规划管理帐户和服务帐户 (Office SharePoint Server)
本文内容:
关于管理帐户和服务帐户
单服务器的标准要求
服务器场的标准要求
使用域用户帐户时的最小特权管理要求
使用 SQL 身份验证时的最小特权管理要求
连接到预先创建的数据库时的最小特权管理要求
技术参考:各方案对帐户的要求
本文介绍必须规划的帐户,并介绍影响帐户要求的部署方案。
请将本文与以下规划工具一起使用:Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)。此规划工具根据部署方案列出了对每个帐户的要求。这些要求也列在本文的技术参考:各方案对帐户的要求一节中。
帐户要求详细描述了您在运行安装程序之前需要授予的特定权限。在某些情况下,规划工具中指明了通过运行安装程序自动授予的其他权限。
本文不介绍在 Microsoft Office SharePoint Server 2007 中使用单一登录 (SSO) 对帐户有哪些要求。有关详细信息,请参阅规划单一登录。
本文不介绍管理 Office SharePoint Server 2007 所需的安全角色和权限。有关详细信息,请参阅规划安全角色 (Office SharePoint Server)。
关于管理帐户和服务帐户
本节列出并介绍必须规划的帐户。帐户按照作用域进行分组。如果帐户的作用域有限,您可能需要为该类别规划多个帐户。
例如,如果要实现多个共享服务提供程序 (SSP),则必须指定多个 SSP 帐户。
在完成帐户的安装和配置后,请确保不要使用本地系统帐户来执行管理任务或浏览网站。例如,不要使用用于运行安装程序的同一个帐户来执行管理任务。
服务器场级别帐户
下表描述用于配置 Microsoft SQL Server 数据库软件和安装 Office SharePoint Server 2007 的帐户。
帐户 | 用途 |
---|---|
SQL Server 服务帐户 |
SQL Server 会在 SQL Server 安装过程中提示指定此帐户。此帐户用作以下 SQL Server 服务的服务帐户:
如果您不使用默认实例,这些服务将显示为:
|
“安装”用户帐户 |
此用户帐户用于:
|
服务器场帐户 |
此帐户也称为数据库访问帐户。 此帐户是:
|
SSP 帐户
下表描述用于安装和配置 SSP 的帐户。为计划实现的每个 SSP 规划一组 SSP 帐户。
帐户 | 用途 |
---|---|
SSP 应用程序池帐户 |
SSP 管理网站应用程序池帐户。此帐户用于运行承载 SSP 管理网站的 Web 应用程序的应用程序池。 |
SSP 服务帐户 |
供以下服务使用:
|
Office SharePoint Server 搜索服务帐户 |
用作 Office SharePoint Server 搜索服务的服务帐户。此服务只具有一个实例,且该实例由所有 SSP 共用,以将内容索引文件写入到索引服务器上的索引位置,并将可搜索的索引传播到 Microsoft Office SharePoint Server 2007 服务器场中的所有查询服务器。 |
默认内容访问帐户 |
在特定 SSP 中用于对内容进行爬网的默认帐户(除非爬网规则针对 URL 或 URL 模式指定了不同的身份验证方法)。 |
内容访问帐户 |
配置为访问内容源的特定帐户。此帐户是可选的,并且是在您创建新的爬网规则时指定的。例如,Office SharePoint Server 2007 外部的内容源(如文件共享)可能要求使用不同的访问帐户。 |
配置文件导入默认访问帐户 |
用来:
如果未指定帐户,则使用默认内容访问帐户。如果默认内容访问帐户对您要从中导入数据的一个或多个目录不具备读取权限,则规划使用不同的帐户。对于每个目录连接,最多可以规划一个帐户。 |
Excel Services 无人参与服务帐户 |
Excel Calculation Services 用于连接到外部数据源(需要一个非 Windows 用户名称和密码的字符串,以进行身份验证)的帐户。如果未配置此帐户,Excel Services 将不会尝试连接到这些类型的数据源。虽然可使用帐户凭据连接到非 Windows 数据源,但是,为了让 Excel Calculation Services 使用该帐户,该帐户必须是域的成员。 |
Windows SharePoint Services 搜索帐户
下表描述用于安装和配置 Windows SharePoint Services 搜索的帐户。在 Office SharePoint Server 2007 中,此服务称为 Windows SharePoint Services 帮助搜索服务,因为此服务用于提供帮助搜索功能。如果您正在安装 Office SharePoint Server 2007,请只在您计划实现此服务以搜索帮助内容的情况下规划这些帐户。
帐户 | 用途 |
---|---|
Windows SharePoint Services 搜索服务帐户 |
用作 Windows SharePoint Services 帮助搜索服务的服务帐户。在服务器场中,此服务只具有一个实例,且该实例用于将内容索引文件写入到索引服务器上的索引位置,并将可搜索的索引传播到 Office SharePoint Server 2007 服务器场中的所有查询服务器。 |
Windows SharePoint Services 搜索内容访问帐户 |
由 Windows SharePoint Services 搜索应用程序服务器角色用来跨网站对内容进行爬网。 |
其他应用程序池标识帐户
如果创建其他应用程序池以承载网站,请规划其他应用程序池标识帐户。下表描述应用程序池标识帐户。为您计划实现的每个应用程序池规划一个应用程序池帐户。
帐户 | 用途 |
---|---|
应用程序池标识 |
被向应用程序池提供服务的工作进程用作其进程标识的用户帐户。此帐户用于访问与驻留在应用程序池中的 Web 应用程序关联的内容数据库。 |
单服务器的标准要求
如果部署到单台服务器计算机,则会大大降低帐户要求。在评估环境中,可以使用一个帐户来满足所有帐户用途。在生产环境中,请确保您创建的帐户具有适合其用途的相应权限。
有关单服务器环境的帐户权限的列表,请参阅 Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
服务器场要求
如果部署到多台服务器计算机,请使用服务器场的标准要求来确保帐户具有适当的权限跨多台计算机执行它们的进程。服务器场的标准要求详细说明了在服务器场环境中运行所需的最低配置。为创造更安全的环境,请考虑使用最小特权管理要求(使用域用户帐户)。
有关服务器场环境的标准要求的列表,请参阅 Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
对于某些帐户,在您运行安装程序时会配置其他权限或对数据库的访问权限。帐户规划工具中指明了这些权限。数据库管理员要注意的一个重要配置是:添加 WSS_Content_Application_Pools 数据库角色。安装程序会将此角色添加到以下数据库中:
SharePoint_Config 数据库(配置数据库)
SharePoint_AdminContent 数据库
WSS_Content_Application_Pools 数据库角色的成员被授予对数据库的部分存储过程的“执行”权限。此外,此角色的成员被授予对 SharePoint_AdminContent 数据库中的 Versions 表 (dbo.Versions) 的“选择”权限。
对于其他数据库,帐户规划工具会指出读取这些数据库的访问权限是自动配置的。在某些情况下,还会自动配置写入数据库的受限访问 权限。为了提供此访问权限,将会配置对存储过程的权限。例如,对于 SharePoint_Config 数据库,会自动配置对以下存储过程的访问权限:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
使用域用户帐户时的最小特权管理要求
最小特权管理是一种推荐的安全做法,在这种做法中,每个服务或用户仅获得完成他们有权执行的任务所需的最小特权。这意味着每项服务只有权访问达到服务目的所需的资源。实现此设计目标的最低要求包括以下各项:
分开用于不同的服务和进程的帐户。
并无带有本地管理员权限的执行服务或进程帐户正在运行。
通过为每个服务使用单独的服务帐户并限制分配给每个帐户的权限,可以降低恶意用户或进程危害您的环境的机会。
域用户帐户下的最小特权管理是在大多数环境下的推荐配置。
有关域用户帐户的最小特权管理要求的列表,请参阅 Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
使用 SQL 身份验证时的最小特权管理要求
在要求 SQL 身份验证的环境中,可以遵循最小特权管理的原则。在此方案中:
SQL 身份验证用于创建的每个数据库。
所有其他管理和服务帐户都将创建为域用户帐户。
安装和配置
使用 SQL 身份验证需要额外的安装和配置:
必须在 SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中将所有数据库帐户创建为 SQL Server 登录帐户。必须在创建任何数据库(包括配置数据库和 AdminContent 数据库)之前创建这些帐户。
必须使用 Psconfig 命令行工具来创建配置数据库和 SharePoint_AdminContent 数据库。不能使用 SharePoint 产品和技术配置向导来创建这两个数据库。若要创建服务器场或将计算机加入服务器场,请将您为这两个数据库创建的 SQL Server 登录指定为 dbusername 和 dbpassword。将使用相同的 SQL Server 登录来访问这两个数据库。
可以通过选择“SQL 验证”选项在管理中心中创建其他内容数据库。但是,必须先在 SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建 SQL Server 登录帐户。
通过使用安全套接字层 (SSL) 或 Internet 协议安全性 (IPsec) 保护所有与数据库服务器之间的通信。
使用 SQL 身份验证时:
SQL Server 登录帐户在 Web 服务器和应用程序服务器的注册表中被加密。
服务器场帐户不用于访问配置数据库和 SharePoint_AdminContent 数据库。应改用相应的 SQL Server 登录帐户。
创建服务帐户和管理帐户
有关 SQL 身份验证的最小特权管理要求的列表,请参阅 Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
创建 SQL Server 登录
在创建数据库之前,为每个数据库创建 SQL Server 登录。为配置数据库和 SharePoint_AdminContent 数据库创建两个登录。为每个内容数据库创建一个登录。
下表列出了必须创建的登录。“登录”列指示为 SQL Server 登录指定或创建的帐户。对于初次登录,必须输入“安装”用户帐户。对于所有其他登录,创建一个新的 SQL Server 登录帐户。对于这些登录,“登录”列提供了示例帐户名。
登录 | 数据库 | SQL 权限 |
---|---|---|
“安装”用户帐户 |
配置数据库和 SharePoint_AdminContent 数据库 |
创建登录时指定 Windows 身份验证。 |
<ConfigAdminDBAcc> |
配置数据库和 SharePoint_AdminContent 数据库 |
|
<SSP_DB_Acc> |
SSP 数据库 |
|
<SSPSearchDB_Acc> |
SSP 搜索数据库 |
|
<WSSSearch_DB_Acc> |
WSS_Search 数据库 |
|
<Content_DB_Acc1> |
内容数据库 |
|
连接到预先创建的数据库时的最小特权管理要求
在数据库管理员预先创建了数据库的环境中,可以遵循最小特权管理的原则。在此方案中:
管理帐户和服务帐户都将创建为域用户帐户。
为用来配置数据库的帐户创建 SQL Server 登录。
数据库由数据库管理员创建。
有关使用预先创建的空白数据库部署 Office SharePoint Server 2007 的详细信息,请参阅使用 DBA 创建的数据库进行部署 (Office SharePoint Server)。
创建服务帐户和管理帐户
有关连接到现有空白数据库时的最小特权管理要求的列表,请参阅 Office SharePoint Server 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
创建 SQL Server 登录
在创建数据库之前,为将访问数据库的每个帐户创建 SQL Server 登录。帐户规划工具详细说明了为每个帐户配置的特定权限。有关如何创建和授予对数据库的权限的说明,请参阅使用 DBA 创建的数据库进行部署 (Office SharePoint Server)。
下表列出了必须创建的登录。“数据库”列指示哪些数据库被配置为每个登录帐户都具有权限。对于每个登录,在创建登录时指定 Windows 身份验证。
登录 |
数据库 |
“安装”用户帐户(运行 Psconfig 命令行工具的用户) |
所有数据库 |
服务器场帐户(Office SharePoint Server 数据库访问帐户) |
|
SSP 服务帐户 |
|
Office SharePoint Server 搜索帐户 |
|
默认内容访问帐户 |
|
SSP 应用程序池帐户(标识) |
SSP 管理 Web 应用程序的内容数据库 |
“我的网站”网站应用程序池的应用程序池标识 |
“我的网站”Web 应用程序的内容数据库 |
Windows SharePoint Services 搜索服务帐户 |
|
其他内容数据库的应用程序池标识 |
|
技术参考:各方案对帐户的要求
本节按方案列出帐户要求:
单服务器的标准要求
服务器场的标准要求
使用域用户帐户时的最小特权管理要求
使用 SQL 身份验证时的最小特权管理要求
连接到预先创建的数据库时的最小特权管理要求
单服务器的标准要求
服务器场级别帐户
帐户 | 要求 |
---|---|
SQL Server 服务帐户 |
本地系统帐户(默认) |
“安装”用户帐户 |
本地计算机上的 Administrators 组的成员 |
服务器场帐户 |
网络服务(默认) 不需要执行任何手动配置。 |
SSP 帐户
帐户 | 要求 |
---|---|
SSP 应用程序池帐户 |
不需要执行任何手动配置。 |
SSP 服务帐户 |
|
Office SharePoint Server 搜索服务帐户 |
默认情况下,此帐户作为本地系统帐户运行。 如果您想通过更改默认内容访问帐户或通过使用爬网规则对远程内容进行爬网,请将此帐户更改为域用户帐户。如果不将此帐户更改为域用户帐户,则无法将默认内容访问帐户更改为域用户帐户或无法添加爬网规则,因此无法对此内容进行爬网。此限制的作用是防止提升以本地系统帐户身份运行的任何其他进程的特权。 |
默认内容访问帐户 |
如果此帐户仅对本地服务器场内容进行爬网,则不需要执行任何手动配置。如果要使用爬网规则对远程内容进行爬网,请将此帐户更改为域用户帐户,并应用针对服务器场列出的要求。 |
内容访问帐户 |
与先前列出的 SSP 默认内容访问帐户相同。 |
配置文件导入默认访问帐户 |
与针对服务器场的要求相同。 |
Excel Services 无人参与服务帐户 |
必须是域用户帐户。 |
Windows SharePoint Services 搜索帐户
帐户 | 要求 |
---|---|
Windows SharePoint Services 搜索服务帐户 |
默认情况下,此帐户作为本地系统帐户运行。 |
Windows SharePoint Services 搜索内容访问帐户 |
不得是 Farm Administrators 组的成员。 以下是自动配置的:
|
其他应用程序池标识帐户
帐户 | 要求 |
---|---|
应用程序池标识 |
不需要执行任何手动配置。 网络服务帐户用于在安装和配置过程中创建的默认网站。 |
服务器场的标准要求
服务器场级别帐户
帐户 | 要求 |
---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置了 Microsoft Single Sign-On Service,则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。 |
SSP 帐户
帐户 | 要求 |
---|---|
SSP 应用程序池帐户 |
不需要执行任何手动配置。 以下是自动配置的:
|
SSP 服务帐户 |
|
Office SharePoint Server 搜索服务帐户 |
以下是自动配置的:
|
默认内容访问帐户 |
以下是自动配置的:
|
内容访问帐户 |
|
配置文件导入默认访问帐户 |
|
Excel Services 无人参与服务帐户 |
必须是域用户帐户。 |
Windows SharePoint Services 搜索帐户
帐户 | 要求 |
---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
其他应用程序池标识帐户
帐户 | 要求 |
---|---|
应用程序池标识 |
不需要执行任何手动配置。 以下是自动配置的:
|
使用域用户帐户时的最小特权管理要求
服务器场级别帐户
帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
服务器场的标准要求,带有以下补充或例外:
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
|
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置了 Microsoft Single Sign-On Service,则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。 |
服务器场的标准要求,带有以下补充或例外:
|
SSP 帐户
帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
---|---|---|
SSP 应用程序池帐户 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
SSP 服务帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
Office SharePoint Server 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
默认内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
为了提高安全性,请对每个 SSP 使用不同的默认内容访问帐户。 |
内容访问帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
配置文件导入默认访问帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
Excel Services 无人参与服务帐户 |
必须是域用户帐户。 |
必须是域用户帐户。 |
Windows SharePoint Services 搜索帐户
帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
其他应用程序池标识帐户
帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
---|---|---|
应用程序池标识 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
使用 SQL 身份验证时的最小特权管理要求
服务器场级别帐户
帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
服务器场的标准要求,带有以下补充或例外:
注意:
所有数据库帐户都必须在 Microsoft SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建为 SQL Server 登录帐户。必须在创建任何内容数据库(包括配置数据库和 SharePoint_AdminContent 数据库)之前创建这些帐户。为配置数据库和 SharePoint_AdminContent 数据库创建一个 SQL Server 登录。
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
注意:
必须使用 Psconfig 命令行工具来创建配置数据库和 SharePoint_AdminContent 数据库。不能使用 SharePoint 产品和技术配置向导来创建这两个数据库。若要创建服务器场或将计算机加入服务器场,请将您为这两个数据库创建的 SQL Server 登录指定为 dbusername 和 dbpassword。将使用相同的 SQL Server 登录来访问这两个数据库。可以通过选择“SQL 验证”选项在管理中心中创建所有其他内容数据库。
|
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
|
服务器场的标准要求,带有以下补充或例外:
|
SSP 帐户
帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
---|---|---|
SSP 应用程序池帐户 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
SSP 服务帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
Office SharePoint Server 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
默认内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
内容访问帐户 |
对于不属于服务器场的网站,必须明确向此帐户授予对承载网站的 Web 应用程序的完全读取权限。 |
服务器场的标准要求,带有以下补充或例外:
|
配置文件导入默认访问帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
Excel Services 无人参与服务帐户 |
必须是域用户帐户。 |
必须是域用户帐户。 |
Windows SharePoint Services 搜索帐户
帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
其他应用程序池标识帐户
帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
---|---|---|
应用程序池标识 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
连接到预先创建的数据库时的最小特权管理要求
服务器场级别帐户
帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。
|
服务器场的标准要求,带有以下补充或例外:
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
此帐户用于配置数据库。创建所有数据库之后,将数据库所有者(dbo 或 db_owner)更改为“安装”用户帐户。 |
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置了 Microsoft Single Sign-On Service,则不会自动为服务器场帐户授予对 SSO 数据库的 db_owner 访问权限。 |
服务器场的标准要求,带有以下补充或例外:
创建共享服务提供程序 (SSP) 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
|
SSP 帐户
帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
---|---|---|
SSP 应用程序池帐户 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
SSP 服务帐户 |
|
服务器场的标准要求,带有以下补充或例外:
创建配置数据库和管理中心内容数据库之后,将此帐户添加到这些数据库的以下各项中:
创建了共享服务管理网站内容数据库、SSP 数据库和 SSP 搜索数据库之后,将此帐户添加到每个数据库的以下各项中:
创建“我的网站”之后,将此帐户添加到“我的网站”Web 应用程序内容数据库的以下各项中:
创建所有内容数据库之后,将此帐户添加到以下各项中:
|
Office SharePoint Server 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
创建配置数据库和管理中心内容数据库之后,将此帐户添加到这些数据库的以下各项中:
创建 SSP 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
|
默认内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
为了提高安全性,请对每个 SSP 使用不同的默认内容访问帐户。 创建配置数据库和管理中心内容数据库之后,将此帐户添加到这些数据库的以下各项中:
|
内容访问帐户 |
|
服务器场的标准要求,带有以下补充或例外:
|
配置文件导入默认访问帐户 |
|
服务器场的标准要求,带有以下补充或例外:
此帐户不应是服务器场中的任何计算机上的 Administrators 组的成员。 |
Excel Services 无人参与服务帐户 |
必须是域用户帐户。 |
必须是域用户帐户。 |
Windows SharePoint Services 搜索帐户
帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
创建 SSP 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
当运行 Psconfig 命令行工具以启动 Windows SharePoint Services 搜索服务时,自动在以下项中配置成员资格:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
当运行 Psconfig 命令行工具以启动 Windows SharePoint Services 搜索服务时,自动在以下项中配置成员资格:
|
其他应用程序池标识帐户
帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
---|---|---|
应用程序池标识 |
不需要执行任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
创建 SSP 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
|
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍。