Планирование административных и служебных учетных записей в SharePoint Server
**Применимо к:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-08-23
Сводка: Сведения об учетных записях, используемых для управления SharePoint 2013 и SharePoint Server 2016 сценарии развертывания и службами.
Чтобы установить SharePoint Server, необходимо иметь соответствующие учетные записи администраторов и служб на серверах под управлением SharePoint Server и SQL Server. После установки необходимо иметь соответствующие административных и служебных учетных записях, изменения и обслуживания среды. Учетные записи, необходимые для выполнения этих групп задач не обязательно совпадают. В этой статье описаны учетные записи, которые требуется после установки для односерверной среде и среде фермы серверов.
Важно!
Не используйте имена учетных записей служб, которые содержат символ "$".
Содержание
Учетные записи администраторов и служб
Стандартные требования среды с одним сервером
Стандартные требования среды фермы серверов
Технический справочник: требования к учетной записи в зависимости от сценария
Используйте сведения в этой статье наряду с информацией в статье Начальное развертывание учетных записей администраторов и служб в SharePoint Server.
В статье, посвященной административным учетным записям и учетным записям служб первоначального развертывания, описываются конкретные учетные записи и разрешения, которые требуется предоставить перед запуском программы установки.
В этой статье не рассматриваются требования к учетной записи для использования службы Secure Store в SharePoint Server. Для получения дополнительных сведений см Планирование службы Secure Store в SharePoint Server.
В этой статье не рассматриваются роли безопасности и разрешения, необходимые для администрирования SharePoint Server.
Учетные записи администраторов и служб
В этом разделе перечислены и описаны учетные записи, которые необходимо спланировать для управления серверами под управлением SQL Server или SharePoint Server. Учетные записи сгруппированных по области.
Завершив установку и настройку учетных записей, убедитесь, что для выполнения задач администрирования и просмотра сайтов не используется учетная запись Local System.
Учетные записи уровня фермы сервера
В следующей таблице описываются учетные записи, используемые для настройки программного обеспечения SQL Server базы данных и для установки SharePoint Server.
| Учетная запись | Назначение |
|---|---|
Учетная запись службы SQL Server |
SQL Server запрашивает эту учетную запись во время выполнения программы установки SQL Server. Эта учетная запись используется в качестве учетной записи службы для следующих служб SQL Server:
Если вы не используете экземпляр по умолчанию, эти службы будут отображаться следующим образом:
|
Учетная запись программы установки |
Учетная запись пользователя, которая используется для запуска: При выполнении командлетов Microsoft PowerShell, влияющих на базу данных, данная учетная запись должна быть элементом предопределенной роли базы данных db_owner для соответствующей базы данных.
|
Учетная запись фермы серверов |
Эту учетную запись также называют учетной записью доступа к базе данных. Эта учетная запись имеет следующие свойства:
|
Учетные записи служб-приложений
В следующей таблице описываются учетные записи, которые используются для установки и настройки приложения-службы. Спланируйте один набор пула приложений и группы прокси для каждого приложения-службы, которое планируется внедрить.
Дополнительные сведения о конечных точках приложений служб см. в статье Использование конечных точек службы.
Примечание
Службы Excel и синхронизации профилей пользователей служб только applyto SharePoint 2013.
| Учетная запись | Служба | Назначение | Требования | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Конечная точка приложения-службы |
|
Эта учетная запись используется в качестве удостоверения для пула приложений конечной точки приложения-службы. В отсутствие особых требований к изоляции пул приложений можно использовать для размещения нескольких конечных точек приложений-служб. |
|||||||||||||||||||||||||
Конечная точка приложения-службы |
|
Эта учетная запись используется в качестве удостоверения для пула приложений конечной точки службы. В отсутствие особых требований к изоляции пул приложений можно использовать для размещения нескольких конечных точек приложений-служб. |
Должна являться учетной записью пользователя домена. |
||||||||||||||||||||||||
Конечная точка приложения-службы |
|
Эта учетная запись используется в качестве удостоверения для пула приложений конечной точки приложения-службы. Она должна быть учетной записью службы фермы. Мастер Мастер настройки продуктов SharePoint автоматически создает пул приложений. |
|||||||||||||||||||||||||
Автоматическая служба |
|
Используется с рабочими книгами для обновления данных. Требуется, если в подключениях рабочих книг для проверки подлинности указывается значение "Нет" или если для обновления данных используются учетные данные, не являющиеся учетными данными Windows. |
Должна являться учетной записью пользователя домена. |
||||||||||||||||||||||||
Автоматическая служба |
|
Используется для проверки подлинности источников данных. |
Должна являться учетной записью пользователя домена. |
||||||||||||||||||||||||
Автоматическая служба |
|
Используется с документами для обновления данных. Он является обязательным при подключении к источникам данных, которые являются внешними по отношению к SharePoint Server, такие как SQL Server. |
|||||||||||||||||||||||||
Доступ к контенту по умолчанию |
|
Учетная запись по умолчанию для обхода контента. Администратор приложения-службы поиска может создавать правила обхода контента, чтобы настроить выполнение обхода определенного контента другими учетными записями. |
Должна иметь доступ для чтения к контенту, обход которого выполняется. Разрешения "Полное чтение" должны быть явно предоставлены для контента, который находится за пределами локальной фермы. Разрешения "Полное чтение" автоматически настраиваются для баз данных контента в локальной ферме. |
||||||||||||||||||||||||
Служба поиска |
|
Учетная запись службы Windows для службы поиска SharePoint Server. Этот параметр влияет на все приложения-службы поиска в ферме. |
Должна являться учетной записью пользователя домена. |
||||||||||||||||||||||||
Служба синхронизации профилей пользователей |
|
Это учетная запись Windows для службы синхронизации профилей пользователей. |
Требует разрешения на локальной вход на компьютере, на котором выполняется экземпляр службы синхронизации профилей пользователей. |
||||||||||||||||||||||||
Подключение синхронизации |
|
Это учетная запись, которая использовалась для выполнения синхронизации со службой удаленных каталогов. Поддерживается одна учетная запись на синхронизацию. |
Разрешения "Репликация изменений каталога" в синхронизируемых доменах. Разрешения "Репликация изменений каталога" на разделе конфигурации синхронизируемых доменов, если имя NetBIOS и полное доменное имя не совпадают. |
||||||||||||||||||||||||
Служба управления приложениями |
|
Эта учетная запись позволяет устанавливать приложения SharePoint из Магазин SharePoint или Каталог приложений. |
|||||||||||||||||||||||||
Служба преобразования PowerPoint |
|
Эта учетная запись преобразует презентации Microsoft PowerPoint в различные форматы. |
|||||||||||||||||||||||||
Служба машинного перевода |
|
Эта учетная запись выполняет автоматический машинный перевод. |
|||||||||||||||||||||||||
Службы Access 2013 |
|
Эта учетная запись служит для просмотра, редактирования и взаимодействия с базами данных Access 2013 через браузер. |
|||||||||||||||||||||||||
Управление работой |
|
Эта учетная запись обеспечивает объединение задач в разных системах управления работой, включая продукты Продукты SharePoint, Microsoft Exchange Server и Microsoft Project Server. |
|||||||||||||||||||||||||
Распределенный кэш |
|
Эта учетная запись обеспечивает службы кэширования в памяти некоторых возможностей в SharePoint Server. Ниже перечислены некоторые функции, которые используют службу распределенного кэша:
|
Дополнительные учетные записи удостоверений пулов приложений
При создании дополнительных пулов приложений для размещения сайтов, спланируйте дополнительные учетные записи удостоверений пулов приложений. Для каждого планируемого пула приложений необходимо предусмотреть одну учетную запись пула.
| Учетная запись | Назначение |
|---|---|
Удостоверение пула приложений |
Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют как удостоверение процесса. Эта учетная запись используется для доступа к базам данных контента, которые связаны с веб-приложениями, размещаемыми в пуле приложений. |
Стандартные требования к отдельному серверу
При развертывании отдельного сервера требования к учетным записям существенно снижаются. В тестовой среде можно использовать одну учетную запись для решения всех задач. В рабочей среде необходимо убедиться, что созданная учетная запись имеет достаточные разрешения для выполнения этих целей.
Список разрешений учетной записи для сред с одним сервером см. в статье Начальное развертывание учетных записей администраторов и служб в SharePoint Server.
Требования к ферме серверов
Если вы развертываете несколько серверов, используйте стандартные требования к ферме серверов для назначения необходимых разрешений учетной записи для выполнения соответствующих процессов на нескольких компьютерах. Стандартные требования к ферме серверов описывают минимальную конфигурацию, необходимую для работы решения в среде фермы серверов.
Список стандартных требований для среды фермы серверов см. в разделе Технический справочник: требования к учетной записи в зависимости от сценария этой статьи.
Для некоторых учетных записей дополнительные разрешения или доступ к базам данных настраивается при запуске программы установки. Они указываются в средстве планирования учетных записей. Одним из важных аспектов настройки, который необходимо учитывать администраторам базы данных, является добавление роли базы данных WSS_Content_Application_Pools. Программа установки добавляет эту роль в следующие базы данных:
база данных SharePoint_Config (база данных конфигурации);
база данных SharePoint_AdminContent.
Участникам роли базы данных WSS_Content_Application_Pools предоставляется разрешение на выполнение для подмножества хранимых процедур базы данных, а также разрешение на выбор для таблицы версий (dbo.Versions) в базе данных SharePoint_AdminContent.
Для других баз данных средство планирования учетных записей указывает, какие разрешения на доступ для чтения из этих баз данных настроены автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Чтобы предоставить этот доступ, настраиваются разрешения для хранимых процедур.
Технический справочник: требования к учетной записи в зависимости от сценария
В этом разделе требования к учетным записям перечисляются в зависимости от сценария.
Стандартные требования среды с одним сервером
Стандартные требования среды фермы серверов
Стандартные требования к отдельному серверу
Учетные записи уровня фермы сервера
| Учетная запись | Требования |
|---|---|
Служба SQL Server |
Учетная запись Local System (по умолчанию) |
Пользователь установки |
Член группы администраторов на локальном компьютере. |
Ферма серверов |
Сетевая служба (по умолчанию) Ручные настройки не требуются. |
Учетные записи служб-приложений
Важно!
Учетные записи в этой таблице применяются только к SharePoint Server.
| Учетная запись | Требования |
|---|---|
Служба поиска SharePoint Server |
По умолчанию эта учетная запись выполняется от имени учетной записи Local System. Если вы хотите выполнять обход удаленного контента, изменяя учетную запись доступа к контенту по умолчанию или используя правила обхода контента, замените эту учетную запись учетной записью домена. Если не заменить эту учетную запись учетной записью пользователя домена, нельзя будет изменить учетную запись доступа к контенту по умолчанию на учетную запись пользователя домена или добавить правила обхода для обхода этого контента. Это ограничение предназначено для предотвращения повышения привилегий другого процесса, выполняющегося от имени учетной записи Local System. |
Доступ к контенту по умолчанию |
Если эта учетная запись используется только для обхода контента локальной фермы, вносить изменения вручную не требуется. Чтобы выполнять обход удаленного контента, используя правила обхода, замените эту учетную запись учетной записью пользователя домена и примените требования, перечисленные для фермы серверов. |
Доступ к контенту |
Некоторые требования, такие как учетная запись доступа к контенту по умолчанию. |
Доступ по умолчанию к импорту профилей |
Те же требования, что и к ферме серверов. |
Автоматическая служба Службы Excel |
Должна являться учетной записью пользователя домена. |
Дополнительные учетные записи удостоверений пулов приложений
| Учетная запись | Требования |
|---|---|
Удостоверение пула приложений |
Ручные настройки не требуются. Учетная запись сетевой службы используется для веб-сайта по умолчанию, который создан во время установки и настройки. |
Стандартные требования среды фермы серверов
Учетные записи уровня фермы сервера
Важно!
Учетные записи в этой таблице применяются только к SharePoint Server.
| Учетная запись | Требования |
|---|---|
Учетная запись службы SQL Server |
Используйте учетную запись локальной системы или учетную запись пользователя домена. Если используется учетная запись домена, она по умолчанию использует проверку подлинности Kerberos, которая требует внесения дополнительных настроек в конфигурацию сетевой среды. Если SQL Server использует недопустимое имя субъекта-службы (которое не существует в среде доменных служб Active Directory), произойдет сбой проверки подлинности Kerberos и будет использоваться проверка подлинности NTLM. Если SQL Server использует имя субъекта-службы, которое допустимо, но не назначено соответствующему контейнеру в доменных службах Active Directory, произойдет сбой проверки подлинности. Функция проверки подлинности всегда пытается использовать первое найденное имя субъекта-службы, поэтому необходимо гарантировать, что имена субъектов-служб не назначены неподходящим контейнерам AD DS. Если для резервного копирования и восстановления вы планируете использовать внешний ресурс, соответствующей учетной записи необходимо предоставить разрешения на этот ресурс. При использовании учетной записи пользователя домена для учетной записи службы SQL Server разрешения необходимо предоставить этой учетной записи пользователя домена. Однако если используется учетная запись сетевой службы или Local System, разрешения на внешний ресурс необходимо предоставить учетной записи компьютера ((<имя_домена>\<имя_узла_SQL>). |
Учетная запись программы установки |
Если вы выполняете команды Stsadm, которые влияют на базу данных, эта учетная запись должна быть элементом предопределенной роли базы данных db_owner для соответствующей базы данных. |
Учетная запись фермы серверов |
Дополнительные разрешения для этой учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов. Эта учетная запись автоматически добавляется как имя пользователя SQL Server на компьютере, на котором выполняется SQL Server, а также в следующие роли безопасности SQL Server:
Примечание Если вы настраиваете службу Secure Store, учетной записи фермы серверов не будет автоматически предоставлен доступ к базе данных службы Secure Store уровня db_owner. |
Учетные записи приложений-служб
Важно!
Учетные записи в этой таблице применяются только к SharePoint Server.
| Учетная запись | Требования |
|---|---|
Учетная запись службы поиска SharePoint Server |
Следующие параметры настраиваются автоматически:
|
Учетная запись по умолчанию для доступа к контенту |
Следующие параметры настраиваются автоматически:
|
Учетная запись для доступа к контенту |
|
Учетная запись доступа по умолчанию для импорта профилей |
|
Учетная запись автоматической службы Службы Excel |
Должна являться учетной записью пользователя домена. |
Дополнительные учетные записи удостоверений пулов приложений
| Учетная запись | Требования |
|---|---|
Удостоверение пула приложений |
Ручные настройки не требуются. Следующие параметры настраиваются автоматически:
|