加されます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • 別々のドメイン ユーザー アカウントを使用します。

Psconfig コマンド ライン ツールを実行して Windows SharePoint Services Search サービスを起動する場合、メンバシップは次の要素内に自動的に作成されます。

  • WSS— Search データベースのユーザー グループおよび db_owner ロール

  • 構成データベース内のユーザー グループ

  • サーバーの全体管理コンテンツ データベースのユーザー グループ

追加のアプリケーション プール ID アカウント

アカウント サーバー ファームの標準的な要件を使用します。 事前に作成されたデータベースに接続するための最低特権が必要です。

アプリケーション プール ID

手動の構成は不要です。

次の構成は自動的に行われます。

  • Web アプリケーションに関連付けられているコンテンツ データベースおよび検索データベースの db_owner ロールのメンバシップ。

  • 構成データベースおよび SharePoint_AdminContent データベースから読み取るためのアクセス。

  • このアカウントには、フロントエンド Web サーバーとアプリケーション サーバーに対する追加権限が自動的に与えられます。

次の追加要件または除外要件を含む、サーバー ファームの標準的な要件を使用します。

  • アプリケーション プールごとに別々のドメイン ユーザー アカウントを使用します。

  • このアカウントは、サーバー ファーム内のコンピュータ上の Administrators グループのメンバにしないでください。

SSP データベースおよび SSP 検索データベースを作成した後、これらの各データベースの次の要素にこのアカウントを追加します。

  • ユーザー グループ

  • db_owner ロール

このドキュメントをダウンロードする

このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。

入手可能なドキュメントの詳細な一覧については、「Windows SharePoint Services 3.0 テクニカル ライブラリ」を参照してください。

関連項目

概念

セキュリティ ロールを計画する (Windows SharePoint Services)