Pianificare gli account amministrativi e di servizio (Windows SharePoint Services)
Contenuto dell'articolo:
Informazioni sugli account amministrativi e di servizio
Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Riferimento tecnico: requisiti per gli account in base allo scenario
In questo articolo vengono descritti gli account che devono essere pianificati e gli scenari di distribuzione che influiscono sui requisiti per gli account.
Utilizzare questo articolo insieme allo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) . In questo strumento di pianificazione vengono elencati i requisiti per ogni account in base allo scenario di distribuzione. I requisiti vengono elencati inoltre nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Nei requisiti per gli account vengono indicate le autorizzazioni specifiche che devono essere concesse prima dell'esecuzione del programma di installazione. In alcuni casi, nello strumento di pianificazione vengono specificate autorizzazioni aggiuntive concesse automaticamente con l'esecuzione del programma di installazione.
In questo articolo non vengono descritti i ruoli e le autorizzazioni di protezione necessari per l'amministrazione di Microsoft Windows SharePoint Services 3.0. Per ulteriori informazioni, vedere Pianificare i ruoli di protezione (Windows SharePoint Services).
Informazioni sugli account amministrativi e di servizio
In questa sezione vengono elencati e descritti gli account che devono essere pianificati, raggruppati in base all'ambito. Se un account ha un ambito limitato, potrebbe essere necessario pianificare più account per la stessa categoria.
Dopo aver eseguito l'installazione e la configurazione degli account, non utilizzare l'account Sistema locale per eseguire attività di amministrazione o per esplorare i siti. Non utilizzare ad esempio per le attività amministrative lo stesso account utilizzato per eseguire il programma di installazione.
Account a livello di server farm
Nella tabella seguente vengono descritti gli account utilizzati per configurare il software di database di Microsoft SQL Server e installare Microsoft Windows SharePoint Services 3.0.
| Account | Scopo |
|---|---|
Account del servizio SQL Server |
SQL Server richiede questo account durante l'esecuzione del programma di installazione di SQL Server. L'account viene utilizzato come account di servizio per i servizi di SQL Server seguenti:
Se non si utilizza l'istanza predefinita, questi servizi verranno visualizzati come:
|
Account utente Setup |
Account utente utilizzato per eseguire gli elementi seguenti:
|
Account server farm |
Questo account è conosciuto anche come account di accesso al database. Questo account rappresenta:
|
Account del servizio di ricerca di Windows SharePoint Services
Nella tabella seguente vengono descritti gli account utilizzati per installare e configurare il servizio di ricerca di Windows SharePoint Services.
| Account | Scopo |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Utilizzato come account di servizio per il servizio di ricerca di Windows SharePoint Services. È presente un'istanza di questo servizio in ogni server di ricerca. Una server farm in genere include un solo server di ricerca. |
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Utilizzato dal ruolo del server applicazioni del servizio di ricerca di Windows SharePoint Services per eseguire la ricerca per indicizzazione del contenuto tra i siti. Pianificare più account se la server farm include più computer server di ricerca, anche se non è uno scenario tipico. |
Account dell'identità dei pool di applicazioni aggiuntivi
Se si creano ulteriori pool di applicazioni per ospitare i siti, è necessario pianificare account dell'identità dei pool di applicazioni aggiuntivi. Nella tabella seguente viene descritto l'account dell'identità del pool di applicazioni. Pianificarne uno per ogni pool di applicazioni che si intende implementare.
| Account | Scopo |
|---|---|
Identità del pool di applicazioni |
Account utente utilizzato come identità di processo dai processi di lavoro che gestiscono il pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che fanno parte del pool di applicazioni. |
Requisiti standard per server singolo
Se si esegue la distribuzione in un computer server singolo, i requisiti per gli account vengono ridotti in modo significativo. In un ambiente di valutazione è possibile utilizzare un unico account per tutti gli scopi degli account. In un ambiente di produzione verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.
Per un elenco delle autorizzazioni degli account per gli ambienti con un solo server, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Requisiti per server farm
Se si esegue la distribuzione in più computer server, utilizzare i requisiti standard per server farm affinché gli account dispongano delle autorizzazioni appropriate per eseguire i processi in più computer. Nei requisiti standard per server farm viene specificata la configurazione minima necessaria per lavorare in un ambiente server farm. Per un ambiente più protetto, prendere in considerazione la possibilità di utilizzare i requisiti del principio dei privilegi minimi con account utente di dominio.
Per un elenco dei requisiti standard per gli ambienti server farm, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Per alcuni account vengono configurate ulteriori autorizzazioni o accessi ai database quando si esegue il programma di installazione, specificati nello strumento di pianificazione. Una configurazione importante di cui devono tenere conto gli amministratori è l'aggiunta del ruolo del database WSS_Content_Application_Pools. Il programma di installazione aggiunge questo ruolo ai database seguenti:
Database SharePoint_Config (database di configurazione)
Database SharePoint_AdminContent
Ai membri del ruolo del database WSS_Content_Application_Pools viene concessa l'autorizzazione di esecuzione per un sottoinsieme delle stored procedure del database, nonché l'autorizzazione di selezione per la tabella Versions (dbo.Versions) nel database SharePoint_AdminContent.
Nello strumento di pianificazione degli account viene indicato che l'accesso per la lettura da altri database viene configurato automaticamente. In alcuni casi viene configurato automaticamente anche un accesso limitato per la scrittura in un database. Per fornire questo accesso, vengono configurate autorizzazioni per le stored procedure. Per il database SharePoint_Config ad esempio viene configurato automaticamente l'accesso alle stored procedure seguenti:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Il principio dei privilegi minimi è un metodo di protezione consigliato in cui a ogni servizio o utente vengono forniti solo i privilegi minimi necessari per eseguire le attività per le quali sono autorizzati. A ogni servizio pertanto viene concesso solo l'accesso alle risorse necessarie per il relativo scopo. Di seguito vengono elencati alcuni dei requisiti minimi necessari per raggiungere questo obiettivo di progettazione:
Vengono utilizzati account separati per servizi e processi diversi.
Non viene utilizzato alcun account di servizio o di processo in esecuzione con le autorizzazioni di amministratore locale.
Utilizzando account di servizio separati e limitando le autorizzazioni assegnate a ogni account, si riduce il rischio che l'ambiente possa essere danneggiato da un utente malintenzionato o da un processo dannoso.
Il principio dei privilegi minimi con account utente di dominio è la configurazione consigliata per la maggior parte degli ambienti.
Per un elenco dei requisiti del principio dei privilegi minimi con account utente di dominio, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Negli ambienti in cui l'autenticazione di SQL Server è un requisito, è possibile seguire il principio dei privilegi minimi. In questo scenario:
Per ogni database creato viene utilizzata l'autenticazione di SQL Server.
Tutti gli altri account di amministrazione e di servizio vengono creati come account utente di dominio.
Installazione e configurazione
Per utilizzare l'autenticazione di SQL Server, è necessario eseguire ulteriori operazioni di installazione e configurazione:
Tutti gli account di database devono essere creati come account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database, inclusi il database di configurazione e il database AdminContent.
È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è possibile infatti utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database.
È possibile creare ulteriori database del contenuto in Amministrazione centrale selezionando l'opzione Autenticazione di SQL Server . È tuttavia necessario prima creare gli account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.
Proteggere tutte le comunicazioni con i server database utilizzando Secure Sockets Layer (SSL) o Internet Protocol Security (IPsec).
Quando viene utilizzata l'autenticazione di SQL Server:
Gli account di accesso di SQL Server vengono crittografati nel Registro di sistema dei server Web e dei server applicazioni.
L'account della server farm non viene utilizzato per accedere al database di configurazione e al database SharePoint_AdminContent. Vengono invece utilizzati gli account di accesso di SQL Server corrispondenti.
Creazione di account di servizio e amministrazione
Per un elenco dei requisiti del principio dei privilegi minimi con l'autenticazione di SQL Server, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Creazione di account di accesso di SQL Server
Prima di creare i database, creare gli account di accesso di SQL Server per ognuno dei database. Vengono creati due account di accesso per i database di configurazione e SharePoint_AdminContent. Creare un account di accesso per ogni database del contenuto.
Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Account di accesso viene indicato l'account specificato o creato per l'accesso a SQL Server. Per il primo accesso, è necessario immettere l'account utente Setup. Per tutti gli altri accessi, si crea un nuovo account di accesso di SQL Server. Per questi account di accesso, nella colonna Account di accesso viene fornito un nome di account di esempio.
| Account di accesso | Database | Diritti SQL |
|---|---|---|
Account utente Setup |
Database di configurazione e SharePoint_AdminContent |
Specificare l'autenticazione di Windows durante la creazione dell'account di accesso. |
<*AccDBConfigAdmin*> |
Database di configurazione e SharePoint_AdminContent |
|
<*Acc_DB_WSSSearch*> |
Database WSS_Search |
|
<*Acc1_DB_Contenuto*> |
Database del contenuto |
|
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Negli ambienti in cui i database vengono creati in precedenza da un amministratore di database è possibile seguire il principio dei privilegi minimi. In questo scenario:
Gli account di amministrazione e di servizio vengono creati come account utente di dominio.
Vengono creati account di accesso di SQL Server per gli account utilizzati per configurare i database.
I database vengono creati da un amministratore di database.
Per ulteriori informazioni sulla distribuzione di Microsoft Windows SharePoint Services 3.0 con database vuoti creati in precedenza, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Windows SharePoint Services).
Creazione di account di servizio e amministrazione
Per un elenco dei requisiti del principio dei privilegi minimi per la connessione a un database vuoto esistente, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.
Creazione di account di accesso di SQL Server
Prima di creare i database, creare gli account di accesso di SQL Server per ognuno degli account che avrà accesso ai database. Nello strumento di pianificazione degli account vengono indicate le autorizzazioni specifiche configurate per ogni account. Per istruzioni su come creare e concedere autorizzazioni ai database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Windows SharePoint Services).
Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Database vengono indicati i database configurati con le autorizzazioni per ogni account di accesso. Specificare l'autenticazione di Windows quando si crea ogni account di accesso.
Account di accesso |
Database |
Account utente Setup (utente Esegui come per lo strumento da riga di comando Psconfig) |
Tutti i database |
Account server farm (account di accesso al database di Office SharePoint Server) |
|
Account del servizio di ricerca di Windows SharePoint Services |
|
Identità del pool di applicazioni per database del contenuto aggiuntivi |
|
Riferimento tecnico: requisiti per gli account in base allo scenario
In questa sezione vengono elencati i requisiti per gli account in base allo scenario:
Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Requisiti standard per server singolo
Account a livello di server farm
| Account | Requisiti |
|---|---|
Account del servizio SQL Server |
Account Sistema locale (predefinito) |
Account utente Setup |
Membro del gruppo Administrators nel computer locale |
Account server farm |
Servizio di rete (predefinito) Non sono necessari interventi di configurazione manuale. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Per impostazione predefinita, questo account viene eseguito come account Sistema locale. |
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti |
|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione. |
Requisiti standard per server farm
Account a livello di server farm
| Account | Requisiti |
|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti |
|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Nota Tutti gli account di database devono essere creati come account di accesso di SQL Server in Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database del contenuto, inclusi il database di configurazione e il database SharePoint_AdminContent. Creare un account di accesso di SQL Server sia per il database di configurazione che per il database SharePoint_AdminContent. |
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Nota È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database. Tutti gli altri database del contenuto possono essere creati in Amministrazione centrale selezionando l'opzione di autenticazione di SQL Server. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Questi account viene utilizzato per configurare i database. Dopo aver creato ogni database, sostituire il proprietario del database, ovvero dbo o db_owner, con l'account utente Setup. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
|
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
|
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).
Vedere anche
Concetti
Pianificare i ruoli di protezione (Windows SharePoint Services)