Condividi tramite


Pianificare gli account amministrativi e di servizio (Office SharePoint Server)

Contenuto dell'articolo:

  • Informazioni sugli account amministrativi e di servizio

  • Requisiti standard per server singolo

  • Requisiti standard per server farm

  • Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

  • Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

  • Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

  • Riferimento tecnico: requisiti per gli account in base allo scenario

In questo articolo vengono descritti gli account che devono essere pianificati e gli scenari di distribuzione che influiscono sui requisiti per gli account.

Utilizzare questo articolo con lo strumento di pianificazione seguente: Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) . In tale strumento di pianificazione vengono elencati i requisiti relativi a ogni account in base allo scenario di distribuzione. I requisiti sono inoltre elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Nei requisiti per gli account vengono indicate le autorizzazioni specifiche che devono essere concesse prima dell'esecuzione del programma di installazione. In alcuni casi, nello strumento di pianificazione vengono specificate autorizzazioni aggiuntive concesse automaticamente con l'esecuzione del programma di installazione.

In questo articolo non vengono descritti i requisiti degli account per l'utilizzo di Single Sign-On (SSO) in Microsoft Office SharePoint Server 2007. Per ulteriori informazioni, vedere Pianificare l'utilizzo di Single Sign-on.

In questo articolo non vengono descritti i ruoli di protezione e le autorizzazioni necessarie per amministrare Microsoft Office SharePoint Server 2007. Per ulteriori informazioni, vedere Pianificare i ruoli di protezione (Office SharePoint Server).

Informazioni sugli account amministrativi e di servizio

In questa sezione vengono elencati e descritti gli account che devono essere pianificati, raggruppati in base all'ambito. Se un account ha un ambito limitato, potrebbe essere necessario pianificare più account per la stessa categoria.

Se ad esempio si intende implementare più provider di servizi condivisi, sarà necessario indicare più account di provider di servizi condivisi.

Dopo aver eseguito l'installazione e la configurazione degli account, non utilizzare l'account Sistema locale per eseguire attività di amministrazione o per esplorare i siti. Non utilizzare ad esempio per le attività amministrative lo stesso account utilizzato per eseguire il programma di installazione.

Account a livello di server farm

Nella tabella seguente sono descritti gli account utilizzati per configurare il software di database Microsoft SQL Server e installare Microsoft Office SharePoint Server 2007.

Account Scopo

Account del servizio SQL Server

SQL Server richiede questo account durante l'esecuzione del programma di installazione di SQL Server. L'account viene utilizzato come account di servizio per i servizi di SQL Server seguenti:

  • MSSQLSERVER

  • SQLSERVERAGENT

Se non si utilizza l'istanza predefinita, questi servizi verranno visualizzati come:

  • MSSQL$*NomeIstanza*

  • SQLAgent$*NomeIstanza*

Account utente Setup

Account utente utilizzato per eseguire gli elementi seguenti:

  • Il programma di installazione in tutti i computer server

  • La Configurazione guidata Prodotti e tecnologie SharePoint

  • Lo strumento da riga di comando Psconfig

  • Lo strumento da riga di comando Stsadm

Account server farm

Questo account è conosciuto anche come account di accesso al database.

Questo account rappresenta:

  • L'identità del pool di applicazioni per il sito Web Amministrazione centrale SharePoint.

  • L'account di processo per il servizio Timer di Windows SharePoint Services.

Account di provider di servizi condivisi

Nella tabella seguente sono descritti gli account utilizzati per impostare e configurare un provider di servizi condivisi. Pianificare un insieme di account di provider di servizi condivisi per ogni provider di questo tipo che si intende implementare.

Account Scopo

Account del pool di applicazioni SSP

Account del pool di applicazioni del sito di amministrazione del provider di servizi condivisi. Viene utilizzato per eseguire il pool di applicazioni per l'applicazione Web che ospita il sito di amministrazione del provider di servizi condivisi.

Account del servizio SSP

Utilizzato da:

  • Servizi Web del provider di servizi condivisi per le comunicazioni tra server

  • Identità del pool di applicazioni associato alla directory virtuale a sua volta associata a un determinato provider di servizi condivisi

Account del servizio di ricerca di Office SharePoint Server

Utilizzato come account di servizio per il servizio di ricerca di Office SharePoint Server. È disponibile una sola istanza di questo servizio che verrà utilizzata da tutti i provider di servizi condivisi per scrivere i file dell'indice di contenuto nel percorso dell'indice sui server di indicizzazione e per propagare l'indice di ricerca a tutti i server di query in una farm di Microsoft Office SharePoint Server 2007.

Account di accesso al contenuto predefinito

Account predefinito utilizzato all'interno un provider di contenuti condivisi specifico per eseguire la ricerca per indicizzazione del contenuto, a meno che non si specifichi un metodo di autenticazione diverso tramite una regola di ricerca per indicizzazione per un URL o una serie di URL.

Account di accesso al contenuto

Account specifico configurato per accedere a un'origine di contenuto. Questo account è facoltativo e viene specificato quando si crea una nuova regola di ricerca per indicizzazione. È ad esempio possibile che con origini di contenuto esterne a Microsoft Office SharePoint Server 2007, come nel caso di una condivisione di file, sia richiesto un account di accesso diverso.

Account di accesso predefinito per l'importazione dei profili

Utilizzato per:

  • Connettersi a un servizio directory, ad esempio il servizio directory Active Directory, una directory LDAP (Lightweight Directory Access Protocol), un'applicazione Catalogo dati business o un'altra origine di directory.

  • Importare i dati del profilo da un servizio directory.

Se non viene specificato alcun account, viene utilizzato l'account predefinito di accesso al contenuto. Se l'account predefinito di accesso al contenuto non dispone di accesso in lettura alla directory o alle directory da cui si desidera importare dati, pianificare l'utilizzo di un account diverso. È possibile pianificare fino a un account per ogni connessione alla directory.

Account di servizio automatico di Excel Services

Account utilizzato da Servizi di calcolo Excel per connettersi a origini dati esterne che richiedono una stringa composta da nome utente e password non Windows per l'autenticazione. Se questo account non è configurato, Excel Services non effettuerà alcun tentativo di connessione a questi tipi di origini dati. Sebbene le credenziali dell'account vengano utilizzate per connettersi a origini dati non Windows, l'account deve essere membro del dominio per consentirne l'utilizzo in Servizi di calcolo Excel.

Account del servizio di ricerca di Windows SharePoint Services

Nella tabella seguente sono descritti gli account utilizzati per impostare e configurare il servizio di ricerca di Windows SharePoint Services. In Microsoft Office SharePoint Server 2007 questo servizio è noto come servizio di ricerca Guida di Windows SharePoint Services poiché viene utilizzato per offrire funzionalità di ricerca per la Guida. Se si installa Microsoft Office SharePoint Server 2007, pianificare questi account solo se si intende implementare il servizio per eseguire ricerche nel contenuto della Guida.

Account Scopo

Account del servizio di ricerca di Windows SharePoint Services

Utilizzato come account di servizio per il servizio di ricerca Guida di Windows SharePoint Services. In una farm è disponibile una sola istanza di questo servizio che verrà utilizzata per scrivere i file dell'indice di contenuto nel percorso dell'indice sui server di indicizzazione e per propagare l'indice di ricerca a tutti i server di query in una farm di Microsoft Office SharePoint Server 2007.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Utilizzato dal ruolo del server applicazioni del servizio di ricerca di Windows SharePoint Services per eseguire la ricerca per indicizzazione del contenuto tra i siti.

Account dell'identità dei pool di applicazioni aggiuntivi

Se si creano ulteriori pool di applicazioni per ospitare i siti, è necessario pianificare account dell'identità dei pool di applicazioni aggiuntivi. Nella tabella seguente viene descritto l'account dell'identità del pool di applicazioni. Pianificarne uno per ogni pool di applicazioni che si intende implementare.

Account Scopo

Identità del pool di applicazioni

Account utente utilizzato come identità di processo dai processi di lavoro che gestiscono il pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che fanno parte del pool di applicazioni.

Requisiti standard per server singolo

Se si esegue la distribuzione in un computer server singolo, i requisiti per gli account vengono ridotti in modo significativo. In un ambiente di valutazione è possibile utilizzare un unico account per tutti gli scopi degli account. In un ambiente di produzione verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.

Per un elenco delle autorizzazioni per gli account in ambienti a server singolo, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Requisiti per server farm

Se si esegue la distribuzione in più computer server, utilizzare i requisiti standard per server farm affinché gli account dispongano delle autorizzazioni appropriate per eseguire i processi in più computer. Nei requisiti standard per server farm viene specificata la configurazione minima necessaria per lavorare in un ambiente server farm. Per un ambiente più protetto, prendere in considerazione la possibilità di utilizzare i requisiti del principio dei privilegi minimi con account utente di dominio.

Per un elenco dei requisiti standard in ambienti server farm, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Per alcuni account vengono configurate ulteriori autorizzazioni o accessi ai database quando si esegue il programma di installazione, specificati nello strumento di pianificazione. Una configurazione importante di cui devono tenere conto gli amministratori è l'aggiunta del ruolo del database WSS_Content_Application_Pools. Il programma di installazione aggiunge questo ruolo ai database seguenti:

  • Database SharePoint_Config (database di configurazione)

  • Database SharePoint_AdminContent

Ai membri del ruolo del database WSS_Content_Application_Pools viene concessa l'autorizzazione di esecuzione per un sottoinsieme delle stored procedure del database, nonché l'autorizzazione di selezione per la tabella Versions (dbo.Versions) nel database SharePoint_AdminContent.

Nello strumento di pianificazione degli account viene indicato che l'accesso per la lettura da altri database viene configurato automaticamente. In alcuni casi viene configurato automaticamente anche un accesso limitato per la scrittura in un database. Per fornire questo accesso, vengono configurate autorizzazioni per le stored procedure. Per il database SharePoint_Config ad esempio viene configurato automaticamente l'accesso alle stored procedure seguenti:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Il principio dei privilegi minimi è un metodo di protezione consigliato in cui a ogni servizio o utente vengono forniti solo i privilegi minimi necessari per eseguire le attività per le quali sono autorizzati. A ogni servizio pertanto viene concesso solo l'accesso alle risorse necessarie per il relativo scopo. Di seguito vengono elencati alcuni dei requisiti minimi necessari per raggiungere questo obiettivo di progettazione:

  • Vengono utilizzati account separati per servizi e processi diversi.

  • Non viene utilizzato alcun account di servizio o di processo in esecuzione con le autorizzazioni di amministratore locale.

Utilizzando account di servizio separati e limitando le autorizzazioni assegnate a ogni account, si riduce il rischio che l'ambiente possa essere danneggiato da un utente malintenzionato o da un processo dannoso.

Il principio dei privilegi minimi con account utente di dominio è la configurazione consigliata per la maggior parte degli ambienti.

Per un elenco dei requisiti del principio dei privilegi minimi con account utente di dominio, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Negli ambienti in cui l'autenticazione di SQL Server è un requisito, è possibile seguire il principio dei privilegi minimi. In questo scenario:

  • Per ogni database creato viene utilizzata l'autenticazione di SQL Server.

  • Tutti gli altri account di amministrazione e di servizio vengono creati come account utente di dominio.

Installazione e configurazione

Per utilizzare l'autenticazione di SQL Server, è necessario eseguire ulteriori operazioni di installazione e configurazione:

  • Tutti gli account di database devono essere creati come account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database, inclusi il database di configurazione e il database AdminContent.

  • È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è possibile infatti utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database.

  • È possibile creare ulteriori database del contenuto in Amministrazione centrale selezionando l'opzione Autenticazione di SQL Server . È tuttavia necessario prima creare gli account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.

  • Proteggere tutte le comunicazioni con i server database utilizzando Secure Sockets Layer (SSL) o Internet Protocol Security (IPsec).

Quando viene utilizzata l'autenticazione di SQL Server:

  • Gli account di accesso di SQL Server vengono crittografati nel Registro di sistema dei server Web e dei server applicazioni.

  • L'account della server farm non viene utilizzato per accedere al database di configurazione e al database SharePoint_AdminContent. Vengono invece utilizzati gli account di accesso di SQL Server corrispondenti.

Creazione di account di servizio e amministrazione

Per un elenco dei requisiti del principio dei privilegi minimi con l'autenticazione di SQL Server, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Creazione di account di accesso di SQL Server

Prima di creare i database, creare gli account di accesso di SQL Server per ognuno dei database. Vengono creati due account di accesso per i database di configurazione e SharePoint_AdminContent. Creare un account di accesso per ogni database del contenuto.

Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Account di accesso viene indicato l'account specificato o creato per l'accesso a SQL Server. Per il primo accesso, è necessario immettere l'account utente Setup. Per tutti gli altri accessi, si crea un nuovo account di accesso di SQL Server. Per questi account di accesso, nella colonna Account di accesso viene fornito un nome di account di esempio.

Account di accesso Database Diritti SQL

Account utente Setup

Database di configurazione e SharePoint_AdminContent

Specificare l'autenticazione di Windows durante la creazione dell'account di accesso.

<*AccDBConfigAdmin*>

Database di configurazione e SharePoint_AdminContent

  • Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso.

  • Assegnare il ruolo del server dbcreator.

<*SSP_DB_Acc*>

Database del provider di servizi condivisi

  • Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso.

  • Assegnare il ruolo del server dbcreator.

  • Assegnare il ruolo del server securityadmin.

<*SSPSearchDB_Acc*>

Database di ricerca del provider di servizi condivisi

  • Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso.

  • Assegnare il ruolo del server dbcreator.

  • Assegnare il ruolo del server securityadmin.

<*Acc_DB_WSSSearch*>

Database WSS_Search

  • Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso.

  • Assegnare il ruolo del server dbcreator.

<*Acc1_DB_Contenuto*>

Database del contenuto

  • Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso.

  • Assegnare il ruolo del server dbcreator.

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Negli ambienti in cui i database vengono creati in precedenza da un amministratore di database è possibile seguire il principio dei privilegi minimi. In questo scenario:

  • Gli account di amministrazione e di servizio vengono creati come account utente di dominio.

  • Vengono creati account di accesso di SQL Server per gli account utilizzati per configurare i database.

  • I database vengono creati da un amministratore di database.

Per ulteriori informazioni sulla distribuzione di Microsoft Office SharePoint Server 2007 utilizzando database vuoti creati in precedenza, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Office SharePoint Server).

Creazione di account di servizio e amministrazione

Per un elenco dei requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.

Creazione di account di accesso di SQL Server

Prima di creare i database, creare account di accesso di SQL Server per ogni account che accederà ai database. Nello strumento di pianificazione degli account vengono descritte in dettaglio le autorizzazioni configurate per ogni account. Per istruzioni su come creare e concedere le autorizzazioni per i database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Office SharePoint Server).

Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Database vengono indicati i database configurati con le autorizzazioni per ogni account di accesso. Specificare l'autenticazione di Windows quando si crea ogni account di accesso.

Account di accesso

Database

Account utente Setup (utente Esegui come per lo strumento da riga di comando Psconfig)

Tutti i database

Account server farm (account di accesso al database di Office SharePoint Server)

  • Database del provider di servizi condivisi

  • Database di ricerca del provider di servizi condivisi

Account del servizio SSP

  • Database di configurazione

  • Database SharePoint_AdminContent

  • Database del contenuto del sito di amministrazione dei servizi condivisi

  • Database del provider di servizi condivisi

  • Database di ricerca del provider di servizi condivisi

  • Database del contenuto dell'applicazione Web per i siti personali

  • Tutti i database del contenuto aggiuntivi

Account del servizio di ricerca di Office SharePoint Server

  • Database di configurazione

  • Database SharePoint_AdminContent

  • Database del provider di servizi condivisi

  • Database di ricerca del provider di servizi condivisi

Account di accesso al contenuto predefinito

  • Database di configurazione

  • Database SharePoint_AdminContent

Account del pool di applicazioni SSP (identità)

Database del contenuto per l'applicazione Web per l'amministrazione del provider di servizi condivisi

Identità del pool di applicazioni per il sito Web per i siti personali

Database del contenuto per l'applicazione Web per i siti personali

Account del servizio di ricerca di Windows SharePoint Services

  • Database del provider di servizi condivisi

  • Database di ricerca del provider di servizi condivisi

  • Database WSS_Search

  • Database di configurazione

  • Database SharePoint_AdminContent

Identità del pool di applicazioni per database del contenuto aggiuntivi

  • Database del provider di servizi condivisi

  • Database di ricerca del provider di servizi condivisi

  • Database del contenuto associati al pool di applicazioni

Riferimento tecnico: requisiti per gli account in base allo scenario

In questa sezione vengono elencati i requisiti per gli account in base allo scenario:

  • Requisiti standard per server singolo

  • Requisiti standard per server farm

  • Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

  • Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

  • Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Requisiti standard per server singolo

Account a livello di server farm

Account Requisiti

Account del servizio SQL Server

Account Sistema locale (predefinito)

Account utente Setup

Membro del gruppo Administrators nel computer locale

Account server farm

Servizio di rete (predefinito)

Non sono necessari interventi di configurazione manuale.

Account di provider di servizi condivisi

Account Requisiti

Account del pool di applicazioni SSP

Non sono necessari interventi di configurazione manuale.

Account del servizio SSP

  • Non sono necessari interventi di configurazione manuale.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Account del servizio di ricerca di Office SharePoint Server

Per impostazione predefinita, questo account viene eseguito come account Sistema locale.

Se si desidera eseguire la ricerca per indicizzazione del contenuto remoto tramite la modifica dell'account di accesso al contenuto predefinito oppure utilizzando le regole di ricerca per indicizzazione, modificarlo in un account utente di dominio. In caso contrario, non sarà possibile modificare l'account di accesso al contenuto predefinito o aggiungere regole per eseguire la ricerca per indicizzazione di questo contenuto. Con questa limitazione si impedisce l'elevazione dei privilegi per qualsiasi altro processo in esecuzione come account di sistema locale.

Account di accesso al contenuto predefinito

Non sono necessari interventi di configurazione manuale se questo account esegue la ricerca per indicizzazione del contenuto locale della farm. Se si desidera eseguire la ricerca per indicizzazione del contenuto remoto utilizzando le regole di ricerca per indicizzazione, modificare questo account in un account utente di dominio e applicare i requisiti elencati per una server farm.

Account di accesso al contenuto

Uguale all'account di accesso al contenuto predefinito del provider di servizi condivisi descritto in precedenza.

Account di accesso predefinito per l'importazione dei profili

Requisiti identici a quelli della server farm.

Account di servizio automatico di Excel Services

Deve essere un account utente di dominio.

Account del servizio di ricerca di Windows SharePoint Services

Account Requisiti

Account del servizio di ricerca di Windows SharePoint Services

Per impostazione predefinita, questo account viene eseguito come account Sistema locale.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Account dell'identità dei pool di applicazioni aggiuntivi

Account Requisiti

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione.

Requisiti standard per server farm

Account a livello di server farm

Account Requisiti

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.

Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*).

Account utente Setup

  • Account utente di dominio.

  • Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.

  • Account di accesso di SQL Server nel computer che esegue SQL Server.

  • Membro dei ruoli di protezione seguenti di SQL Server:

    • Ruolo predefinito del server securityadmin

    • Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Account server farm

  • Account utente di dominio.

  • Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

  • Ruolo predefinito del server dbcreator

  • Ruolo predefinito del server securityadmin

  • Ruolo predefinito del database db_owner per tutti i database della server farm

Nota   Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Account di provider di servizi condivisi

Account Requisiti

Account del pool di applicazioni SSP

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per i database del contenuto per le applicazioni Web associate al provider di servizi condivisi.

  • Accesso in lettura al database di configurazione.

  • Accesso in lettura al database del contenuto di Amministrazione centrale.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per i server Web front-end e i server applicazioni.

Account del servizio SSP

  • Utilizzare un account utente di dominio.

  • Non sono necessari interventi di configurazione manuale. Vengono concesse automaticamente le stesse autorizzazioni valide per l'account del pool di applicazioni del provider di servizi condivisi.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Account del servizio di ricerca di Office SharePoint Server

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione, al database del contenuto di amministrazione, al database del provider di servizi condivisi e al database del servizio di ricerca di Office Server.

  • Accesso con controllo completo al percorso del file di indice nei server indice e accesso con controllo completo al percorso di propagazione della ricerca nei server di query in una farm di Microsoft Office SharePoint Server 2007.

Account di accesso al contenuto predefinito

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

  • Accesso in lettura alle origini di contenuto esterne o protette che si desidera sottoporre a ricerca per indicizzazione utilizzando questo account.

  • Per i siti che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Le impostazioni seguenti vengono configurate automaticamente:

  • Le autorizzazioni di lettura complete vengono concesse automaticamente ai database del contenuto ospitati dalla server farm.

Account di accesso al contenuto

  • Accesso in lettura alle origini di contenuto esterne o protette configurate come accessibili per questo account.

  • Per i siti Web che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Account di accesso predefinito per l'importazione dei profili

  • Accesso in lettura al servizio directory.

  • Se si seleziona l'opzione Attiva importazione incrementale lato server per una connessione Active Directory in ambiente Windows 2000 Server, l'account deve disporre dell'autorizzazione Replica modifiche in Active Directory. Questa autorizzazione non è richiesta per gli ambienti Windows Server 2003 Active Directory.

  • Autorizzazione Gestione profili utente per i servizi di personalizzazione.

  • Autorizzazioni di visualizzazione per le entità utilizzate nelle connessioni di importazione al Catalogo dati business.

Account di servizio automatico di Excel Services

Deve essere un account utente di dominio.

Account del servizio di ricerca di Windows SharePoint Services

Account Requisiti

Account del servizio di ricerca di Windows SharePoint Services

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

  • Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

  • Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Account dell'identità dei pool di applicazioni aggiuntivi

Account Requisiti

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Deve essere un account utente di dominio.

  • Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Accesso in lettura e scrittura per il database del provider di servizi condivisi associato.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account a livello di server farm

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.

Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*).

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account utente Setup

  • Account utente di dominio.

  • Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.

  • Account di accesso di SQL Server nel computer che esegue SQL Server.

  • Membro dei ruoli di protezione seguenti di SQL Server:

    • Ruolo predefinito del server securityadmin

    • Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Questo account NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Account server farm

  • Account utente di dominio.

  • Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

  • Ruolo predefinito del server dbcreator

  • Ruolo predefinito del server securityadmin

  • Ruolo predefinito del database db_owner per tutti i database della server farm

Nota   Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.

  • Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account di provider di servizi condivisi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account del pool di applicazioni SSP

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per i database del contenuto per le applicazioni Web associate al provider di servizi condivisi.

  • Accesso in lettura al database di configurazione.

  • Accesso in lettura al database del contenuto di Amministrazione centrale.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Per scopi di isolamento e protezione, utilizzare un account di servizio separato per ogni provider di servizi condivisi.

Account del servizio SSP

  • Utilizzare un account utente di dominio.

  • Non sono necessari interventi di configurazione manuale. Vengono concesse automaticamente le stesse autorizzazioni valide per l'account del pool di applicazioni del provider di servizi condivisi.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account del servizio di ricerca di Office SharePoint Server

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione, al database del contenuto di amministrazione, al database del provider di servizi condivisi e al database del servizio di ricerca di Office Server.

  • Accesso con controllo completo al percorso del file di indice nei server indice e accesso con controllo completo al percorso di propagazione della ricerca nei server di query in una farm di MOSS.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account di accesso al contenuto predefinito

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

  • Accesso in lettura alle origini di contenuto esterne o protette che si desidera sottoporre a ricerca per indicizzazione utilizzando questo account.

  • Per i siti che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Le impostazioni seguenti vengono configurate automaticamente:

  • Le autorizzazioni di lettura complete vengono concesse automaticamente ai database del contenuto ospitati dalla server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • In un ambiente con server farm viene utilizzato per impostazione predefinita l'account del servizio di ricerca di Office SharePoint Server fino a quando non viene specificato un diverso account. Dopo il completamento dell'installazione e l'esecuzione della Configurazione guidata sostituire questo account con un account utente di dominio.

  • Non concedere all'account di accesso al contenuto predefinito l'accesso al servizio directory.

Per una maggiore protezione utilizzare un account di accesso al contenuto predefinito diverso per ogni provider di servizi condivisi.

Account di accesso al contenuto

  • Accesso in lettura alle origini di contenuto esterne o protette configurate come accessibili per questo account.

  • Per i siti Web che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account di accesso predefinito per l'importazione dei profili

  • Accesso in lettura al servizio directory.

  • Se si seleziona l'opzione Attiva importazione incrementale lato server per una connessione Active Directory in ambiente Windows 2000 Server, l'account deve disporre dell'autorizzazione Replica modifiche in Active Directory. Questa autorizzazione non è richiesta per gli ambienti Windows Server 2003 Active Directory.

  • Autorizzazione Gestione profili utente per i servizi di personalizzazione.

  • Autorizzazioni di visualizzazione per le entità utilizzate nelle connessioni di importazione al Catalogo dati business.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Questo account può essere identico a quello utilizzato come account di accesso al contenuto predefinito. In alternativa, è possibile utilizzarne uno separato.

  • Accesso in lettura al servizio directory.

  • Autorizzazione Gestione profili utente per i servizi di personalizzazione.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Account di servizio automatico di Excel Services

Deve essere un account utente di dominio.

Deve essere un account utente di dominio.

Account del servizio di ricerca di Windows SharePoint Services

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account del servizio di ricerca di Windows SharePoint Services

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

  • Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

  • Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account dell'identità dei pool di applicazioni aggiuntivi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Accesso in lettura e scrittura per il database del provider di servizi condivisi associato.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato per ogni pool di applicazioni.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account a livello di server farm

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.

Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*).

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Nota

Tutti gli account di database devono essere creati come account di accesso di SQL Server in Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database del contenuto, inclusi il database di configurazione e il database SharePoint_AdminContent. Creare un account di accesso di SQL Server sia per il database di configurazione che per il database SharePoint_AdminContent.

Account utente Setup

  • Account utente di dominio.

  • Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.

  • Account di accesso di SQL Server nel computer che esegue SQL Server.

  • Membro dei ruoli di protezione seguenti di SQL Server:

    • Ruolo predefinito del server securityadmin

    • Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Account di accesso di SQL Server nel computer SQL Server.

  • NON deve essere membro dei ruoli di protezione seguenti di SQL Server:

    • Ruolo predefinito del server securityadmin

    • Ruolo predefinito del server dbcreator

  • NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Nota

È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database. Tutti gli altri database del contenuto possono essere creati in Amministrazione centrale selezionando l'opzione di autenticazione di SQL Server.

Account server farm

  • Account utente di dominio.

  • Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

  • Ruolo predefinito del server dbcreator

  • Ruolo predefinito del server securityadmin

  • Ruolo predefinito del database db_owner per tutti i database della server farm

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server nel computer che esegue SQL Server.

  • Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account di provider di servizi condivisi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account del pool di applicazioni SSP

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per i database del contenuto per le applicazioni Web associate al provider di servizi condivisi.

  • Accesso in lettura al database di configurazione.

  • Accesso in lettura al database del contenuto di Amministrazione centrale.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators locale in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account del servizio SSP

  • Utilizzare un account utente di dominio.

  • Non sono necessari interventi di configurazione manuale. Vengono concesse automaticamente le stesse autorizzazioni valide per l'account del pool di applicazioni del provider di servizi condivisi.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account del servizio di ricerca di Office SharePoint Server

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione, al database del contenuto di amministrazione, al database del provider di servizi condivisi e al database del servizio di ricerca di Office Server.

  • Accesso con controllo completo al percorso del file di indice nei server indice e accesso con controllo completo al percorso di propagazione della ricerca nei server di query in una farm di Microsoft Office SharePoint Server 2007.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account di accesso al contenuto predefinito

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

  • Accesso in lettura alle origini di contenuto esterne o protette che si desidera sottoporre a ricerca per indicizzazione utilizzando questo account.

  • Per i siti che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Le impostazioni seguenti vengono configurate automaticamente:

  • Le autorizzazioni di lettura complete vengono concesse automaticamente ai database del contenuto ospitati dalla server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server nell'host SQL Server.

Account di accesso al contenuto

  • Accesso in lettura alle origini di contenuto esterne o protette configurate come accessibili per questo account.

Per i siti Web che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account di accesso predefinito per l'importazione dei profili

  • Accesso in lettura al servizio directory.

  • Se si seleziona l'opzione Attiva importazione incrementale lato server per una connessione Active Directory in ambiente Windows 2000 Server, l'account deve disporre dell'autorizzazione Replica modifiche in Active Directory. Questa autorizzazione non è richiesta per gli ambienti Windows Server 2003 Active Directory.

  • Autorizzazione Gestione profili utente per i servizi di personalizzazione.

  • Autorizzazioni di visualizzazione per le entità utilizzate nelle connessioni di importazione al Catalogo dati business.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account di servizio automatico di Excel Services

Deve essere un account utente di dominio.

Deve essere un account utente di dominio.

Account del servizio di ricerca di Windows SharePoint Services

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account del servizio di ricerca di Windows SharePoint Services

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

  • Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

  • Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Account dell'identità dei pool di applicazioni aggiuntivi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Accesso in lettura e scrittura per il database del provider di servizi condivisi associato.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.

  • NON deve essere un account di accesso di SQL Server.

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account a livello di server farm

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.

  • Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account utente Setup

  • Account utente di dominio.

  • Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.

  • Account di accesso di SQL Server nel computer che esegue SQL Server.

  • Membro dei ruoli di protezione seguenti di SQL Server:

    • Ruolo predefinito del server securityadmin

    • Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Questi account viene utilizzato per configurare i database. Dopo aver creato ogni database, sostituire il proprietario del database, ovvero dbo o db_owner, con l'account utente Setup.

Account server farm

  • Account utente di dominio.

  • Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

  • Ruolo predefinito del server dbcreator

  • Ruolo predefinito del server securityadmin

  • Ruolo predefinito del database db_owner per tutti i database della server farm

Nota   Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.

  • Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

  • Gruppo Utenti

  • Ruolo predefinito del database db_owner

Account di provider di servizi condivisi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account del pool di applicazioni SSP

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per il database del contenuto del provider di servizi condivisi.

  • Accesso in lettura e scrittura per i database del contenuto per le applicazioni Web associate al provider di servizi condivisi.

  • Accesso in lettura al database di configurazione.

  • Accesso in lettura al database del contenuto di Amministrazione centrale.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Per scopi di isolamento e protezione, utilizzare un account di servizio separato per ogni provider di servizi condivisi.

Account del servizio SSP

  • Utilizzare un account utente di dominio.

  • Non sono necessari interventi di configurazione manuale. Vengono concesse automaticamente le stesse autorizzazioni valide per l'account del pool di applicazioni del provider di servizi condivisi.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:

  • Gruppo Utenti

  • Ruolo del database WSS_Content_Application_Pools

Dopo aver creato il database del contenuto per il sito di amministrazione dei servizi condivisi, il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

  • Gruppo Utenti

  • Ruolo db_owner

Dopo aver creato i siti personali, aggiungere questo account agli elementi seguenti per il database del contenuto dell'applicazione Web per i siti personali:

  • Gruppo Utenti

  • Ruolo db_owner

Dopo aver creato i singoli database del contenuto, aggiungere questo account agli elementi seguenti:

  • Gruppo Utenti

  • Ruolo db_owner

Account del servizio di ricerca di Office SharePoint Server

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione, al database del contenuto di amministrazione, al database del provider di servizi condivisi e al database del servizio di ricerca di Office Server.

  • Accesso con controllo completo al percorso del file di indice nei server indice e accesso con controllo completo al percorso di propagazione della ricerca nei server di query in una farm di Microsoft Office SharePoint Server 2007.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:

  • Gruppo Utenti

  • Ruolo WSS_Content_Application_Pools

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

  • Gruppo Utenti

  • Ruolo db_owner

Account di accesso al contenuto predefinito

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

  • Accesso in lettura alle origini di contenuto esterne o protette che si desidera sottoporre a ricerca per indicizzazione utilizzando questo account.

  • Per i siti che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Le impostazioni seguenti vengono configurate automaticamente:

  • Le autorizzazioni di lettura complete vengono concesse automaticamente ai database del contenuto ospitati dalla server farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • In un ambiente con server farm viene utilizzato per impostazione predefinita l'account del servizio di ricerca di Office SharePoint Server fino a quando non viene specificato un diverso account. Dopo il completamento dell'installazione e l'esecuzione della Configurazione guidata sostituire questo account con un account utente di dominio.

  • Non concedere all'account di accesso al contenuto predefinito l'accesso al servizio directory.

Per una maggiore protezione utilizzare un account di accesso al contenuto predefinito separato per ogni provider di servizi condivisi.

Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:

  • Gruppo Utenti

  • Ruolo del database WSS_Content_Application_Pools

Account di accesso al contenuto

  • Accesso in lettura alle origini di contenuto esterne o protette configurate come accessibili per questo account.

  • Per i siti Web che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Account di accesso predefinito per l'importazione dei profili

  • Accesso in lettura al servizio directory.

  • Se si seleziona l'opzione Attiva importazione incrementale lato server per una connessione Active Directory in ambiente Windows 2000 Server, l'account deve disporre dell'autorizzazione Replica modifiche in Active Directory. Questa autorizzazione non è richiesta per gli ambienti Windows Server 2003 Active Directory.

  • Autorizzazione Gestione profili utente per i servizi di personalizzazione.

  • Autorizzazioni di visualizzazione per le entità utilizzate nelle connessioni di importazione al Catalogo dati business.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

  • Questo account può essere identico a quello utilizzato come account di accesso al contenuto predefinito. In alternativa, è possibile utilizzarne uno separato.

  • Utilizzare un account che dispone di accesso in lettura al servizio directory e l'autorizzazione Gestione profili utente per i servizi di personalizzazione.

Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Account di servizio automatico di Excel Services

Deve essere un account utente di dominio.

Deve essere un account utente di dominio.

Account del servizio di ricerca di Windows SharePoint Services

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account del servizio di ricerca di Windows SharePoint Services

  • Deve essere un account utente di dominio.

  • Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

  • Gruppo Utenti

  • Ruolo db_owner

Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:

  • Gruppo Utenti e ruolo db_owner per il database WSS_Search.

  • Gruppo Utenti nel database di configurazione.

  • Gruppo Utenti nel database del contenuto di Amministrazione centrale.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

  • Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

  • Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato.

Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:

  • Gruppo Utenti e ruolo db_owner nel database WSS_Search.

  • Gruppo Utenti nel database di configurazione.

  • Gruppo Utenti nel database del contenuto di Amministrazione centrale.

Account dell'identità dei pool di applicazioni aggiuntivi

Account Requisiti standard per server farm Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

  • Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.

  • Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.

  • Accesso in lettura e scrittura per il database del provider di servizi condivisi associato.

  • Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

  • Utilizzare un account utente di dominio separato per ogni pool di applicazioni.

  • Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

  • Gruppo Utenti

  • Ruolo db_owner

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).

Vedere anche

Concetti

Pianificare l'utilizzo di Single Sign-on
Pianificare i ruoli di protezione (Office SharePoint Server)