Planen von Administrator- und Dienstkonten in SharePoint Server
**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Letztes Änderungsdatum des Themas:**2017-08-23
Zusammenfassung: Informationen Sie zu den zu verwendenden Konten zur Verwaltung von SharePoint 2013 und SharePoint Server 2016 Bereitstellungsszenarien und-Diensten.
Um SharePoint Server zu installieren, müssen Sie entsprechende Administrator- und Dienstkonten auf Servern mit SharePoint Server und SQL Server haben. Nach der Installation benötigen Sie entsprechende Administrator- und Dienstkonten zu ändern und die Umgebung zu verwalten. Die Konten, die Sie benötigen, für die Durchführung dieser Gruppen von Vorgängen entsprechen nicht unbedingt. In diesem Artikel werden die Konten, die Sie nach der Installation für einen einzelnen Server-Umgebung und einer serverfarmumgebung erfordern.
Wichtig
Verwenden Sie keine Dienstkontonamen, die das Symbol $ enthalten.
Inhalt dieses Artikels:
Informationen zu Administrator- und Dienstkonten
Standardanforderungen für Einzelserver
Standardanforderungen für Serverfarmen
Technische Referenz: Kontoanforderungen nach Szenario
Verwenden Sie diesen Artikel zusammen mit Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.
In diesem Artikel zur Erstbereitstellung von Administrator- und Dienstkonten werden das jeweilige Konto sowie die Berechtigungen beschrieben, die Sie vor dem Ausführen des Setups erteilen müssen.
Die kontoanforderungen für die Verwendung von Secure Store Service in SharePoint Server beschrieben in diesem Artikel nicht. Weitere Informationen finden Sie unter Planen von Secure Store Service in SharePoint Server.
Sicherheitsrollen und die erforderlichen Berechtigungen zum Verwalten von SharePoint Server beschrieben in diesem Artikel nicht.
Informationen zu Administrator- und Dienstkonten
In diesem Abschnitt aufgelistet und beschrieben die Konten, denen Sie zum Verwalten von Servern mit SQL Server oder SharePoint Server berücksichtigen müssen. Die Konten werden nach Bereich gruppiert.
Achten Sie nach dem Abschließen der Installation und Konfiguration von Konten darauf, nicht das lokale Systemkonto zum Ausführen von Verwaltungsaufgaben oder zum Durchsuchen von Websites zu verwenden.
Konten auf Serverfarmebene
Die folgende Tabelle beschreibt die Konten, die zum Konfigurieren von SQL Server-Datenbanksoftware und zum Installieren von SharePoint Server verwendet werden.
Konto | Zweck |
---|---|
SQL Server-Dienstkonto |
SQL Server erfordert dieses Konto während des Setups von SQL Server. Dieses Konto wird für folgende SQL Server-Dienste als Dienstkonto verwendet:
Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste folgendermaßen angezeigt:
|
Setup-Benutzerkonto |
Benutzerkonto, mit dem Folgendes ausgeführt wird: Wenn Sie Microsoft PowerShell-Cmdlets ausführen, die eine Datenbank betreffen, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.
|
Serverfarmkonto |
Dieses Konto wird auch als "Datenbankzugriffskonto" bezeichnet. Dieses Konto hat die folgenden Eigenschaften:
|
Dienstanwendungskonten
In der folgenden Tabelle sind die Konten beschrieben, die zum Einrichten und Konfigurieren einer Dienstanwendung verwendet werden. Planen Sie einen Satz mit einem Anwendungspool und einer Proxygruppe für jede Dienstanwendung, die Sie implementieren möchten.
Weitere Informationen zu Dienstanwendungsendpunkten finden Sie unter Verwenden von Dienstendpunkten.
Hinweis
Excel Services und Benutzerprofilsynchronisierung-service nur auf SharePoint 2013.
Konto | Dienst | Zweck | Anforderungen | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Dienstanwendungsendpunkt |
|
Dieses Konto wird als Identität für den Dienstanwendungsendpunkt-Anwendungspool verwendet. Der Anwendungspool kann zum Hosten mehrerer Dienstanwendungsendpunkte verwendet werden, außer es bestehen bestimmte Isolierungsanforderungen. |
|||||||||||||||||||||||||
Dienstanwendungsendpunkt |
|
Dieses Konto wird als Identität für den Dienstendpunkt-Anwendungspool verwendet. Der Anwendungspool kann zum Hosten mehrerer Dienstanwendungsendpunkten verwendet werden, außer es bestehen bestimmte Isolierungsanforderungen. |
Muss ein Domänenbenutzerkonto sein. |
||||||||||||||||||||||||
Dienstanwendungsendpunkt |
|
Dieses Konto wird als Identität für den Dienstanwendungsendpunkt-Anwendungspool verwendet. Dieses Konto muss das Farmdienstkonto sein, und Konfigurations-Assistent für SharePoint-Produkte erstellt den Anwendungspool automatisch. |
|||||||||||||||||||||||||
Unbeaufsichtigter Dienst |
|
Wird von Arbeitsmappen zum Aktualisieren von Daten verwendet. Dieser Dienst ist erforderlich, wenn in Arbeitsmappenverbindungen für die Authentifizierung "Ohne" angegeben ist oder für die Aktualisierung von Daten nicht von Windows stammende Anmeldeinformationen verwendet werden. |
Muss ein Domänenbenutzerkonto sein. |
||||||||||||||||||||||||
Unbeaufsichtigter Dienst |
|
Wird für die Authentifizierung mit Datenquellen verwendet. |
Muss ein Domänenbenutzerkonto sein. |
||||||||||||||||||||||||
Unbeaufsichtigter Dienst |
|
Mit Dokumenten verwendet, um Daten zu aktualisieren. Es ist erforderlich, beim Herstellen einer Verbindung mit Datenquellen, die außerhalb SharePoint Server wie SQL Server sind. |
|||||||||||||||||||||||||
Standardkonto für den Inhaltszugriff |
|
Das Standardkonto für das Durchforsten von Inhalten. Ein Suchdienstanwendungsadministrator kann Durchforstungsregeln erstellen, um andere Konten für das Durchforsten von bestimmten Inhalten festzulegen. |
Muss über Lesezugriff auf den durchforsteten Inhalt verfügen. Diesem Konto müssen explizit die Berechtigungen "Alles lesen" für Inhalte außerhalb der lokalen Farm erteilt werden. Für Inhaltsdatenbanken in der lokalen Farm werden die Berechtigungen "Alles lesen" automatisch erteilt. |
||||||||||||||||||||||||
Suchdienst |
|
Das Windows-Dienstkonto für den SharePoint Server-Suchdienst. Diese Einstellung gilt für alle Suchdienstanwendungen in der Farm. |
Muss ein Domänenbenutzerkonto sein. |
||||||||||||||||||||||||
Benutzerprofil-Synchronisierungsdienst |
|
Hierbei handelt es sich um das Windows-Dienstkonto für den Benutzerprofil-Synchronisierungsdienst. |
Muss über die Berechtigung zum lokalen Anmelden an dem Computer verfügen, auf dem die Instanz des Benutzerprofil-Synchronisierungsdiensts ausgeführt wird. |
||||||||||||||||||||||||
Synchronisierungsverbindung |
|
Dieses Konto wird zum Ausführen der Synchronisation mit dem Remoteverzeichnisdienst verwendet. Pro Synchronisierungsverbindung ist ein Konto möglich. |
Berechtigungen "Verzeichnisänderungen replizieren" für die synchronisierten Domänen. Berechtigungen "Verzeichnisänderungen replizieren" auf der Konfigurationspartition der synchronisierten Domänen, wenn der NetBIOS-Name und der vollqualifizierte Domänenname (FQDN) nicht übereinstimmen. |
||||||||||||||||||||||||
App-Verwaltungsdienst |
|
Mit diesem Konto können Sie SharePoint-Apps aus dem SharePoint Store oder dem App-Katalog installieren. |
|||||||||||||||||||||||||
PowerPoint-Konvertierungsdienst |
|
Dieses Konto konvertiert Microsoft PowerPoint-Präsentationen in verschiedene Formate. |
|||||||||||||||||||||||||
Maschineller Übersetzungsdienst |
|
Dieses Konto führt automatische maschinelle Übersetzungen durch. |
|||||||||||||||||||||||||
Access Services 2013 |
|
Mit diesem Konto werden Access 2013-Datenbanken in einem Browser angezeigt, bearbeitet und mit diesen interagiert. |
|||||||||||||||||||||||||
Arbeitsverwaltung |
|
Mit diesem Konto ist die Vorgangsaggregation über mehrere Arbeitsverwaltungssysteme hinweg möglich, darunter SharePoint-Produkte, Microsoft Exchange Server und Microsoft Project Server. |
|||||||||||||||||||||||||
Verteilter Cache |
|
Dieses Konto bietet die speicherinterne caching Services an verschiedenen Funktionen in SharePoint Server. Einige der Features, mit denen den verteilte Cachedienst umfassen:
|
Zusätzliche Anwendungspool-Identitätskonten
Wenn Sie zusätzliche Anwendungspools für das Hosten von Websites erstellen, planen Sie auch zusätzliche Anwendungspool-Identitätskonten. In der folgenden Tabelle ist das Anwendungspool-Identitätskonto beschrieben. Planen Sie ein Anwendungspool-Identitätskonto pro Anwendungspool, den Sie implementieren möchten.
Konto | Zweck |
---|---|
Anwendungspoolidentität |
Das Benutzerkonto, das die Arbeitsprozesse, von denen der Anwendungspool bedient wird, als Prozessidentität verwenden. Das Konto dient dem Zugriff auf Inhaltsdatenbanken, die den Webanwendungen zugeordnet sind, die sich im Anwendungspool befinden. |
Standardanforderungen für Einzelserver
Wenn die Bereitstellung auf einem einzelnen Servercomputer erfolgt, fallen nur minimale Kontoanforderungen an. In einer Evaluierungsumgebung können Sie ein Konto für alle Kontozwecke verwenden. In einer Produktionsumgebung müssen Sie sicherstellen, dass die erstellten Konten ihrem Zweck entsprechende geeignete Berechtigungen aufweisen.
Eine Liste mit Kontoberechtigungen für Einzelserverumgebungen finden Sie unter Erstmalige Bereitstellung von Administrator- und Dienstkonten in SharePoint Server.
Serverfarmanforderungen
Wenn die Bereitstellung auf mehreren Servercomputern erfolgt, verwenden Sie die Informationen zu den Standardanforderungen für Serverfarmen, um sicherzustellen, dass die Konten die erforderlichen Berechtigungen aufweisen, damit sie die ihnen zugewiesenen Prozesse auf mehreren Computern ausführen können. In den Standardanforderungen für Serverfarmen wird ausführlich die Mindestkonfiguration beschrieben, die für den Betrieb in einer Serverfarmumgebung erforderlich ist.
Eine Liste der Standardanforderungen für Serverfarmumgebungen finden Sie in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.
Für manche Konten werden zusätzliche Berechtigungen oder der Zugriff auf Datenbanken konfiguriert, wenn Sie das Setup ausführen. Diese werden im Kontoplanungstool genannt. Eine wichtige Konfiguration, von der Datenbankadministratoren Kenntnis haben sollten, ist das Hinzufügen der Datenbankrolle WSS_Content_Application_Pools. Diese Rolle wird während des Setups den folgenden Datenbanken hinzugefügt:
Datenbank SharePoint_Config (Konfigurationsdatenbank)
Datenbank SharePoint_AdminContent
Mitglieder der Datenbankrolle WSS_Content_Application_Pools erhalten die Berechtigung zum Ausführen für eine Untermenge der gespeicherten Prozeduren für die Datenbank. Zudem erhalten Mitglieder dieser Rolle die Berechtigung zum Auswählen für die Versionstabelle (dbo.Versions) in der SharePoint_AdminContent-Datenbank.
Für andere Datenbanken gibt das Kontoplanungstool an, dass der Zugriff zum Lesen aus diesen Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert.
Technische Referenz: Kontoanforderungen nach Szenario
In diesem Abschnitt werden die Kontoanforderungen nach Szenario aufgeführt:
Standardanforderungen für Einzelserver
Standardanforderungen für Serverfarmen
Standardanforderungen für Einzelserver
Konten auf Serverfarmebene
Konto | Anforderungen |
---|---|
SQL Server-Dienst |
Lokales Systemkonto (Standard) |
Setupbenutzer |
Mitglied der Administratorengruppe auf dem lokalen Computer |
Serverfarm |
Netzwerkdienst (Standard) Keine manuelle Konfiguration erforderlich |
Dienstanwendungskonten
Wichtig
Konten in dieser Tabelle gelten nur für SharePoint Server.
Konto | Anforderungen |
---|---|
SharePoint Server-Suchdienst |
Dieses Konto wird standardmäßig als das lokale Systemkonto ausgeführt. Wenn Sie Remoteinhalte durch Ändern des Standardkontos für den Inhaltszugriff oder die Verwendung von Durchforstungsregeln durchforsten möchten, ändern Sie dieses Konto zu einem Domänenbenutzerkonto. Wenn Sie dieses Konto nicht zu einem Domänenbenutzerkonto ändern, können Sie das Standardkonto für den Inhaltszugriff nicht zu einem Domänenbenutzerkonto ändern oder Durchforstungsregeln für diesen Inhalt hinzufügen. Diese Einschränkung dient dazu, Rechteerweiterungen für alle anderen Prozesse zu verhindern, die als lokales Systemkonto ausgeführt werden. |
Standardkonto für den Inhaltszugriff |
Wenn dieses Konto ausschließlich für das Durchforsten von lokalem Farminhalt verwendet wird, ist keine manuelle Konfiguration erforderlich. Wenn Sie Remoteinhalt mithilfe von Durchforstungsregeln durchforsten möchten, ändern Sie dieses Konto in ein Domänenbenutzerkonto, und wenden Sie die für eine Serverfarm aufgeführten Anforderungen an. |
Inhaltszugriff |
Es gelten dieselben Anforderungen wie für das Standardkonto für den Inhaltszugriff. |
Profilimport-Standardzugriff |
Es gelten dieselben Anforderungen wie für eine Serverfarm. |
Unbeaufsichtigter Excel Services-Dienst |
Muss ein Domänenbenutzerkonto sein. |
Zusätzliche Anwendungspool-Identitätskonten
Konto | Anforderungen |
---|---|
Anwendungspoolidentität |
Keine manuelle Konfiguration erforderlich Für die im Rahmen des Setups und der Konfiguration erstellte Standardwebsite wird das Netzwerkdienstkonto verwendet. |
Serverfarm-Standardanforderungen
Konten auf Serverfarmebene
Wichtig
Die Konten in dieser Tabelle gelten nur für SharePoint Server.
Konto | Anforderungen |
---|---|
SQL Server-Dienstkonto |
Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto. Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto standardmäßig die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind. Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto ((<Domänenname>\<SQL_Hostname>) Berechtigungen für die externe Ressource. |
Setup-Benutzerkonto |
Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein. |
Serverfarmkonto |
Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt. Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:
Hinweis Wenn Sie den Secure Store Service konfigurieren, erhält das Serverfarmkonto nicht automatisch db_owner-Zugriff auf die Secure Store Service-Datenbank. |
Dienstkonten für Dienstanwendungen
Wichtig
Die Konten in dieser Tabelle gelten nur für SharePoint Server.
Konto | Anforderungen |
---|---|
SharePoint Server-Suchdienstkonto |
Folgendes wird automatisch konfiguriert:
|
Standardkonto für den Inhaltszugriff |
Folgendes wird automatisch konfiguriert:
|
Inhaltszugriffskonto |
|
Profilimport-Standardzugriffskonto |
|
Unbeaufsichtigtes Excel Services-Dienstkonto |
Muss ein Domänenbenutzerkonto sein. |
Zusätzliche Anwendungspool-Identitätskonten
Konto | Anforderungen |
---|---|
Anwendungspoolidentität |
Keine manuelle Konfiguration erforderlich Folgendes wird automatisch konfiguriert:
|