Freigeben über


Erforderliche Konten für die Konfiguration und das Testen der Hybridlösung

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Wenn Sie eine SharePoint Server-Hybridumgebung konfigurieren, benötigen Sie mehrere Benutzerkonten sowohl in Ihrem lokalen Active Directory als auch in Microsoft 365. Diese Konten benötigen außerdem unterschiedliche Berechtigungen und Gruppen- oder Rollenmitgliedschaften. Einige dieser Konten werden verwendet, um Software bereitzustellen und zu konfigurieren, während einige verwendet werden, um spezielle Funktionen zu testen und dazu beizutragen, dass Sicherheits- und Authentifizierungssysteme wie erwartet funktionieren.

In einer Hybridumgebung werden einige oder alle Benutzerkonten in Active Directory mit Microsoft Entra-Verzeichnisdiensten synchronisiert. Wir bezeichnen diese Konten als Verbundbenutzer. SharePoint Server und SharePoint in Microsoft 365 sind mit einer Server-zu-Server-Vertrauensstellung (S2S) konfiguriert, und Dienstanwendungen können so konfiguriert werden, dass Verbundbenutzer über eine einzelne Identität auf Inhalte und Ressourcen aus beiden Farmen zugreifen können. Da Benutzerkonten und Anmeldeinformationen zwischen SharePoint Server und SharePoint in Microsoft 365 synchronisiert werden, kann die Sicherheit von Listen- und Bibliotheksinhalten in beiden Farmen mit demselben Satz von Benutzern und Gruppen angewendet werden.

Hinweis

[!HINWEIS] Diese Tabelle enthält keine Dienstkonten, die möglicherweise bestimmte Anforderungen für Dienstanwendungen und Funktionen in bestimmten SharePoint Server-Hybridlösungen haben. Weitere Informationen zu den Anforderungen der einzelnen unterstützten Lösungen finden Sie in den Lösungskonfigurationsartikeln unter Konfigurieren einer Hybridlösung für SharePoint Server.

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Tabelle: Für die SharePoint-Hybridkonfiguration und -tests erforderliche Konten

Account Identitätsanbieter Rolle
Globaler Admin
Microsoft 365 und Microsoft Entra ID
Verwenden Sie ein Microsoft 365-Geschäftskonto, das der Rolle "Globaler Administrator" zugewiesen wurde, für Microsoft 365-Konfigurationsaufgaben wie das Konfigurieren von SharePoint in Microsoft 365-Features, das Ausführen von Microsoft Entra ID und SharePoint in Microsoft 365 PowerShell-Befehlen und das Testen von SharePoint in Microsoft 365.
AD-Domänenadministrator
Lokales AD
Verwenden Sie ein AD-Konto in der Domänenadministratorgruppe zum Konfigurieren und Testen von AD, AD FS, DNS und Zertifikaten sowie für andere Aufgaben, die Rechteerhöhung erfordern.
SharePoint in Microsoft 365 Farm Admin
Lokales AD
Verwenden Sie ein AD-Konto in der Gruppe SharePoint in Microsoft 365-Farmadministratoren für SharePoint Server-Konfigurationsaufgaben wie das Ausführen von PowerShell-Befehlen in der SharePoint in Microsoft 365-Verwaltungsshell, um S2S-Vertrauensstellungen zu konfigurieren, Webanwendungen und Websitesammlungen zu erstellen und zu konfigurieren, SQL Server-Datenbanken bereitzustellen und zu konfigurieren und Probleme mit SharePoint Server zu beheben.
Dieses Konto muss auch über zusätzliche Berechtigungen verfügen, um SharePoint in der Microsoft 365-Verwaltungsshell verwenden zu können:
Mitgliedschaft in der festen Serverrolle securityadmin auf der SQLServer-Instanz.
Mitgliedschaft in der festen Datenbankrolle db_owner für alle Datenbanken, die aktualisiert werden sollen.
Mitgliedschaft in der Gruppe Administratoren auf dem Server, auf dem Sie die PowerShell-Cmdlets ausführen.
Verbundbenutzer
Lokales AD
Verwenden Sie AD-Konten, die mit Microsoft 365 synchronisiert wurden, um den Zugriff auf bestimmte Ressourcen in SharePoint Server und SharePoint in Microsoft 365 zu testen.
Diese Konten oder Gruppen, deren Mitglieder sie sind, müssen über Berechtigungen für SharePoint Server-Websitesammlungen und -Ressourcen in beiden Umgebungen verfügen und über die entsprechenden Produktlizenzen im Microsoft 365-Abonnement verfügen. Außerdem müssen sie auf die Verwendung des alternativen Domänen-UPN-Suffixes, das Sie für Verbundbenutzer beim Planungsprozess angegeben haben, festgelegt werden.
Sie können mehrere Verbundbenutzerkonten mit verschiedenen Berechtigungen oder Gruppenmitgliedschaften konfigurieren, um die entsprechende Einschränkung aus Sicherheitsgründen und den Zugriff auf Websiteressourcen zu testen.