Planeación de cuentas administrativas y de servicio (Office SharePoint Server)
En este artículo:
Acerca de las cuentas administrativas y de servicio
Requisitos estándar de servidores únicos
Requisitos estándar de granjas de servidores
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Referencia técnica: requisitos de cuentas por escenario
En este artículo se describen las cuentas que debe planear y los escenarios de implementación que afectan a los requisitos de cuentas.
Use este artículo con la siguiente herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés). Esta herramienta de planeación enumera los requisitos de cada cuenta basándose en el escenario de implementación. Los requisitos también se enumeran en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
Los requisitos de cuentas detallan los permisos específicos que debe conceder antes de ejecutar el programa de instalación. En algunos casos, los permisos adicionales que se conceden automáticamente al ejecutar el programa de instalación se indican en la herramienta de planeación.
En este artículo no se describen los requisitos de cuentas para usar el inicio de sesión único (SSO) en Microsoft Office SharePoint Server 2007. Para obtener más información, vea Planeación del inicio de sesión único (SSO).
En este artículo no se describen las funciones y los permisos de seguridad necesarios para administrar Office SharePoint Server 2007. Para obtener más información, vea Planeación de funciones de seguridad (Office SharePoint Server).
Acerca de las cuentas administrativas y de servicio
En esta sección se enumeran y se describen las cuentas que debe planear. Las cuentas se encuentran agrupadas por ámbito. Si el ámbito es limitado, posiblemente tenga que planear varias cuentas para esta categoría.
Por ejemplo, si va a implementar varios proveedores de servicios compartidos (SSP), debe designar varias cuentas de SSP.
Después de completar la instalación y la configuración de las cuentas, asegúrese de no usar la cuenta Sistema local para realizar tareas administrativas o explorar sitios. Por ejemplo, no use la misma cuenta que se usa para ejecutar el programa de instalación para realizar tareas administrativas.
Cuentas en el nivel de la granja de servidores
En la tabla siguiente se incluyen las cuentas que se usan para configurar el software de base de datos Microsoft SQL Server y para instalar Office SharePoint Server 2007.
| Cuenta | Propósito |
|---|---|
Cuenta de servicio de SQL Server |
SQL Server, durante su instalación, solicita esta cuenta, que se usará como cuenta de servicio para los siguientes servicios de SQL Server:
Si no usa la instancia predeterminada, estos servicios se mostrarán del siguiente modo:
|
Cuenta de usuario de instalación |
La cuenta de usuario que se usa para ejecutar:
|
Cuenta de la granja de servidores |
También se hace referencia a esta cuenta como cuenta de acceso a la base de datos. Esta cuenta es:
|
Cuentas de SSP
En la tabla siguiente se describen las cuentas que se usan para instalar y configurar un SSP. Planee un conjunto de cuentas de SSP para cada SSP que tenga previsto implementar.
| Cuenta | Propósito |
|---|---|
Cuenta del grupo de aplicaciones del SSP |
Cuenta del grupo de aplicaciones del sitio de administración del SSP. Esta cuenta se usa para ejecutar el grupo de aplicaciones para la aplicación web que hospeda el sitio de administración del SSP. |
Cuenta de servicio del SSP |
La usan:
|
Cuenta del servicio Office SharePoint Server Search |
Se usa como cuenta de servicio del servicio Office SharePoint Server Search. Sólo hay una instancia de este servicio y la usan todos los SSP para escribir archivos de índice de contenido en la ubicación del índice de los servidores de indexación, así como para propagar el índice que permite búsquedas a todos los servidores de consulta en una granja de servidores de Microsoft Office SharePoint Server 2007. |
Cuenta predeterminada de acceso al contenido |
Cuenta predeterminada usada dentro de un SSP específico para rastrear contenido, a menos que se especifique un método de autenticación diferente mediante un regla de rastreo para una dirección URL o un patrón de URL. |
Cuenta de acceso al contenido |
Cuenta específica configurada para obtener acceso a un origen de contenido. Esta cuenta es opcional y se especifica cuando se crea una nueva regla de rastreo. Por ejemplo, es posible que los orígenes de contenido que son externos a Office SharePoint Server 2007 (como un recurso compartido de archivos) requieran una cuenta de acceso distinta. |
Cuenta de acceso predeterminada para importación de perfiles |
Se usa para:
Si no se especifica ninguna cuenta, se usa la cuenta predeterminada de acceso al contenido. Si la cuenta predeterminada de acceso al contenido no tiene acceso de lectura al directorio o los directorios desde los que desea importar los datos, prevea el uso de una cuenta distinta. Puede prever el uso de una cuenta como máximo por conexión de directorio. |
Cuenta de servicio desatendida de Excel Services |
Cuenta que usa Excel Calculation Services para conectarse a los orígenes de datos externos que requieren una cadena de nombre de usuario y contraseña distinta de Windows para la autenticación. Si no se configura esta cuenta, Excel Services no intentará conectarse a estos tipos de orígenes de datos. Aunque las credenciales de cuenta se usan para conectarse a orígenes de datos que no son de Windows, la cuenta debe pertenecer al dominio para que Excel Calculation Services pueda usarla. |
Cuentas de búsqueda de Windows SharePoint Services
En la tabla siguiente se describen las cuentas que se usan para instalar y configurar la búsqueda de Windows SharePoint Services. En Office SharePoint Server 2007, este servicio se conoce como Búsqueda en la Ayuda de Windows SharePoint Services porque se usa para ofrecer funcionalidad de búsqueda en la Ayuda. Si va a instalar Office SharePoint Server 2007, prepare estas cuentas sólo si piensa implementar el servicio para realizar búsquedas en el contenido de la Ayuda.
| Cuenta | Propósito |
|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
Se usa como cuenta de servicio del servicio Búsqueda en la Ayuda de Windows SharePoint Services. Sólo hay una instancia de este servicio en una granja de servidores y se usa para escribir archivos de índice de contenido en la ubicación del índice de los servidores de indexación, así como para propagar el índice que permite búsquedas a todos los servidores de consulta en una granja de servidores de Office SharePoint Server 2007. |
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
La función Servidor de aplicaciones de búsqueda de Windows SharePoint Services la usa para rastrear contenido entre sitios. |
Cuentas de identidad del grupo de aplicaciones adicionales
Si crea grupos de aplicaciones adicionales para hospedar sitios, planee cuentas de identidad del grupo de aplicaciones adicionales. En la tabla siguiente se describe la cuenta de identidad del grupo de aplicaciones. Planee una cuenta del grupo de aplicaciones para cada grupo de aplicaciones que vaya a implementar.
| Cuenta | Propósito |
|---|---|
Identidad del grupo de aplicaciones |
La cuenta de usuario que usan como identidad del proceso los procesos de trabajo que atienden al grupo de aplicaciones. Esta cuenta se usa para obtener acceso a las bases de datos de contenido asociadas con las aplicaciones web que residen en el grupo de aplicaciones. |
Requisitos estándar de servidores únicos
Si va a realizar la implementación en un único equipo servidor, los requisitos de cuentas se ven drásticamente reducidos. En un entorno de evaluación, puede usar una única cuenta para todos los propósitos de cuentas. En un entorno de producción, asegúrese de que las cuentas que cree tengan los permisos adecuados para sus propósitos.
Para ver una lista de los permisos de cuenta para entornos con un solo servidor, vea la herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés), o vea los requisitos que se incluyen en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
Requisitos de una granja de servidores
Si va a implementar más de un equipo servidor, use los requisitos estándar de granjas de servidores para asegurarse de que las cuentas tengan los permisos necesarios para realizar sus procesos en varios equipos. Los requisitos estándar de granjas de servidores detallan la configuración mínima necesaria para las operaciones en un entorno de granjas de servidores. Para un entorno más seguro, considere la posibilidad de usar los requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio.
Para ver una lista de los requisitos estándar para los entornos de granja de servidores, vea la herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés), o vea los requisitos que se incluyen en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
En el caso de algunas cuentas, al ejecutar el programa de instalación se configuran permisos adicionales o el acceso a las bases de datos. Éstos se indican en la herramienta de planeación de cuentas. Una configuración importante que deben tener en cuenta los administradores de bases de datos es la adición de la función de base de datos WSS_Content_Application_Pools. El programa de instalación agrega esta función a las siguientes bases de datos:
Base de datos SharePoint_Config (base de datos de configuración)
Base de datos SharePoint_AdminContent
A los miembros de la función de base de datos WSS_Content_Application_Pools se les concede el permiso de ejecución sobre un subconjunto de los procedimientos almacenados de la base de datos. Asimismo, a los miembros de esta función se les concede el permiso de selección sobre la tabla de versiones (dbo.Versions) de la base de datos SharePoint_AdminContent.
Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura a estas bases de datos se configura automáticamente. En algunos casos, también se configura automáticamente el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos a los procedimientos almacenados. Para la base de datos SharePoint_Config, por ejemplo, el acceso a los siguientes procedimientos almacenados se configura automáticamente:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
La administración con privilegios mínimos es una práctica de seguridad recomendada en la que cada servicio o usuario recibe sólo los privilegios mínimos necesarios para completar las tareas que están autorizados a realizar. Esto significa que cada servicio recibe acceso sólo a los recursos que son necesarios para su propósito. Los requisitos mínimos para lograr este objetivo de diseño incluyen los siguientes:
Se usan cuentas separadas para distintos servicios y procesos.
Ningún servicio de ejecución ni cuenta de proceso se ejecuta con permisos de administrador local.
Al usar cuentas de servicio separadas para cada servicio y limitar los permisos asignados a cada cuenta, se reducen las posibilidades de que un usuario o proceso malintencionado ponga en peligro su entorno.
La administración con privilegios mínimos con cuentas de usuario de dominio es la configuración recomendada para la mayoría de entornos.
Para ver una lista de los requisitos de administración con privilegios mínimos con cuentas de usuario de dominio, vea la herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés), o vea los requisitos que se incluyen en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
En los entornos en que la autenticación de SQL es un requisito, puede aplicar el principio de administración con privilegios mínimos. En este escenario:
La autenticación de SQL se usa en todas las bases de datos que se creen.
Todas las demás cuentas de administración y servicio se crean como cuentas de usuario de dominio.
Instalación y configuración
El uso de la autenticación de SQL requiere pasos de instalación y configuración adicionales:
Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL Server en SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Estas cuentas deben crearse antes de crear cualquier base de datos, incluidas la base de datos de configuración y la base de datos AdminContent.
Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Para crear una granja de servidores o unir un equipo a una granja de servidores, especifique el inicio de sesión de SQL Server que creó para estas bases de datos como el valor dbusername y dbpassword. Se usa el mismo inicio de sesión de SQL Server para obtener acceso a ambas bases de datos.
Puede crear bases de datos de contenido adicionales en Administración central si selecciona la opción Autenticación de SQL. Sin embargo, primero debe crear las cuentas de inicio de sesión de SQL Server en SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.
Proteja todas las comunicaciones con los servidores de base de datos mediante la Capa de sockets seguros (SSL) o el protocolo de seguridad de Internet (IPsec).
Cuando se usa la autenticación de SQL:
Las cuentas de inicio de sesión de SQL Server se cifran en el Registro de los servidores web y los servidores de aplicaciones.
La cuenta de la granja de servidores no se usa para obtener acceso a la base de datos de configuración y la base de datos SharePoint_AdminContent. En su lugar se usan las cuentas de inicio de sesión de SQL Server correspondientes.
Creación de cuentas de servicio y de administración
Para ver una lista de los requisitos de administración con privilegios mínimos con autenticación de SQL, vea la herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés), o vea los requisitos que se incluyen en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
Creación de inicios de sesión de SQL Server
Antes de crear bases de datos, cree los inicios de sesión de SQL Server para cada una de las bases de datos. Se crean dos inicios de sesión para las bases de datos de configuración y SharePoint_AdminContent. Cree un inicio de sesión para cada base de datos de contenido.
En la siguiente tabla se incluyen los inicios de sesión que deben crearse. La columna Inicio de sesión indica la cuenta que se especifica o crea para el inicio de sesión de SQL Server. Para el primer inicio de sesión, debe especificar la cuenta de usuario de instalación. Para todos los demás inicios de sesión, se crea una nueva cuenta de inicio de sesión de SQL Server. Para estos inicios de sesión, la columna Inicio de sesión proporciona un nombre de cuenta de ejemplo.
| Inicio de sesión | Base de datos | Derechos de SQL |
|---|---|---|
Cuenta de usuario de instalación |
Bases de datos de configuración y SharePoint_AdminContent |
Especifique la autenticación de Windows al crear el inicio de sesión. |
<*cuentaBaseDatosAdministraciónConfiguración*> |
Bases de datos de configuración y SharePoint_AdminContent |
|
<*cuenta_baseDeDatos_SSP*> |
Base de datos del SSP |
|
<*cuenta_baseDeDatosDeBúsquedaDeSSP*> |
Base de datos de búsqueda del SSP |
|
<*cuenta_baseDeDatos_WSSSearch*> |
Base de datos WSS_Search |
|
<*cuenta1_baseDeDatos_contenido*> |
Bases de datos de contenido |
|
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
En los entornos en que las bases de datos son creadas previamente por un administrador de bases de datos, puede aplicar el principio de administración con privilegios mínimos. En este escenario:
Las cuentas de administración y servicio se crean como cuentas de usuario de dominio.
Se crean inicios de sesión de SQL Server para las cuentas que se usan para configurar las bases de datos.
Un administrador de bases de datos crea las bases de datos.
Para obtener más información acerca de la implementación de Office SharePoint Server 2007 mediante bases de datos vacías creadas previamente, vea Implementación del uso de bases de datos creadas por DBA (Office SharePoint Server).
Creación de cuentas de servicio y de administración
Para ver una lista de los requisitos de administración con privilegios mínimos al conectarse con una base de datos vacía existente, vea la herramienta de planeación en la página sobre los requisitos de la cuenta de seguridad de Office SharePoint Server (en inglés) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0xC0A) (en inglés), o vea los requisitos que se incluyen en la sección Referencia técnica: requisitos de cuentas por escenario de este artículo.
Creación de inicios de sesión de SQL Server
Antes de crear bases de datos, cree inicios de sesión de SQL Server para cada una de las cuentas que tendrá acceso a las bases de datos. La herramienta de planeación de cuentas detalla los permisos específicos que se configuran para cada cuenta. Para obtener instrucciones acerca de cómo crear y conceder permisos a bases de datos, vea Implementación del uso de bases de datos creadas por DBA (Office SharePoint Server).
En la siguiente tabla se incluyen los inicios de sesión que deben crearse. La columna Base de datos indica las bases de datos que se configuran con permisos para cada cuenta de inicio de sesión. Para cada inicio de sesión, especifique la autenticación de Windows al crear el inicio de sesión.
Inicio de sesión |
Base de datos |
Cuenta de usuario de instalación (usuario de ejecución para la herramienta de línea de comandos Psconfig) |
Todas las bases de datos |
Cuenta de la granja de servidores (cuenta de acceso a la base de datos de Office SharePoint Server) |
|
Cuenta de servicio del SSP |
|
Cuenta de Office SharePoint Server Search |
|
Cuenta predeterminada de acceso al contenido |
|
Cuenta del grupo de aplicaciones del SSP (identidad) |
Base de datos de contenido para la aplicación web de administración del SSP |
Identidad del grupo de aplicaciones para el grupo de aplicaciones del sitio web Mis sitios |
Base de datos de contenido para la aplicación web Mis sitios |
Cuenta del servicio de búsqueda de Windows SharePoint Services |
|
Identidad del grupo de aplicaciones para bases de datos de contenido adicionales |
|
Referencia técnica: requisitos de cuentas por escenario
En esta sección se incluyen los requisitos de cuentas por escenario:
Requisitos estándar de servidores únicos
Requisitos estándar de granjas de servidores
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Requisitos estándar de servidores únicos
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de SQL Server |
Cuenta Sistema local (predeterminada) |
Cuenta de usuario de instalación |
Miembro del grupo de administradores en el equipo local |
Cuenta de la granja de servidores |
Servicio de red (predeterminada) No se requiere configuración manual. |
Cuentas de SSP
| Cuenta | Requisitos |
|---|---|
Cuenta del grupo de aplicaciones del SSP |
No se requiere configuración manual. |
Cuenta de servicio del SSP |
|
Cuenta del servicio Office SharePoint Server Search |
De manera predeterminada, esta cuenta se ejecuta como la cuenta Sistema local. Si desea rastrear contenido remoto cambiando la cuenta predeterminada de acceso al contenido o usando reglas de rastreo, cámbiela a una cuenta de usuario de dominio. Si no cambia esta cuenta a una cuenta de usuario de dominio, no puede cambiar la cuenta predeterminada de acceso al contenido a una cuenta de usuario de dominio ni agregar reglas de rastreo para rastrear este contenido. Esta restricción tiene como objetivo impedir la elevación de privilegios para cualquier otro proceso que funcione como la cuenta Sistema local. |
Cuenta predeterminada de acceso al contenido |
No se necesita ninguna configuración manual si esta cuenta sólo rastrea contenido de la granja de servidores local. Si desea rastrear contenido remoto mediante el uso de reglas de rastreo, cámbiela a una cuenta de usuario de dominio y aplique los requisitos enumerados para una granja de servidores. |
Cuenta de acceso al contenido |
Igual que la cuenta predeterminada de acceso al contenido del SSP que aparece anteriormente. |
Cuenta de acceso predeterminada para importación de perfiles |
Los mismos requisitos que para una granja de servidores. |
Cuenta de servicio desatendida de Excel Services |
Debe ser una cuenta de usuario de dominio. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos |
|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
De manera predeterminada, esta cuenta se ejecuta como la cuenta Sistema local. |
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
No debe pertenecer al grupo de administradores de granjas de servidores. Los siguientes elementos se configuran automáticamente:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos |
|---|---|
Identidad del grupo de aplicaciones |
No se requiere configuración manual. La cuenta Servicio de red se usa para el sitio web predeterminado que se crea durante la instalación y la configuración. |
Requisitos estándar de granjas de servidores
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos |
|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Cuenta de usuario de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Cuentas de SSP
| Cuenta | Requisitos |
|---|---|
Cuenta del grupo de aplicaciones del SSP |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Cuenta de servicio del SSP |
|
Cuenta del servicio Office SharePoint Server Search |
Los siguientes elementos se configuran automáticamente:
|
Cuenta predeterminada de acceso al contenido |
Los siguientes elementos se configuran automáticamente:
|
Cuenta de acceso al contenido |
|
Cuenta de acceso predeterminada para importación de perfiles |
|
Cuenta de servicio desatendida de Excel Services |
Debe ser una cuenta de usuario de dominio. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos |
|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos |
|---|---|
Identidad del grupo de aplicaciones |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos de administración con privilegios mínimos al usar cuentas de usuario de dominio
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de usuario de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de SSP
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Cuenta del grupo de aplicaciones del SSP |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de servicio del SSP |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta del servicio Office SharePoint Server Search |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta predeterminada de acceso al contenido |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Para mayor seguridad, use una cuenta predeterminada de acceso al contenido distinta para cada SSP. |
Cuenta de acceso al contenido |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso predeterminada para importación de perfiles |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de servicio desatendida de Excel Services |
Debe ser una cuenta de usuario de dominio. |
Debe ser una cuenta de usuario de dominio. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisitos estándar de granjas de servidores | Requisitos con privilegios mínimos al usar cuentas de usuario de dominio |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Requisitos de administración con privilegios mínimos al usar la autenticación de SQL
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio para la cuenta de servicio de SQL Server, conceda permisos a esta cuenta de usuario de dominio. Sin embargo, si usa la cuenta Servicio de red o Sistema local, conceda permisos al recurso externo sobre la cuenta del equipo (*nombre_dominio\nombreDeHost$_SQL*). |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Nota Todas las cuentas de base de datos deben crearse como cuentas de inicio de sesión de SQL Server en Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Estas cuentas deben crearse antes de crear cualquier base de datos de contenido, incluidas la base de datos de configuración y la base de datos SharePoint_AdminContent. Cree un inicio de sesión de SQL Server para la base de datos de configuración y la base de datos SharePoint_AdminContent. |
Cuenta de usuario de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Nota Debe usar la herramienta de línea de comandos Psconfig para crear la base de datos de configuración y la base de datos SharePoint_AdminContent. No puede usar el Asistente para configuración de Productos y Tecnologías de SharePoint para crear estas bases de datos. Para crear una granja de servidores o unir un equipo a una granja de servidores, especifique el inicio de sesión de SQL Server que creó para estas bases de datos como el valor dbusername y dbpassword. Se usa el mismo inicio de sesión de SQL Server para obtener acceso a ambas bases de datos. Todas las demás bases de datos de contenido pueden crearse en Administración central si selecciona la opción de autenticación de SQL. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de SSP
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Cuenta del grupo de aplicaciones del SSP |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de servicio del SSP |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta del servicio Office SharePoint Server Search |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta predeterminada de acceso al contenido |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso al contenido |
Para los sitios web que no forman parte de la granja de servidores, es necesario conceder a esta cuenta permisos de Acceso completo de lectura de forma explícita sobre las aplicaciones web que hospedan los sitios. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso predeterminada para importación de perfiles |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de servicio desatendida de Excel Services |
Debe ser una cuenta de usuario de dominio. |
Debe ser una cuenta de usuario de dominio. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al usar la autenticación de SQL |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Requisitos de administración con privilegios mínimos al conectarse a bases de datos creadas previamente
Cuentas en el nivel de la granja de servidores
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Cuenta de servicio de SQL Server |
Use una cuenta Sistema local o una cuenta de usuario de dominio. Si se usa una cuenta de usuario de dominio, esta cuenta usa la autenticación Kerberos de manera predeterminada, la cual requiere configuración adicional en un entorno de red. Si SQL Server usa un nombre principal de servicio (SPN) que no es válido (es decir, que no existe en el entorno del servicio de directorio de Active Directory), la autenticación Kerberos provoca un error y entonces se usa NTLM. Si SQL Server usa un SPN que es válido pero que no está asignado al contenedor apropiado de Active Directory, la autenticación no puede realizarse y se muestra un mensaje de error que indica que no se puede generar el contexto del SSPI. La autenticación siempre intentará usar el primer SPN que encuentre; por ello, asegúrese de que no haya ningún SPN asignado a contenedores no adecuados de Active Directory.
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de usuario de instalación |
Si ejecuta comandos Stsadm que afectan a una base de datos, esta cuenta debe pertenecer a la función de base de datos fija db_owner para la base de datos. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Esta cuenta se usa para configurar bases de datos. Después de crear cada base de datos, cambie el propietario de la base de datos (dbo o db_owner) a la cuenta de usuario de instalación. |
Cuenta de la granja de servidores |
Los permisos adicionales se conceden automáticamente para esta cuenta en los servidores web y servidores de aplicaciones que están unidos a una granja de servidores. Esta cuenta se agrega automáticamente como inicio de sesión de SQL Server al equipo que ejecuta SQL Server y se agrega a las siguientes funciones de seguridad de SQL Server:
Nota Si configura el servicio de inicio de sesión único (SSO) de Microsoft, no se concederá automáticamente acceso db_owner a la base de datos de SSO para la cuenta de la granja de servidores. |
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos del proveedor de servicios compartidos (SSP) y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
|
Cuentas de SSP
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Cuenta del grupo de aplicaciones del SSP |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de servicio del SSP |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos de configuración y las bases de datos de contenido de Administración central, agregue esta cuenta a los siguientes elementos para estas bases de datos:
Después de crear la base de datos de contenido para el sitio de administración de servicios compartidos, la base de datos del SSP y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
Después de crear Mis sitios, agregue esta cuenta a los siguientes elementos de la base de datos de contenido de la aplicación web Mis sitios:
Después de crear todas las bases de datos de contenido, agregue esta cuenta a los siguientes elementos:
|
Cuenta del servicio Office SharePoint Server Search |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos de configuración y las bases de datos de contenido de Administración central, agregue esta cuenta a los siguientes elementos para estas bases de datos:
Después de crear la base de datos del SSP y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
|
Cuenta predeterminada de acceso al contenido |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Para mayor seguridad, use una cuenta predeterminada de acceso al contenido distinta para cada SSP. Después de crear la base de datos de configuración y las bases de datos de contenido de Administración central, agregue esta cuenta a los siguientes elementos para estas bases de datos:
|
Cuenta de acceso al contenido |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
|
Cuenta de acceso predeterminada para importación de perfiles |
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Esta cuenta no debe pertenecer al grupo de administradores en ningún equipo de la granja de servidores. |
Cuenta de servicio desatendida de Excel Services |
Debe ser una cuenta de usuario de dominio. |
Debe ser una cuenta de usuario de dominio. |
Cuentas de búsqueda de Windows SharePoint Services
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Cuenta del servicio de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos del SSP y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
Al ejecutar la herramienta de línea de comandos Psconfig para iniciar el servicio de búsqueda de Windows SharePoint Services, la pertenencia se configura automáticamente en los siguientes elementos:
|
Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services |
Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Al ejecutar la herramienta de línea de comandos Psconfig para iniciar el servicio de búsqueda de Windows SharePoint Services, la pertenencia se configura automáticamente en los siguientes elementos:
|
Cuentas de identidad del grupo de aplicaciones adicionales
| Cuenta | Requisito estándar de granjas de servidores | Requisitos con privilegios mínimos al conectarse a bases de datos creadas previamente |
|---|---|---|
Identidad del grupo de aplicaciones |
No se requiere configuración manual. Los siguientes elementos se configuran automáticamente:
|
Requisitos estándar de las granjas de servidores con las siguientes adiciones o excepciones:
Después de crear la base de datos del SSP y la base de datos de búsqueda del SSP, agregue esta cuenta a los siguientes elementos para cada una de estas bases de datos:
|
Descarga de este libro
En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:
Vea la lista completa de libros disponibles en la página que muestra el contenido descargable para Office SharePoint Server 2007.
Vea también
Conceptos
Planeación del inicio de sesión único (SSO)
Planeación de funciones de seguridad (Office SharePoint Server)