规划管理帐户和服务帐户 (Office SharePoint Server)

SQL Server 服务帐户

SQL Server 会在 SQL Server 安装过程中提示指定此帐户。此帐户用作以下 SQL Server 服务的服务帐户：

• MSSQLSERVER

• SQLSERVERAGENT

如果您不使用默认实例，这些服务将显示为：

• MSSQL$实例名称

• SQLAgent$实例名称

服务器场帐户

此帐户也称为数据库访问帐户。

此帐户是：

• SharePoint 管理中心网站的应用程序池标识。

• Windows SharePoint Services 定时服务的进程帐户。

SSP 应用程序池帐户

SSP 管理网站应用程序池帐户。此帐户用于运行承载 SSP 管理网站的 Web 应用程序的应用程序池。

Office SharePoint Server 搜索服务帐户

用作 Office SharePoint Server 搜索服务的服务帐户。此服务只具有一个实例，且该实例由所有 SSP 共用，以将内容索引文件写入到索引服务器上的索引位置，并将可搜索的索引传播到 Microsoft Office SharePoint Server 2007 服务器场中的所有查询服务器。

内容访问帐户

配置为访问内容源的特定帐户。此帐户是可选的，并且是在您创建新的爬网规则时指定的。例如，Office SharePoint Server 2007 外部的内容源（如文件共享）可能要求使用不同的访问帐户。

Excel Services 无人参与服务帐户

Excel Calculation Services 用于连接到外部数据源（需要一个非 Windows 用户名称和密码的字符串，以进行身份验证）的帐户。如果未配置此帐户，Excel Services 将不会尝试连接到这些类型的数据源。虽然可使用帐户凭据连接到非 Windows 数据源，但是，为了让 Excel Calculation Services 使用该帐户，该帐户必须是域的成员。

Windows SharePoint Services 搜索服务帐户

用作 Windows SharePoint Services 帮助搜索服务的服务帐户。在服务器场中，此服务只具有一个实例，且该实例用于将内容索引文件写入到索引服务器上的索引位置，并将可搜索的索引传播到 Office SharePoint Server 2007 服务器场中的所有查询服务器。

应用程序池标识

被向应用程序池提供服务的工作进程用作其进程标识的用户帐户。此帐户用于访问与驻留在应用程序池中的 Web 应用程序关联的内容数据库。

“安装”用户帐户

配置数据库和 SharePoint_AdminContent 数据库

创建登录时指定 Windows 身份验证。

<SSP_DB_Acc>

SSP 数据库

• 创建登录时指定 SQL 身份验证。

• 分配 dbcreator 服务器角色。

• 分配 securityadmin 服务器角色。

<WSSSearch_DB_Acc>

WSS_Search 数据库

• 创建登录时指定 SQL 身份验证。

• 分配 dbcreator 服务器角色。

登录

数据库

服务器场帐户（Office SharePoint Server 数据库访问帐户）

• SSP 数据库

• SSP 搜索数据库

Office SharePoint Server 搜索帐户

• 配置数据库

• SharePoint_AdminContent 数据库

• SSP 数据库

• SSP 搜索数据库

SSP 应用程序池帐户（标识）

SSP 管理 Web 应用程序的内容数据库

Windows SharePoint Services 搜索服务帐户

• SSP 数据库

• SSP 搜索数据库

• WSS_Search 数据库

• 配置数据库

• SharePoint_AdminContent 数据库

SQL Server 服务帐户

本地系统帐户（默认）

服务器场帐户

网络服务（默认）

不需要执行任何手动配置。

SSP 应用程序池帐户

不需要执行任何手动配置。

Office SharePoint Server 搜索服务帐户

默认情况下，此帐户作为本地系统帐户运行。

如果您想通过更改默认内容访问帐户或通过使用爬网规则对远程内容进行爬网，请将此帐户更改为域用户帐户。如果不将此帐户更改为域用户帐户，则无法将默认内容访问帐户更改为域用户帐户或无法添加爬网规则，因此无法对此内容进行爬网。此限制的作用是防止提升以本地系统帐户身份运行的任何其他进程的特权。

内容访问帐户

与先前列出的 SSP 默认内容访问帐户相同。

Excel Services 无人参与服务帐户

必须是域用户帐户。

Windows SharePoint Services 搜索服务帐户

默认情况下，此帐户作为本地系统帐户运行。

应用程序池标识

不需要执行任何手动配置。

网络服务帐户用于在安装和配置过程中创建的默认网站。

SQL Server 服务帐户

使用本地系统帐户或域用户帐户。

如果使用域用户帐户，则此帐户默认使用 Kerberos 身份验证，这需要在网络环境中进行其他配置。如果 SQL Server 使用无效（即在 Active Directory 目录服务环境中不存在）的服务主体名称 (SPN)，则 Kerberos 身份验证会失败，这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN，则身份验证会失败，并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN，因此，请确保未将 SPN 分配给 Active Directory 中的不适当容器。

如果计划备份到外部资源或从外部资源还原，则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户，则向该域用户帐户授予权限。但是，如果使用网络服务或本地系统帐户，则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。

服务器场帐户

• 域用户帐户。

• 如果服务器场是子服务器场，并且带有使用父服务器场的共享服务的 Web 应用程序，则此帐户必须是父服务器场的配置数据库上的 db_owner 固定数据库角色的成员。

在加入到服务器场中的 Web 服务器和应用程序服务器上，会自动为此帐户授予其他权限。

在运行 SQL Server 的计算机上，此帐户自动添加为 SQL Server 登录，而且添加到下面的 SQL Server 安全角色中：

• dbcreator 固定服务器角色

• securityadmin 固定服务器角色

• db_owner 固定数据库角色（对于服务器场中的所有数据库）

注意   如果配置了 Microsoft Single Sign-On Service，则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。

SSP 应用程序池帐户

不需要执行任何手动配置。

以下是自动配置的：

• SSP 内容数据库的 db_owner 角色中的成员资格。

• 读写 SSP 内容数据库的访问权限。

• 读写与 SSP 关联的 Web 应用程序内容数据库的访问权限。

• 读取配置数据库的访问权限。

• 读取管理中心内容数据库的访问权限。

• 自动授予对前端 Web 服务器和应用程序服务器的其他权限。

Office SharePoint Server 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库、管理内容数据库、SSP 数据库和 Office Server Search 数据库的权限

• 对索引服务器上索引文件位置的完全控制访问权限，以及对 Office SharePoint Server 2007 服务器场中查询服务器上的搜索传播位置的完全控制访问权限

内容访问帐户

• 针对配置此帐户进行访问的外部或安全内容源的读取权限。

• 对于不属于服务器场的网站，必须明确向此帐户授予对承载网站的 Web 应用程序的完全读取权限。

Excel Services 无人参与服务帐户

必须是域用户帐户。

Windows SharePoint Services 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• Windows SharePoint Services 搜索数据库的 db_owner 角色中的成员资格。

应用程序池标识

不需要执行任何手动配置。

以下是自动配置的：

• 必须是域用户帐户。

• 与 Web 应用程序关联的内容数据库和搜索数据库的 db_owner 角色中的成员资格。

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• 读写关联的 SSP 数据库的访问权限。

• 自动向此帐户授予对前端 Web 服务器和应用程序服务器的其他权限。

SQL Server 服务帐户

使用本地系统帐户或域用户帐户。

如果使用域用户帐户，则此帐户默认使用 Kerberos 身份验证，这需要在网络环境中进行其他配置。如果 SQL Server 使用无效（即在 Active Directory 目录服务环境中不存在）的服务主体名称 (SPN)，则 Kerberos 身份验证会失败，这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN，则身份验证会失败，并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN，因此，请确保未将 SPN 分配给 Active Directory 中的不适当容器。

如果计划备份到外部资源或从外部资源还原，则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户，则向该域用户帐户授予权限。但是，如果使用网络服务或本地系统帐户，则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

服务器场帐户

• 域用户帐户。

• 如果服务器场是子服务器场，并且带有使用父服务器场的共享服务的 Web 应用程序，则此帐户必须是父服务器场的配置数据库上的 db_owner 固定数据库角色的成员。

在加入到服务器场中的 Web 服务器和应用程序服务器上，会自动为此帐户授予其他权限。

在运行 SQL Server 的计算机上，此帐户自动添加为 SQL Server 登录，而且添加到下面的 SQL Server 安全角色中：

• dbcreator 固定服务器角色

• securityadmin 固定服务器角色

• db_owner 固定数据库角色（对于服务器场中的所有数据库）。

注意   如果配置了 Microsoft Single Sign-On Service，则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 在创建配置数据库之前，此帐户不需要 SQL Server 的权限。

SSP 应用程序池帐户

不需要执行任何手动配置。

以下是自动配置的：

• SSP 内容数据库的 db_owner 角色中的成员资格。

• 读写 SSP 内容数据库的访问权限。

• 读写与 SSP 关联的 Web 应用程序内容数据库的访问权限。

• 读取配置数据库的访问权限。

• 读取管理中心内容数据库的访问权限。

• 自动授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 针对安全隔离，请对每个 SSP 使用单独的服务帐户。

Office SharePoint Server 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库、管理内容数据库、SSP 数据库和 Office Server Search 数据库的权限。

• 对索引服务器上索引文件位置的完全控制访问权限，以及对 MOSS 服务器场中查询服务器上的搜索传播位置的完全控制访问权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

内容访问帐户

• 针对配置此帐户进行访问的外部或安全内容源的读取权限。

• 对于不属于服务器场的网站，必须明确向此帐户授予对承载网站的 Web 应用程序的完全读取权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

Excel Services 无人参与服务帐户

必须是域用户帐户。

必须是域用户帐户。

Windows SharePoint Services 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• Windows SharePoint Services 搜索数据库的 db_owner 角色中的成员资格。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

应用程序池标识

不需要执行任何手动配置。

以下是自动配置的：

• 与 Web 应用程序关联的内容数据库和搜索数据库的 db_owner 角色中的成员资格。

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• 读写关联的 SSP 数据库的访问权限。

• 自动向此帐户授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 为每个应用程序池使用一个单独的域用户帐户。

• 此帐户不应是服务器场中的任何计算机上的 Administrators 组的成员。

SQL Server 服务帐户

使用本地系统帐户或域用户帐户。

如果使用域用户帐户，则此帐户默认使用 Kerberos 身份验证，这需要在网络环境中进行其他配置。如果 SQL Server 使用无效（即在 Active Directory 目录服务环境中不存在）的服务主体名称 (SPN)，则 Kerberos 身份验证会失败，这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN，则身份验证会失败，并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN，因此，请确保未将 SPN 分配给 Active Directory 中的不适当容器。

如果计划备份到外部资源或从外部资源还原，则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户，则向该域用户帐户授予权限。但是，如果使用网络服务或本地系统帐户，则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

注意：

所有数据库帐户都必须在 Microsoft SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建为 SQL Server 登录帐户。必须在创建任何内容数据库（包括配置数据库和 SharePoint_AdminContent 数据库）之前创建这些帐户。为配置数据库和 SharePoint_AdminContent 数据库创建一个 SQL Server 登录。

服务器场帐户

• 域用户帐户。

• 如果服务器场是子服务器场，并且带有使用父服务器场的共享服务的 Web 应用程序，则此帐户必须是父服务器场的配置数据库上的 db_owner 固定数据库角色的成员。

在加入到服务器场中的 Web 服务器和应用程序服务器上，会自动为此帐户授予其他权限。

在运行 SQL Server 的计算机上，此帐户自动添加为 SQL Server 登录，而且添加到下面的 SQL Server 安全角色中：

• dbcreator 固定服务器角色

• securityadmin 固定服务器角色

• db_owner 固定数据库角色（对于服务器场中的所有数据库）

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 不是运行 SQL Server 的计算机上的 SQL Server 登录。

• 在创建配置数据库之前，此帐户不需要 SQL Server 的权限。

SSP 应用程序池帐户

不需要执行任何手动配置。

以下是自动配置的：

• SSP 内容数据库的 db_owner 角色中的成员资格。

• 读写 SSP 内容数据库的访问权限。

• 读写与 SSP 关联的 Web 应用程序内容数据库的访问权限。

• 读取配置数据库的访问权限。

• 读取管理中心内容数据库的访问权限。

• 自动授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中任何服务器（包括运行 SQL Server 的计算机）上的本地 Administrators 组的成员。

• 不是 SQL Server 登录。

Office SharePoint Server 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库、管理内容数据库、SSP 数据库和 Office Server Search 数据库的权限。

• 对索引服务器上索引文件位置的完全控制访问权限，以及对 Office SharePoint Server 2007 服务器场中查询服务器上的搜索传播位置的完全控制访问权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 不是 SQL Server 登录。

内容访问帐户

• 针对配置此帐户进行访问的外部或安全内容源的读取权限。

对于不属于服务器场的网站，必须明确向此帐户授予对承载网站的 Web 应用程序的完全读取权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 不是 SQL Server 登录。

Excel Services 无人参与服务帐户

必须是域用户帐户。

必须是域用户帐户。

Windows SharePoint Services 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• Windows SharePoint Services 搜索数据库的 db_owner 角色中的成员资格。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 不是 SQL Server 登录。

应用程序池标识

不需要执行任何手动配置。

以下是自动配置的：

• 与 Web 应用程序关联的内容数据库和搜索数据库的 db_owner 角色中的成员资格。

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• 读写关联的 SSP 数据库的访问权限。

• 自动向此帐户授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 不是 SQL Server 登录。

SQL Server 服务帐户

使用本地系统帐户或域用户帐户。

如果使用域用户帐户，则此帐户默认使用 Kerberos 身份验证，这需要在网络环境中进行其他配置。如果 SQL Server 使用无效（即在 Active Directory 目录服务环境中不存在）的服务主体名称 (SPN)，则 Kerberos 身份验证会失败，这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN，则身份验证会失败，并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN，因此，请确保未将 SPN 分配给 Active Directory 中的不适当容器。

• 如果计划备份到外部资源或从外部资源还原，则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户，则向该域用户帐户授予权限。但是，如果使用网络服务或本地系统帐户，则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

服务器场帐户

• 域用户帐户。

• 如果服务器场是子服务器场，并且带有使用父服务器场的共享服务的 Web 应用程序，则此帐户必须是父服务器场的配置数据库上的 db_owner 固定数据库角色的成员。

在加入到服务器场中的 Web 服务器和应用程序服务器上，会自动为此帐户授予其他权限。

在运行 SQL Server 的计算机上，此帐户自动添加为 SQL Server 登录，而且添加到下面的 SQL Server 安全角色中：

• dbcreator 固定服务器角色

• securityadmin 固定服务器角色

• db_owner 固定数据库角色（对于服务器场中的所有数据库）

注意   如果配置了 Microsoft Single Sign-On Service，则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 不是服务器场中的任何服务器（包括运行 SQL Server 的计算机）上的 Administrators 组的成员。

• 在创建配置数据库之前，此帐户不需要 SQL Server 的权限。

创建共享服务提供程序 (SSP) 数据库和 SSP 搜索数据库之后，将此帐户添加到其中每个数据库的以下项中：

• 用户组

• db_owner 固定数据库角色

SSP 应用程序池帐户

不需要执行任何手动配置。

以下是自动配置的：

• SSP 内容数据库的 db_owner 角色中的成员资格。

• 读写 SSP 内容数据库的访问权限。

• 读写与 SSP 关联的 Web 应用程序内容数据库的访问权限。

• 读取配置数据库的访问权限。

• 读取管理中心内容数据库的访问权限。

• 自动授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

• 针对安全隔离，请对每个 SSP 使用单独的服务帐户。

Office SharePoint Server 搜索服务帐户

• 必须是域用户帐户

• 不得是 Farm Administrators 组的成员

以下是自动配置的：

• 读取配置数据库、管理内容数据库、SSP 数据库和 Office Server Search 数据库的权限。

• 对索引服务器上索引文件位置的完全控制访问权限，以及对 Office SharePoint Server 2007 服务器场中查询服务器上的搜索传播位置的完全控制访问权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

创建配置数据库和管理中心内容数据库之后，将此帐户添加到这些数据库的以下各项中：

• 用户组

• WSS_Content_Application_Pools 角色

创建 SSP 数据库和 SSP 搜索数据库之后，将此帐户添加到其中每个数据库的以下项中：

• 用户组

• db_owner 角色

内容访问帐户

• 针对配置此帐户进行访问的外部或安全内容源的读取权限。

• 对于不属于服务器场的网站，必须明确向此帐户授予对承载网站的 Web 应用程序的完全读取权限。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

Excel Services 无人参与服务帐户

必须是域用户帐户。

必须是域用户帐户。

Windows SharePoint Services 搜索服务帐户

• 必须是域用户帐户。

• 不得是 Farm Administrators 组的成员。

以下是自动配置的：

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• Windows SharePoint Services 搜索数据库的 db_owner 角色中的成员资格。

服务器场的标准要求，带有以下补充或例外：

• 使用一个单独的域用户帐户。

创建 SSP 数据库和 SSP 搜索数据库之后，将此帐户添加到其中每个数据库的以下项中：

• 用户组

• db_owner 角色

当运行 Psconfig 命令行工具以启动 Windows SharePoint Services 搜索服务时，自动在以下项中配置成员资格：

• WSS_Search 数据库的用户组和 db_owner 角色。

• 配置数据库中的用户组。

• 管理中心内容数据库中的用户组。

应用程序池标识

不需要执行任何手动配置。

以下是自动配置的：

• 与 Web 应用程序关联的内容数据库和搜索数据库的 db_owner 角色中的成员资格。

• 读取配置数据库和 SharePoint_AdminContent 数据库的访问权限。

• 读写关联的 SSP 数据库的访问权限。

• 自动向此帐户授予对前端 Web 服务器和应用程序服务器的其他权限。

服务器场的标准要求，带有以下补充或例外：

• 为每个应用程序池使用一个单独的域用户帐户。

• 此帐户不应是服务器场中的任何计算机上的 Administrators 组的成员。

创建 SSP 数据库和 SSP 搜索数据库之后，将此帐户添加到其中每个数据库的以下项中：

• 用户组

• db_owner 角色