Pianificare gli account amministrativi e di servizio in SharePoint Server
**Si applica a:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-08-23
Riepilogo: Informazioni sugli account da utilizzare per gestire SharePoint 2013 e scenari di distribuzione di SharePoint Server 2016 e servizi.
Per installare SharePoint Server, è necessario disporre di account amministrativi e di servizio appropriati nel server che eseguono SharePoint Server e SQL Server. Dopo l'installazione, è necessario disporre di account amministrativi e di servizio appropriati per modificare e gestire l'ambiente. Gli account necessari per il completamento di questi gruppi di attività non sono necessariamente lo stesso. In questo articolo vengono descritti gli account che richiedono dopo l'installazione per un ambiente a server singolo e un ambiente server farm.
Importante
Non usare nomi di account di servizio che contengono il simbolo $.
Contenuto dell'articolo:
Informazioni sugli account amministrativi e di servizio
Requisiti standard per i server singoli
Requisiti standard per le server farm
Informazioni di riferimento tecniche: requisiti per gli Account base allo scenario
Utilizzare questo articolo insieme a Account amministrativi e di servizio per la distribuzione iniziale in SharePoint Server.
Nell'articolo relativo agli account amministrativi e di servizio per la distribuzione iniziale vengono descritte le autorizzazioni e gli account specifici necessari per l'esecuzione del programma di installazione.
In questo articolo vengono descritti i requisiti per l'utilizzo del servizio di archiviazione sicura in SharePoint Server. Per ulteriori informazioni, vedere Pianificare il servizio di archiviazione sicura in SharePoint Server.
In questo articolo vengono descritti i ruoli di protezione e le autorizzazioni necessarie per amministrare SharePoint Server.
Informazioni sugli account amministrativi e di servizio
In questa sezione vengono elencati e descritti gli account che è necessario pianificare per gestire i server che esegue SQL Server o SharePoint Server. Gli account sono raggruppati in base alle ambito.
Dopo aver completato l'installazione e la configurazione degli account, assicurarsi di non utilizzare l'account Sistema locale per eseguire attività amministrative o esplorare siti.
Account a livello di server farm
Nella tabella seguente vengono descritti gli account utilizzati per configurare il software di database SQL Server e installare SharePoint Server.
Account | Scopo |
---|---|
Account di servizio di SQL Server |
SQL Server richiede questo account durante l'installazione di SQL Server. Questo account viene utilizzato come account di servizio per i servizi di SQL Server seguenti:
Se non si sta utilizzando l'istanza predefinita, questi servizi verranno visualizzati come:
|
Account utente Setup |
L'account utente utilizzato per eseguire: Se si eseguono cmdlet di Microsoft PowerShell con effetti su un database, questo account deve essere un membro del ruolo predefinito del database db_owner per il database.
|
Account server farm |
Questo account è anche denominato account di accesso al database. Questo account presenta le proprietà seguenti:
|
Account delle applicazioni di servizio
Nella tabella seguente vengono illustrati gli account utilizzati per installare e configurare un'applicazione di servizio. Pianificare un solo set composto da un pool di applicazioni e un gruppo proxy per ciascuna applicazione di servizio che si intende implementare.
Per ulteriori informazioni sugli endpoint applicazione servizio, vedere Utilizzo endpoint del servizio.
Nota
servizi solo applica SharePoint 2013 Excel Services e sincronizzazione dei profili utente.
Account | Servizio | Scopo | Requisiti | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Endpoint applicazioni servizio |
|
Questo account viene utilizzato come identità per il pool di applicazioni degli endpoint applicazione servizio. Se non sono presenti requisiti di isolamento specifici, è possibile usare il pool di applicazioni per ospitare più endpoint applicazioni servizio. |
|||||||||||||||||||||||||
Endpoint applicazioni servizio |
|
Questo account viene utilizzato come identità per il pool di applicazioni degli endpoint del servizio. Se non sono presenti requisiti di isolamento specifici, è possibile usare il pool di applicazioni per ospitare più endpoint applicazioni servizio. |
Deve essere un account utente di dominio. |
||||||||||||||||||||||||
Endpoint applicazioni servizio |
|
Questo account viene utilizzato come identità per il pool di applicazioni degli endpoint applicazione servizio. Questo account deve essere l'account servizio farm e il pool di applicazioni verrà creato automaticamente da Configurazione guidata Prodotti SharePoint. |
|||||||||||||||||||||||||
Servizio automatico |
|
Utilizzato con le cartelle di lavoro per aggiornare i dati. È obbligatorio se per l'autenticazione delle connessioni cartella di lavoro è specificato "Nessuna" oppure se per l'aggiornamento dei dati vengono utilizzate credenziali non Windows. |
Deve essere un account utente di dominio. |
||||||||||||||||||||||||
Servizio automatico |
|
Utilizzato per l'autenticazione con le origini dati. |
Deve essere un account utente di dominio. |
||||||||||||||||||||||||
Servizio automatico |
|
Utilizzata con i documenti per aggiornare i dati. È necessario per la connessione a origini dati esterne a SharePoint Server, ad esempio SQL Server. |
|||||||||||||||||||||||||
Account predefinito di accesso al contenuto |
|
Account predefinito per la ricerca per indicizzazione del contenuto. Un amministratore dell'applicazione del servizio di ricerca può creare regole di ricerca per indicizzazione per specificare altri account per la ricerca per indicizzazione di contenuto specifico. |
Deve disporre dell'accesso in lettura per sottoporre il contenuto a ricerca per indicizzazione. È necessario concedere esplicitamente autorizzazioni di lettura complete per il contenuto all'esterno della farm locale. Le autorizzazioni di lettura complete vengono configurate automaticamente per i database del contenuto nella farm locale. |
||||||||||||||||||||||||
Servizio di ricerca |
|
Account del servizio Windows per il servizio di ricerca di SharePoint Server. Questa impostazione influenza tutte le applicazioni del servizio di ricerca nella farm. |
Deve essere un account utente di dominio. |
||||||||||||||||||||||||
Servizio di sincronizzazione dei profili utente |
|
Account del servizio Windows per il servizio di sincronizzazione dei profili utente. |
Richiede l'autorizzazione per l'accesso locale nel computer che esegue l'istanza del servizio di sincronizzazione dei profili utente. |
||||||||||||||||||||||||
Connessione di sincronizzazione |
|
Questo account viene utilizzato per eseguire la sincronizzazione con il servizio directory remoto. È possibile disporre di un solo account per ogni connessione di sincronizzazione. |
Replica delle autorizzazioni per la modifica delle directory nei domini in fase di sincronizzazione. Replica delle autorizzazioni per la modifica delle directory nella partizione di configurazione dei domini in fase di sincronizzazione se il nome NetBIOS e il nome di dominio completo (FQDN) non corrispondono. |
||||||||||||||||||||||||
Servizio di gestione app |
|
Questo account consente l'installazione delle app SharePoint da SharePoint Store o dal Catalogo app. |
|||||||||||||||||||||||||
Servizio di conversione di PowerPoint |
|
Questo account consente di convertire le presentazioni di Microsoft PowerPoint in vari formati. |
|||||||||||||||||||||||||
Servizio di traduzione automatica |
|
Questo account consente di eseguire la traduzione automatica. |
|||||||||||||||||||||||||
Access Services 2013 |
|
Questo account consente di visualizzare, modificare e interagire con i database di Access 2013 in un browser. |
|||||||||||||||||||||||||
Gestione del lavoro |
|
Questo account gestisce l'aggregazione delle attività per più sistemi di gestione del lavoro, inclusi Prodotti SharePoint, Microsoft Exchange Server e Microsoft Project Server. |
|||||||||||||||||||||||||
Cache distribuita |
|
Questo account fornisce servizi di memorizzazione nella cache in memoria per diverse funzionalità in SharePoint Server. Sono elencate alcune delle funzionalità che utilizzano il servizio Cache distribuita:
|
Account identità dei pool di applicazioni aggiuntivi
Se si creano pool di applicazioni aggiuntivi per ospitare i siti, pianificare account identità dei pool di applicazioni aggiuntivi. Nella tabella seguente viene descritto l'account identità del pool di applicazioni. Pianificare un account del pool di applicazioni per ciascun pool di applicazioni che si intende implementare.
Account | Scopo |
---|---|
Identità del pool di applicazioni |
Account utente utilizzato come identità processo dai processi di lavoro che intervengono nel pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che si trovano nel pool di applicazioni. |
Requisiti standard per i server singoli
Se è in corso la distribuzione in un singolo computer server, i requisiti degli account risultano notevolmente ridotti. In un ambiente di valutazione, è possibile usare un singolo account per tutti gli scopi degli account. In un ambiente di produzione, verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.
Per un elenco delle autorizzazioni degli account per gli ambienti con un singolo server, vedere Account amministrativi e di servizio per la distribuzione iniziale in SharePoint Server.
Requisiti per le server farm
Se è in corso la distribuzione in più computer server, utilizzare i requisiti standard per le server farm per verificare che gli account dispongano delle autorizzazioni appropriate per eseguire i relativi processi in più computer. I requisiti standard per le server farm specificano in dettaglio la configurazione minima necessaria per l'esecuzione in un ambiente server farm.
Per un elenco dei requisiti standard per gli ambienti server farm, vedere i requisiti elencati nella sezione Informazioni di riferimento tecniche: requisiti per gli account in base allo scenario di questo articolo.
Per alcuni account, le autorizzazioni aggiuntive o l'accesso ai database vengono configurati durante l'esecuzione del programma di installazione e vengono specificati nello strumento di pianificazione degli account. Per gli amministratori dei database è importante tenere presente la configurazione dell'aggiunta del ruolo del database WSS_Content_Application_Pools. Tale ruolo verrà aggiunto dal programma di installazione ai database seguenti:
Database SharePoint_Config (database di configurazione)
Database SharePoint_AdminContent
I membri del ruolo del database WSS_Content_Application_Pools dispongono dell'autorizzazione di esecuzione per un sottoinsieme di stored procedure per tale database. I membri di tale ruolo dispongono inoltre dell'autorizzazione di selezione per la tabella delle versioni (dbo.Versions) del database SharePoint_AdminContent.
Per altri database, lo strumento di pianificazione degli account indica che l'accesso in lettura da questi database viene configurato automaticamente. In alcuni casi, viene configurato automaticamente anche un accesso in scrittura limitato. Per fornire tale accesso, vengono configurate le autorizzazioni per le stored procedure.
Informazioni di riferimento tecniche: requisiti per gli account in base allo scenario
In questa sezione vengono elencati i requisiti per gli account in base allo scenario:
Requisiti standard per i server singoli
Requisiti standard per le server farm
Requisiti standard per i server singoli
Account a livello di server farm
Account | Requisiti |
---|---|
Servizio SQL Server |
Account Sistema locale (predefinito) |
Utente Setup |
Membro del gruppo Administrators nel computer locale |
Server farm |
Servizio di rete (predefinito) Non è necessaria alcuna configurazione manuale. |
Account delle applicazioni di servizio
Importante
Gli account presenti in questa tabella sono applicabili solo a SharePoint Server
Account | Requisiti |
---|---|
Servizio di ricerca di SharePoint Server |
Per impostazione predefinita, questo account viene eseguito come account Sistema locale. Se si desidera sottoporre il contenuto remoto a ricerca per indicizzazione modificando l'account predefinito di accesso al contenuto oppure utilizzando le regole di ricerca per indicizzazione, convertire questo account in un account utente di dominio. Se non si converte l'account in un account utente di dominio, è impossibile convertire l'account predefinito di accesso al contenuto in un account utente di dominio oppure aggiungere regole di ricerca per indicizzazione per sottoporre il contenuto a ricerca per indicizzazione. Questa limitazione è progettata per impedire l'elevazione dei privilegi per qualsiasi altro processo in esecuzione come account Sistema locale. |
Account predefinito di accesso al contenuto |
Non è richiesta alcuna configurazione manuale se l'account sottopone a ricerca per indicizzazione solo il contenuto della farm locale. Se si desidera sottoporre il contenuto remoto a ricerca per indicizzazione utilizzando le regole di ricerca per indicizzazione, convertire questo account in un account utente di dominio e applicare i requisiti elencati per la server farm. |
Account di accesso al contenuto |
Stessi requisiti dell'account predefinito di accesso al contenuto. |
Account predefinito di accesso per l'importazione dei profili |
Stessi requisiti della server farm. |
Servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Account identità dei pool di applicazioni aggiuntivi
Account | Requisiti |
---|---|
Identità del pool di applicazioni |
Non è necessaria alcuna configurazione manuale. L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione. |
Requisiti standard per le server farm
Account a livello di server farm
Importante
Gli account presenti in questa tabella sono applicabili solo a SharePoint Server
Account | Requisiti |
---|---|
Account di servizio di SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per impostazione predefinita tale account utilizzerà l'autenticazione Kerberos, che richiede una configurazione aggiuntiva nell'ambiente di rete. Se SQL Server utilizza un nome principale di servizio (SPN) non valido, ovvero che non esiste nell'ambiente di Servizi di dominio Active Directory (AD DS), l'autenticazione Kerberos non viene eseguita e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un SPN valido ma non assegnato al contenitore appropriato in AD DS, l'autenticazione non viene eseguita. L'autenticazione tenterà sempre di utilizzare il primo SPN trovato, perciò è consigliabile verificare che non siano presenti SPN assegnati a contenitori non appropriati in AD DS. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account di servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer ((<nome_dominio>\<nomehost_SQL>). |
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere un membro del ruolo predefinito del database db_owner per il database. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per l'account nei server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di sicurezza di SQL Server seguenti:
Nota Se si configura il servizio di archiviazione sicura, all'account server farm non verrà consentito automaticamente l'accesso db_owner al database del servizio di archiviazione sicura. |
Account delle applicazioni di servizio
Importante
Gli account presenti in questa tabella sono applicabili solo a SharePoint Server
Account | Requisiti |
---|---|
Account del servizio di ricerca di SharePoint Server |
Gli elementi seguenti vengono configurati automaticamente:
|
Account predefinito di accesso al contenuto |
Gli elementi seguenti vengono configurati automaticamente:
|
Account di accesso al contenuto |
|
Account predefinito di accesso per l'importazione dei profili |
|
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Account identità dei pool di applicazioni aggiuntivi
Account | Requisiti |
---|---|
Identità del pool di applicazioni |
Non è necessaria alcuna configurazione manuale. Gli elementi seguenti vengono configurati automaticamente:
|