规划在 SharePoint 服务器的管理和服务帐户
适用于:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
若要安装 SharePoint Server,必须在运行 SharePoint Server 的服务器上拥有适当的管理和服务帐户,并SQL Server。 在完成安装之后,您需要具有适当的管理和服务帐户才能修改和维护环境。 完成这些任务组所需的帐户不必相同。 本文介绍安装单服务器环境和服务器场环境后所需的帐户。
重要
请勿使用包含符号 $ 的服务帐户名称,但对SQL Server使用组托管服务帐户除外。
重要
SharePoint 服务不支持 Active Directory 托管服务帐户或组托管服务帐户。
将本文与 SharePoint Server 中的初始部署管理和服务帐户一起使用。
初始部署管理和服务帐户文章介绍特定帐户和运行安装程序前需要授予的权限。
本文不介绍在 SharePoint Server 中使用 Secure Store 服务的帐户要求。 有关详细信息,请参阅在 SharePoint Server 中规划 Secure Store Service。
了解 Microsoft 365 中的 SharePoint 管理员角色。
关于管理帐户和服务帐户
本部分列出并介绍了必须计划管理运行 SQL Server 或 SharePoint Server 的服务器的帐户。 这些帐户按范围进行了分组。
在您完成安装和配置帐户之后,确保您不使用本地系统帐户执行管理任务或浏览网站。
服务器场级帐户
下表描述了用于配置SQL Server数据库软件和安装 SharePoint Server 的帐户。
| Account | 用途 | 要求 |
|---|---|---|
| SQL Server 服务帐户 | SQL Server 服务帐户用于运行 SQL Server。 它是以下 SQL Server 服务的服务帐户: MSSQLSERVER SQLSERVERAGENT 如果不使用默认的 SQL Server 实例,在 Windows 服务控制台中,这些服务将显示为: MSSQL<InstanceName> SQLAgent<InstanceName> |
使用域用户帐户,最好是 使用组托管服务帐户。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。 如果将域用户帐户或组托管服务帐户用于SQL Server服务帐户,请向该域用户帐户授予权限。 但是,如果使用网络服务或本地系统帐户,请将外部资源的权限授予计算机帐户 (<domain_name>\<SQL_hostname>) 。 实例名称是一个任意名称,并且是在安装 SQL Server 时创建的。 |
| 场管理员用户帐户 | 场管理员用户帐户是分配给 SharePoint 管理员的唯一可标识帐户。它用于运行: 安装 SharePoint 产品配置向导 |
域用户帐户。 场中每个 SharePoint 服务器上的 Administrators 组的成员。 以下SQL Server角色的成员 (可选) :sysadmin 固定服务器角色。 如果运行Windows PowerShell影响数据库的 cmdlet,则此帐户必须是数据库的db_owner固定数据库角色的成员或 SQL 上的 sysadmin 固定服务器角色的成员。 |
| 服务器场服务帐户 | 服务器场服务帐户用于执行以下任务: 充当 SharePoint 管理中心网站的应用程序池标识。 运行 Microsoft SharePoint Foundation 工作流定时服务。 |
域用户帐户。 将自动为加入服务器场的 Web 服务器和应用程序服务器上的服务器场帐户授予更多权限。 服务器场帐户将作为 SQL Server 登录名自动添加到运行 SQL Server 的计算机上。 该帐户将添加到以下 SQL Server 安全角色中: * dbcreator 固定服务器角色 * securityadmin 固定服务器角色 * db_owner 服务器场中所有 SharePoint 数据库的固定数据库角色 管理员不得以交互方式使用此帐户。 修改服务器场服务帐户需要使用 命令重启 IIS 服务器 iisreset.exe 。 |
服务应用程序帐户
下表介绍用于设置和配置服务应用程序的帐户。
有关服务应用程序终结点的更多信息,请参阅使用服务终结点。
注意
Excel Services和用户配置文件同步服务仅适用于 SharePoint 2013。
Access Services 和 PerformancePoint 服务不适用于 Subscription Edition。
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 服务应用程序终结点 | 运行 SharePoint Services 实例和 Windows 服务 | 域用户帐户 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| Access Services | X | |
| Business Data Connectivity Service | X | X |
| Secure Store Service | X | |
| Usage and Health Data Collection Service | X | |
| User Profile Service | X | |
| Visio Graphics Service | X | |
| Word Automation services | X | |
| Excel Services | X | |
| Managed Metadata Service | X | |
| PerformancePoint Service | X | |
| Search Service | X |
注意
此帐户用作服务应用程序终结点应用程序池的标识。 除非存在特定隔离要求,该应用程序池可用于承载多个服务应用程序终结点。 对于Excel Services、托管元数据服务、PerformancePoint 服务和搜索服务必须是域用户帐户。 此外,Excel Services仅在 SharePoint Server 2013 中可用。
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| Security Token Service | X | |
| Application Discovery and Load Balancer Service | X | X |
注意
此帐户用作服务应用程序终结点应用程序池的标识。 此帐户必须是场服务帐户,SharePoint 产品配置向导 自动创建该应用程序池。
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 无人参与服务 | 不适用 | 用于代表用户或服务执行函数 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| Excel Services | X | |
| PerformancePoint Service | X | |
| Visio Graphics Service | X |
注意
Excel Services与工作簿一起使用以刷新数据。 当工作簿连接为身份验证指定"无"或者将 Windows 凭据之外的任何凭据用于刷新数据时需要。 PerformancePoint 服务用于对数据源进行身份验证。 Visio 服务与文档一起使用以刷新数据。 连接到 SharePoint Server 外部的数据源(如 SQL Server)时,需要它。
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 默认内容访问 | 搜索 | 爬网内容 | 对要爬网的内容的读取访问权限 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| SharePoint Server 搜索 | X |
注意
对内容进行爬网的默认帐户。 Search Service 应用程序管理员可以创建爬网规则,以指定可对特定内容进行爬网的其他帐户。 必须具有要爬网的内容的读取访问权限。 必须明确授予对本地场之外的内容的“完全读取”权限。 自动为本地场中的内容数据库配置"完全读取"权限。 要求在配置为爬网的 Windows 文件服务器上的本地用户策略中 管理审核和安全日志 。
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| Search Service | 搜索 | 运行 Windows 搜索服务 | 成为域用户帐户 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| SharePoint Server 搜索 | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 服务器场管理员 | 用户配置文件同步服务 | 运行 Forefront Identity Manager 服务 | 服务器场管理员帐户;启动用户配置文件同步服务的本地管理员 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| 用户配置文件同步服务 | X | 不适用 |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 同步连接 | User Profile Service | 连接到用户标识存储 | (Active Directory) 复制目录更改, (其他目录) 读取访问权限 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| User Profile Service | X | 不适用 |
注意
如果 NetBIOS 名称与完全限定的域名 (FQDN) 名称不匹配,则同步域的配置分区上的"复制目录更改"权限。
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| App Management Service | 不适用 | 用于安装 SharePoint 外接程序 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| 应用程序管理 | X | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| PowerPoint 转换服务 | PowerPoint 转换服务 | 将 PowerPoint 文件转换为其他文件格式 | 服务器场管理员角色 (仅 SharePoint Server 2013) |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| PowerPoint Conversion Service | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| Machine Translation Service | Machine Translation Service | 执行自动机器翻译 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| 机器翻译服务 | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| Access Services 2013 | Access Services | 在浏览器中与 Access 2013 数据库交互 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| SharePoint Server 2013 中的 Access Services | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 工作管理 | 工作管理服务 | 跨 SharePoint、Exchange 和 Project Server 提供任务聚合。 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| 工作管理 | X |
| Account | 服务 | 用途 | 要求 |
|---|---|---|---|
| 分布式缓存 | AppFabric Windows 服务 | 运行分布式缓存操作 | 不适用 |
| 服务名称 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
|---|---|---|
| 分布式缓存 | X | X |
注意
使用分布式缓存服务的一些功能包括新闻源、身份验证、OneNote 客户端访问、安全修整以及提高页面加载性能。 场中至少需要一个分布式缓存服务器。
SharePoint Web 应用程序
一个帐户应用于所有名为 Web 应用程序池帐户的 Web 应用程序。 此条件允许管理员对所有 Web 应用程序使用单个 IIS 应用程序池,从而提高性能并减少服务器上的内存使用量。
| Account | 用途 |
|---|---|
| 应用程序池标识 | 工作器处理应用程序池用作其进程标识的服务的用户帐户。 此帐户用于访问与应用程序池中驻留的 Web 应用程序关联的内容数据库。 |
单服务器标准要求
如果要部署到单个服务器,帐户要求将大大降低。 在评估环境中,可以将单个帐户用于所有帐户目的。 在生产环境中,确保您创建的帐户具有用于其目的的适当权限。
有关单服务器环境的帐户权限列表,请参阅 SharePoint Server 中的初始部署管理和服务帐户。
服务器场要求
如果要部署到多个服务器,请使用服务器场标准要求来确保帐户具有跨多台计算机执行其进程的相应权限。 服务器场标准要求具体介绍在服务器场环境中执行操作所需的最低要求。
有关服务器场环境的标准要求列表,请参阅本文的技术参考:不同方案的帐户要求中所列要求。
对于某些帐户,在运行配置向导时会配置对数据库的其他权限或访问权限。 帐户规划工具中会记录这些额外的特权。 数据库管理员需要明白的重要配置是添加 WSS_Content_Application_Pools 数据库角色。 配置向导将此角色添加到以下数据库:
SharePoint_Config 数据库(配置数据库)
SharePoint_Admin内容数据库
系统授予 WSS_Content_Application_Pools 数据库角色的成员对数据库的存储过程子集的执行权限。 此外,还授予此角色的成员对 SharePoint_AdminContent 数据库中版本表 (dbo.Versions) 的选择权限。
对于其他数据库,帐户规划工具指示会自动配置从这些数据库读取内容的访问权限。 在某些情况下,还会自动配置写入数据库的有限的访问权限。 若要提供这一访问权限,需要配置针对存储过程的权限。
技术参考:不同方案的帐户要求
本节列出不同方案的帐户要求:
单服务器标准要求
重要
不建议在生产环境中使用此配置。
服务器场级别帐户
| Account | 要求 |
|---|---|
| SQL Server 服务 | 本地系统帐户(默认值) |
| 场管理员用户帐户 | 本地计算机上的管理员组的成员。 |
| 场服务 | 网络服务 (默认) 无需手动配置。 |
服务应用程序帐户
重要
此表中的帐户仅适用于 SharePoint Server。
| 帐户 | 要求 |
|---|---|
| SharePoint Server 搜索服务 | 默认情况下,此帐户作为本地系统帐户运行。 如果要通过更改默认内容访问帐户或使用爬网规则对远程内容进行爬网,请将此帐户更改为域用户。 如果不将此帐户更改为域用户帐户,则无法将默认内容访问帐户更改为域用户帐户,或者添加爬网规则以爬网此内容。 此限制设计用于防止提升对作为本地系统帐户运行的任何其他进程的权限。 |
| 默认内容访问 | 如果此帐户仅爬网本地场内容,则无需手动配置。 如果要使用爬网规则对远程内容进行爬网,请将此帐户更改为域用户,并应用为服务器场列出的要求。 |
| 内容访问 | 与默认内容访问帐户的要求相同。 |
| 配置文件同步帐户 | 与服务器场的要求相同。 |
| Excel Services 无人参与服务 | 必须是域用户帐户。 |
其他应用程序池标识帐户
| Account | 要求 |
|---|---|
| 应用程序池标识 | 无需手动配置。 网络服务 帐户用于在安装和配置过程中创建的默认网站。 |
服务器场标准要求
服务器场级帐户
| Account | 用途 | 要求 |
|---|---|---|
| SQL Server 服务帐户 |
SQL Server 服务帐户用于运行 SQL Server。 它是以下 SQL Server 服务的服务帐户: MSSQLSERVER SQLSERVERAGENT 如果不使用默认的 SQL Server 实例,在 Windows 服务控制台中,这些服务将显示为: MSSQL<InstanceName> SQLAgent<InstanceName> |
使用域用户帐户,最好是 使用组托管服务帐户。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。 如果将域用户帐户或组托管服务帐户用于SQL Server服务帐户,请向该域用户帐户授予权限。 但是,如果使用网络服务或本地系统帐户,请将外部资源的权限授予计算机帐户 (<domain_name>\<SQL_hostname>) 。 实例名称是一个任意名称,并且是在安装 SQL Server 时创建的。 |
| 场管理员用户帐户 |
场管理员用户帐户是分配给 SharePoint 管理员的唯一可标识帐户。它用于运行: 安装 SharePoint 产品配置向导 |
域用户帐户。 场中每个 SharePoint 服务器上的 Administrators 组的成员。 以下SQL Server角色的成员 (可选) :sysadmin 固定服务器角色。 如果运行Windows PowerShell影响数据库的 cmdlet,则此帐户必须是数据库的db_owner固定数据库角色的成员或 SQL 上的 sysadmin 固定服务器角色的成员。 |
| 服务器场服务帐户 |
服务器场服务帐户用于执行以下任务: 充当 SharePoint 管理中心网站的应用程序池标识。 运行 Microsoft SharePoint Foundation 工作流定时服务。 |
域用户帐户。 将自动为加入服务器场的 Web 服务器和应用程序服务器上的服务器场帐户授予更多权限。 服务器场帐户将作为 SQL Server 登录名自动添加到运行 SQL Server 的计算机上。 该帐户将添加到以下 SQL Server 安全角色中: * dbcreator 固定服务器角色 * securityadmin 固定服务器角色 * db_owner 服务器场中所有 SharePoint 数据库的固定数据库角色 管理员不得以交互方式使用此帐户。 修改服务器场服务帐户需要使用 命令重启 IIS 服务器 iisreset.exe 。 |
Service 应用程序服务帐户
重要
配置文件同步帐户和Excel Services无人参与服务帐户仅适用于 SharePoint Server。
| Account | 要求 |
|---|---|
| SharePoint Server 搜索服务帐户 | 必须是域用户帐户。 不得是 Farm 管理员组 的成员。 以下项会自动配置:从配置数据库读取访问权限、管理内容数据库、搜索管理数据库、爬网数据库。 查询服务器上索引分区的完全控制访问权限。 |
| 默认内容访问帐户 | 必须是域用户帐户。 不得是 Farm 管理员组 的成员。 要通过使用此帐户爬网的外部源或安全内容源的读取访问权限。 对于不是服务器场一部分的网站,必须明确授予此帐户承载这些网站的 Web 应用程序上的"完全读取"权限。 系统会自动配置以下内容:自动向服务器场托管的内容数据库授予“完全读取”权限。 |
| 内容访问帐户 | 对将此帐户配置为有权访问的外部源或安全内容源的读取访问权限。 对于不是服务器场一部分的 Web 网站,必须在承载这些网站的 Web 应用程序上明确授予此帐户"完全读取"权限。 |
| 配置文件同步帐户 | 目录服务的读取访问权限。 该帐户必须在 Active Directory 中具有“复制更改”权限。 管理用户配置文件演示文稿服务权限。 业务数据目录导入连接中使用的实体上的查看权限。 |
| Excel Services 无人参与服务帐户 | 必须是域用户帐户。 |
其他应用程序池标识帐户
| Account | 要求 |
|---|---|
| 应用程序池标识 | 无需手动配置。 系统会自动配置以下内容:内容数据库和与 Web 应用程序关联的搜索数据库的 SP_DATA_ACCESS 角色的成员身份。 配置数据库和 SharePoint_AdminContent 数据库的特定应用程序池角色中的成员资格。 会自动授予此帐户对前端 Web 服务器和应用程序服务器的更多权限。 |