Share via

Планирование учетных записей администратора и служб (Office SharePoint Server)

  • Статья

Содержание:

  • Общие сведения об административных и служебных учетных записях

  • Стандартные требования к среде из одного сервера

  • Стандартные требования к ферме серверов

  • Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

  • Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

  • Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

  • Техническая справочная информация: требования к учетным записям по сценариям

В этой статье приводится описание учетных записей, которые необходимо спланировать, а также сценариев развертывания, определяющих требования к учетным записям.

При изучении материалов статьи используйте следующее средство планирования: Требования к учетным записям безопасности Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке). В этом средстве планирования содержится список требований к каждой учетной записи на основе сценария развертывания. Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям настоящей статьи.

В требованиях к учетным записям подробно описаны конкретные разрешения, которые необходимо предоставить перед выполнением программы установки. В некоторых случаях в средстве планирования указываются дополнительные разрешения, предоставляемые автоматически при выполнении программы установки.

В этой статье не описываются требования к учетной записи для использования единого входа (SSO) в систему Microsoft Office SharePoint Server 2007. Более подробную информацию см. в разделе Планирование единого входа.

Роли безопасности и разрешения, необходимые для администрирования Office SharePoint Server 2007, в данной статье не описываются. Дополнительные сведения см. в разделе Планирование ролей безопасности (Office SharePoint Server).

Общие сведения об административных и служебных учетных записях

В этом разделе приводится описание учетных записей, которые необходимо спланировать. Учетные записи сгруппированы по сфере применения. Если сфера применения учетной записи ограниченна, для соответствующей категории может потребоваться планирование нескольких учетных записей.

Например, если используется несколько поставщиков общих служб, необходимо назначить им несколько учетных записей.

После установки и настройки учетных записей не следует использовать локальную системную учетную запись для выполнения задач администрирования или перехода по сайтам. Например, для выполнения задач администрирования не рекомендуется использовать учетную запись, которая уже используется для запуска программы установки.

Ученые записи уровня фермы серверов

В следующей таблице описаны учетные записи, используемые для настройки программного обеспечения баз данных Microsoft SQL Server и установки служб Office SharePoint Server 2007.

Учетная запись Назначение

Служебная учетная запись SQL Server

Программное обеспечение SQL Server запрашивает эту учетную запись при установке. Она используется в качестве учетной записи службы для следующих служб SQL Server:

  • MSSQLSERVER

  • SQLSERVERAGENT

Если экземпляр по умолчанию не используется, службы будут отображаться следующим образом:

  • MSSQL$*Имя_экземпляра*

  • SQLAgent$*Имя_службы*

Учетная запись программы установки

Учетная запись пользователя для запуска перечисленных ниже компонентов.

  • Программа установки на каждом сервере

  • Мастер настройки продуктов и технологий SharePoint

  • Программа командной строки Psconfig

  • Программа командной строки Stsadm

Учетная запись фермы серверов.

Эта учетная запись также является учетной записью для доступа к базам данных.

Эта учетная запись является:

  • удостоверением пула приложений для веб-сайта центра администрирования SharePoint;

  • учетной записью процесса для службы времени Windows SharePoint Services.

Учетные записи поставщика общих служб

В следующей таблице описываются учетные записи, используемые для установки и настройки поставщика общих служб. Планируйте один набор учетных записей поставщика общих служб для каждого поставщика общих служб, с которым предполагается работать.

Учетная запись Назначение

Учетная запись пула приложений поставщика общих служб

Учетная запись пула приложений сайта администрирования поставщика общих служб. Эта учетная запись используется для запуска пула приложений для веб-приложения, в котором размещается сайт администрирования поставщика общих служб.

Учетная запись службы поставщика общих служб

Используется следующими службами:

  • веб-службы поставщика общих служб для связи между серверами;

  • Удостоверение пула приложений, связанного с виртуальным каталогом, который в свою очередь связан с данным поставщиком общих служб

Учетная запись службы поиска Office SharePoint Server

Используется как учетная запись службы поиска Office SharePoint Server. В ферме существует только один экземпляр этой службы, который используется всеми поставщиками общих служб для записи файлов индекса контента в папку индекса на серверах индексации и для распространения доступного для поиска индекса на всех серверах запросов в ферме Microsoft Office SharePoint Server 2007.

Учетная запись по умолчанию для доступа содержимому

Учетная запись по умолчанию, используемая специфическим поставщиком общих служб для обхода контента, если правилом обхода не определен иной метод проверки подлинности для URL-адресов или шаблонов URL.

Учетная запись для доступа содержимому

Определенная учетная запись, настроенная для доступа к источнику контента. Эта учетная запись необязательна и определяется при создании нового правила обхода контента. Например, для источников контента, которые являются внешними по отношению к Office SharePoint Server 2007 (таких как общая папка) может потребоваться другая учетная запись доступа.

Учетная запись по умолчанию для доступа к импорту профиля

Используется для:

  • подключения к службе каталогов, такой как служба Active Directory, к каталогу Lightweight Directory Access Protocol (LDAP), к приложению "Каталог бизнес-данных" или к другим источникам каталогов;

  • импорта данных профиля из службы каталогов.

Если учетная запись не определена, используется учетная запись доступа к содержимому по умолчанию. Если учетная запись доступа к содержимому по умолчанию не имеет полномочий для чтения из каталога или нескольких каталогов, откуда требуется импортировать данные, планируйте использование другой учетной записи. Можно планировать по одной учетной записи для каждого подключения к каталогу.

Учетная запись автоматической службы Excel Services

Учетная запись, которую используют службы вычислений Excel для подключения к внешним источникам данных, требующим для проверки подлинности отличных от Windows имени пользователя и пароля. Если эта учетная запись не настроена, службы Excel не будут пытаться подключиться к этим типам источников данных. Хотя для подключения к источникам данных, отличным от Windows, используются учетные данные, учетная запись должна быть членом домена, иначе службы вычислений Excel не смогут ее использовать.

Учетные записи поиска Windows SharePoint Services

В следующей таблице описываются учетные записи, которые используются для установки и настройки службы поиска Windows SharePoint Services. В Office SharePoint Server 2007 эта служба называется службой поиска в справке Windows SharePoint Services, так как она используется в средстве поиска в справке. Во время установки Office SharePoint Server 2007 запланируйте эти учетные записи, только если эта служба будет использоваться для поиска содержимого в справке.

Учетная запись Назначение

Учетная запись службы поиска Windows SharePoint Services.

Используется как учетная запись службы поиска по справке Windows SharePoint Services. В ферме существует только один экземпляр этой службы, который используется для записи файлов индекса контента в папку индекса на серверах индексации и для распространения доступного для поиска индекса на всех серверах запросов в ферме Office SharePoint Server 2007.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

Используется ролью сервера приложений поиска Windows SharePoint Services для обхода контента сайтов.

Дополнительные учетные записи удостоверения пула приложений

При создании дополнительных пулов приложений для размещения сайтов, следует спланировать дополнительные учетные записи удостоверения пула приложений. В следующей таблице приводится описание учетной записи удостоверения пула приложений. Для каждого реализуемого пула приложений следует планировать учетную запись пула приложений.

Учетная запись Назначение

Удостоверение пула приложений

Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют в качестве удостоверения процесса. Эта учетная запись используется для доступа к базам данных контента, связанным с веб-приложениями в пуле приложений.

Стандартные требования к среде из одного сервера

При развертывании на одном сервере к учетным записям предъявляются гораздо менее строгие требования. В тестовой среде можно использовать одну учетную запись для всех назначений учетных записей. В рабочей среде необходимо, чтобы разрешения учетных записей соответствовали их назначениям.

Подробнее о списке разрешений учетных записей для односерверных сред см. средство планирования Требования к учетной записи безопасности Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке) или требования, перечисленные в разделе Техническая справочная информация: требования к учетным записям по сценариям в этой статье.

Требования к ферме серверов

При развертывании на нескольких серверах рекомендуется придерживаться стандартных требований к ферме серверов, чтобы гарантировать наличие у учетных записей соответствующих разрешений на выполнение процессов на нескольких компьютерах. Стандартные требования к ферме серверов подробно определяют минимальную конфигурацию, необходимую для работы в среде фермы серверов. Для обеспечения более безопасной среды можно использовать требования к администрированию по принципу предоставления минимальных прав с помощью учетных записей домена.

Подробнее о списке стандартных требований к средам фермы серверов см. средство планирования Требования к учетным записям безопасности Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке) или требования, перечисленные в разделе данной статьи Техническая справочная информация: требования к учетным записям по сценариям.

При выполнении программы установки для некоторых учетных записей настраиваются дополнительные разрешения или доступ к базам данных. Они указаны в средстве планирования учетных записей. Важной настройкой, о которой должны знать администраторы баз данных, является добавление роли базы данных WSS_Content_Application_Pools. Эта роль добавляется программой установки к следующим базам данных:

  • База данных SharePoint_Config (база данных конфигурации)

  • База данных SharePoint_AdminContent

Членам роли базы данных WSS_Content_Application_Pools предоставляется разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, членам этой роли предоставляется разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent.

Для остальных баз данных в средстве планирования учетных записей указано, что доступ для чтения из этих базы данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения этого доступа настраиваются разрешения на хранимые процедуры. Например, для базы данных SharePoint_Config автоматически настраивается доступ к следующим хранимым процедурам:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Администрирование по принципу предоставления минимальных прав является рекомендуемым способом обеспечения безопасности, в рамках которого каждой службе или пользователю предоставляются только минимальные права, необходимые для выполнения разрешенных задач. Это означает, что каждой службе предоставляется доступ только к тем ресурсам, которые необходимы для ее целей. Минимальные требования для реализации такого подхода включают следующие условия.

  • Использование отдельных учетных записей для разных служб и процессов.

  • Ни одна из учетных записей, выполняющих службы или процессы, не запущена с разрешениями локального администратора.

Использование отдельных учетных записей служб для каждой службы и ограничение разрешений, назначенных каждой учетной записи, позволит сократить вероятность нарушения безопасности среды злоумышленником или вредоносным процессом.

Администрирование по принципу предоставления минимальных прав с помощью учетных записей домена является рекомендуемой конфигурацией для большинства сред.

Подробнее о списке административных требований к учетным записям пользователей домена в соответствии с принципом предоставления минимальных прав см. средство планирования Требования к учетной записи Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке) или требования, перечисленные в разделе данной статьи Техническая справочная информация: требования к учетным записям по сценариям.

Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых требуется проверка подлинности SQL. В этом сценарии должны выполняться следующие условия.

  • Для каждой создаваемой базы данных используется проверка подлинности SQL.

  • Все остальные учетные записи администрирования и служб создаются в качестве учетных записей домена.

Установка и настройка

Для использования проверки подлинности SQL требуется дополнительная установка и настройка.

  • Все учетные записи баз данных должны создаваться как учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent.

  • Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных.

  • Для создания дополнительных баз данных контента необходимо установить в центре администрирования параметр Проверка подлинности SQL. Однако сначала необходимо создать учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio.

  • Обеспечение безопасности подключения к серверам баз данных при помощи протокола SSL или IPsec.

Использование проверки подлинности SQL обеспечиваются следующие возможности.

  • Шифрование учетных записей входа SQL Server в реестре веб-серверов и серверов приложений.

  • Использование для доступа к базе данных конфигурации и базе данных SharePoint_AdminContent соответствующих учетных записей входа в SQL Server вместо учетной записи фермы серверов.

Создание учетных записей служб и администратора

Список требований к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL см. в средстве планирования Требования к учетным записям безопасности Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Создание учетных данных SQL Server

Перед созданием баз данных требуется создать учетные данные SQL Server для каждой базы данных. Для базы данных конфигурации и базы данных SharePoint_AdminContent создаются две учетные записи. Для каждой базы данных контента необходимо создать одну учетную запись.

В следующей таблице перечислены учетные данные, которые необходимо создать. В столбце "Имя входа" указана учетная запись, которая указывается или создается для входа в SQL Server. Для первого имени входа необходимо ввести данные учетной записи программы установки. Для других учетных данных создается новая учетная запись входа в SQL Server. Для таких учетных данных в столбце имени входа приводится пример имени учетной записи.

Учетные данные База данных Права SQL

Учетная запись программы установки

База данных конфигурации и база данных SharePoint_AdminContent

Выбор проверки подлинности Windows при создании учетных данных.

<*ConfigAdminDBAcc*>

База данных конфигурации и база данных SharePoint_AdminContent

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

<*SSP_DB_Acc*>

База данных поставщика общих служб

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

  • Назначение роли сервера securityadmin.

<*SSPSearchDB_Acc*>

База данных поиска поставщика общих служб

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

  • Назначение роли сервера securityadmin.

<*WSSSearch_DB_Acc*>

База данных WSS_Search

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

<*Content_DB_Acc1*>

Базы данных контента

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых базы данных предварительно создаются администратором баз данных. В этом сценарии должны выполняться следующие условия.

  • Учетные записи администратора и служб создаются в качестве учетных записей домена.

  • Для учетных записей, используемых для настройки баз данных, создаются учетные данные SQL Server.

  • Базы данных создаются администратором баз данных.

Дополнительные сведения о развертывании служб Office SharePoint Server 2007 с предварительно созданными пустыми базами данных см. в разделе Развертывание с использованием баз данных, созданных администратором баз данных (Office SharePoint Server).

Создание учетных записей служб и администратора

Список стандартных требований к администрированию по принципу предоставления минимальных прав при подключении к существующим пустым базам данных см. в средстве планирования Требования к учетным записям безопасности Office SharePoint Server (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Создание учетных данных SQL Server

Перед созданием баз данных требуется создать учетные данные SQL Server для каждой учетной записи, используемой для доступа к базам данных. В средстве планирования учетных записей подробно описаны конкретные разрешения, настроенные для каждой учетной записи. Указания по созданию и предоставлению разрешений для баз данных см. в разделе Развертывание с использованием баз данных, созданных администратором баз данных (Office SharePoint Server).

В следующей таблице перечислены учетные данные, которые требуется создать. В столбце "База данных" указаны базы данных, разрешения на которые настраиваются для каждой учетной записи. При создании каждой учетной записи следует задавать проверку подлинности Windows.

Учетные данные

База данных

Учетная запись программы установки (используется в качестве пользователя, от имени которого запускается средство командной строки Psconfig)

Все базы данных

Учетная запись фермы серверов (учетная запись доступа к базам данных Office SharePoint Server)

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

Учетная запись службы поставщика общих служб

  • База данных конфигурации

  • База данных SharePoint_AdminContent

  • База данных контента сайта администрирования общих служб

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

  • База данных контента веб-приложения "Личные узлы"

  • Каждая база данных дополнительного содержимого

Учетная запись службы поиска Office SharePoint Server

  • База данных конфигурации

  • База данных SharePoint_AdminContent

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

Учетная запись по умолчанию для доступа содержимому

  • База данных конфигурации

  • База данных SharePoint_AdminContent

Учетная запись пула приложений поставщика общих служб (идентификация)

База данных контента для веб-приложения SSP Admin

Удостоверение для пула приложений веб-сайта "Личные узлы"

База данных контента для веб-приложения "Личные узлы"

Учетная запись службы поиска Windows SharePoint Services.

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

  • База данных WSS_Search

  • База данных конфигурации

  • База данных SharePoint_AdminContent

Удостоверение пула приложений для дополнительных баз данных контента

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

  • Базы данных контента, связанные с пулом приложений

Техническая справочная информация: требования к учетным записям по сценариям

В этом разделе перечислены требования к учетным записям в зависимости от сценария развертывания.

  • Стандартные требования к среде из одного сервера

  • Стандартные требования к ферме серверов

  • Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

  • Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

  • Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Стандартные требования к среде из одного сервера

Учетные записи фермы серверов

Учетная запись Требования

Служебная учетная запись SQL Server

Локальная системная учетная запись (по умолчанию)

Учетная запись программы установки

Входит в группу администраторов локального компьютера.

Учетная запись фермы серверов.

Служба сети (по умолчанию)

Ручная настройка не требуется.

Учетные записи поставщика общих служб

Учетная запись Требования

Учетная запись пула приложений поставщика общих служб

Ручная настройка не требуется.

Учетная запись службы поставщика общих служб

  • Ручная настройка не требуется.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Учетная запись службы поиска Office SharePoint Server

По умолчанию, эта учетная запись используется в качестве локальной системной учетной записи.

Если требуется обходить удаленное содержимое путем изменения учетной записи по умолчанию для доступа к содержимому или путем использования правил обхода контента, измените эту учетную запись на учетную запись пользователя в домене. Если не изменить эту учетную запись на учетную запись пользователя в домене, не удастся изменить учетную запись по умолчанию для доступа к содержимому на учетную запись пользователя в домене или добавить правила обхода контента для просмотра этого содержимого. Это ограничение предназначено для того, чтобы предотвратить поднятие привилегий для любого другого процесса, исполняемого как локальная системная учетная запись.

Учетная запись по умолчанию для доступа содержимому

Если эта учетная запись ограничивается только обходом контента локальной фермы, никакой ручной настройки не требуется. Если требуется производить обход удаленного содержимого с помощью правил обхода, измените эту учетную запись на учетную запись пользователя в домене и примените требования, перечисленные для фермы серверов.

Учетная запись для доступа содержимому

Такая же, как учетная запись по умолчанию для доступа к содержимому поставщика общих служб, рассмотренная выше.

Учетная запись по умолчанию для доступа к импорту профиля

Такие же требования, как для фермы серверов.

Учетная запись автоматической службы Excel Services

Должна быть учетной записью пользователя домена.

Учетные записи поиска Windows SharePoint Services

Учетная запись Требования

Учетная запись службы поиска Windows SharePoint Services.

По умолчанию, эта учетная запись используется в качестве локальной системной учетной записи.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Требования

Удостоверение пула приложений

Ручная настройка не требуется.

Учетная запись сетевой службы используется для веб-сайта по умолчанию, созданного во время установки и настройки.

Стандартные требования к ферме серверов

Учетные записи фермы серверов

Учетная запись Требования

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание   При настройке службы единого входа Microsoft учетная запись фермы серверов не получает автоматический доступ db_owner к базе данных единого входа.

Учетные записи поставщика общих служб

Учетная запись Требования

Учетная запись пула приложений поставщика общих служб

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для базы данных контента поставщика общих служб.

  • Доступ для чтения из базы данных контента поставщика общих служб и записи в эту базу данных.

  • Доступ для чтения и записи в базы данных контента для веб-приложений, связанных с поставщиком общих служб.

  • Доступ для чтения из базы данных конфигурации.

  • Доступ для чтения из базы данных контента центра администрирования.

  • Дополнительные разрешения для допуска на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Учетная запись службы поставщика общих служб

  • Используйте учетную запись пользователя домена.

  • Ручная настройка не требуется. Автоматически предоставляются те же разрешения, что для учетной записи пула приложений поставщика общих служб.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Учетная запись службы поиска Office SharePoint Server

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ на чтение к базе данных конфигурации, базе данных контента администрирования, базе данных поставщика общих служб и базе данных средства поиска Office Server Search

  • Полный доступ к месту расположения файла индекса на серверах индекса и полный доступ к месту расположения распространения поиска на серверах запросов в ферме Office SharePoint Server 2007

Учетная запись по умолчанию для доступа содержимому

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

  • Доступ для чтения к источникам внешнего или защищенного содержимого, обход которого требуется производить с помощью данной учетной записи.

  • Для сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Разрешения полного чтения автоматически предоставляются базам данных контента, размещенным на ферме серверов.

Учетная запись для доступа содержимому

  • Доступ для чтения к источникам внешнего или защищенного содержимого, которые должны быть доступны данной учетной записи в соответствии с настройкой.

  • Для веб-сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Учетная запись по умолчанию для доступа к импорту профиля

  • Доступ для чтения к службе каталогов.

  • Если для подключения к Active Directory выбран параметр Включить добавочный импорт на сервере и используется среда Windows 2000 Server, учетная запись должна иметь разрешение на репликацию изменений в Active Directory. Для службы каталогов Active Directory, предоставляемой Windows Server 2003, это разрешение не требуется.

  • Управление разрешениями для служб личной настройки профилей пользователей.

  • Просмотр разрешений на сущности, используемые в подключениях импорта каталога бизнес-данных.

Учетная запись автоматической службы Excel Services

Должна быть учетной записью пользователя домена.

Учетные записи поиска Windows SharePoint Services

Учетная запись Требования

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Требования

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Должна быть учетной записью пользователя домена.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Доступ для чтения из связанной базы данных поставщика общих служб и записи в эту базу данных.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Данная учетная запись НЕ должна быть членом группы администраторов на компьютере с SQL Server.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание   При настройке службы единого входа Microsoft учетная запись фермы серверов не получает автоматический доступ db_owner к базе данных единого входа.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетные записи поставщика общих служб

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Учетная запись пула приложений поставщика общих служб

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для базы данных контента поставщика общих служб.

  • Доступ для чтения из базы данных контента поставщика общих служб и записи в эту базу данных.

  • Доступ для чтения и записи в базы данных контента для веб-приложений, связанных с поставщиком общих служб.

  • Доступ для чтения из базы данных конфигурации.

  • Доступ для чтения из базы данных контента центра администрирования.

  • Дополнительные разрешения для допуска на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Для изоляции в целях безопасности используйте отдельную учетную запись для каждого поставщика общих служб.

Учетная запись службы поставщика общих служб

  • Используйте учетную запись пользователя домена.

  • Ручная настройка не требуется. Автоматически предоставляются те же разрешения, что для учетной записи пула приложений поставщика общих служб.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись службы поиска Office SharePoint Server

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ на чтение к базе данных конфигурации, базе данных контента администрирования, базе данных поставщика общих служб и базе данных средства поиска Office Server Search.

  • Полный доступ к месту расположения файла индекса на серверах индекса и полный доступ к месту расположения распространения поиска на серверах запросов в ферме MOSS.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись по умолчанию для доступа содержимому

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

  • Доступ для чтения к источникам внешнего или защищенного содержимого, обход которого требуется производить с помощью данной учетной записи.

  • Для сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Разрешения полного чтения автоматически предоставляются базам данных контента, размещенным на ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • В среде фермы серверов по умолчанию используется учетная запись службы поиска Office SharePoint Server до тех пор, пока не будет определена иная учетная запись. Измените ее на учетную запись пользователя домена после завершения работы программы установки и мастера настройки.

  • Не предоставляйте учетной записи по умолчанию для доступа к содержимому доступ к службе каталогов.

Для повышения безопасности используйте различные учетные записи по умолчанию для доступа к содержимому для каждого поставщика общих служб.

Учетная запись для доступа содержимому

  • Доступ для чтения к источникам внешнего или защищенного содержимого, которые должны быть доступны данной учетной записи в соответствии с настройкой.

  • Для веб-сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись по умолчанию для доступа к импорту профиля

  • Доступ для чтения к службе каталогов.

  • Если для подключения к Active Directory выбран параметр Включить добавочный импорт на сервере и используется среда Windows 2000 Server, учетная запись должна иметь разрешение на репликацию изменений в Active Directory. Для службы каталогов Active Directory, предоставляемой Windows Server 2003, это разрешение не требуется.

  • Управление разрешениями для служб личной настройки профилей пользователей.

  • Просмотр разрешений на сущности, используемые в подключениях импорта каталога бизнес-данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Эта учетная запись может быть той же учетной записью, что учетная запись по умолчанию для доступа к содержимому, или можно использовать отдельную учетную запись.

  • Доступ для чтения к службе каталогов.

  • Управление разрешениями для служб личной настройки профилей пользователей.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Учетная запись автоматической службы Excel Services

Должна быть учетной записью пользователя домена.

Должна быть учетной записью пользователя домена.

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Доступ для чтения из связанной базы данных поставщика общих служб и записи в эту базу данных.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Примечание

При создании, все учетные записи баз данных должны быть учетными записями входа в SQL Server в SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent. Создайте одно имя входа SQL Server как для базы данных конфигурации, так и для базы данных SharePoint_AdminContent.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Учетные данные SQL Server на компьютере с SQL Server.

  • НЕ должна быть членом следующих ролей безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

  • НЕ должна быть членом группы администраторов на компьютере, где запущен SQL Server.

Примечание

Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных. Все остальные базы данных контента можно создать в центре администрирования, выбрав параметр проверки подлинности SQL.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server на компьютере, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетные записи поставщика общих служб

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Учетная запись пула приложений поставщика общих служб

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для базы данных контента поставщика общих служб.

  • Доступ для чтения из базы данных контента поставщика общих служб и записи в эту базу данных.

  • Доступ для чтения и записи в базы данных контента для веб-приложений, связанных с поставщиком общих служб.

  • Доступ для чтения из базы данных конфигурации.

  • Доступ для чтения из базы данных контента центра администрирования.

  • Дополнительные разрешения для допуска на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом локальной группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись службы поставщика общих служб

  • Используйте учетную запись пользователя домена.

  • Ручная настройка не требуется. Автоматически предоставляются те же разрешения, что для учетной записи пула приложений поставщика общих служб.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись службы поиска Office SharePoint Server

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ на чтение к базе данных конфигурации, базе данных контента администрирования, базе данных поставщика общих служб и базе данных средства поиска Office Server Search.

  • Полный доступ к месту расположения файла индекса на серверах индекса и полный доступ к месту расположения распространения поиска на серверах запросов в ферме Office SharePoint Server 2007.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись по умолчанию для доступа содержимому

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

  • Доступ для чтения к источникам внешнего или защищенного содержимого, обход которого требуется производить с помощью данной учетной записи.

  • Для сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Разрешения полного чтения автоматически предоставляются базам данных контента, размещенным на ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетными данными SQL Server на узле SQL Server.

Учетная запись для доступа содержимому

  • Доступ для чтения к источникам внешнего или защищенного содержимого, которые должны быть доступны данной учетной записи в соответствии с настройкой.

Для веб-сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись по умолчанию для доступа к импорту профиля

  • Доступ для чтения к службе каталогов.

  • Если для подключения к Active Directory выбран параметр Включить добавочный импорт на сервере и используется среда Windows 2000 Server, учетная запись должна иметь разрешение на репликацию изменений в Active Directory. Для службы каталогов Active Directory, предоставляемой Windows Server 2003, это разрешение не требуется.

  • Управление разрешениями для служб личной настройки профилей пользователей.

  • Просмотр разрешений на сущности, используемые в подключениях импорта каталога бизнес-данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись автоматической службы Excel Services

Должна быть учетной записью пользователя домена.

Должна быть учетной записью пользователя домена.

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Доступ для чтения из связанной базы данных поставщика общих служб и записи в эту базу данных.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

  • Если для резервного копирования и восстановления планируется использовать внешний ресурс, соответствующей учетной записи необходимо предоставить разрешения на этот ресурс. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить этой учетной записи пользователя домена. Однако, если используется учетная запись сетевой службы или локального компьютера, разрешения на внешний ресурс необходимо предоставить учетной записи компьютера (имя_домена\SQL_имя_компьютера$).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на компьютере, где запущен SQL Server.

Эта учетная запись используется для настройки баз данных. После создания каждой базы данных следует сменить владельца базы данных (dbo или db_owner) на учетную запись программы установки.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание   При настройке службы единого входа Microsoft учетная запись фермы серверов не получает автоматический доступ db_owner к базе данных единого входа.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Предопределенная роль базы данных db_owner

Учетные записи поставщика общих служб

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Учетная запись пула приложений поставщика общих служб

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для базы данных контента поставщика общих служб.

  • Доступ для чтения из базы данных контента поставщика общих служб и записи в эту базу данных.

  • Доступ для чтения и записи в базы данных контента для веб-приложений, связанных с поставщиком общих служб.

  • Доступ для чтения из базы данных конфигурации.

  • Доступ для чтения из базы данных контента центра администрирования.

  • Дополнительные разрешения для допуска на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Для изоляции в целях безопасности используйте отдельную учетную запись для каждого поставщика общих служб.

Учетная запись службы поставщика общих служб

  • Используйте учетную запись пользователя домена.

  • Ручная настройка не требуется. Автоматически предоставляются те же разрешения, что для учетной записи пула приложений поставщика общих служб.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

После создания базы данных конфигурации и баз данных центра администрирования добавьте эту учетную запись в перечисленные ниже группы для этих баз данных:

  • Группа пользователей

  • Роль базы данных WSS_Content_Application_Pools

После создания базы данных контента для сайта администрирования общих служб, базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись к следующей для каждой из этих баз данных:

  • Группа пользователей

  • Роль db_owner

После создания "Личных сайтов" добавьте эту учетную запись к следующей для базы данных контента веб-приложения "Личные узлы":

  • Группа пользователей

  • Роль db_owner

После создания всех баз данных контента добавьте эту учетную запись к следующей:

  • Группа пользователей

  • Роль db_owner

Учетная запись службы поиска Office SharePoint Server

  • Должна быть учетной записью пользователя в домене.

  • Учетная запись не должна входить в группу администраторов фермы

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ на чтение к базе данных конфигурации, базе данных контента администрирования, базе данных поставщика общих служб и базе данных средства поиска Office Server Search.

  • Полный доступ к месту расположения файла индекса на серверах индекса и полный доступ к месту расположения распространения поиска на серверах запросов в ферме Office SharePoint Server 2007.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

После создания базы данных конфигурации и баз данных центра администрирования добавьте эту учетную запись в перечисленные ниже группы для этих баз данных:

  • Группа пользователей

  • Роль WSS_Content_Application_Pools

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Роль db_owner

Учетная запись по умолчанию для доступа содержимому

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

  • Доступ для чтения к источникам внешнего или защищенного содержимого, обход которого требуется производить с помощью данной учетной записи.

  • Для сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Разрешения полного чтения автоматически предоставляются базам данных контента, размещенным на ферме серверов.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • В среде фермы серверов по умолчанию используется учетная запись службы поиска Office SharePoint Server до тех пор, пока не будет определена иная учетная запись. Измените ее на учетную запись пользователя домена после завершения работы программы установки и мастера настройки.

  • Не предоставляйте учетной записи по умолчанию для доступа к содержимому доступа к службе каталогов.

Для повышения безопасности используйте различные учетные записи по умолчанию для доступа к содержимому для каждого поставщика общих служб.

После создания базы данных конфигурации и баз данных центра администрирования добавьте эту учетную запись в перечисленные ниже группы для этих баз данных:

  • Группа пользователей

  • Роль базы данных WSS_Content_Application_Pools

Учетная запись для доступа содержимому

  • Доступ для чтения к источникам внешнего или защищенного содержимого, которые должны быть доступны данной учетной записи в соответствии с настройкой.

  • Для веб-сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись по умолчанию для доступа к импорту профиля

  • Доступ на чтение к службе каталогов

  • Если для подключения к Active Directory выбран параметр Включить добавочный импорт на сервере и используется среда Windows 2000 Server, учетная запись должна иметь разрешение на репликацию изменений в Active Directory. Для службы каталогов Active Directory, предоставляемой Windows Server 2003, это разрешение не требуется.

  • Управление разрешениями для служб личной настройки профилей пользователей.

  • Просмотр разрешений на сущности, используемые в подключениях импорта каталога бизнес-данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Эта учетная запись может быть той же учетной записью, что учетная запись по умолчанию для доступа к содержимому, или можно использовать отдельную учетную запись.

  • Используйте учетную запись, имеющую доступ для чтения к службе каталогов, и Управление разрешениями для служб личной настройки профилей пользователей.

Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Учетная запись автоматической службы Excel Services

Должна быть учетной записью пользователя домена.

Должна быть учетной записью пользователя домена.

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Роль db_owner

При выполнении средства командной строки ­Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.

  • Группа пользователей и роль db_owner для базы данных WSS_Search.

  • Группа пользователей в базе данных конфигурации.

  • Группа пользователей в базе данных контента центра администрирования.

Учетная запись службы поиска Windows SharePoint Services для доступа к содержимому

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

При выполнении средства командной строки ­Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.

  • Группа пользователей и роль db_owner для базы данных WSS_Search.

  • Группа пользователей в базе данных конфигурации.

  • Группа пользователей в базе данных контента центра администрирования.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Доступ для чтения из связанной базы данных поставщика общих служб и записи в эту базу данных.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Роль db_owner

Загрузка этой книги

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

См. полный список доступных книг на веб-сайте Загружаемые книги для Office SharePoint Server 2007.

См. также

Понятия

Планирование единого входа
Планирование ролей безопасности (Office SharePoint Server)