Planeación de cuentas de servicio y administrativas (Windows SharePoint Services)
En este artículo:
Cuentas administrativas y de servicio
Requisitos estándar de servidores únicos
Requisitos estándar de granjas de servidores
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Referencia técnica: requisitos de cuentas por escenario
En este artículo se describen las cuentas que debe planear y los escenarios de implementación que afectan a los requisitos de cuentas.
Use este artículo con la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés). Esta herramienta de planeación enumera los requisitos de cada cuenta según el escenario de implementación. Los requisitos también se enumeran en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
Los requisitos de cuentas detallan los permisos específicos que debe conceder antes de ejecutar el programa de instalación. En algunos casos, los permisos adicionales que se conceden automáticamente al ejecutar el programa de instalación se indican en la herramienta de planeación.
En este artículo no se describen las funciones y los permisos de seguridad necesarios para administrar Windows SharePoint Services 3.0. Para obtener más información, vea Planeación de funciones de seguridad (Windows SharePoint Services).
Cuentas administrativas y de servicio
En esta sección se enumeran y se describen las cuentas que debe prever. Las cuentas se encuentran agrupadas por ámbito. Si el ámbito es limitado, posiblemente tenga que planear varias cuentas para esta categoría.
Después de completar la instalación y la configuración de las cuentas, asegúrese de no usar la cuenta Sistema local para realizar tareas administrativas o explorar sitios. Por ejemplo, no use la misma cuenta que se usa para ejecutar el programa de instalación para realizar tareas administrativas.
Cuentas en el nivel de la granja de servidores
En la tabla siguiente se incluyen las cuentas que se usan para configurar el software de base de datos Microsoft SQL Server y para instalar Windows SharePoint Services 3.0.
| Cuenta | Propósito |
|---|---|
Cuenta de servicio de SQL Server |
SQL Server, durante su instalación, solicita esta cuenta, que se usará como cuenta de servicio para los siguientes servicios de SQL Server:
Si no usa la instancia predeterminada, estos servicios se mostrarán del siguiente modo:
|
Cuenta de usuario de programa de instalación |
La cuenta de usuario que se usa para ejecutar:
|
Cuenta de la granja de servidores |
También se hace referencia a esta cuenta como cuenta de acceso a la base de datos. Esta cuenta es:
|
Cuentas de búsqueda de Windows SharePoint Services
En la tabla siguiente se describen las cuentas que se usan para instalar y configurar la búsqueda de Windows SharePoint Services.
| Cuenta | Propósito |
|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
Se usa como la cuenta de servicio para el servicio de búsqueda de Windows SharePoint Services. Hay una instancia de este servicio en cada servidor de búsqueda. Normalmente, una granja de servidores incluirá sólo un servidor de búsqueda. |
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
La función Servidor de aplicaciones de la búsqueda de Windows SharePoint Services la usa para rastrear contenido entre sitios. Planear varias cuentas si la granja de servidores incluye varios equipos de servidor de búsqueda. Esto no es común. |
Cuentas de identidad del grupo de aplicaciones adicionales
Si crea grupos de aplicaciones adicionales para hospedar sitios, planee cuentas de identidad del grupo de aplicaciones adicionales. En la tabla siguiente se describe la cuenta de identidad del grupo de aplicaciones. Planee una cuenta del grupo de aplicaciones para cada grupo de aplicaciones que vaya a implementar.
| Cuenta | Propósito |
|---|---|
Identidad del grupo de aplicaciones |
La cuenta de usuario que usan como identidad del proceso los procesos de trabajo que atienden al grupo de aplicaciones. Esta cuenta se usa para obtener acceso a las bases de datos de contenido asociadas con las aplicaciones web que residen en el grupo de aplicaciones. |
Requisitos estándar de servidores únicos
Si va a realizar la implementación en un único equipo servidor, los requisitos de cuentas se ven drásticamente reducidos. En un entorno de evaluación, puede usar una única cuenta para todos los propósitos de cuentas. En un entorno de producción, asegúrese de que las cuentas que cree tengan los permisos adecuados para sus propósitos.
Para obtener una lista de permisos de cuenta para entornos de servidor individuales, vea la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés) o vea los requisitos enumerados en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
Requisitos para una granja de servidores
Si va a implementar más de un equipo servidor, use los requisitos estándar para granjas de servidores para asegurarse de que las cuentas tengan los permisos necesarios para realizar sus procesos en varios equipos. Los requisitos estándar para granjas de servidores detallan la configuración mínima necesaria para las operaciones en un entorno de granjas de servidores. Para un entorno más seguro, considere la posibilidad de usar los requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio.
Para obtener una lista de requisitos estándar para entornos de granja de servidores, vea la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés) o vea los requisitos enumerados en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
En el caso de algunas cuentas, al ejecutar el programa de instalación se configuran permisos adicionales o el acceso a las bases de datos. Éstos se indican en la herramienta de planeación de cuentas. Una configuración importante que deben tener en cuenta los administradores de bases de datos es la adición de la función de base de datos WSS_Content_Application_Pools. El programa de instalación agrega esta función a las siguientes bases de datos:
Base de datos SharePoint_Config (base de datos de configuración)
Base de datos SharePoint_AdminContent
A los miembros de la función de base de datos WSS_Content_Application_Pools se les concede el permiso de ejecución sobre un subconjunto de los procedimientos almacenados de la base de datos. Asimismo, a los miembros de esta función se les concede el permiso de selección sobre la tabla de versiones (dbo.Versions) de la base de datos SharePoint_AdminContent.
Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura a estas bases de datos se configura automáticamente. En algunos casos, también se configura automáticamente el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos a los procedimientos almacenados. Para la base de datos SharePoint_Config, por ejemplo, el acceso a los siguientes procedimientos almacenados se configura automáticamente:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
La administración con privilegios mínimos es una práctica de seguridad recomendada en la que cada servicio o usuario recibe sólo los privilegios mínimos necesarios para completar las tareas que están autorizados a realizar. Esto significa que cada servicio recibe acceso sólo a los recursos que son necesarios para su propósito. Los requisitos mínimos para lograr este objetivo de diseño incluyen los siguientes:
Se usan cuentas separadas para distintos servicios y procesos.
Ningún servicio de ejecución ni cuenta de proceso se ejecuta con permisos de administrador local.
Al usar cuentas de servicio separadas para cada servicio y limitar los permisos asignados a cada cuenta, se reducen las posibilidades de que un usuario o proceso malintencionado ponga en peligro su entorno.
La administración con privilegios mínimos con cuentas de usuario de dominio es la configuración recomendada para la mayoría de entornos.
Para obtener una lista de los requisitos de administración con privilegios mínimos con cuentas de usuario de dominio, vea la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés) o vea los requisitos enumerados en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
En los entornos en que la autenticación de SQL es un requisito, puede aplicar el principio de administración con privilegios mínimos. En este escenario:
La autenticación de SQL se usa en todas las bases de datos que se creen.
Todas las demás cuentas de administración y servicio se crean como cuentas de usuario de dominio.
Instalación y configuración
El uso de la autenticación de SQL requiere pasos de instalación y configuración adicionales:
Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL Server en SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Estas cuentas deben crearse antes de crear cualquier base de datos, incluida la base de datos de configuración y la base de datos AdminContent.
Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Para crear una granja de servidores o unir un equipo a una granja de servidores, especifique el inicio de sesión de SQL Server que creó para estas bases de datos como el valor dbusername y dbpassword. Se usa el mismo inicio de sesión de SQL Server para obtener acceso a ambas bases de datos.
Puede crear bases de datos de contenido adicionales en Administración central si selecciona la opción Autenticación de SQL. Sin embargo, primero debe crear las cuentas de inicio de sesión de SQL Server en SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.
Proteja todas las comunicaciones con los servidores de base de datos mediante la Capa de sockets seguros (SSL) o el protocolo de seguridad de Internet (IPsec).
Cuando se usa la autenticación de SQL:
Las cuentas de inicio de sesión de SQL Server se cifran en el Registro de los servidores web y los servidores de aplicaciones.
La cuenta de la granja de servidores no se usa para obtener acceso a la base de datos de configuración y la base de datos SharePoint_AdminContent. En su lugar se usan las cuentas de inicio de sesión de SQL Server correspondientes.
Creación de cuentas de servicio y de administración
Para obtener una lista de los requisitos de administración de privilegios mínimos con la autenticación de SQL, vea la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés) o vea los requisitos enumerados en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
Creación de inicios de sesión de SQL Server
Antes de crear bases de datos, cree los inicios de sesión de SQL Server para cada una de las bases de datos. Se crean dos inicios de sesión para las bases de datos de configuración y SharePoint_AdminContent. Cree un inicio de sesión para cada base de datos de contenido.
En la siguiente tabla se incluyen los inicios de sesión que deben crearse. La columna Inicio de sesión indica la cuenta que se especifica o crea para el inicio de sesión de SQL Server. Para el primer inicio de sesión, debe especificar la cuenta de usuario de instalación. Para todos los demás inicios de sesión, se crea una nueva cuenta de inicio de sesión de SQL Server. Para estos inicios de sesión, la columna Inicio de sesión proporciona un nombre de cuenta de ejemplo.
| Inicio de sesión | Base de datos | Derechos de SQL |
|---|---|---|
Cuenta de usuario de programa de instalación |
Bases de datos de configuración y SharePoint_AdminContent |
Especifique la autenticación de Windows al crear el inicio de sesión. |
<*CuentaBaseDatosAdministraciónConfiguración*> |
Bases de datos de configuración y SharePoint_AdminContent |
|
<*Cuenta_BaseDatos_WSSSearch*> |
Base de datos WSS_Search |
|
<*Cuenta1_BaseDatos_Contenido*> |
Bases de datos de contenido |
|
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
En los entornos en que las bases de datos son creadas previamente por un administrador de bases de datos, puede aplicar el principio de administración con privilegios mínimos. En este escenario:
Las cuentas de administración y servicio se crean como cuentas de usuario de dominio.
Se crean inicios de sesión de SQL Server para las cuentas que se usan para configurar las bases de datos.
Un administrador de bases de datos crea las bases de datos.
Para obtener más información acerca de la implementación de Windows SharePoint Services 3.0 mediante bases de datos vacías creadas previamente, vea Implementación mediante bases de datos creadas con DBA (Windows SharePoint Services).
Creación de cuentas de servicio y de administración
Para obtener una lista de requisitos de administración de privilegios mínimos al conectarse a una base de datos existente en blanco, vea la herramienta de planeación de requisitos de cuenta de seguridad de Windows SharePoint Services (en inglés) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0xC0A) (en inglés) o vea los requisitos enumerados en la sección Referencia técnica: requisitos de cuenta por escenario de este artículo.
Creación de inicios de sesión de SQL Server
Antes de crear bases de datos, cree inicios de sesión de SQL Server para cada una de las cuentas que tendrá acceso a las bases de datos. La herramienta de planeación de cuentas detalla los permisos específicos que se configuran para cada cuenta. Para obtener instrucciones acerca de cómo crear y conceder permisos a bases de datos, vea Implementación mediante bases de datos creadas con DBA (Windows SharePoint Services).
En la siguiente tabla se incluyen los inicios de sesión que deben crearse. La columna Base de datos indica las bases de datos que se configuran con permisos para cada cuenta de inicio de sesión. Para cada inicio de sesión, especifique la autenticación de Windows al crear el inicio de sesión.
Inicio de sesión |
Base de datos |
Cuenta de usuario de instalación (usuario de ejecución para la herramienta de línea de comandos Psconfig) |
Todas las bases de datos |
Cuenta de la granja de servidores (cuenta de acceso a la base de datos de Office SharePoint Server) |
|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
|
Identidad del grupo de aplicaciones para bases de datos de contenido adicionales |
|
Referencia técnica: requisitos de cuentas por escenario
En esta sección se incluyen los requisitos de cuentas por escenario:
Requisitos estándar de servidores únicos
Requisitos estándar de granjas de servidores
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Requisitos estándar de servidores únicos
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de SQL Server |
Cuenta Sistema local (predeterminada) |
Cuenta de usuario de programa de instalación |
Miembro del grupo Administradores en el equipo local |
Cuenta de la granja de servidores |
Servicio de red (predeterminada) No se requiere la configuración manual. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
De manera predeterminada, esta cuenta se ejecuta como la cuenta Sistema local. |
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
No debe pertenecer al grupo de administradores de granjas de servidores. Los siguientes elementos se configuran automáticamente:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos |
|---|---|
Identidad del grupo de aplicaciones |
No se requiere la configuración manual. La cuenta Servicio de red se usa para el sitio web predeterminado que se crea durante la instalación y la configuración. |
Requisitos estándar de granjas de servidores
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Cuenta de usuario de programa de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota si configura el servicio de Inicio de sesión único de Microsoft, la cuenta de la granja de servidores no tendrá acceso db_owner de forma automática a la base de datos de SSO |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos |
|---|---|
Identidad del grupo de aplicaciones |
No se requiere la configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de usuario de programa de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere la configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Nota Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL Server en Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Estas cuentas deben crearse antes de crear cualquier base de datos de contenido, incluida la base de datos de configuración y la base de datos SharePoint_AdminContent. Cree un inicio de sesión de SQL Server para la base de datos de configuración y la base de datos SharePoint_AdminContent. |
Cuenta de usuario de programa de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Nota Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Para crear una granja de servidores o unir un equipo a una granja de servidores, especifique el inicio de sesión de SQL Server que creó para estas bases de datos como el valor dbusername y dbpassword. Se usa el mismo inicio de sesión de SQL Server para obtener acceso a ambas bases de datos. Todas las demás bases de datos de contenido pueden crearse en Administración central si selecciona la opción de autenticación de SQL. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere la configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory.
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de usuario de programa de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Esta cuenta se usa para configurar bases de datos. Después de crear cada base de datos, cambie el propietario de la base de datos (dbo o db_owner) a la cuenta de usuario de instalación. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos del proveedor de servicios compartidos (SSP) y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
|
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Cuenta de servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Al ejecutar la herramienta de línea de comandos Psconfig para iniciar el servicio de búsqueda de Windows SharePoint Services, la pertenencia se configura automáticamente en los siguientes elementos:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Al ejecutar la herramienta de línea de comandos Psconfig para iniciar el servicio de búsqueda de Windows SharePoint Services, la pertenencia se configura automáticamente en los siguientes elementos:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere la configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar para las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos del SSP y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
|
Descarga de este libro
Este tema se incluye en el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página de libros descargables para Windows SharePoint Services.
Vea también
Conceptos
Planeación de funciones de seguridad (Windows SharePoint Services)