Pianificare gli account amministrativi e di servizio (Windows SharePoint Services)

Articolo
05/17/2012

Contenuto dell'articolo:

Informazioni sugli account amministrativi e di servizio
Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Riferimento tecnico: requisiti per gli account in base allo scenario

In questo articolo vengono descritti gli account che devono essere pianificati e gli scenari di distribuzione che influiscono sui requisiti per gli account.

Utilizzare questo articolo insieme allo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) . In questo strumento di pianificazione vengono elencati i requisiti per ogni account in base allo scenario di distribuzione. I requisiti vengono elencati inoltre nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Nei requisiti per gli account vengono indicate le autorizzazioni specifiche che devono essere concesse prima dell'esecuzione del programma di installazione. In alcuni casi, nello strumento di pianificazione vengono specificate autorizzazioni aggiuntive concesse automaticamente con l'esecuzione del programma di installazione.

In questo articolo non vengono descritti i ruoli e le autorizzazioni di protezione necessari per l'amministrazione di Microsoft Windows SharePoint Services 3.0. Per ulteriori informazioni, vedere Pianificare i ruoli di protezione (Windows SharePoint Services).

Informazioni sugli account amministrativi e di servizio

In questa sezione vengono elencati e descritti gli account che devono essere pianificati, raggruppati in base all'ambito. Se un account ha un ambito limitato, potrebbe essere necessario pianificare più account per la stessa categoria.

Dopo aver eseguito l'installazione e la configurazione degli account, non utilizzare l'account Sistema locale per eseguire attività di amministrazione o per esplorare i siti. Non utilizzare ad esempio per le attività amministrative lo stesso account utilizzato per eseguire il programma di installazione.

Account a livello di server farm

Nella tabella seguente vengono descritti gli account utilizzati per configurare il software di database di Microsoft SQL Server e installare Microsoft Windows SharePoint Services 3.0.

Account	Scopo
Account del servizio SQL Server	SQL Server richiede questo account durante l'esecuzione del programma di installazione di SQL Server. L'account viene utilizzato come account di servizio per i servizi di SQL Server seguenti: MSSQLSERVER SQLSERVERAGENT Se non si utilizza l'istanza predefinita, questi servizi verranno visualizzati come: MSSQL$NomeIstanza SQLAgent$NomeIstanza
Account utente Setup	Account utente utilizzato per eseguire gli elementi seguenti: Il programma di installazione in tutti i computer server La Configurazione guidata Prodotti e tecnologie SharePoint Lo strumento da riga di comando Psconfig Lo strumento da riga di comando Stsadm
Account server farm	Questo account è conosciuto anche come account di accesso al database. Questo account rappresenta: L'identità del pool di applicazioni per il sito Web Amministrazione centrale SharePoint. L'account di processo per il servizio Timer di Windows SharePoint Services.

Account del servizio SQL Server

SQL Server richiede questo account durante l'esecuzione del programma di installazione di SQL Server. L'account viene utilizzato come account di servizio per i servizi di SQL Server seguenti:

MSSQLSERVER
SQLSERVERAGENT

Se non si utilizza l'istanza predefinita, questi servizi verranno visualizzati come:

MSSQL$*NomeIstanza*
SQLAgent$*NomeIstanza*

Account utente Setup

Account utente utilizzato per eseguire gli elementi seguenti:

Il programma di installazione in tutti i computer server
La Configurazione guidata Prodotti e tecnologie SharePoint
Lo strumento da riga di comando Psconfig
Lo strumento da riga di comando Stsadm

Account server farm

Questo account è conosciuto anche come account di accesso al database.

Questo account rappresenta:

L'identità del pool di applicazioni per il sito Web Amministrazione centrale SharePoint.
L'account di processo per il servizio Timer di Windows SharePoint Services.

Account del servizio di ricerca di Windows SharePoint Services

Nella tabella seguente vengono descritti gli account utilizzati per installare e configurare il servizio di ricerca di Windows SharePoint Services.

Account	Scopo
Account del servizio di ricerca di Windows SharePoint Services	Utilizzato come account di servizio per il servizio di ricerca di Windows SharePoint Services. È presente un'istanza di questo servizio in ogni server di ricerca. Una server farm in genere include un solo server di ricerca.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Utilizzato dal ruolo del server applicazioni del servizio di ricerca di Windows SharePoint Services per eseguire la ricerca per indicizzazione del contenuto tra i siti. Pianificare più account se la server farm include più computer server di ricerca, anche se non è uno scenario tipico.

Account del servizio di ricerca di Windows SharePoint Services

Utilizzato come account di servizio per il servizio di ricerca di Windows SharePoint Services. È presente un'istanza di questo servizio in ogni server di ricerca. Una server farm in genere include un solo server di ricerca.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Utilizzato dal ruolo del server applicazioni del servizio di ricerca di Windows SharePoint Services per eseguire la ricerca per indicizzazione del contenuto tra i siti.

Pianificare più account se la server farm include più computer server di ricerca, anche se non è uno scenario tipico.

Account dell'identità dei pool di applicazioni aggiuntivi

Se si creano ulteriori pool di applicazioni per ospitare i siti, è necessario pianificare account dell'identità dei pool di applicazioni aggiuntivi. Nella tabella seguente viene descritto l'account dell'identità del pool di applicazioni. Pianificarne uno per ogni pool di applicazioni che si intende implementare.

Account	Scopo
Identità del pool di applicazioni	Account utente utilizzato come identità di processo dai processi di lavoro che gestiscono il pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che fanno parte del pool di applicazioni.

Requisiti standard per server singolo

Se si esegue la distribuzione in un computer server singolo, i requisiti per gli account vengono ridotti in modo significativo. In un ambiente di valutazione è possibile utilizzare un unico account per tutti gli scopi degli account. In un ambiente di produzione verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.

Per un elenco delle autorizzazioni degli account per gli ambienti con un solo server, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Requisiti per server farm

Se si esegue la distribuzione in più computer server, utilizzare i requisiti standard per server farm affinché gli account dispongano delle autorizzazioni appropriate per eseguire i processi in più computer. Nei requisiti standard per server farm viene specificata la configurazione minima necessaria per lavorare in un ambiente server farm. Per un ambiente più protetto, prendere in considerazione la possibilità di utilizzare i requisiti del principio dei privilegi minimi con account utente di dominio.

Per un elenco dei requisiti standard per gli ambienti server farm, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Per alcuni account vengono configurate ulteriori autorizzazioni o accessi ai database quando si esegue il programma di installazione, specificati nello strumento di pianificazione. Una configurazione importante di cui devono tenere conto gli amministratori è l'aggiunta del ruolo del database WSS_Content_Application_Pools. Il programma di installazione aggiunge questo ruolo ai database seguenti:

Database SharePoint_Config (database di configurazione)
Database SharePoint_AdminContent

Ai membri del ruolo del database WSS_Content_Application_Pools viene concessa l'autorizzazione di esecuzione per un sottoinsieme delle stored procedure del database, nonché l'autorizzazione di selezione per la tabella Versions (dbo.Versions) nel database SharePoint_AdminContent.

Nello strumento di pianificazione degli account viene indicato che l'accesso per la lettura da altri database viene configurato automaticamente. In alcuni casi viene configurato automaticamente anche un accesso limitato per la scrittura in un database. Per fornire questo accesso, vengono configurate autorizzazioni per le stored procedure. Per il database SharePoint_Config ad esempio viene configurato automaticamente l'accesso alle stored procedure seguenti:

proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Il principio dei privilegi minimi è un metodo di protezione consigliato in cui a ogni servizio o utente vengono forniti solo i privilegi minimi necessari per eseguire le attività per le quali sono autorizzati. A ogni servizio pertanto viene concesso solo l'accesso alle risorse necessarie per il relativo scopo. Di seguito vengono elencati alcuni dei requisiti minimi necessari per raggiungere questo obiettivo di progettazione:

Vengono utilizzati account separati per servizi e processi diversi.
Non viene utilizzato alcun account di servizio o di processo in esecuzione con le autorizzazioni di amministratore locale.

Utilizzando account di servizio separati e limitando le autorizzazioni assegnate a ogni account, si riduce il rischio che l'ambiente possa essere danneggiato da un utente malintenzionato o da un processo dannoso.

Il principio dei privilegi minimi con account utente di dominio è la configurazione consigliata per la maggior parte degli ambienti.

Per un elenco dei requisiti del principio dei privilegi minimi con account utente di dominio, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Negli ambienti in cui l'autenticazione di SQL Server è un requisito, è possibile seguire il principio dei privilegi minimi. In questo scenario:

Per ogni database creato viene utilizzata l'autenticazione di SQL Server.
Tutti gli altri account di amministrazione e di servizio vengono creati come account utente di dominio.

Installazione e configurazione

Per utilizzare l'autenticazione di SQL Server, è necessario eseguire ulteriori operazioni di installazione e configurazione:

Tutti gli account di database devono essere creati come account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database, inclusi il database di configurazione e il database AdminContent.
È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è possibile infatti utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database.
È possibile creare ulteriori database del contenuto in Amministrazione centrale selezionando l'opzione Autenticazione di SQL Server . È tuttavia necessario prima creare gli account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.
Proteggere tutte le comunicazioni con i server database utilizzando Secure Sockets Layer (SSL) o Internet Protocol Security (IPsec).

Quando viene utilizzata l'autenticazione di SQL Server:

Gli account di accesso di SQL Server vengono crittografati nel Registro di sistema dei server Web e dei server applicazioni.
L'account della server farm non viene utilizzato per accedere al database di configurazione e al database SharePoint_AdminContent. Vengono invece utilizzati gli account di accesso di SQL Server corrispondenti.

Creazione di account di servizio e amministrazione

Per un elenco dei requisiti del principio dei privilegi minimi con l'autenticazione di SQL Server, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Creazione di account di accesso di SQL Server

Prima di creare i database, creare gli account di accesso di SQL Server per ognuno dei database. Vengono creati due account di accesso per i database di configurazione e SharePoint_AdminContent. Creare un account di accesso per ogni database del contenuto.

Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Account di accesso viene indicato l'account specificato o creato per l'accesso a SQL Server. Per il primo accesso, è necessario immettere l'account utente Setup. Per tutti gli altri accessi, si crea un nuovo account di accesso di SQL Server. Per questi account di accesso, nella colonna Account di accesso viene fornito un nome di account di esempio.

Account di accesso	Database	Diritti SQL
Account utente Setup	Database di configurazione e SharePoint_AdminContent	Specificare l'autenticazione di Windows durante la creazione dell'account di accesso.
<AccDBConfigAdmin>	Database di configurazione e SharePoint_AdminContent	Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso. Assegnare il ruolo del server dbcreator.
<Acc_DB_WSSSearch>	Database WSS_Search	Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso. Assegnare il ruolo del server dbcreator.
<Acc1_DB_Contenuto>	Database del contenuto	Specificare l'autenticazione di SQL Server durante la creazione dell'account di accesso. Assegnare il ruolo del server dbcreator.

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Negli ambienti in cui i database vengono creati in precedenza da un amministratore di database è possibile seguire il principio dei privilegi minimi. In questo scenario:

Gli account di amministrazione e di servizio vengono creati come account utente di dominio.
Vengono creati account di accesso di SQL Server per gli account utilizzati per configurare i database.
I database vengono creati da un amministratore di database.

Per ulteriori informazioni sulla distribuzione di Microsoft Windows SharePoint Services 3.0 con database vuoti creati in precedenza, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Windows SharePoint Services).

Creazione di account di servizio e amministrazione

Per un elenco dei requisiti del principio dei privilegi minimi per la connessione a un database vuoto esistente, vedere lo strumento di pianificazione Requisiti per gli account di protezione di Windows SharePoint Services (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x410) (informazioni in lingua inglese) oppure prendere in esame i requisiti elencati nella sezione Riferimento tecnico: requisiti per gli account in base allo scenario in questo articolo.

Creazione di account di accesso di SQL Server

Prima di creare i database, creare gli account di accesso di SQL Server per ognuno degli account che avrà accesso ai database. Nello strumento di pianificazione degli account vengono indicate le autorizzazioni specifiche configurate per ogni account. Per istruzioni su come creare e concedere autorizzazioni ai database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Windows SharePoint Services).

Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Database vengono indicati i database configurati con le autorizzazioni per ogni account di accesso. Specificare l'autenticazione di Windows quando si crea ogni account di accesso.

Account di accesso	Database
Account utente Setup (utente Esegui come per lo strumento da riga di comando Psconfig)	Tutti i database
Account server farm (account di accesso al database di Office SharePoint Server)	Database del provider di servizi condivisi Database di ricerca del provider di servizi condivisi
Account del servizio di ricerca di Windows SharePoint Services	Database WSS_Search Database di configurazione Database SharePoint_AdminContent
Identità del pool di applicazioni per database del contenuto aggiuntivi	Database del provider di servizi condivisi Database di ricerca del provider di servizi condivisi Database del contenuto associati al pool di applicazioni

Riferimento tecnico: requisiti per gli account in base allo scenario

In questa sezione vengono elencati i requisiti per gli account in base allo scenario:

Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Requisiti standard per server singolo

Account a livello di server farm

Account	Requisiti
Account del servizio SQL Server	Account Sistema locale (predefinito)
Account utente Setup	Membro del gruppo Administrators nel computer locale
Account server farm	Servizio di rete (predefinito) Non sono necessari interventi di configurazione manuale.

Account del servizio SQL Server

Account Sistema locale (predefinito)

Account utente Setup

Membro del gruppo Administrators nel computer locale

Account server farm

Servizio di rete (predefinito)

Non sono necessari interventi di configurazione manuale.

Account del servizio di ricerca di Windows SharePoint Services

Account	Requisiti
Account del servizio di ricerca di Windows SharePoint Services	Per impostazione predefinita, questo account viene eseguito come account Sistema locale.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente: Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Per impostazione predefinita, questo account viene eseguito come account Sistema locale.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Account dell'identità dei pool di applicazioni aggiuntivi

Account	Requisiti
Identità del pool di applicazioni	Non sono necessari interventi di configurazione manuale. L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione.

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione.

Requisiti standard per server farm

Account a livello di server farm

Account	Requisiti
Account del servizio SQL Server	Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).
Account utente Setup	Account utente di dominio. Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione. Account di accesso di SQL Server nel computer che esegue SQL Server. Membro dei ruoli di protezione seguenti di SQL Server: Ruolo predefinito del server securityadmin Ruolo predefinito del server dbcreator Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.
Account server farm	Account utente di dominio. Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti: Ruolo predefinito del server dbcreator Ruolo predefinito del server securityadmin Ruolo predefinito del database db_owner per tutti i database della server farm Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.

Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*).

Account utente Setup

Account utente di dominio.
Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.
Account di accesso di SQL Server nel computer che esegue SQL Server.
Membro dei ruoli di protezione seguenti di SQL Server:
- Ruolo predefinito del server securityadmin
- Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Account server farm

Account utente di dominio.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

Ruolo predefinito del server dbcreator
Ruolo predefinito del server securityadmin
Ruolo predefinito del database db_owner per tutti i database della server farm

Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Account del servizio di ricerca di Windows SharePoint Services

Account	Requisiti
Account del servizio di ricerca di Windows SharePoint Services	Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente: Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services. Le impostazioni seguenti vengono configurate automaticamente: Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Deve essere un account utente di dominio.
Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Account dell'identità dei pool di applicazioni aggiuntivi

Account	Requisiti
Identità del pool di applicazioni	Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente: Deve essere un account utente di dominio. Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web. Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

Deve essere un account utente di dominio.
Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.
Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account a livello di server farm

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Account del servizio SQL Server	Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato.
Account utente Setup	Account utente di dominio. Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione. Account di accesso di SQL Server nel computer che esegue SQL Server. Membro dei ruoli di protezione seguenti di SQL Server: Ruolo predefinito del server securityadmin Ruolo predefinito del server dbcreator Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. Questo account NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.
Account server farm	Account utente di dominio. Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre. Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti: Ruolo predefinito del server dbcreator Ruolo predefinito del server securityadmin Ruolo predefinito del database db_owner per tutti i database della server farm Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server. Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Account utente Setup

Account utente di dominio.
Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.
Account di accesso di SQL Server nel computer che esegue SQL Server.
Membro dei ruoli di protezione seguenti di SQL Server:
- Ruolo predefinito del server securityadmin
- Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
Questo account NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Account server farm

Account utente di dominio.
Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

Ruolo predefinito del server dbcreator
Ruolo predefinito del server securityadmin
Ruolo predefinito del database db_owner per tutti i database della server farm

Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.
Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account del servizio di ricerca di Windows SharePoint Services

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Account del servizio di ricerca di Windows SharePoint Services	Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente: Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services. Le impostazioni seguenti vengono configurate automaticamente: Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato.

Deve essere un account utente di dominio.
Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Account dell'identità dei pool di applicazioni aggiuntivi

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Identità del pool di applicazioni	Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente: Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web. Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato per ogni pool di applicazioni. Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.
Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato per ogni pool di applicazioni.
Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account a livello di server farm

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Account del servizio SQL Server	Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. Nota Tutti gli account di database devono essere creati come account di accesso di SQL Server in Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database del contenuto, inclusi il database di configurazione e il database SharePoint_AdminContent. Creare un account di accesso di SQL Server sia per il database di configurazione che per il database SharePoint_AdminContent.
Account utente Setup	Account utente di dominio. Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione. Account di accesso di SQL Server nel computer che esegue SQL Server. Membro dei ruoli di protezione seguenti di SQL Server: Ruolo predefinito del server securityadmin Ruolo predefinito del server dbcreator Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. Account di accesso di SQL Server nel computer SQL Server. NON deve essere membro dei ruoli di protezione seguenti di SQL Server: Ruolo predefinito del server securityadmin Ruolo predefinito del server dbcreator NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server. Nota È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database. Tutti gli altri database del contenuto possono essere creati in Amministrazione centrale selezionando l'opzione di autenticazione di SQL Server.
Account server farm	Account utente di dominio. Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre. Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti: Ruolo predefinito del server dbcreator Ruolo predefinito del server securityadmin Ruolo predefinito del database db_owner per tutti i database della server farm Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server. NON deve essere un account di accesso di SQL Server nel computer che esegue SQL Server. Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Nota

Tutti gli account di database devono essere creati come account di accesso di SQL Server in Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database del contenuto, inclusi il database di configurazione e il database SharePoint_AdminContent. Creare un account di accesso di SQL Server sia per il database di configurazione che per il database SharePoint_AdminContent.

Account utente Setup

Account utente di dominio.
Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.
Account di accesso di SQL Server nel computer che esegue SQL Server.
Membro dei ruoli di protezione seguenti di SQL Server:
- Ruolo predefinito del server securityadmin
- Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
Account di accesso di SQL Server nel computer SQL Server.
NON deve essere membro dei ruoli di protezione seguenti di SQL Server:
- Ruolo predefinito del server securityadmin
- Ruolo predefinito del server dbcreator
NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Nota

È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database. Tutti gli altri database del contenuto possono essere creati in Amministrazione centrale selezionando l'opzione di autenticazione di SQL Server.

Account server farm

Account utente di dominio.
Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

Ruolo predefinito del server dbcreator
Ruolo predefinito del server securityadmin
Ruolo predefinito del database db_owner per tutti i database della server farm

Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.
NON deve essere un account di accesso di SQL Server nel computer che esegue SQL Server.
Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Account del servizio di ricerca di Windows SharePoint Services

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Account del servizio di ricerca di Windows SharePoint Services	Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente: Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server. NON deve essere un account di accesso di SQL Server.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services. Le impostazioni seguenti vengono configurate automaticamente: Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server. NON deve essere un account di accesso di SQL Server.

Deve essere un account utente di dominio.
Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.
NON deve essere un account di accesso di SQL Server.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.
NON deve essere un account di accesso di SQL Server.

Account dell'identità dei pool di applicazioni aggiuntivi

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Identità del pool di applicazioni	Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente: Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web. Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server. NON deve essere un account di accesso di SQL Server.

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.
Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in nessun server della farm, incluso il computer che esegue SQL Server.
NON deve essere un account di accesso di SQL Server.

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account a livello di server farm

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Account del servizio SQL Server	Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato.
Account utente Setup	Account utente di dominio. Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione. Account di accesso di SQL Server nel computer che esegue SQL Server. Membro dei ruoli di protezione seguenti di SQL Server: Ruolo predefinito del server securityadmin Ruolo predefinito del server dbcreator Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server. Questi account viene utilizzato per configurare i database. Dopo aver creato ogni database, sostituire il proprietario del database, ovvero dbo o db_owner, con l'account utente Setup.
Account server farm	Account utente di dominio. Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre. Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti: Ruolo predefinito del server dbcreator Ruolo predefinito del server securityadmin Ruolo predefinito del database db_owner per tutti i database della server farm Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server. Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione. Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database: Gruppo Utenti Ruolo predefinito del database db_owner

Account del servizio SQL Server

Utilizzare un account Sistema locale o un account utente di dominio.

Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (nome_dominio\nomehost_SQL$).

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Account utente Setup

Account utente di dominio.
Membro del gruppo Administrators in ogni server in cui si esegue il programma di installazione.
Account di accesso di SQL Server nel computer che esegue SQL Server.
Membro dei ruoli di protezione seguenti di SQL Server:
- Ruolo predefinito del server securityadmin
- Ruolo predefinito del server dbcreator

Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators nel computer che esegue SQL Server.

Questi account viene utilizzato per configurare i database. Dopo aver creato ogni database, sostituire il proprietario del database, ovvero dbo o db_owner, con l'account utente Setup.

Account server farm

Account utente di dominio.
Se la server farm è una farm figlio con applicazioni Web che utilizzano i servizi condivisi di una farm padre, questo account deve essere membro del ruolo predefinito del database db_owner nel database di configurazione della farm padre.

Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm.

Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:

Ruolo predefinito del server dbcreator
Ruolo predefinito del server securityadmin
Ruolo predefinito del database db_owner per tutti i database della server farm

Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.
NON deve essere un membro del gruppo Administrators in alcun server della server farm, incluso il computer che esegue SQL Server.
Per questo account non sono necessarie autorizzazioni per SQL Server prima della creazione del database di configurazione.

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

Gruppo Utenti
Ruolo predefinito del database db_owner

Account del servizio di ricerca di Windows SharePoint Services

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Account del servizio di ricerca di Windows SharePoint Services	Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente: Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti: Gruppo Utenti e ruolo db_owner per il database WSS_Search. Gruppo Utenti nel database di configurazione. Gruppo Utenti nel database del contenuto di Amministrazione centrale.
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services	Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services. Le impostazioni seguenti vengono configurate automaticamente: Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato. Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti: Gruppo Utenti e ruolo db_owner nel database WSS_Search. Gruppo Utenti nel database di configurazione. Gruppo Utenti nel database del contenuto di Amministrazione centrale.

Deve essere un account utente di dominio.
Non deve essere un membro del gruppo Amministratori farm.

Le impostazioni seguenti vengono configurate automaticamente:

Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Appartenenza al ruolo db_owner per il database del servizio di ricerca di Windows SharePoint Services.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:

Gruppo Utenti e ruolo db_owner per il database WSS_Search.
Gruppo Utenti nel database di configurazione.
Gruppo Utenti nel database del contenuto di Amministrazione centrale.

Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services

Gli stessi requisiti validi per l'account del servizio di ricerca di Windows SharePoint Services.

Le impostazioni seguenti vengono configurate automaticamente:

Aggiunta al criterio Lettura completa dell'applicazione Web per la farm.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato.

Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:

Gruppo Utenti e ruolo db_owner nel database WSS_Search.
Gruppo Utenti nel database di configurazione.
Gruppo Utenti nel database del contenuto di Amministrazione centrale.

Account dell'identità dei pool di applicazioni aggiuntivi

Account	Requisiti standard per server farm	Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Identità del pool di applicazioni	Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente: Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web. Accesso in lettura al database di configurazione e al database SharePoint_AdminContent. Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.	Requisiti standard della server farm con le aggiunte o eccezioni seguenti: Utilizzare un account utente di dominio separato per ogni pool di applicazioni. Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm. Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database: Gruppo Utenti Ruolo db_owner

Identità del pool di applicazioni

Non sono necessari interventi di configurazione manuale.

Le impostazioni seguenti vengono configurate automaticamente:

Appartenenza al ruolo db_owner per i database del contenuto e i database di ricerca associati all'applicazione Web.
Accesso in lettura al database di configurazione e al database SharePoint_AdminContent.
Vengono concesse automaticamente autorizzazioni aggiuntive per questo account per i server Web front-end e i server applicazioni.

Requisiti standard della server farm con le aggiunte o eccezioni seguenti:

Utilizzare un account utente di dominio separato per ogni pool di applicazioni.
Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm.

Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:

Gruppo Utenti
Ruolo db_owner

Scaricare il manuale

Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:

Pianificazione e architettura per Windows SharePoint Services 3.0, parte 2 (informazioni in lingua inglese)

Vedere l'elenco completo dei manuali disponibili visitando la pagina Web Manuali scaricabili per Windows SharePoint Services (informazioni in lingua inglese).

Vedere anche

Concetti

Pianificare i ruoli di protezione (Windows SharePoint Services)

Condividi tramite

Pianificare gli account amministrativi e di servizio (Windows SharePoint Services)

Informazioni sugli account amministrativi e di servizio

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Requisiti standard per server singolo

Requisiti per server farm

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Installazione e configurazione

Creazione di account di servizio e amministrazione

Creazione di account di accesso di SQL Server

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Creazione di account di servizio e amministrazione

Creazione di account di accesso di SQL Server

Riferimento tecnico: requisiti per gli account in base allo scenario

Requisiti standard per server singolo

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Requisiti standard per server farm

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza

Account a livello di server farm

Account del servizio di ricerca di Windows SharePoint Services

Account dell'identità dei pool di applicazioni aggiuntivi

Scaricare il manuale

Vedere anche

Concetti

Risorse aggiuntive