Planejar contas administrativas e de serviço (Office SharePoint Server)

  • Artigo

Atualizado em: 2009-04-23

Neste artigo:

  • Sobre contas administrativas e de serviço

  • Requisitos padrão de servidor único

  • Requisitos padrão de farm de servidor

  • Requisitos de administração de privilégios mínimos usando contas de usuário de domínio

  • Requisitos de administração de privilégios mínimos que usam autenticação SQL

  • Requisitos de administração de privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

  • Referência técnica: Requisitos de conta por cenário

Este artigo descreve as contas que devem ser planejadas e os cenários de implantação que afetam os requisitos de conta.

Use este artigo com a seguinte ferramenta de planejamento: requisitos da conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês). Esta ferramenta de planejamento lista os requisitos de cada conta com base no cenário de implantação. Os requisitos também são listados na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Os requerimentos de conta detalham as permissões específicas que você precisa conceder antes de executar a Instalação. Em alguns casos, permissões adicionais que são concedidas automaticamente na execução da Instalação são apontadas na ferramenta de planejamento.

Este artigo não descreve os requisitos da conta para uso de logon único (SSO) in Microsoft Office SharePoint Server 2007. Para obter mais informações, consulte Planejar o logon único.

Este artigo não descreve papéis de segurança e permissões necessárias para administrar o Office SharePoint Server 2007. Para obter mais informações, consulte Planejar funções de segurança (Office SharePoint Server) .

Sobre contas administrativas e de serviço

Esta seção relaciona e descreve as contas que você deve planejar. As contas são agrupadas de acordo com o escopo. Se uma conta tiver um escopo limitado, talvez você precise planejar várias contas para essa categoria.

Por exemplo, se você estiver implementando vários Provedores de Serviços Compartilhados (SSPs), deverá designar várias contas de SSP.

Após a conclusão da instalação e da configuração de contas, certifique-se de não usar a conta do Sistema Local para executar tarefas administrativas ou para navegar em sites. Por exemplo, não use a mesma conta que foi usada para executar a Instalação para realizar tarefas administrativas.

Contas de nível de farm de servidores

A tabela a seguir descreve as contas usadas para configurar o banco de dados do software Microsoft SQL Server e para instalar o Office SharePoint Server 2007.

Conta Objetivo

Conta de serviço do SQL Server

O SQL Server solicita essa conta durante a Instalação do SQL Server. Essa conta é usada como a conta de serviço para os seguintes serviços do SQL Server:

  • MSSQLSERVER

  • SQLSERVERAGENT

Se você não estiver usando a instância padrão, esses serviços serão exibidos como:

  • MSSQL$NomeDaInstância

  • SQLAgent$NomeDaInstância

Conta de usuário de configuração

A conta de usuário usada para executar:

  • Instalação em cada computador servidor

  • O Assistente de Configuração de Produtos e Tecnologias do SharePoint

  • A ferramenta de linha de comando Psconfig

  • A ferramenta de linha de comando Stsadm

Conta de farm de servidores

Esta conta também é conhecida como conta de acesso ao banco de dados.

Essa conta é:

  • A identidade do pool de aplicativos do site Administração Central do SharePoint.

  • A conta de processo do serviço de Timer do Windows SharePoint Services.

Contas de SSP

A tabela abaixo descreve as contas usadas para configurar um SSP. Planeje um conjunto de contas SSP para cada SSP que você planeja implementar.

Conta Objetivo

Conta de pool de aplicativos de SSP

Conta de pool de aplicativos do site de administração de SSP. Esta conta é usada para executar o pool de aplicativos do Aplicativo Web que hospeda o site de administração SSP.

Conta de serviço de SSP

Usada pelos seguintes itens:

  • Serviços Web SSP para comunicação entre servidores

  • Identidade do pool de aplicativos associada ao diretório virtual associado a um determinado SSP

Conta do Serviço Office SharePoint Server Search

Usado como conta de serviço para o serviço Office SharePoint Server Search. Há apenas um instância deste serviço e ela é usada por todos os SSPs para gravar arquivos de índice de conteúdo no local de índice de servidores de índice e para propagar o índice pesquisável para todos os servidores de consulta de um farm do Microsoft Office SharePoint Server 2007.

Conta de acesso de conteúdo padrão

Conta padrão usada em um SSP para rastrear conteúdo, salvo quando um método de autenticação diferente for especificado por uma regra de rastreamento para uma URL ou padrão de URL.

Conta de acesso de conteúdo

Conta específica configurada para acessar uma fonte de conteúdo. Esta conta é opcional e é especificada quando você cria uma nova regra de rastreamento. Por exemplo, as fontes de conteúdo externas ao Office SharePoint Server 2007 (como um compartilhamento de arquivo) podem exigir uma conta de acesso diferente.

Conta de acesso padrão de importação de perfil

Usada para:

  • Conectar a um serviço de diretório, como o serviço de diretório Active Directory, um diretório LDAP, um aplicativo de Catálogo de Dados Corporativos ou outra fonte de diretório.

  • Importar dados de perfil de um serviço de diretório.

Se nenhuma conta for especificada, será usada a conta de acesso de conteúdo padrão. Se a conta de acesso de conteúdo padrão não possuir acesso de leitura ao diretório ou diretórios cujos dados você deseja importar, planeje usar outra conta. Você pode planejar até uma conta por conexão de diretório.

Conta de serviço sem supervisão dos Serviços do Excel

Conta utilizada pelos Serviços de Cálculo do Excel para se conectar a fontes de dados externas que exigem um nome de usuário e senha não-Windows para autenticação. Se esta conta não for configurada, os Serviços do Excel não tentarão se conectar a esses tipos de fontes de dados. Embora as credenciais da conta sejam usadas para conectar a fontes de dados não-Windows, a conta deve ser membro do domínio para que os Serviços de Cálculo do Excel possam usá-la.

Contas de Pesquisa do Windows SharePoint Services

A tabela a seguir descreve as contas que são usadas para configurar a Pesquisa do Windows SharePoint Services. No Office SharePoint Server 2007, esse serviço é chamado de serviço de Pesquisa de Ajuda do Windows SharePoint Services, porque esse serviço é usado para fornecer funcionalidade de pesquisa para a Ajuda. Se você estiver instalando o Office SharePoint Server 2007, planeje essas contas somente se desejar implementar o serviço para pesquisar o conteúdo da Ajuda.

Conta Objetivo

Conta de serviço da Pesquisa do Windows SharePoint Services

Usado como conta do serviço de Pesquisa de Ajuda do Windows SharePoint Services. Há apenas um instância deste serviço em um farm e ela é usada para gravar arquivos de índice de conteúdo no local de índice de servidores de índice e para propagar o índice pesquisável para todos os servidores de consulta de um farm do Office SharePoint Server 2007.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

Usada pela função de servidor de aplicativos do Pesquisa do Windows SharePoint Services para rastrear conteúdo entre sites.

Conta de identidade de pool de aplicativos adicional

Se você criar pools de aplicativos adicionais para sites host, planeje contas de identidade de aplicativo adicionais. A tabela a seguir descreve a conta de identidade de pool de aplicativos adicional. Planeje uma conta de pool de aplicativos adicional para cada pool de aplicativos que planeja implementar.

Conta Objetivo

Identidade de pool de aplicativos

A conta de usuário processada pelo trabalho que que atende ao pool de aplicativos usa como sua identidade de processo. Essa conta é usada para acessar bancos de dados de conteúdo associados aos aplicativos Web que residem no pool de aplicativos.

Requisitos padrão de servidor único

Caso esteja implantando em um computador de servidor único, os requisitos de conta são amplamente reduzidos. Em um ambiente de avaliação você pode usar uma única conta para todos os objetivos de conta. Em um ambiente de produção, assegure que as contas criadas possuam as permissões apropriadas para seus objetivos.

Para obter uma lista das permissões de conta para ambientes de servidor único, consulte a ferramenta de planejamento de requisitos de conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês) ou veja a lista de requisitos na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Requisitos de farm de servidores

Caso esteja implantando em mais de um computador servidor, use os requisitos padrão do farm de servidores para assegurar que as contas possuam as permissões apropriadas para executar seus processos em vários computadores. Os requisitos padrão do farm de servidores detalham a configuração mínima necessária para operar em um ambiente de farm de servidores. Para obter um ambiente mais seguro, considere usar os requisitos de administração com menos privilégios usando contas de usuário de domínio.

Para obter uma lista dos requisitos padrão para ambientes de farm de servidores, consulte a ferramenta de planejamento de requisitos de conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês) ou veja a lista de requisitos na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Em algumas contas, permissões adicionais ou acesso ao banco de dados são configurados quando você executa a Instalação. Elas são observadas na ferramenta de planejamento de contas. Uma configuração importante para administradores de bancos de dados estarem cientes é a adição da função de banco de dados WSS_Content_Application_Pools. A instalação adiciona esta função aos seguintes bancos de dados:

  • Banco de dados SharePoint_Config (banco de dados de configuração)

  • Banco de dados SharePoint_AdminContent

Os membros da função de banco de dados WSS_Content_Application_Pools recebem a permissão Executar em um subconjunto dos procedimentos armazenados do banco de dados. Além disso, os membros dessa função recebem a permissão Selecionar para a tabela Versões (dbo.Versions) no banco de dados SharePoint_AdminContent.

Em outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação em um banco de dados também é configurado de forma automática. Para conceder esses acessos, permissões para procedimentos armazenados são configuradas. No banco de dados SharePoint_Config, por exemplo, o acesso aos seguintes procedimentos armazenados é configurado automaticamente:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Requisitos de administração com menos privilégios ao usar contas de usuário de domínio

A administração com menos privilégios é uma prática de segurança recomendada na qual cada serviço ou usuário recebe apenas o mínimo de privilégios necessário para executar as tarefas que são autorizados a executar. Isso significa que cada serviço recebe acessos apenas para os recursos necessários para seu objetivo. Os requisitos mínimos para chegar a essa meta de projeto incluem o seguinte:

  • Contas separadas são usadas para diferentes serviços e processos.

  • Nenhum serviço de execução ou conta de processo está em execução com permissões do administrador local.

Ao usar contas de serviço separadas e limitar as permissões atribuídas a cada conta, você reduz a oportunidade de um usuário ou um processo mal-intencionado comprometer seu ambiente.

A administração com menos privilégios em contas de usuário de domínio é a configuração recomendada para a maioria dos ambientes.

Para obter uma lista dos requisitos de administração de privilégios mínimos com contas de usuário de domínio, consulte a ferramenta de planejamento de requisitos de conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês) ou veja a lista de requisitos na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Requisitos de administração com menos privilégios usando autenticação SQL

Em ambientes onde a autenticação SQL é obrigatória você pode seguir o princípio da administração com privilégios mínimos. Neste cenário:

  • A autenticação SQL é usada para cada banco de dados criado.

  • Todas as outras contas de administração e de serviço são criadas como contas de usuário de domínio.

Instalação e configuração

O uso da autenticação SQL requer instalação e configuração adicionais:

  • Todas as contas de banco de dados devem ser criadas como contas de logon do SQL Server no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio. Essas contas precisam ser criadas antes da criação de bancos de dados, incluindo o banco de dados de configuração e o banco de dados AdminContent.

  • Você precisa usar a ferramenta de linha de comando Psconfig para criar o banco de dados de configuração e o banco de dados SharePoint_AdminContent. Não é possível usar o Assistente de Configuração dos Produtos e Tecnologias do SharePoint para criar esses bancos de dados. Para criar um farm ou para adicionar um computador a um farm, especifique o logon do SQL Server criado para esses bancos de dados como dbusername e dbpassword. O mesmo logon do SQL Server é usado para acessar ambos os bancos de dados.

  • Você pode criar bancos de dados de conteúdo adicionais na Administração Central selecionando a opção Autenticação SQL. No entanto, é necessário primeiro criar as contas de logon no SQL Server no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio.

  • Proteja todas a comunicação com os servidores de bancos de dados usando o protocolo SSL ou o protocolo IPsec.

Quando a autenticação SQL é usada:

  • As contas de logon do SQL Server são criptografadas no Registros dos servidores Web e dos servidores de aplicativos.

  • A conta do farm de servidores não é usada para acessar o banco de dados de configuração e o banco de dadosSharePoint_AdminContent. As contas de logon correspondentes do SQL Server serão usadas em vez disso.

Criação de contas de serviço e de administração

Para obter uma lista dos requisitos de administração de privilégios mínimos com autenticação SQL, consulte a ferramenta de planejamento de requisitos de conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês) ou veja a lista de requisitos na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Criação de logons do SQL Server

Antes de criar bancos de dados, crie logons do SQL Server para cada um deles. Dois logons são criados para os bancos de dados de configuração e SharePoint_AdminContent. Crie um logon para cada banco de dados de conteúdo.

A tabela a seguir lista os logons que precisam ser criados. A coluna Logon indica a conta que foi especificada ou criada para o logon do SQL Server. No primeiro logon, você deve inserir a conta de usuário de Instalação. Em todos os outros logons, você cria uma nova conta de logon no SQL Server. Para esses logons, a coluna Logon fornece um nome de conta de exemplo.

Logon Banco de dados Direitos SQL

Conta de usuário de configuração

Banco de dados de configuração e SharePoint_AdminContent

Especifique a autenticação do Windows ao criar o logon.

<ConfigAdminDBAcc>

Banco de dados de configuração e SharePoint_AdminContent

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

<SSP_DB_Acc>

Banco de dados SSP

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

  • Atribua a função de servidor securityadmin.

<SSPSearchDB_Acc>

Banco de dados de pesquisa SSP

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

  • Atribua a função de servidor securityadmin.

<WSSSearch_DB_Acc>

Banco de dados WSS_Search

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

<Content_DB_Acc1>

Bancos de dados de conteúdo

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Em ambientes nos quais os bancos de dados são criados anteriormente por um administrador de banco de dados, você pode seguir o princípio da administração com privilégios mínimos. Neste cenário:

  • Contas de administração e de serviço são criadas como conta de usuário de domínio.

  • Logons do SQL Server são criados para as contas usadas para configurar bancos de dados.

  • Os bancos de dados são criados por um administrador de bancos de dados.

Para obter mais informações sobre implantação de Office SharePoint Server 2007 usando bancos de dados em branco criados anteriormente, consulte Implantar usando bancos de dados criados por DBA (Office SharePoint Server).

Criação de contas de serviço e de administração

Para obter uma lista dos requisitos de administração de privilégios mínimos para se conectar a um banco de dados em branco existente, consulte a ferramenta de planejamento de requisitos de conta de segurança do Office SharePoint Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=92883\&clcid=0x416) (em inglês) ou veja a lista de requisitos na seção Referência técnica: Requisitos de conta por cenário deste artigo.

Criação de logons do SQL Server

Antes de criar bancos de dados, crie logons do SQL Server para cada um deles. A ferramenta de planejamento de contas detalha as permissões específicas configuradas para cada conta . Para obter instruções sobre como criar e conceder permissões para bancos de dados, consulte Implantar usando bancos de dados criados por DBA (Office SharePoint Server) .

A tabela a seguir lista os logons que precisam ser criados. A coluna do banco de dados indica quais os bancos de dados são configurados com permissões para cada conta de logon. Para cada logon, especifique a autenticação do Windows ao criar o logon.

Logon

Banco de dados

Configurar a conta de usuário (usuário de execução para a ferramenta de linha de comando Psconfig)

Todos os bancos de dados

Conta do farm de servidores (conta de acesso ao banco de dados Office SharePoint Server)

  • Banco de dados SSP

  • Banco de dados de pesquisa SSP

Conta de serviço de SSP

  • Banco de dados de configuração

  • Banco de dados SharePoint_AdminContent

  • Banco de dados de conteúdo do site da Administração de Serviços Compartilhados

  • Banco de dados SSP

  • Banco de dados de pesquisa SSP

  • Banco de dados de conteúdo do aplicativo Web de Meus Sites

  • Cada banco de dados de conteúdo adicional

Conta de Pesquisa do Office SharePoint Server

  • Banco de dados de configuração

  • Banco de dados SharePoint_AdminContent

  • Banco de dados SSP

  • Banco de dados de pesquisa SSP

Conta de acesso de conteúdo padrão

  • Banco de dados de configuração

  • Banco de dados SharePoint_AdminContent

Conta de pool de aplicativos de SSP (identidade)

Banco de dados de conteúdo para o aplicativo Web de Administração do SSP

Identidade do pool de aplicativos para o Pool de Aplicativos de Site de Meus Sites

Banco de dados de conteúdo para o aplicativo Web de Meus Sites

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Banco de dados SSP

  • Banco de dados de pesquisa SSP

  • Banco de dados WSS_Search

  • Banco de dados de configuração

  • Banco de dados SharePoint_AdminContent

Identidade do pool de aplicativos para bancos de dados de conteúdo adicionais

  • Banco de dados SSP

  • Banco de dados de pesquisa SSP

  • Bancos de dados de conteúdo associados ao pool de aplicativos

Referência técnica: Requisitos de conta por cenário

Esta seção lista os requisitos de conta por cenário:

  • Requisitos padrão de servidor único

  • Requisitos padrão de farm de servidor

  • Requisitos de administração de privilégios mínimos usando contas de usuário de domínio

  • Requisitos de administração de privilégios mínimos que usam autenticação SQL

  • Requisitos de administração de privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Requisitos padrão de servidor único

Contas de nível de farm de servidores

Conta Requisitos

Conta de serviço do SQL Server

Conta do Sistema Local (padrão)

Conta de usuário de configuração

Membro do grupo Administradores no computador local

Conta de farm de servidores

Serviço de Rede (padrão)

Nenhuma configuração manual é necessária.

Contas de SSP

Conta Requisitos

Conta de pool de aplicativos de SSP

Nenhuma configuração manual é necessária.

Conta de serviço de SSP

  • Nenhuma configuração manual é necessária.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Conta do Serviço Office SharePoint Server Search

Por padrão, essa conta é executada como a conta do Sistema Local.

Se quiser rastrear o conteúdo remoto alterando a conta de acesso a conteúdo padrão ou usando regras de rastreamento, altere essa conta para uma conta de usuário de domínio. Se você não alterar essa conta para uma conta de usuário de domínio, não será possível alterar a conta de acesso a conteúdo padrão para uma conta de usuário de domínio ou adicionar regras de rastreamento para rastrear este conteúdo. Esta restrição é destinada a impedir a elevação de privilégios para qualquer outro processo executado como conta do Sistema Local.

Conta de acesso de conteúdo padrão

Nenhuma configuração manual é necessária se esta conta só estiver rastreando conteúdo de um farm local. Se quiser rastrear conteúdo remoto usando regras de rastreamento, altere para uma conta de usuário de domínio e aplique os requisitos listados para um farm de servidores.

Conta de acesso de conteúdo

Igual à conta de acesso a conteúdo padrão do SSP listada anteriormente.

Conta de acesso padrão de importação de perfil

Mesmos requisitos do farm de servidores.

Conta de serviço sem supervisão dos Serviços do Excel

Deve ser uma conta de usuário de domínio.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos

Conta de serviço da Pesquisa do Windows SharePoint Services

Por padrão, essa conta é executada como a conta do Sistema Local.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Adicionado à diretiva de Leitura Completa do aplicativo Web do farm.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

A conta do Serviço de Rede é usada para o site padrão criado durante a Instalação e a configuração.

Requisitos padrão de farm de servidor

Contas de nível de farm de servidores

Conta Requisitos

Conta de serviço do SQL Server

Use uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Observação   se você configurar o Microsoft Single Sign-On Service, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Contas de SSP

Conta Requisitos

Conta de pool de aplicativos de SSP

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para bancos de dados de conteúdo de aplicativos Web associados ao SSP.

  • Acesso de leitura ao banco de dados de configuração.

  • Acesso de leitura ao banco de dados de conteúdo da Administração Central.

  • Permissões adicionais para servidores Web front-end e servidores de aplicativo são concedidas automaticamente.

Conta de serviço de SSP

  • Use uma conta de usuário de domínio.

  • Nenhuma configuração manual é necessária. As mesmas permissões na conta do pool de aplicativos SSP são concedidas automaticamente.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Conta do Serviço Office SharePoint Server Search

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração, de conteúdo de administração, do SSP e do Office Server Search

  • Acesso de controle total à localização dos arquivos de índice em servidores de indexação e acesso de controle total à localização da propagação de Pesquisa em servidores de consulta em um farm do Office SharePoint Server 2007.

Conta de acesso de conteúdo padrão

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

  • Acesso de leitura para fontes de conteúdo externo ou protegido que deseja rastrear usando essa conta.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Os itens a seguir são configurados automaticamente:

  • As permissões de Leitura Completa são concedidas automaticamente a bancos de dados de conteúdo hospedados pelo farm de servidores.

Conta de acesso de conteúdo

  • Acesso de leitura a fontes de conteúdo externo ou seguro que esta conta está configurada para acessar.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Conta de acesso padrão de importação de perfil

  • Acesso de leitura ao serviço de diretório.

  • Se a opção Habilitar Importação Incremental no Servidor estiver selecionada para uma conexão do Active Directory e o ambiente for o Windows 2000 Server, a conta precisará ter a permissão Replicar Alterações no Active Directory. Essa permissão não é necessária para ambientes Windows Server 2003 Active Directory.

  • Gerenciar permissões de serviços de personalização de Perfis de Usuário.

  • Exibir permissões nas entidades usadas nas conexões de importação do Catálogo de Dados Corporativos.

Conta de serviço sem supervisão dos Serviços do Excel

Deve ser uma conta de usuário de domínio.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação na função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à diretiva de Leitura Completa do aplicativo Web do farm.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Deve ser uma conta de usuário de domínio.

  • Associação na função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Acesso à leitura e gravação no banco de dados do SSP associado.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web de front-end.

Requisitos de administração com menos privilégios ao usar contas de usuário de domínio

Contas de nível de farm de servidores

Conta Requisitos padrão de farm de servidor Requisitos do menor privilégio que usa contas de usuário de domínio

Conta de serviço do SQL Server

Use uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Esta conta NÃO deve ser membro do grupo Administradores no computador que executa o SQL Server.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • Função de banco de dados fixa de db_owner para todos os bancos de dados no farm de servidores.

Observação   se você configurar o Microsoft Single Sign-On Service, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Contas de SSP

Conta Requisitos padrão de farm de servidor Requisitos do menor privilégio que usa contas de usuário de domínio

Conta de pool de aplicativos de SSP

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para bancos de dados de conteúdo de aplicativos Web associados ao SSP.

  • Acesso de leitura ao banco de dados de configuração.

  • Acesso de leitura ao banco de dados de conteúdo da Administração Central.

  • Permissões adicionais para servidores Web front-end e servidores de aplicativo são concedidas automaticamente.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Para garantir um isolamento da segurança, use uma conta de serviço separada para cada SSP.

Conta de serviço de SSP

  • Use uma conta de usuário de domínio.

  • Nenhuma configuração manual é necessária. As mesmas permissões na conta do pool de aplicativos SSP são concedidas automaticamente.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta do Serviço Office SharePoint Server Search

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração, de conteúdo de administração, do SSP e do Office Server Search.

  • Acesso de controle total à localização dos arquivos de índice em servidores de indexação e acesso de controle total à localização da propagação de Pesquisa em servidores de consulta em um farm do MOSS.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de acesso de conteúdo padrão

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

  • Acesso de leitura para fontes de conteúdo externo ou protegido que deseja rastrear usando essa conta.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Os itens a seguir são configurados automaticamente:

  • As permissões de Leitura Completa são concedidas automaticamente a bancos de dados de conteúdo hospedados pelo farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Por padrão, em um ambiente de farm de servidores, a conta do serviço Office SharePoint Server Search é usada até que seja especificada uma conta diferente. Após concluir a instalação e executar o assistente de configuração, altere essa conta para uma conta de usuário de domínio.

  • Não conceda à conta padrão de acesso a conteúdo acesso ao serviço de diretório.

Para maior segurança, use outra conta padrão de acesso a conteúdo para cada SSP.

Conta de acesso de conteúdo

  • Acesso de leitura a fontes de conteúdo externo ou seguro que esta conta está configurada para acessar.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de acesso padrão de importação de perfil

  • Acesso de leitura ao serviço de diretório.

  • Se a opção Habilitar Importação Incremental no Servidor estiver selecionada para uma conexão do Active Directory e o ambiente for o Windows 2000 Server, a conta precisará ter a permissão Replicar Alterações no Active Directory. Essa permissão não é necessária para ambientes Windows Server 2003 Active Directory.

  • Gerenciar permissões de serviços de personalização de Perfis de Usuário.

  • Exibir permissões nas entidades usadas nas conexões de importação do Catálogo de Dados Corporativos.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Esta conta pode ser a mesma conta padrão de acesso a conteúdo ou você pode usar outra conta.

  • Acesso de leitura ao serviço de diretório.

  • Gerenciar permissões de serviços de personalização de Perfis de Usuário.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Conta de serviço sem supervisão dos Serviços do Excel

Deve ser uma conta de usuário de domínio.

Deve ser uma conta de usuário de domínio.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos padrão de farm de servidor Requisitos do menor privilégio que usa contas de usuário de domínio

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação na função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à diretiva de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos padrão de farm de servidor Requisitos do menor privilégio que usa contas de usuário de domínio

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação na função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Acesso à leitura e gravação no banco de dados do SSP associado.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web de front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada para cada pool de aplicativos.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Requisitos de administração com menos privilégios usando autenticação SQL

Contas de nível de farm de servidores

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio que usa autenticação SQL

Conta de serviço do SQL Server

Use uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

ObservaçãoObservação:
Todas as contas de banco de dados precisam ser criadas como contas de login do SQL Server no Microsoft SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. É preciso criá-las antes de quaisquer bancos de dados de conteúdo, incluindo os de configuração e do SharePoint_AdminContent. Crie um login do SQL Server tanto para o banco de dados de configuração quanto para o do SharePoint_AdminContent.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Login do SQL Server no computador com SQL Server.

  • NÃO é membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

  • NÃO é membro do grupo Administradores no computador que executa o SQL Server.

ObservaçãoObservação:
Você precisa usar a ferramenta de linha de comando Psconfig para criar os bancos de dados de configuração e do SharePoint_AdminContent. Não é possível usar o Assistente de Configuração de Produtos e Tecnologias do SharePoint para criá-los. Para criar um farm ou associar um computador a ele, especifique o login do SQL Server criado para esses bancos de dados como dbusername e dbpassword. O mesmo login do SQL Server é usado para acessar ambos os bancos de dados. Todos os outros bancos de dados de conteúdo podem ser criados na Administração Central selecionando a opção de autenticação SQL.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server no computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Contas de SSP

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio que usa autenticação SQL

Conta de pool de aplicativos de SSP

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para bancos de dados de conteúdo de aplicativos Web associados ao SSP.

  • Acesso de leitura ao banco de dados de configuração.

  • Acesso de leitura ao banco de dados de conteúdo da Administração Central.

  • Permissões adicionais para servidores Web front-end e servidores de aplicativo são concedidas automaticamente.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores local em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de serviço de SSP

  • Use uma conta de usuário de domínio.

  • Nenhuma configuração manual é necessária. As mesmas permissões na conta do pool de aplicativos SSP são concedidas automaticamente.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta do Serviço Office SharePoint Server Search

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração, de conteúdo de administração, do SSP e do Office Server Search.

  • Acesso de controle total à localização dos arquivos de índice em servidores de indexação e acesso de controle total à localização da propagação de Pesquisa em servidores de consulta em um farm do Office SharePoint Server 2007.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de acesso de conteúdo padrão

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

  • Acesso de leitura para fontes de conteúdo externo ou protegido que deseja rastrear usando essa conta.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Os itens a seguir são configurados automaticamente:

  • As permissões de Leitura Completa são concedidas automaticamente a bancos de dados de conteúdo hospedados pelo farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é um login do SQL Server no host do SQL Server.

Conta de acesso de conteúdo

  • Acesso de leitura a fontes de conteúdo externo ou seguro que esta conta está configurada para acessar.

Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de acesso padrão de importação de perfil

  • Acesso de leitura ao serviço de diretório.

  • Se a opção Habilitar Importação Incremental no Servidor estiver selecionada para uma conexão do Active Directory e o ambiente for o Windows 2000 Server, a conta precisará ter a permissão Replicar Alterações no Active Directory. Essa permissão não é necessária para ambientes Windows Server 2003 Active Directory.

  • Gerenciar permissões de serviços de personalização de Perfis de Usuário.

  • Exibir permissões nas entidades usadas nas conexões de importação do Catálogo de Dados Corporativos.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de serviço sem supervisão dos Serviços do Excel

Deve ser uma conta de usuário de domínio.

Deve ser uma conta de usuário de domínio.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio que usa autenticação SQL

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação na função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à diretiva de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de identidade de pool de aplicativos adicional

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio que usa autenticação SQL

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação na função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Acesso à leitura e gravação no banco de dados do SSP associado.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web de front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Contas de nível de farm de servidores

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio ao se conectar a bancos de dados pré-criados

Conta de serviço do SQL Server

Use uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

  • Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões deste precisarão ser concedidas para a conta apropriada. Se usa uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. Entretanto, se usa a conta do Serviço de Rede ou do Serviço Local, conceda permissões do recurso externo para a conta da máquina (nome_do_domínio\NomeDoHost$_SQL).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores no computador que executa o SQL Server.

Esta conta é usada para configurar bancos de dados. Após a criação de cada um, altere o proprietário do banco de dados (dbo ou db_owner) para a conta do Usuário da Instalação.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Observação   se você configurar o Microsoft Single Sign-On Service, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Após a criação dos bancos de dados do Shared Services Provider (SSP) e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de banco de dados fixa de db_owner

Contas de SSP

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio ao se conectar a bancos de dados pré-criados

Conta de pool de aplicativos de SSP

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para o banco de dados de conteúdo SSP.

  • Acesso de leitura e gravação para bancos de dados de conteúdo de aplicativos Web associados ao SSP.

  • Acesso de leitura ao banco de dados de configuração.

  • Acesso de leitura ao banco de dados de conteúdo da Administração Central.

  • Permissões adicionais para servidores Web front-end e servidores de aplicativo são concedidas automaticamente.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Para garantir um isolamento da segurança, use uma conta de serviço separada para cada SSP.

Conta de serviço de SSP

  • Use uma conta de usuário de domínio.

  • Nenhuma configuração manual é necessária. As mesmas permissões na conta do pool de aplicativos SSP são concedidas automaticamente.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Após a criação dos bancos de dados de configuração e de conteúdo da Administração Central, adicione esta conta aos seguintes itens para esses bancos de dados:

  • Grupo de usuários

  • Função de banco de dados de WSS_Content_Application_Pools

Após a criação dos bancos de dados de conteúdo do site da Administração de Serviços Compartilhados e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de db_owner

Após a criação de Meus Sites, adicione esta conta ao seguinte para o banco de dados de conteúdo do aplicativo Web de Meus Sites:

  • Grupo de usuários

  • Função de db_owner

Após a criação de cada banco de dados de conteúdo, adicione esta conta ao seguinte:

  • Grupo de usuários

  • Função de db_owner

Conta do Serviço Office SharePoint Server Search

  • Deve ser uma conta de usuário de domínio

  • Não deve ser membro do grupo Administradores de Farm

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração, de conteúdo de administração, do SSP e do Office Server Search.

  • Acesso de controle total à localização dos arquivos de índice em servidores de indexação e acesso de controle total à localização da propagação de Pesquisa em servidores de consulta em um farm do Office SharePoint Server 2007.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Após a criação dos bancos de dados de configuração e de conteúdo da Administração Central, adicione esta conta aos seguintes itens para esses bancos de dados:

  • Grupo de usuários

  • Função WSS_Content_Application_Pools

Após a criação dos bancos de dados do SSP e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de db_owner

Conta de acesso de conteúdo padrão

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

  • Acesso de leitura para fontes de conteúdo externo ou protegido que deseja rastrear usando essa conta.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Os itens a seguir são configurados automaticamente:

  • As permissões de Leitura Completa são concedidas automaticamente a bancos de dados de conteúdo hospedados pelo farm de servidores.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Por padrão, em um ambiente de farm de servidores, a conta do serviço Office SharePoint Server Search é usada até que seja especificada uma conta diferente. Após concluir a instalação e executar o assistente de configuração, altere essa conta para uma conta de usuário de domínio.

  • Não forneça à conta padrão de acesso a conteúdo acesso ao serviço de diretório.

Para maior segurança, use outra conta padrão de acesso a conteúdo para cada SSP.

Após a criação dos bancos de dados de configuração e de conteúdo da Administração Central, adicione esta conta aos seguintes itens para esses bancos de dados:

  • Grupo de usuários

  • Função de banco de dados de WSS_Content_Application_Pools

Conta de acesso de conteúdo

  • Acesso de leitura a fontes de conteúdo externo ou seguro que esta conta está configurada para acessar.

  • Para sites que não fazem parte do farm de servidores, esta conta precisa receber explicitamente permissões de Leitura Completa nos aplicativos Web que hospedam os sites.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de acesso padrão de importação de perfil

  • Acesso de leitura ao serviço de diretório

  • Se a opção Habilitar Importação Incremental no Servidor estiver selecionada para uma conexão do Active Directory e o ambiente for o Windows 2000 Server, a conta precisará ter a permissão Replicar Alterações no Active Directory. Essa permissão não é necessária para ambientes Windows Server 2003 Active Directory.

  • Gerenciar permissões de serviços de personalização de Perfis de Usuário

  • Exibir permissões nas entidades usadas nas conexões de importação do Catálogo de Dados Corporativos.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Esta conta pode ser a mesma conta padrão de acesso a conteúdo ou você pode usar outra conta.

  • Use uma conta com acesso de leitura ao serviço de diretório e a permissão de serviços de personalização Gerenciar Perfis de Usuário.

Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Conta de serviço sem supervisão dos Serviços do Excel

Deve ser uma conta de usuário de domínio.

Deve ser uma conta de usuário de domínio.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio ao se conectar a bancos de dados pré-criados

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação na função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Após a criação dos bancos de dados do SSP e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de db_owner

Ao executar a ferramenta de linha de comando Psconfig para iniciar o serviço de Pesquisa do Windows SharePoint Services, a associação será configurada automaticamente nos seguintes itens:

  • Grupo de usuários e função de db_owner para o banco de dados do WSS_Search.

  • Grupo de usuários no banco de dados de configuração.

  • Grupo de usuários no banco de dados de conteúdo da Administração Central.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à diretiva de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Ao executar a ferramenta de linha de comando Psconfig para iniciar o serviço de Pesquisa do Windows SharePoint Services, a associação será configurada automaticamente nos seguintes itens:

  • Grupo de usuários e a função db_owner no banco de dados do WSS_Search.

  • Grupo de usuários no banco de dados de configuração.

  • Grupo de usuários no banco de dados de conteúdo da Administração Central.

Conta de identidade de pool de aplicativos adicional

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio ao se conectar a bancos de dados pré-criados

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação na função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Acesso à leitura e gravação no banco de dados do SSP associado.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web de front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada para cada pool de aplicativos.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Após a criação dos bancos de dados do SSP e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de db_owner

Baixar este manual

Para facilitar a leitura e a impressão, este tópico está incluído no seguinte manual que pode ser baixado:

Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.

Consulte também

Conceitos

Planejar o logon único
Planejar funções de segurança (Office SharePoint Server)