本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

規劃 SharePoint 2013 管理帳戶及服務帳戶

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解用來管理 SharePoint Server 2013 部署案例及服務的帳戶。

若要安裝 SharePoint 2013,您必須具有執行 SharePoint 2013 及 SQL Server 的伺服器上的適當管理和服務帳戶。安裝後,您需要具有適當的管理和服務帳戶,才能修改及維護環境。您需要用來完成這群工作的帳戶不一定會相同。本文會說明安裝單一伺服器環境及伺服器陣列環境之後所需的帳戶。

重要事項 重要事項:
請不要使用含有符號 $ 的服務帳戶名稱。

本文內容:

與<在 SharePoint 2013 中初次部署管理帳戶和服務帳戶>搭配使用本文。

初始部署管理及服務帳戶文章說明需要在執行「設定」之前授與的特定帳戶和權限。

本文不會說明在 SharePoint Server 2013 中使用 Secure Store Service 的帳戶需求。如需詳細資訊,請參閱<規劃 SharePoint Server 2013 的 Secure Store Service>。

本文不會說明在 SharePoint 2013 中管理所需的安全性角色和權限。

本區段會列出並說明管理執行 SQL Server 或 SharePoint 2013 的伺服器所必須規劃的帳戶。這些帳戶會依據其適用範圍分組。

完成帳戶的安裝及設定後,請確認您不是使用「本機系統」帳戶來執行管理工作或瀏覽網站。

下表說明用來設定 SQL Server 資料庫軟體及安裝 SharePoint 2013 的帳戶。

 

帳戶 用途

SQL Server 服務帳戶

SQL Server 在 SQL Server 設定期間會提示此帳戶。請針對下列 SQL Server 服務使用此帳戶作為服務帳戶:

  • MSSQLSERVER

  • SQLSERVERAGENT

若您不是使用預設執行個體,則這些服務會如下所示:

  • MSSQL<執行個體名稱>

  • SQLAgent<執行個體名稱>

安裝程式使用者帳戶

用來執行的使用者帳戶:

如果要執行會影響資料庫的 Windows PowerShell Cmdlet,此帳戶必須是資料庫的 db_owner 固定資料庫角色成員。

  • 在每一部伺服器電腦上設定

  • SharePoint 產品設定精靈

  • Psconfig 命令列工具

  • Stsadm 命令列工具

伺服器陣列帳戶

此帳戶也稱為資料庫存取帳戶。

此帳戶具有下列屬性:

  • 此為 SharePoint 管理中心網站的應用程式集區身分識別。

  • 此為 Windows SharePoint Services 計時器服務的處理序帳戶。

下表說明用來設定服務應用程式的帳戶。請針對您規劃要實作的每一個服務應用程式來規劃一組應用程式集區和 Proxy 群組。

如需服務應用程式端點的詳細資訊,請參閱 <使用服務端點

 

帳戶 服務 用途 需求

服務應用程式端點

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

Access Services

X

 

Business Data Connectivity Service

X

X

Secure Store Service

X

Usage and Health Data Collection Service

X

User Profile Service

X

Visio Graphics Service

X

Word Automation services

X

此帳戶用來作為服務應用程式端點應用程式集區的身分識別。除非具有特定的隔離需求,應用程式集區可用來主控多個服務應用程式端點。

服務應用程式端點

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

Excel Services

X

Managed Metadata Service

X

PerformancePoint Service

X

Search Service

X

此帳戶用來作為服務端點應用程式集區的身分識別。除非有特定隔離需求,應用程式集區可用來主控多個服務應用程式端點。

必須為網域使用者帳戶。

服務應用程式端點

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

Security Token Service

X

應用程式探索與負載平衡

X

X

此帳戶用來作為服務應用程式端點應用程式集區的身分識別。此帳戶必須為伺服器陣列服務帳戶,且 SharePoint 產品設定精靈 會自動建立應用程式集區。

自動服務

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

Excel Services

X

搭配使用活頁簿來重新整理資料。當活頁簿連線指定 None 來進行驗證,或使用非 Windows 認證的認證來重新整理資料時,此為必要項目。

必須為網域使用者帳戶。

自動服務

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

PerformancePoint Service

X

與資料來源搭配使用來進行驗證。

必須為網域使用者帳戶。

自動服務

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

Visio Graphics Service

X

搭配使用文件來重新整理資料。連接至 SharePoint Server 2013 的外部資料來源時 (例如,SQL Server),此為必要項目。

預設內容存取

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

SharePoint Server 搜尋

X

編目內容的預設帳戶。「搜尋」服務應用程式管理員可以建立編目規則,來指定其他帳戶以編目特定內容。

必須具有編目內容的「讀取存取權」。

必須將「完整讀取」權限明確授與本機伺服器陣列外的內容。

將針對本機伺服器陣列中內容資料庫自動設定「完整讀取」權限。

Search Service

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

SharePoint Server 搜尋

X

SharePoint Server Search Service 的 Windows 服務帳戶。此設定會影響伺服器陣列中的所有「搜尋」服務應用程式。

必須為網域使用者帳戶。

User Profile Synchronization Service

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

User Profile Synchronization Service

X

此為 User Profile Synchronization Service 的 Windows 服務帳戶。

需要執行 User Profile Synchronization Service 執行個體之電腦的「本機登入」權限。

同步處理連線

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

User Profile Service

X

此為用來與遠端目錄服務執行同步處理的帳戶。每次同步處理連線只能有一個帳戶。

同步的網域上的「複寫目錄變更」權限。

NetBIOS 與完整網域名稱 (FQDN) 不相符時,同步的網域設定分割區上的「複寫目錄變更」權限。

應用程式管理服務

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

應用程式管理

X

X

此帳戶可讓您從 SharePoint 市集或應用程式目錄安裝 SharePoint 應用程式。

PowerPoint Conversion Service

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

PowerPoint 轉換服務

X

此帳戶可將 Microsoft PowerPoint 簡報轉換為各種格式。

機器翻譯服務

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

機器翻譯服務

X

此帳戶會執行自動機器翻譯服務。

Access Services 2013

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

SharePoint Server 2013 中的 Access Service

X

此帳戶會在瀏覽器中檢視、編輯 Access 2013 資料庫,並與其互動。

工作管理

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

工作管理

X

此帳戶提供跨不同工作管理系統的工作彙總,包括 SharePoint 產品、Microsoft Exchange Server 及 Microsoft Project Server。

分散式快取

 

服務名稱 在 SharePoint Server 在 SharePoint Foundation

分散式快取

X

X

此帳戶提供數項功能中SharePoint Server 2013在記憶體中快取服務。一些使用分散式快取服務功能包括:

  • 新聞摘要

  • 驗證

  • OneNote 用戶端存取

  • 安全性調整

  • 頁面載入效能

若您建立其他應用程式集區來主控網站,請規劃其他應用程式集區身分識別帳戶。下表說明應用程式集區身分識別帳戶。請針對每一個您規劃要實作的應用程式集區,來規劃應用程式集區帳戶。

 

帳戶 用途

應用程式集區識別

工作者用來處理該服務且應用程式集區用來作為其程序身分識別的使用者帳戶。此帳戶用來存取與 Web 應用程式 (位於應用程式集區之外) 相關聯的內容資料庫。

若您部署至單一伺服器電腦,則帳戶需求會大量減少。在評估環境中,您可以依所有帳戶目的來使用單一帳戶。在實際執行環境中,請確認您建立的帳戶具有其目的的適當權限。

如需單一伺服器環境的帳戶權限清單,請參閱<在 SharePoint 2013 中初次部署管理帳戶和服務帳戶>。

如果您要部署一部以上的伺服器電腦,請使用伺服器陣列標準需求來確保帳戶具有執行其跨多部電腦程序的適當權限。伺服器陣列標準需求詳細說明在伺服器陣列環境中操作的必要設定下限。

如需伺服器陣列環境的標準需求清單,請參閱本文中<技術參考:依案列的帳戶需求>區段所列的需求。

若為某些帳戶,在執行設定時即會設定其他權限或資料庫存取權。這些內容會在帳戶規劃工具中註明。您所需特別注意的重要資料庫管理員設定是其他 WSS_Content_Application_Pools 資料庫角色。設定會將此角色新增至下列資料庫中:

  • SharePoint_Config 資料庫 (設定資料庫)

  • SharePoint_AdminContent 資料庫

資料庫的儲存程序子集的「執行」權限會授與給 WSS_Content_Application_Pools 資料庫角色的成員。此外,SharePoint_AdminContent 資料庫中的「版本」表格 (dbo.Versions) 的「選取」權限會授與給此角色的成員。

若為其他資料庫,帳戶規劃工具會指出將自動設定這些資料庫的讀取存取權。在某些情況下,也會自動設定資料庫的限制寫入存取權限。為提供此存取權,將設定儲存程序的權限。

此區段會依案例來列出帳戶需求:

 

帳戶 需求

SQL Server 服務

本機系統帳戶 (預設)

設定使用者

本機電腦上系統管理員群組的成員

伺服器陣列

網路服務 (預設)

不需要手動設定。

重要事項 重要事項:
本表格的帳戶僅適用於 SharePoint Server。

 

帳戶 需求

SharePoint Server Search Service

依預設,此帳戶會以「本機系統」帳戶來執行。

若您想要藉由變更預設內容存取帳戶或使用編目規則來編目遠端內容,請將此變更為網域使用者帳戶。若您不將此帳戶變更為網域使用者帳戶,則無法將預設內容存取帳戶變更為網域使用者帳戶,或新增編目規則以編目此內容。此限制的設計旨在避免以「本機系統」帳戶來執行的任何其他程序發生權限提高的情形。

預設內容存取

若此帳戶僅編目本機伺服器陣列內容,則不需要進行手動設定。若您想要使用編目規則來編目遠端內容,請將此變更為網域使用者帳戶,並針對伺服器陣列套用列出的需求。

內容存取

與預設內容存取帳戶相同的需求。

設定檔匯入預設存取

與伺服器陣列相同的需求。

Excel Services 自動服務

必須為網域使用者帳戶。

 

帳戶 需求

應用程式集區識別

不需要手動設定。

「網路服務」帳戶用於設定期間建立的預設網站。

重要事項 重要事項:
此表格中的帳戶僅適用於 SharePoint Server

 

帳戶 需求

SQL Server 服務帳戶

使用本機系統帳戶或網域使用者帳戶。

若使用網域使用者帳戶,則此帳戶依預設會使用 Kerberos 認證,該認證需要在網路環境中進行額外的設定。若 SQL Server 使用無效的服務主要名稱 (SPN) (也就是該名稱不存在於 Active Directory 網域服務 (AD DS) 服務環境中),則 Kerberos 認證會失敗並使用 NTLM。若 SQL Server 使用無效的 SPN 但未指派給 AD DS 中適當的容器,則認證會失敗。認證會一律嘗試使用第一次找到的 SPN,因此請確認 AD DS 中沒有指派給不適當容器的 SPN。

若預計備份至外部資源或從外部資源還原,則必須將外部資源的權限授與給適當的帳戶。若您使用 SQL Server 服務帳戶的網域使用者帳戶,請將權限授與給該網域使用者帳戶。然而,若您使用「網路服務」或「本機系統」帳戶,請將機器帳戶 ((<domain_name>\<SQL_hostname>) 權限授與給外部資源。

安裝程式使用者帳戶

  • 網域使用者帳戶。

  • 每部執行安裝程式之伺服器上的管理員群組成員。

  • SQL Server 登入執行 SQL Server 的電腦。

  • 伺服器管理 SQL Server 安全性角色的成員。

如果要執行會影響資料庫的 Stsadm 命令,此帳戶必須是資料庫的 db_owner 固定資料庫角色成員。

伺服器陣列帳戶

  • 網域使用者帳戶。

在加入伺服器陣列之網頁伺服器與應用程式伺服器上,會自動將額外權限授與此帳戶。

此帳戶會自動在執行 SQL Server 的電腦上新增為 SQL Server 登入,並新增至下列 SQL Server 安全性角色:

  • dbcreator 固定伺服器角色

  • securityadmin 固定伺服器角色

  • db_owner 固定資料庫角色,適用於伺服器陣列中的所有資料庫

注意事項 附註:
設定 Secure Store Service 時,不會將伺服器陣列帳戶的 db_owner 存取權自動授與至 Secure Store Service 資料庫。

重要事項 重要事項:
此表格中的帳戶僅適用於 SharePoint Server

 

帳戶 需求

SharePoint Server Search Service 帳戶

  • 必須為網域使用者帳戶。

  • 必須「不是」伺服器陣列管理員群組的成員。

將會自動設定下列項目:

  • 設定資料庫、管理內容資料庫、搜尋管理資料庫及編目資料庫的讀取存取權。

  • 查詢伺服器上索引分割區的「完整控制」存取權。

預設的內容存取帳戶

  • 必須為網域使用者帳戶。

  • 必須「不是」伺服器陣列管理員群組的成員。

  • 您要使用此帳戶編目的外部或安全內容來源之讀取存取權。

  • 若為不屬於伺服器陣列的網站,即必須明確授與此帳戶架設網站之 Web 應用程式的完整讀取權限。

將會自動設定下列項目:

  • 「完整讀取」權限將會自動授與至伺服器陣列主控的內容資料庫。

內容存取帳戶

  • 設定此帳戶存取的外部或安全內容來源之讀取存取權。

  • 若為不屬於伺服器陣列的網站,即必須明確授與此帳戶架設網站之 Web 應用程式的「完整讀取」權限。

設定檔匯入預設存取帳戶

  • 目錄服務的讀取存取權。

  • 帳戶必須具有 AD DS 中的「複製變更」權限。

  • 「管理使用者設定檔」個人化服務權限。

  • 檢視用於「商務資料目錄」匯入連線中的實體權限。

Excel Services 自動服務帳戶

必須為網域使用者帳戶。

 

帳戶 需求

應用程式集區識別

不需要手動設定。

將會自動設定下列項目:

  • 針對與 Web 應用程式相關的內容資料庫及搜尋資料庫,SP_DATA_ACCESS 角色的成員資格。

  • 針對設定及 SharePoint_AdminContent 資料庫,指定應用程式集區角色的成員資格。

  • 這個帳戶在前端網頁伺服器和應用程式伺服器上的其他權限則會自動授與。

https://technet.microsoft.com/zh-tw/library/cc261834.aspx
顯示: