Freigeben über


Planen von Administrator- und Dienstkonten (Windows SharePoint Services)

Inhalt dieses Artikels:

  • Informationen zu Administrator- und Dienstkonten

  • Standardanforderungen für einzelnen Server

  • Standardanforderungen für Serverfarmen

  • Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

  • Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

  • Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

  • Technische Referenz: Kontoanforderungen nach Szenario

In diesem Artikel werden die zu planenden Konten sowie Bereitstellungsszenarien beschrieben, die sich auf Kontoanforderungen auswirken.

Verwenden Sie diesen Artikel mit dem folgenden Planungstool: Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). In diesem Planungstool werden die Anforderungen für die einzelnen Konten basierend auf dem Bereitstellungsszenario aufgeführt. Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

In den Kontoanforderungen werden die speziellen Berechtigungen detailliert erläutert, die vor dem Ausführen des Setups erteilt werden müssen. Es kann vorkommen, dass zusätzliche Berechtigungen, die automatisch beim Ausführen des Setups erteilt werden, im Planungstool erwähnt werden.

In diesem Artikel werden keine Sicherheitsrollen und Berechtigungen beschrieben, die für die Verwaltung von Windows SharePoint Services 3.0 erforderlich sind. Weitere Informationen finden Sie unter Planen von Sicherheitsrollen (Windows SharePoint Services).

Informationen zu Administrator- und Dienstkonten

In diesem Abschnitt werden die zu planenden Konten aufgeführt und beschrieben. Die Konten werden nach Bereich gruppiert. Wenn ein Konto einen begrenzten Bereich aufweist, müssen Sie für diese Kategorie ggf. mehrere Konten vorsehen.

Stellen Sie nach Abschluss der Installation und Konfiguration von Konten sicher, dass Sie nicht mit dem lokalen Systemkonto Verwaltungsaufgaben ausführen oder zu Websites navigieren. Verwenden Sie beispielsweise zum Ausführen von Verwaltungsaufgaben nicht das Konto, mit dem das Setup ausgeführt wird.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Konten beschrieben, mit denen die Microsoft SQL Server-Datenbanksoftware konfiguriert und Windows SharePoint Services 3.0 installiert wird.

Konto Zweck

SQL Server-Dienstkonto

SQL Server erfordert das Konto während des Setups von SQL Server. Das Konto wird als das Dienstkonto für die folgenden SQL Server-Dienste verwendet:

  • MSSQLSERVER

  • SQLSERVERAGENT

Sofern Sie nicht die Standardinstanz verwenden, werden diese Dienste wie folgt angezeigt:

  • MSSQL$*Instanzname*

  • SQLAgent$*Instanzname*

Setup-Benutzerkonto

Das Benutzerkonto, das zum Ausführen der folgenden Komponenten verwendet wird:

  • Setup auf jedem Servercomputer

  • Konfigurations-Assistent für SharePoint-Produkte und -Technologien

  • Psconfig-Befehlszeilentool

  • Stsadm-Befehlszeilentool

Serverfarmkonto

Das Konto wird auch als Datenbankzugriffskonto bezeichnet.

Dieses Konto fungiert als:

  • Identität des Anwendungspools für die Website für die SharePoint-Zentraladministration

  • Prozesskonto für den Windows SharePoint Services-Timerdienst

Konten für die Windows SharePoint Services-Suche

In der folgenden Tabelle werden die Konten beschrieben, mit denen die Windows SharePoint Services-Suche eingerichtet und konfiguriert wird.

Konto Zweck

Windows SharePoint Services-Suchdienstkonto

Wird als Dienstkonto für den Windows SharePoint Services-Suchdienst verwendet. Auf jedem Suchserver befindet sich eine Instanz dieses Diensts. Eine Serverfarm enthält normalerweise nur einen Suchserver.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Das Konto wird von der Anwendungsserverrolle für die Windows SharePoint Services-Suche verwendet, um Inhalt auf Websites zu crawlen.

Planen Sie mehrere Konten, wenn die Serverfarm mehrere Suchserver enthält. Dies ist jedoch nicht die Regel.

Zusätzliche Konten für die Identität des Anwendungspools

Wenn Sie zusätzliche Anwendungspools zum Hosten von Websites erstellen, sollten Sie auch zusätzliche Konten für die Identität des Anwendungspools vorsehen. In der folgenden Tabelle wird das Konto für die Identität des Anwendungspools beschrieben. Planen Sie ein Konto für die Identität des Anwendungspools für jeden zu implementierenden Anwendungspool.

Konto Zweck

Identität des Anwendungspools

Das Benutzerkonto, das die Arbeitsprozesse, von denen der Anwendungspool bedient wird, als Prozessidentität verwenden. Das Konto dient dem Zugriff auf Inhaltsdatenbanken, die den Webanwendungen zugeordnet sind, die sich im Anwendungspool befinden.

Standardanforderungen für einzelnen Server

Wenn die Bereitstellung auf einem einzelnen Servercomputer erfolgt, dann fallen nur minimale Kontoanforderungen an. In einer Auswertungsumgebung können Sie ein Konto für alle Kontozwecke verwenden. In einer Produktionsumgebung müssen Sie sicherstellen, dass die erstellten Konten ihrem Zweck entsprechende geeignete Berechtigungen aufweisen.

Eine Liste mit Kontoberechtigungen für Umgebungen mit einem Server finden Sie in dem Planungstool Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Serverfarmanforderungen

Wenn die Bereitstellung auf mehreren Servercomputern erfolgt, verwenden Sie die Informationen zu den Standardanforderungen für Serverfarmen, um sicherzustellen, dass die Konten die erforderlichen Berechtigungen aufweisen, damit sie die ihnen zugewiesenen Prozesse auf mehreren Computern ausführen können. In den Standardanforderungen für Serverfarmen wird ausführlich die Mindestkonfiguration beschrieben, die für den Betrieb in einer Serverfarmumgebung erforderlich ist. Ziehen Sie die Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten in Betracht, um die Sicherheit der Umgebung zu erhöhen.

Eine Liste der Standardanforderungen für Serverfarmumgebungen finden Sie in dem Planungstool Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Für manche Konten werden zusätzliche Berechtigungen oder der Zugriff auf Datenbanken konfiguriert, wenn Sie das Setup ausführen. Diese werden im Kontoplanungstool genannt. Eine wichtige Konfiguration, von der Datenbankadministratoren Kenntnis haben sollten, ist das Hinzufügen der Datenbankrolle WSS_Content_Application_Pools. Diese Rolle wird während des Setups den folgenden Datenbanken hinzugefügt:

  • SharePoint_Config-Datenbank (Konfigurationsdatenbank)

  • SharePoint_AdminContent-Datenbank

Mitglieder der Datenbankrolle WSS_Content_Application_Pools erhalten die Berechtigung zum Ausführen für eine Untermenge der gespeicherten Prozeduren für die Datenbank. Zudem erhalten Mitglieder dieser Rolle die Berechtigung zum Auswählen für die Versionstabelle (dbo.Versions) in der SharePoint_AdminContent-Datenbank.

Für andere Datenbanken gibt das Kontoplanungstool an, dass der Zugriff zum Lesen aus diesen Datenbanken automatisch konfiguriert wird. In manchen Fällen wird auch beschränkter Zugriff zum Schreiben in eine Datenbank automatisch konfiguriert. Damit dieser Zugriff bereitgestellt werden kann, werden Berechtigungen für gespeicherte Prozeduren konfiguriert. Für die SharePoint_Config-Datenbank wird beispielsweise der Zugriff auf die folgenden gespeicherten Prozeduren automatisch konfiguriert:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

Die Regel der geringsten Recht ist eine empfohlene Sicherheitsmethode, bei der jeder Dienst oder Benutzer nur die minimalen Berechtigungen erhält, die sie zum Ausführen der ihnen zugewiesenen Aufgaben benötigen. Das bedeutet, dass jeder Dienst Zugriff auf nur die Ressourcen erhält, die benötigt werden, um eine Aufgabe auszuführen. Zu den Mindestanforderungen, die zum Erreichen dieses Entwurfsziel erforderlich sind, zählen die folgenden:

  • Für verschiedene Dienste und Prozesse werden separate Konten verwendet.

  • Kein ausgeführtes Dienst- oder Prozesskonto wird mit lokalen Administratorberechtigungen ausgeführt.

Mithilfe separater Dienstkonten für jeden Dienst und durch Beschränken der jedem Konto zugewiesenen Berechtigungen wird einem böswilligen Benutzer oder Prozess das Gefährden Ihrer Umgebung erschwert.

Die Regel der geringsten Rechte mit Domänenbenutzerkonten ist für die meisten Umgebungen die empfohlene Konfiguration.

Eine Liste der Anforderungen für die Regel der geringsten Rechte mit Domänenbenutzerkonten finden Sie in dem Planungstool Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

In Umgebungen, in denen die SQL-Authentifizierung eine Voraussetzung ist, können Sie das Prinzip der Regel der geringsten Rechte befolgen. Für dieses Szenario gilt Folgendes:

  • Die SQL-Authentifizierung wird für jede erstellte Datenbank verwendet.

  • Alle anderen Administrator- und Dienstkonten werden als Domänenbenutzerkonten erstellt.

Setup und Konfiguration

Damit die SQL-Authentifizierung verwendet werden kann, müssen zusätzliche Setup- und Konfigurationsaufgaben ausgeführt werden:

  • Alle Datenbankkonten müssen als SQL Server-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellt werden. Diese Kontos müssen vor Datenbanken erstellt werden, z. B. bevor die Konfigurationsdatenbank und die AdminContent-Datenbank erstellt werden.

  • Sie müssen die Konfigurationsdatenbank und die SharePoint_AdminContent-Datenbank mit dem Befehlszeilentool Psconfig erstellen. Diese Datenbanken können nicht mit dem Konfigurations-Assistenten für SharePoint-Produkte und -Technologien erstellt werden. Zum Erstellen einer Farm oder zum Hinzufügen eines Computers zu einer Farm geben Sie die SQL Server-Anmeldung an, die Sie für diese Datenbanken als dbusername und dbpassword erstellt haben. Diese SQL Server-Anmeldung wird für den Zugriff auf beide Datenbanken verwendet.

  • Sie können in der Zentraladministration zusätzliche Inhaltsdatenbanken erstellen. Wählen Sie dazu die Option SQL-Authentifizierung aus. Allerdings müssen Sie zuerst die SQL Server-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellen.

  • Die gesamte Kommunikation mit der Datenbank wird mit SSL (Secure Sockets Layer) oder IPsec (Internetprotokollsicherheit) gesichert.

Wenn die SQL-Authentifizierung verwendet wird:

  • SQL Server-Anmeldekonten werden in der Registrierung der Webserver und Anwendungsserver verschlüsselt.

  • Das Serverfarmkonto wird nicht für den Zugriff auf die Konfigurationsdatenbank und die SharePoint_AdminContent Datenbank verwendet. Stattdessen werden die entsprechenden SQL Server-Anmeldekonten verwendet.

Erstellen von Dienst- und Administratorkonten

Eine Liste der Anforderungen für die Regel der geringsten Rechte mit SQL-Authentifizierung finden Sie in dem Planungstool Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Erstellen von SQL Server-Anmeldungen

Bevor Sie Datenbanken erstellen, müssen Sie für alle Datenbanken SQL Server-Anmeldungen erstellen. Zwei Anmeldungen werden für die Konfigurationsdatenbank und die SharePoint_AdminContent-Datenbank erstellt. Erstellen Sie für jede Inhaltsdatenbank eine Anmeldung.

In der folgenden Tabelle werden die Anmeldungen aufgeführt, die erstellt werden müssen. In der Spalte Anmeldung wird das Konto angegeben, das für die SQL Server-Anmeldung angegeben oder erstellt wird. Bei der ersten Anmeldung müssen Sie das Setupbenutzerkonto angeben. Bei allen anderen Anmeldungen erstellen Sie ein neues SQL Server-Anmeldekonto. Für diese Anmeldungen wird in der Spalte Anmeldung ein Beispielkontoname angegeben.

Anmeldung Datenbank SQL-Rechte

Setup-Benutzerkonto

Konfigurations- und SharePoint_AdminContent-Datenbank

Geben Sie beim Erstellen der Anmeldung die Windows-Authentifizierung an.

<*ConfigAdminDBAcc*>

Konfigurations- und SharePoint_AdminContent-Datenbank

  • Geben Sie beim Erstellen der Anmeldung die SQL-Authentifizierung an.

  • Weisen Sie die Serverrolle dbcreator zu.

<*WSSSearch_DB_Acc*>

WSS_Search-Datenbank

  • Geben Sie beim Erstellen der Anmeldung die SQL-Authentifizierung an.

  • Weisen Sie die Serverrolle dbcreator zu.

<*Content_DB_Acc1*>

Inhaltsdatenbanken

  • Geben Sie beim Erstellen der Anmeldung die SQL-Authentifizierung an.

  • Weisen Sie die Serverrolle dbcreator zu.

Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

In Umgebungen, in denen Datenbanken von einem Datenbankadministrator vorab erstellt werden, können Sie das Prinzip der Regel der geringsten Rechte befolgen. Für dieses Szenario gilt Folgendes:

  • Administrator- und Dienstkonten werden als Domänenbenutzerkonten erstellt.

  • SQL Server-Anmeldungen werden für die Konten erstellt, mit denen Datenbanken konfiguriert werden.

  • Datenbanken werden von einem Datenbankadministrator erstellt.

Weitere Informationen zum Bereitstellen von Windows SharePoint Services 3.0 mit vorab erstellten leeren Datenbanken finden Sie unter Bereitstellen mit vom Datenbankadministrator erstellten Datenbanken (Windows SharePoint Services).

Erstellen von Dienst- und Administratorkonten

Eine Liste der Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit einer vorhandenen leeren Datenbank finden Sie in dem Planungstool Windows SharePoint Services-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x407). Sie finden die Anforderungen zudem in diesem Artikel im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario.

Erstellen von SQL Server-Anmeldungen

Bevor Sie Datenbanken erstellen, müssen Sie SQL Server-Anmeldungen für alle Konten erstellen, die auf die Datenbanken zugreifen sollen. Im Kontoplanungstool werden die speziellen Berechtigungen ausführlich erläutert, die für jedes Konto konfiguriert werden. Anweisungen zum Erstellen und Erteilen von Berechtigungen für Datenbanken finden Sie unter Bereitstellen mit vom Datenbankadministrator erstellten Datenbanken (Windows SharePoint Services).

In der folgenden Tabelle werden die Anmeldungen aufgeführt, die erstellt werden müssen. In der Spalte Datenbank wird angegeben, welche Datenbanken mit Berechtigungen für jedes Anmeldekonto konfiguriert werden. Geben Sie für jede Anmeldung beim Erstellen der Anmeldung die Windows-Authentifizierung an.

Anmeldung

Datenbank

Setupbenutzerkonto ("Ausführen als"-Benutzer für das Befehlszeilentool Psconfig)

Alle Datenbanken

Serverfarmkonto (Office SharePoint Server-Datenbankzugriffskonto)

  • SSP-Datenbank

  • SSP-Suchdatenbank

Windows SharePoint Services-Suchdienstkonto

  • WSS_Search-Datenbank

  • Konfigurationsdatenbank

  • SharePoint_AdminContent-Datenbank

Identität des Anwendungspools für zusätzliche Inhaltsdatenbanken

  • SSP-Datenbank

  • SSP-Suchdatenbank

  • Dem Anwendungspool zugeordnete Inhaltsdatenbanken

Technische Referenz: Kontoanforderungen nach Szenario

In diesem Abschnitt werden die Kontoanforderungen nach Szenario aufgeführt:

  • Standardanforderungen für einzelnen Server

  • Standardanforderungen für Serverfarmen

  • Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

  • Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

  • Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

Standardanforderungen für einzelnen Server

Konten auf Serverfarmebene

Konto Anforderungen

SQL Server-Dienstkonto

Lokales Systemkonto (Standard)

Setup-Benutzerkonto

Mitglied der Administratorengruppe auf dem lokalen Computer

Serverfarmkonto

Netzwerkdienst (Standard)

Es ist keine manuelle Konfiguration erforderlich.

Konten für die Windows SharePoint Services-Suche

Konto Anforderungen

Windows SharePoint Services-Suchdienstkonto

Standardmäßig wird das Konto als lokales Systemkonto ausgeführt.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Das Konto ist kein Mitglied der Gruppe der Farmadministratoren.

Folgendes wird automatisch konfiguriert:

  • Das Konto wird der Richtlinie Alles lesen der Webanwendung für die Farm hinzugefügt.

Zusätzliche Konten für die Identität des Anwendungspools

Konto Anforderungen

Identität des Anwendungspools

Es ist keine manuelle Konfiguration erforderlich.

Das Netzwerkdienstkonto wird für die Standardwebsite verwendet, die während des Setups und der Konfiguration erstellt wird.

Standardanforderungen für Serverfarmen

Konten auf Serverfarmebene

Konto Anforderungen

SQL Server-Dienstkonto

Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Wenn ein Domänenbenutzerkonto verwendet wird, verwendet dieses Konto standardmäßig die Kerberos-Authentifizierung. Zu diesem Zweck müssen in der Netzwerkumgebung zusätzliche Konfigurationsaufgaben ausgeführt werden. Wenn SQL Server einen nicht gültigen Dienstprinzipalnamen (SPN, Service Principal Name) verwendet (also einen, der in der Active Directory-Verzeichnisdienstumgebung nicht vorhanden ist), tritt bei der Kerberos-Authentifizierung ein Fehler auf, woraufhin NTLM verwendet wird. Wenn SQL Server einen SPN verwendet, der zwar gültig, aber nicht dem richtigen Container in Active Directory zugeordnet ist, tritt bei der Authentifizierung ebenfalls ein Fehler auf, und zwar mit der Meldung, dass kein SSPI-Kontext generiert werden kann. Die Authentifizierung versucht stets, den ersten gefundenen SPN zu verwenden, um sicherzustellen, dass keine SPNs falschen Containern in Active Directory zugeordnet wurden.

Wenn Sie vorhaben, eine Sicherung in einer externen Ressource zu erstellen oder aus dieser eine Wiederherstellung auszuführen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource erteilt werden. Wenn Sie ein Domänenbenutzerkonto für das SQL Server-Dienstkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Wenn Sie jedoch das Netzwerkdienst- oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto (*Domänenname\SQL-Hostname$*) die Berechtigungen für die externe Ressource.

Setup-Benutzerkonto

  • Domänenbenutzerkonto.

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird.

  • SQL Server-Anmeldung auf dem Computer mit SQL Server.

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Feste Serverrolle securityadmin

    • Feste Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarmkonto

  • Domänenbenutzerkonto.

Für das Konto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.

Das Konto wird automatisch als SQL Server-Anmeldung auf dem Computer mit SQL Server sowie den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

  • Feste Serverrolle dbcreator

  • Feste Serverrolle securityadmin

  • Feste Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis   Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Konten für die Windows SharePoint Services-Suche

Konto Anforderungen

Windows SharePoint Services-Suchdienstkonto

  • Das Konto muss ein Domänenbenutzerkonto sein.

  • Das Konto ist kein Mitglied der Gruppe der Farmadministratoren.

Folgendes wird automatisch konfiguriert:

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Mitgliedschaft in der Rolle db_owner für die Windows SharePoint Services-Suchdatenbank.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

  • Das Konto wird der Richtlinie Alles lesen der Webanwendung für die Farm hinzugefügt.

Zusätzliche Konten für die Identität des Anwendungspools

Konto Anforderungen

Identität des Anwendungspools

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

  • Das Konto muss ein Domänenbenutzerkonto sein.

  • Mitgliedschaft in der Rolle db_owner für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Zusätzliche Berechtigungen für das Konto für Front-End-Webserver und -Anwendungsserver werden automatisch erteilt.

Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

Konten auf Serverfarmebene

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

SQL Server-Dienstkonto

Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Wenn ein Domänenbenutzerkonto verwendet wird, verwendet dieses Konto standardmäßig die Kerberos-Authentifizierung. Zu diesem Zweck müssen in der Netzwerkumgebung zusätzliche Konfigurationsaufgaben ausgeführt werden. Wenn SQL Server einen nicht gültigen Dienstprinzipalnamen (SPN, Service Principal Name) verwendet (also einen, der in der Active Directory-Verzeichnisdienstumgebung nicht vorhanden ist), tritt bei der Kerberos-Authentifizierung ein Fehler auf, woraufhin NTLM verwendet wird. Wenn SQL Server einen SPN verwendet, der zwar gültig, aber nicht dem richtigen Container in Active Directory zugeordnet ist, tritt bei der Authentifizierung ebenfalls ein Fehler auf, und zwar mit der Meldung, dass kein SSPI-Kontext generiert werden kann. Die Authentifizierung versucht stets, den ersten gefundenen SPN zu verwenden, um sicherzustellen, dass keine SPNs falschen Containern in Active Directory zugeordnet wurden.

Wenn Sie vorhaben, eine Sicherung in einer externen Ressource zu erstellen oder aus dieser eine Wiederherstellung auszuführen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource erteilt werden. Wenn Sie ein Domänenbenutzerkonto für das SQL Server-Dienstkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Wenn Sie jedoch das Netzwerkdienst- oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto (*Domänenname\SQL-Hostname$*) die Berechtigungen für die externe Ressource.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Setup-Benutzerkonto

  • Domänenbenutzerkonto.

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird.

  • SQL Server-Anmeldung auf dem Computer mit SQL Server.

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Feste Serverrolle securityadmin

    • Feste Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf dem Computer mit SQL Server.

Serverfarmkonto

  • Domänenbenutzerkonto.

  • Wenn die Serverfarm eine untergeordnete Farm mit Webanwendungen ist, die freigegebene Dienste von einer übergeordneten Farm nutzen, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Für das Konto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.

Das Konto wird automatisch als SQL Server-Anmeldung auf dem Computer mit SQL Server sowie den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

  • Feste Serverrolle dbcreator

  • Feste Serverrolle securityadmin

  • Feste Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis   Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Serverfarm, einschließlich des Computers mit SQL Server.

  • Das Konto erfordert vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server.

Konten für die Windows SharePoint Services-Suche

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

Windows SharePoint Services-Suchdienstkonto

  • Das Konto muss ein Domänenbenutzerkonto sein.

  • Das Konto ist kein Mitglied der Gruppe der Farmadministratoren.

Folgendes wird automatisch konfiguriert:

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Mitgliedschaft in der Rolle db_owner für die Windows SharePoint Services-Suchdatenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

  • Das Konto wird der Richtlinie Alles lesen der Webanwendung für die Farm hinzugefügt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Zusätzliche Konten für die Identität des Anwendungspools

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden von Domänenbenutzerkonten

Identität des Anwendungspools

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

  • Mitgliedschaft in der Rolle db_owner für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Zusätzliche Berechtigungen für das Konto für Front-End-Webserver und -Anwendungsserver werden automatisch erteilt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Computer in der Serverfarm.

Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

Konten auf Serverfarmebene

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

SQL Server-Dienstkonto

Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Wenn ein Domänenbenutzerkonto verwendet wird, verwendet dieses Konto standardmäßig die Kerberos-Authentifizierung. Zu diesem Zweck müssen in der Netzwerkumgebung zusätzliche Konfigurationsaufgaben ausgeführt werden. Wenn SQL Server einen nicht gültigen Dienstprinzipalnamen (SPN, Service Principal Name) verwendet (also einen, der in der Active Directory-Verzeichnisdienstumgebung nicht vorhanden ist), tritt bei der Kerberos-Authentifizierung ein Fehler auf, woraufhin NTLM verwendet wird. Wenn SQL Server einen SPN verwendet, der zwar gültig, aber nicht dem richtigen Container in Active Directory zugeordnet ist, tritt bei der Authentifizierung ebenfalls ein Fehler auf, und zwar mit der Meldung, dass kein SSPI-Kontext generiert werden kann. Die Authentifizierung versucht stets, den ersten gefundenen SPN zu verwenden, um sicherzustellen, dass keine SPNs falschen Containern in Active Directory zugeordnet wurden.

Wenn Sie vorhaben, eine Sicherung in einer externen Ressource zu erstellen oder aus dieser eine Wiederherstellung auszuführen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource erteilt werden. Wenn Sie ein Domänenbenutzerkonto für das SQL Server-Dienstkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Wenn Sie jedoch das Netzwerkdienst- oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto (*Domänenname\SQL-Hostname$*) die Berechtigungen für die externe Ressource.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Hinweis

Alle Datenbankkonten müssen als SQL Server-Anmeldekonten in Microsoft SQL Server 2000 Enterprise Manager oder SQL Server 2005-Management Studio erstellt werden. Diese Konten müssen erstellt werden, bevor Inhaltsdatenbanken wie die Konfigurationsdatenbank und die SharePoint_AdminContent-Datenbank erstellt werden. Erstellen Sie eine SQL Server-Anmeldung für die Konfigurationsdatenbank und eine für die SharePoint_AdminContent-Datenbank.

Setup-Benutzerkonto

  • Domänenbenutzerkonto.

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird.

  • SQL Server-Anmeldung auf dem Computer mit SQL Server.

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Feste Serverrolle securityadmin

    • Feste Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • SQL Server-Anmeldung auf dem SQL Server-Computer.

  • Das Konto ist kein Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Feste Serverrolle securityadmin

    • Feste Serverrolle dbcreator

  • Das Konto ist kein Mitglied der Administratorengruppe auf dem Computer mit SQL Server.

Hinweis

Sie müssen die Konfigurationsdatenbank und die SharePoint_AdminContent-Datenbank mit dem Befehlszeilentool Psconfig erstellen. Diese Datenbanken können nicht mit dem Konfigurations-Assistenten für SharePoint-Produkte und -Technologien erstellt werden. Zum Erstellen einer Farm oder zum Hinzufügen eines Computers zu einer Farm geben Sie die SQL Server-Anmeldung an, die Sie für diese Datenbanken als "dbusername" und "dbpassword" erstellt haben. Diese SQL Server-Anmeldung wird für den Zugriff auf beide Datenbanken verwendet. Alle anderen Inhaltsdatenbanken können in der Zentraladministration durch Auswahl der Option für die SQL-Authentifizierung erstellt werden.

Serverfarmkonto

  • Domänenbenutzerkonto.

  • Wenn die Serverfarm eine untergeordnete Farm mit Webanwendungen ist, die freigegebene Dienste von einer übergeordneten Farm nutzen, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Für das Konto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.

Das Konto wird automatisch als SQL Server-Anmeldung auf dem Computer mit SQL Server sowie den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

  • Feste Serverrolle dbcreator

  • Feste Serverrolle securityadmin

  • Feste Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis   Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Serverfarm, einschließlich des Computers mit SQL Server.

  • Das Konto ist keine SQL Server-Anmeldung auf dem Computer mit SQL Server.

  • Das Konto erfordert vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server.

Konten für die Windows SharePoint Services-Suche

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

Windows SharePoint Services-Suchdienstkonto

  • Das Konto muss ein Domänenbenutzerkonto sein.

  • Das Konto ist kein Mitglied der Gruppe der Farmadministratoren.

Folgendes wird automatisch konfiguriert:

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Mitgliedschaft in der Rolle db_owner für die Windows SharePoint Services-Suchdatenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Farm, einschließlich des Computers mit SQL Server.

  • Das Konto ist keine SQL Server-Anmeldung.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

  • Das Konto wird der Richtlinie Alles lesen der Webanwendung für die Farm hinzugefügt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Farm, einschließlich des Computers mit SQL Server.

  • Das Konto ist keine SQL Server-Anmeldung.

Zusätzliche Konten für die Identität des Anwendungspools

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Verwenden der SQL-Authentifizierung

Identität des Anwendungspools

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

  • Mitgliedschaft in der Rolle db_owner für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Zusätzliche Berechtigungen für das Konto für Front-End-Webserver und -Anwendungsserver werden automatisch erteilt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Farm, einschließlich des Computers mit SQL Server.

  • Das Konto ist keine SQL Server-Anmeldung.

Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

Konten auf Serverfarmebene

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

SQL Server-Dienstkonto

Verwenden Sie entweder ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Wenn ein Domänenbenutzerkonto verwendet wird, verwendet dieses Konto standardmäßig die Kerberos-Authentifizierung. Zu diesem Zweck müssen in der Netzwerkumgebung zusätzliche Konfigurationsaufgaben ausgeführt werden. Wenn SQL Server einen nicht gültigen Dienstprinzipalnamen (SPN, Service Principal Name) verwendet (also einen, der in der Active Directory-Verzeichnisdienstumgebung nicht vorhanden ist), tritt bei der Kerberos-Authentifizierung ein Fehler auf, woraufhin NTLM verwendet wird. Wenn SQL Server einen SPN verwendet, der zwar gültig, aber nicht dem richtigen Container in Active Directory zugeordnet ist, tritt bei der Authentifizierung ebenfalls ein Fehler auf, und zwar mit der Meldung, dass kein SSPI-Kontext generiert werden kann. Die Authentifizierung versucht stets, den ersten gefundenen SPN zu verwenden, um sicherzustellen, dass keine SPNs falschen Containern in Active Directory zugeordnet wurden.

  • Wenn Sie vorhaben, eine Sicherung in einer externen Ressource zu erstellen oder aus dieser eine Wiederherstellung auszuführen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource erteilt werden. Wenn Sie ein Domänenbenutzerkonto für das SQL Server-Dienstkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Wenn Sie jedoch das Netzwerkdienst- oder das lokale Systemkonto verwenden, erteilen Sie dem Computerkonto ("Domänenname\SQL-Hostname$") die Berechtigungen für die externe Ressource.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Setup-Benutzerkonto

  • Domänenbenutzerkonto.

  • Mitglied der Administratorengruppe auf jedem Server, auf dem das Setup ausgeführt wird.

  • SQL Server-Anmeldung auf dem Computer mit SQL Server.

  • Mitglied der folgenden SQL Server-Sicherheitsrollen:

    • Feste Serverrolle securityadmin

    • Feste Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf dem Computer mit SQL Server.

Mit diesem Konto werden Datenbanken konfiguriert. Ändern Sie nach dem Erstellen einer Datenbank jeweils den Datenbankbesitzer (dbo oder db_owner) des Setupbenutzerkontos.

Serverfarmkonto

  • Domänenbenutzerkonto.

  • Wenn die Serverfarm eine untergeordnete Farm mit Webanwendungen ist, die freigegebene Dienste von einer übergeordneten Farm nutzen, muss das Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Für das Konto werden auf Webservern und Anwendungsservern, die einer Serverfarm hinzugefügt werden, automatisch zusätzliche Berechtigungen erteilt.

Das Konto wird automatisch als SQL Server-Anmeldung auf dem Computer mit SQL Server sowie den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

  • Feste Serverrolle dbcreator

  • Feste Serverrolle securityadmin

  • Feste Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis   Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Server in der Serverfarm, einschließlich des Computers mit SQL Server.

  • Das Konto erfordert vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server.

Fügen Sie das Konto nach dem Erstellen der SSP-Datenbank (Shared Services Provider) und der SSP-Suchdatenbank den folgenden Elementen dieser Datenbanken hinzu:

  • Gruppe Benutzer

  • Feste Datenbankrolle db_owner

Konten für die Windows SharePoint Services-Suche

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

Windows SharePoint Services-Suchdienstkonto

  • Muss ein Domänenbenutzerkonto sein.

  • Das Konto ist kein Mitglied der Gruppe der Farmadministratoren.

Folgendes wird automatisch konfiguriert:

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Mitgliedschaft in der Rolle db_owner für die Windows SharePoint Services-Suchdatenbank.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Beim Ausführen des Befehlszeilentools Psconfig zum Starten des Windows SharePoint Services-Suchdiensts wird die Mitgliedschaft in den folgenden Komponenten automatisch konfiguriert:

  • Gruppe Benutzer und Rolle db_owner für die WSS_Search-Datenbank.

  • Gruppe Benutzer in der Konfigurationsdatenbank.

  • Gruppe Benutzer in der Inhaltsdatenbank der Zentraladministration.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

  • Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

  • Das Konto wird der Richtlinie Alles lesen der Webanwendung für die Farm hinzugefügt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie ein separates Domänenbenutzerkonto.

Beim Ausführen des Befehlszeilentools Psconfig zum Starten des Windows SharePoint Services-Suchdiensts wird die Mitgliedschaft in den folgenden Komponenten automatisch konfiguriert:

  • Gruppe Benutzer und Rolle db_owner in der WSS_Search-Datenbank.

  • Gruppe Benutzer in der Konfigurationsdatenbank.

  • Gruppe Benutzer in der Inhaltsdatenbank der Zentraladministration.

Zusätzliche Konten für die Identität des Anwendungspools

Konto Standardanforderungen für Serverfarmen Anforderungen für die Regel der geringsten Rechte beim Herstellen einer Verbindung mit vorab erstellten Datenbanken

Identität des Anwendungspools

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

  • Mitgliedschaft in der Rolle db_owner für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.

  • Lesezugriff auf die Konfigurationsdatenbank und die SharePoint_Admin Content-Datenbank.

  • Zusätzliche Berechtigungen für das Konto für Front-End-Webserver und -Anwendungsserver werden automatisch erteilt.

Standardanforderungen für Serverfarmen mit den folgenden Erweiterungen oder Ausnahmen:

  • Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto.

  • Das Konto ist kein Mitglied der Administratorengruppe auf einem Computer in der Serverfarm.

Fügen Sie das Konto nach dem Erstellen der SSP-Datenbank und der SSP-Suchdatenbank den folgenden Elementen dieser Datenbanken hinzu:

  • Gruppe Benutzer

  • Rolle db_owner

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Windows SharePoint Services.

Siehe auch

Konzepte

Planen von Sicherheitsrollen (Windows SharePoint Services)