Планирование учетных записей администратора и служб (Windows SharePoint Services)

Служебная учетная запись SQL Server

Программное обеспечение SQL Server запрашивает эту учетную запись при установке. Она используется в качестве учетной записи службы для следующих служб SQL Server:

• MSSQLSERVER

• SQLSERVERAGENT

Если экземпляр по умолчанию не используется, службы будут отображаться следующим образом:

• MSSQL$*Имя_экземпляра*

• SQLAgent$*Имя_службы*

Учетная запись фермы серверов.

Эта учетная запись также является учетной записью для доступа к базам данных.

Эта учетная запись:

• удостоверением пула приложений для веб-сайта центра администрирования SharePoint;

• учетной записью процесса для службы времени Windows SharePoint Services.

Учетная запись службы поиска Windows SharePoint Services.

Используется в качестве учетной записи для службы поиска Windows SharePoint Services. На каждом сервере поиска распложен один экземпляр этой службы. Как правило, в ферме серверов присутствует только один сервер поиска.

Удостоверение пула приложений

Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют в качестве удостоверения процесса. Эта учетная запись используется для доступа к базам данных контента, связанным с веб-приложениями в пуле приложений.

Учетная запись программы установки

База данных конфигурации и база данных SharePoint_AdminContent

Выбор проверки подлинности Windows при создании учетных данных.

<*WSSSearch_DB_Acc*>

База данных WSS_Search

• Выбор проверки подлинности SQL при создании учетных данных.

• Назначение роли сервера dbcreator.

Учетные данные

База данных

Учетная запись фермы серверов (учетная запись доступа к базам данных Office SharePoint Server)

• База данных поставщика общих служб

• База данных поиска поставщика общих служб

Удостоверение пула приложений для дополнительных баз данных контента

• База данных поставщика общих служб

• База данных поиска поставщика общих служб

• Базы данных контента, связанные с пулом приложений

Служебная учетная запись SQL Server

Локальная системная учетная запись (по умолчанию)

Учетная запись фермы серверов.

Служба сети (по умолчанию)

Ручная настройка не требуется.

Учетная запись службы поиска Windows SharePoint Services.

По умолчанию, эта учетная запись используется в качестве локальной системной учетной записи.

Удостоверение пула приложений

Ручная настройка не требуется.

Учетная запись сетевой службы используется для веб-сайта по умолчанию, созданного во время установки и настройки.

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Учетная запись фермы серверов.

• Учетная запись пользователя домена.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

• Предопределенная роль сервера dbcreator

• Предопределенная роль сервера securityadmin

• Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание._При настройке службы единого входа Microsoft учетной записи фермы серверов на присваивается автоматически разрешениеdb_owner на доступ к базе данных SSO.

Учетная запись службы поиска Windows SharePoint Services.

• Должна быть учетной записью пользователя домена.

• Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

• Должна быть учетной записью пользователя домена.

• Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

Учетная запись фермы серверов.

• Учетная запись пользователя домена.

• Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

• Предопределенная роль сервера dbcreator

• Предопределенная роль сервера securityadmin

• Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

• НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

• Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетная запись службы поиска Windows SharePoint Services.

• Должна быть учетной записью пользователя домена.

• Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

• Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

• Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

Учетная запись фермы серверов.

• Учетная запись пользователя домена.

• Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

• Предопределенная роль сервера dbcreator

• Предопределенная роль сервера securityadmin

• Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

• НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

• НЕ должна быть учетной записью SQL Server на компьютере, где запущен SQL Server.

• Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетная запись службы поиска Windows SharePoint Services.

• Должна быть учетной записью пользователя домена.

• Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

• НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

• НЕ должна быть учетной записью SQL Server.

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

• Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

• НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

• НЕ должна быть учетной записью SQL Server.

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

• Если для резервного копирования и восстановления планируется использовать внешний ресурс, соответствующей учетной записи необходимо предоставить разрешения на этот ресурс. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить этой учетной записи пользователя домена. Однако, если используется учетная запись сетевой службы или локального компьютера, разрешения на внешний ресурс необходимо предоставить учетной записи компьютера (имя_домена\SQL_имя_компьютера$).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

Учетная запись фермы серверов.

• Учетная запись пользователя домена.

• Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

• Предопределенная роль сервера dbcreator

• Предопределенная роль сервера securityadmin

• Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

• НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

• Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

• Группа пользователей

• Предопределенная роль базы данных db_owner

Учетная запись службы поиска Windows SharePoint Services.

• Должна быть учетной записью пользователя домена.

• Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена.

При выполнении средства командной строки ­Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.

• Группа пользователей и роль db_owner для базы данных WSS_Search.

• Группа пользователей в базе данных конфигурации.

• Группа пользователей в базе данных контента центра администрирования.

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

• Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

• Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

• Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

• Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

• Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

• Группа пользователей

• Роль db_owner