規劃 SharePoint Server 中的管理及服務帳戶
**適用版本:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**上次修改主題的時間:**2017-08-23
**摘要:**了解用來管理 SharePoint 2013 和 SharePoint Server 2016 部署案例和服務帳戶。
若要安裝SharePoint Server,您必須有適當系統管理帳戶與服務帳戶執行SharePoint Server和SQL Server的伺服器上。安裝之後,您需要有適當系統管理帳戶與服務帳戶來修改及維護環境。您需要完成的工作這些群組的帳戶不一定相同。本文說明您需要在單一伺服器環境及伺服器陣列環境的安裝後的帳戶。
重要
請不要使用含有符號 $ 的服務帳戶名稱。
本文內容:
關於管理及服務帳戶
單一伺服器標準需求
伺服器陣列標準需求
技術參考: 依案例的不同帳戶需求
與<在 SharePoint Server 中初次部署管理帳戶和服務帳戶>搭配使用本文。
初始部署管理及服務帳戶文章說明需要在執行「設定」之前授與的特定帳戶和權限。
本文不會說明在SharePoint Server中使用 Secure Store service 的帳戶需求。如需詳細資訊,請參閱規劃 SharePoint Server 的 Secure Store Service。
本文不會說明安全性角色和管理SharePoint Server中所需的權限。
關於管理及服務帳戶
本節列出並說明您必須規劃管理執行SQL Server或SharePoint Server伺服器的帳戶。根據範圍分組成的帳戶。
完成帳戶的安裝及設定後,請確認您不是使用「本機系統」帳戶來執行管理工作或瀏覽網站。
伺服器陣列層級帳戶
下表說明可用來設定SQL Server資料庫軟體及安裝SharePoint Server的帳戶。
| 帳戶 | 用途 |
|---|---|
SQL Server 服務帳戶 |
SQL Server 在 SQL Server 設定期間會提示此帳戶。請針對下列 SQL Server 服務使用此帳戶作為服務帳戶:
若您不是使用預設執行個體,則這些服務會如下所示:
|
安裝程式使用者帳戶 |
用來執行的使用者帳戶: 如果要執行會影響資料庫的 Microsoft PowerShell Cmdlet,此帳戶必須是資料庫的 db_owner 固定資料庫角色成員。
|
伺服器陣列帳戶 |
此帳戶也稱為資料庫存取帳戶。 此帳戶具有下列屬性:
|
服務應用程式帳戶
下表說明用來設定服務應用程式的帳戶。請針對您規劃要實作的每一個服務應用程式來規劃一組應用程式集區和 Proxy 群組。
如需服務應用程式端點的詳細資訊,請參閱 <使用服務端點。
注意
Excel Services及使用者設定檔同步處理服務規定 SharePoint 2013。
| 帳戶 | 服務 | 用途 | 需求 | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
服務應用程式端點 |
|
此帳戶用來作為服務應用程式端點應用程式集區的身分識別。除非具有特定的隔離需求,應用程式集區可用來主控多個服務應用程式端點。 |
|||||||||||||||||||||||||
服務應用程式端點 |
|
此帳戶用來作為服務端點應用程式集區的身分識別。除非有特定隔離需求,應用程式集區可用來主控多個服務應用程式端點。 |
必須為網域使用者帳戶。 |
||||||||||||||||||||||||
服務應用程式端點 |
|
此帳戶用來作為服務應用程式端點應用程式集區的身分識別。此帳戶必須為伺服器陣列服務帳戶,且 SharePoint 產品設定精靈 會自動建立應用程式集區。 |
|||||||||||||||||||||||||
自動服務 |
|
搭配使用活頁簿來重新整理資料。當活頁簿連線指定 None 來進行驗證,或使用非 Windows 認證的認證來重新整理資料時,此為必要項目。 |
必須為網域使用者帳戶。 |
||||||||||||||||||||||||
自動服務 |
|
與資料來源搭配使用來進行驗證。 |
必須為網域使用者帳戶。 |
||||||||||||||||||||||||
自動服務 |
|
搭配文件來重新整理資料。它時需要連線至外部SharePoint Server,例如SQL Server的資料來源。 |
|||||||||||||||||||||||||
預設內容存取 |
|
編目內容的預設帳戶。「搜尋」服務應用程式管理員可以建立編目規則,來指定其他帳戶以編目特定內容。 |
必須具有編目內容的「讀取存取權」。 必須將「完整讀取」權限明確授與本機伺服器陣列外的內容。 將針對本機伺服器陣列中內容資料庫自動設定「完整讀取」權限。 |
||||||||||||||||||||||||
Search Service |
|
SharePoint Server Search Service 的 Windows 服務帳戶。此設定會影響伺服器陣列中的所有「搜尋」服務應用程式。 |
必須為網域使用者帳戶。 |
||||||||||||||||||||||||
User Profile Synchronization Service |
|
此為 User Profile Synchronization Service 的 Windows 服務帳戶。 |
需要執行 User Profile Synchronization Service 執行個體之電腦的「本機登入」權限。 |
||||||||||||||||||||||||
同步處理連線 |
|
此為用來與遠端目錄服務執行同步處理的帳戶。每次同步處理連線只能有一個帳戶。 |
同步的網域上的「複寫目錄變更」權限。 NetBIOS 與完整網域名稱 (FQDN) 不相符時,同步的網域設定分割區上的「複寫目錄變更」權限。 |
||||||||||||||||||||||||
應用程式管理服務 |
|
此帳戶可讓您從 SharePoint 市集或應用程式目錄安裝 SharePoint 應用程式。 |
|||||||||||||||||||||||||
PowerPoint Conversion Service |
|
此帳戶可將 Microsoft PowerPoint 簡報轉換為各種格式。 |
|||||||||||||||||||||||||
機器翻譯服務 |
|
此帳戶會執行自動機器翻譯服務。 |
|||||||||||||||||||||||||
Access Services 2013 |
|
此帳戶會在瀏覽器中檢視、編輯 Access 2013 資料庫,並與其互動。 |
|||||||||||||||||||||||||
工作管理 |
|
此帳戶提供跨不同工作管理系統的工作彙總,包括 SharePoint 產品、Microsoft Exchange Server 及 Microsoft Project Server。 |
|||||||||||||||||||||||||
分散式快取 |
|
此帳戶提供數項功能中SharePoint Server於記憶體中快取服務。一些使用分散式快取服務的功能包括:
|
額外的應用程式集區身分識別帳戶
若您建立其他應用程式集區來主控網站,請規劃其他應用程式集區身分識別帳戶。下表說明應用程式集區身分識別帳戶。請針對每一個您規劃要實作的應用程式集區,來規劃應用程式集區帳戶。
| 帳戶 | 用途 |
|---|---|
應用程式集區識別 |
工作者用來處理該服務且應用程式集區用來作為其程序身分識別的使用者帳戶。此帳戶用來存取與 Web 應用程式 (位於應用程式集區之外) 相關聯的內容資料庫。 |
單一伺服器標準需求
若您部署至單一伺服器電腦,則帳戶需求會大量減少。在評估環境中,您可以依所有帳戶目的來使用單一帳戶。在實際執行環境中,請確認您建立的帳戶具有其目的的適當權限。
如需單一伺服器環境的帳戶權限清單,請參閱<在 SharePoint Server 中初次部署管理帳戶和服務帳戶>。
伺服器陣列需求
如果您要部署一部以上的伺服器電腦,請使用伺服器陣列標準需求來確保帳戶具有執行其跨多部電腦程序的適當權限。伺服器陣列標準需求詳細說明在伺服器陣列環境中操作的必要設定下限。
如需伺服器陣列環境的標準需求清單,請參閱本文中<技術參考:依案列的帳戶需求>區段所列的需求。
若為某些帳戶,在執行設定時即會設定其他權限或資料庫存取權。這些內容會在帳戶規劃工具中註明。您所需特別注意的重要資料庫管理員設定是其他 WSS_Content_Application_Pools 資料庫角色。設定會將此角色新增至下列資料庫中:
SharePoint_Config 資料庫 (設定資料庫)
SharePoint_AdminContent 資料庫
資料庫的儲存程序子集的「執行」權限會授與給 WSS_Content_Application_Pools 資料庫角色的成員。此外,SharePoint_AdminContent 資料庫中的「版本」表格 (dbo.Versions) 的「選取」權限會授與給此角色的成員。
若為其他資料庫,帳戶規劃工具會指出將自動設定這些資料庫的讀取存取權。在某些情況下,也會自動設定資料庫的限制寫入存取權限。為提供此存取權,將設定儲存程序的權限。
技術參考:依案例的帳戶需求
此區段會依案例來列出帳戶需求:
單一伺服器標準需求
伺服器陣列標準需求
單一伺服器標準需求
伺服器陣列層級帳戶
| 帳戶 | 需求 |
|---|---|
SQL Server 服務 |
本機系統帳戶 (預設) |
設定使用者 |
本機電腦上系統管理員群組的成員 |
伺服器陣列 |
網路服務 (預設) 不需要手動設定。 |
服務應用程式帳戶
重要
本表格的帳戶僅適用於 SharePoint Server。
| 帳戶 | 需求 |
|---|---|
SharePoint Server Search Service |
依預設,此帳戶會以「本機系統」帳戶來執行。 若您想要藉由變更預設內容存取帳戶或使用編目規則來編目遠端內容,請將此變更為網域使用者帳戶。若您不將此帳戶變更為網域使用者帳戶,則無法將預設內容存取帳戶變更為網域使用者帳戶,或新增編目規則以編目此內容。此限制的設計旨在避免以「本機系統」帳戶來執行的任何其他程序發生權限提高的情形。 |
預設內容存取 |
若此帳戶僅編目本機伺服器陣列內容,則不需要進行手動設定。若您想要使用編目規則來編目遠端內容,請將此變更為網域使用者帳戶,並針對伺服器陣列套用列出的需求。 |
內容存取 |
與預設內容存取帳戶相同的需求。 |
設定檔匯入預設存取 |
與伺服器陣列相同的需求。 |
Excel Services 自動服務 |
必須為網域使用者帳戶。 |
額外的應用程式集區身分識別帳戶
| 帳戶 | 需求 |
|---|---|
應用程式集區識別 |
不需要手動設定。 「網路服務」帳戶用於設定期間建立的預設網站。 |
伺服器陣列標準需求
伺服器陣列層級帳戶
重要
此表格中的帳戶僅適用於 SharePoint Server
| 帳戶 | 需求 |
|---|---|
SQL Server 服務帳戶 |
使用本機系統帳戶或網域使用者帳戶。 若使用網域使用者帳戶,則此帳戶依預設會使用 Kerberos 認證,該認證需要在網路環境中進行額外的設定。若 SQL Server 使用無效的服務主要名稱 (SPN) (也就是該名稱不存在於 Active Directory 網域服務 (AD DS) 服務環境中),則 Kerberos 認證會失敗並使用 NTLM。若 SQL Server 使用無效的 SPN 但未指派給 AD DS 中適當的容器,則認證會失敗。認證會一律嘗試使用第一次找到的 SPN,因此請確認 AD DS 中沒有指派給不適當容器的 SPN。 若預計備份至外部資源或從外部資源還原,則必須將外部資源的權限授與給適當的帳戶。若您使用 SQL Server 服務帳戶的網域使用者帳戶,請將權限授與給該網域使用者帳戶。然而,若您使用「網路服務」或「本機系統」帳戶,請將機器帳戶 ((<domain_name>\<SQL_hostname>) 權限授與給外部資源。 |
安裝程式使用者帳戶 |
如果要執行會影響資料庫的 Stsadm 命令,此帳戶必須是資料庫的 db_owner 固定資料庫角色成員。 |
伺服器陣列帳戶 |
在加入伺服器陣列之網頁伺服器與應用程式伺服器上,會自動將額外權限授與此帳戶。 此帳戶會自動在執行 SQL Server 的電腦上新增為 SQL Server 登入,並新增至下列 SQL Server 安全性角色:
注意 設定 Secure Store Service 時,不會將伺服器陣列帳戶的 db_owner 存取權自動授與至 Secure Store Service 資料庫。 |
服務應用程式服務帳戶
重要
此表格中的帳戶僅適用於 SharePoint Server
| 帳戶 | 需求 |
|---|---|
SharePoint Server Search Service 帳戶 |
將會自動設定下列項目:
|
預設的內容存取帳戶 |
將會自動設定下列項目:
|
內容存取帳戶 |
|
設定檔匯入預設存取帳戶 |
|
Excel Services 自動服務帳戶 |
必須為網域使用者帳戶。 |
額外的應用程式集區身分識別帳戶
| 帳戶 | 需求 |
|---|---|
應用程式集區識別 |
不需要手動設定。 將會自動設定下列項目:
|