Compartilhar via


Planejar contas administrativas e de serviço (Windows SharePoint Services)

Atualizado em: 2009-04-23

Neste artigo:

  • Sobre contas administrativas e de serviço

  • Requisitos padrão de servidor único

  • Requisitos padrão de farm de servidor

  • Requisitos de administração com privilégios mínimos usando contas de usuário de domínio

  • Requisitos de administração com privilégios mínimos usando autenticação SQL

  • Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

  • Referência técnica: requisitos de conta por cenário

Este artigo descreve as contas que devem ser planejadas e os cenários de implantação que afetam os requisitos de conta.

Use este artigo com a seguinte ferramenta de planejamento: Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416). Essa ferramenta de planejamento lista os requisitos para cada conta com base no cenário de implantação. Os requisitos também estão listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Os requisitos de conta detalham as permissões específicas que você precisa conceder antes de executar a Instalação. Em alguns casos, permissões adicionais que são concedidas automaticamente na execução da Instalação são apontadas na ferramenta de planejamento.

Este artigo não descreve funções de segurança e permissões necessárias para administrar o Windows SharePoint Services 3.0. Para obter mais informações, consulte Planejar funções de segurança (Windows SharePoint Services).

Sobre contas administrativas e de serviço

Esta seção relaciona e descreve as contas que você deve planejar. As contas são agrupadas de acordo com o escopo. Se uma conta tiver um escopo limitado, talvez você precise planejar várias contas para essa categoria.

Após a conclusão da instalação e da configuração de contas, certifique-se de não usar a conta do Sistema Local para executar tarefas administrativas ou para navegar em sites. Por exemplo, não use a mesma conta que foi usada para executar a Instalação para realizar tarefas administrativas.

Contas de nível de farm de servidores

A tabela a seguir descreve as contas usadas para configurar o banco de dados do software Microsoft SQL Server e para instalar o Windows SharePoint Services 3.0.

Conta Objetivo

Conta de serviço do SQL Server

O SQL Server solicita essa conta durante a Instalação do SQL Server. Essa conta é usada como a conta de serviço para os seguintes serviços do SQL Server:

  • MSSQLSERVER

  • SQLSERVERAGENT

Se você não estiver usando a instância padrão, esses serviços serão exibidos como:

  • MSSQL$NomeInstância

  • SQLAgent$NomeInstância

Conta de usuário de configuração

A conta de usuário usada para executar:

  • Instalação em cada computador servidor

  • O Assistente de Configuração de Produtos e Tecnologias do SharePoint

  • A ferramenta de linha de comando Psconfig

  • A ferramenta de linha de comando Stsadm

Conta de farm de servidores

Esta conta também é conhecida como conta de acesso ao banco de dados.

Essa conta é:

  • A identidade do pool de aplicativos do site da Administração Central do SharePoint.

  • A conta de processo do serviço de Timer do Windows SharePoint Services.

Contas de Pesquisa do Windows SharePoint Services

A tabela a seguir descreve as contas usadas para configurar a Pesquisa do Windows SharePoint Services.

Conta Objetivo

Conta de serviço da Pesquisa do Windows SharePoint Services

Usada como a conta de serviço para a Pesquisa do Windows SharePoint Services. Há uma instância desse serviço em cada servidor de pesquisa. Normalmente, um farm de servidores inclui somente um servidor de pesquisa.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

Usada pela função de servidor de aplicativos da Pesquisa do Windows SharePoint Services para rastrear conteúdo entre sites.

Planejar várias contas se o farm de servidores incluir vários computadores servidores de pesquisa. Isso não é comum.

Conta de identidade de pool de aplicativos adicional

Se você criar pools de aplicativos adicionais para sites host, planeje contas de identidade de aplicativo adicionais. A tabela a seguir descreve a conta de identidade de pool de aplicativos adicional. Planeje uma conta de pool de aplicativos adicional para cada pool de aplicativos que planeja implementar.

Conta Objetivo

Identidade de pool de aplicativos

A conta de usuário processada pelo trabalho que atende ao pool de aplicativos usa como sua identidade de processo. Essa conta é usada para acessar bancos de dados de conteúdo associados aos aplicativos Web que residem no pool de aplicativos.

Requisitos padrão de servidor único

Caso esteja implantando em um computador de servidor único, os requisitos de conta são amplamente reduzidos. Em um ambiente de avaliação você pode usar uma única conta para todos os objetivos de conta. Em um ambiente de produção, assegure que as contas criadas possuam as permissões apropriadas para seus objetivos.

Para obter uma lista de permissões de conta para ambientes de servidor único, consulte a ferramenta de planejamento Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416) ou exiba os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Requisitos de farm de servidores

Caso esteja implantando em mais de um computador servidor, use os requisitos padrão do farm de servidores para assegurar que as contas possuam as permissões apropriadas para executar seus processos em vários computadores. Os requisitos padrão do farm de servidores detalham a configuração mínima necessária para operar em um ambiente de farm de servidores. Para obter um ambiente mais seguro, considere usar os requisitos de administração com menos privilégios usando contas de usuário de domínio.

Para obter uma lista de requisitos padrão para ambientes de farm de servidores, consulte a ferramenta de planejamento Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416) ou exiba os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Em algumas contas, permissões adicionais ou acesso ao banco de dados são configurados quando você executa a Instalação. Elas são observadas na ferramenta de planejamento de contas. Uma configuração importante para administradores de bancos de dados estarem cientes é a adição da função de banco de dados WSS_Content_Application_Pools. A instalação adiciona esta função aos seguintes bancos de dados:

  • Banco de dados SharePoint_Config (banco de dados de configuração)

  • Banco de dados SharePoint_AdminContent

Os membros da função de banco de dados WSS_Content_Application_Pools recebem a permissão Executar em um subconjunto dos procedimentos armazenados do banco de dados. Além disso, os membros dessa função recebem a permissão Selecionar para a tabela Versões (dbo.Versions) no banco de dados SharePoint_AdminContent.

Em outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso de leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação em um banco de dados também é configurado de forma automática. Para conceder esses acessos, permissões para procedimentos armazenados são configuradas. No banco de dados SharePoint_Config, por exemplo, o acesso aos seguintes procedimentos armazenados é configurado automaticamente:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Requisitos de administração com privilégios mínimos usando contas de usuário de domínio

A administração com menos privilégios é uma prática de segurança recomendada na qual cada serviço ou usuário recebe apenas o mínimo de privilégios necessário para executar as tarefas que são autorizadas a executar. Isso significa que cada serviço recebe acessos apenas para os recursos necessários para seu objetivo. Os requisitos mínimos para chegar a essa meta de projeto incluem o seguinte:

  • Contas separadas são usadas para diferentes serviços e processos.

  • Nenhum serviço de execução ou conta de processo está em execução com permissões do administrador local.

Ao usar contas de serviço separadas e limitar as permissões atribuídas a cada conta, você reduz a oportunidade de um usuário ou um processo mal-intencionado comprometer seu ambiente.

A administração com menos privilégios em contas de usuário de domínio é a configuração recomendada para a maioria dos ambientes.

Para obter uma lista de requisitos de administração com menos privilégios em contas de usuário de domínio, consulte a ferramenta de planejamento Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416) ou exiba os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Requisitos de administração com menos privilégios usando autenticação SQL

Em ambientes onde a autenticação SQL é obrigatória você pode seguir o princípio da administração com privilégios mínimos. Neste cenário:

  • A autenticação SQL é usada para cada banco de dados criado.

  • Todas as outras contas de administração e de serviço são criadas como contas de usuário de domínio.

Instalação e configuração

O uso da autenticação SQL requer instalação e configuração adicionais:

  • Todas as contas de banco de dados devem ser criadas como contas de logon do SQL Server no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio. Essas contas precisam ser criadas antes da criação de bancos de dados, incluindo o banco de dados de configuração e o banco de dados AdminContent.

  • Você precisa usar a ferramenta de linha de comando Psconfig para criar o banco de dados de configuração e o banco de dados SharePoint_AdminContent. Não é possível usar o Assistente de Configuração dos Produtos e Tecnologias do SharePoint para criar esses bancos de dados. Para criar um farm ou para adicionar um computador a um farm, especifique o logon do SQL Server criado para esses bancos de dados como dbusername e dbpassword. O mesmo logon do SQL Server é usado para acessar ambos os bancos de dados.

  • Você pode criar bancos de dados de conteúdo adicionais na Administração Central selecionando a opção Autenticação SQL. No entanto, é necessário primeiro criar as contas de logon no SQL Server no SQL Server 2000 Enterprise Manager ou no SQL Server 2005 Management Studio.

  • Proteger todas as comunicações com os servidores de bancos de dados usando o protocolo SSL ou o protocolo IPsec.

Quando a autenticação SQL é usada:

  • As contas de logon do SQL Server são criptografadas no Registro dos servidores Web e dos servidores de aplicativos.

  • A conta do farm de servidores não é usada para acessar o banco de dados de configuração e o banco de dados SharePoint_AdminContent. As contas de logon correspondentes do SQL Server serão usadas em vez disso.

Criação de contas de serviço e de administração

Para obter uma lista dos requisitos de administração com menos privilégios com autenticação do SQL, consulte a ferramenta de planejamento Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416) ou exiba os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Criação de logons do SQL Server

Antes de criar bancos de dados, crie logons do SQL Server para cada um deles. Dois logons são criados para os bancos de dados de configuração e SharePoint_AdminContent. Crie um logon para cada banco de dados de conteúdo.

A tabela a seguir lista os logons que precisam ser criados. A coluna Logon indica a conta que foi especificada ou criada para o logon do SQL Server. No primeiro logon, você deve inserir a conta de usuário de Instalação. Em todos os outros logons, você cria uma nova conta de logon no SQL Server. Para esses logons, a coluna Logon fornece um nome de conta de exemplo.

Logon Banco de dados Direitos do SQL

Conta de usuário de configuração

Banco de dados de configuração e SharePoint_AdminContent

Especifique a autenticação do Windows ao criar o logon.

<ConfigAdminDBAcc>

Banco de dados de configuração e SharePoint_AdminContent

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

<WSSSearch_DB_Acc>

Banco de dados WSS_Search

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

<Content_DB_Acc1>

Bancos de dados de conteúdo

  • Especifique a autenticação SQL ao criar o logon.

  • Atribua a função de servidor dbcreator.

Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Em ambientes nos quais os bancos de dados são criados anteriormente por um administrador de banco de dados, você pode seguir o princípio da administração com privilégios mínimos. Neste cenário:

  • Contas de administração e de serviço são criadas como conta de usuário de domínio.

  • Logons do SQL Server são criados para as contas usadas para configurar bancos de dados.

  • Os bancos de dados são criados por um administrador de bancos de dados.

Para obter mais informações sobre implantação de Windows SharePoint Services 3.0 usando bancos de dados em branco criados anteriormente, consulte Implantar usando bancos de dados criados por DBA (Windows SharePoint Services).

Criação de contas de serviço e de administração

Para obter uma lista de requisitos de administração com menos privilégios ao conectar-se a um banco de dados em branco existente, consulte a ferramenta de planejamento Requisitos de conta de segurança do Windows SharePoint Services (https://go.microsoft.com/fwlink/?linkid=92885\&clcid=0x416) ou exiba os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Criação de logons do SQL Server

Antes de criar bancos de dados, crie logons do SQL Server para cada uma das contas que irá acessar os bancos de dados. A ferramenta de planejamento de contas detalha as permissões específicas que são configuradas para cada conta. Para obter instruções sobre como criar e conceder permissões para bancos de dados, consulte Implantar usando bancos de dados criados por DBA (Windows SharePoint Services).

A tabela a seguir lista os logons que precisam ser criados. A coluna do banco de dados indica quais bancos de dados são configurados com permissões para cada conta de logon. Para cada logon, especifique a autenticação do Windows ao criar o logon.

Logon

Banco de dados

Configurar a conta de usuário (usuário de execução para a ferramenta de linha de comando Psconfig)

Todos os bancos de dados

Conta do farm de servidores (conta de acesso ao banco de dados Office SharePoint Server)

  • Banco de dados do SSP

  • Banco de dados de pesquisa do SSP

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Banco de dados WSS_Search

  • Banco de dados de configuração

  • Banco de dados SharePoint_AdminContent

Identidade do pool de aplicativos para bancos de dados de conteúdo adicionais

  • Banco de dados do SSP

  • Banco de dados de pesquisa do SSP

  • Bancos de dados de conteúdo associados ao pool de aplicativos

Referência técnica: requisitos de conta por cenário

Esta seção lista os requisitos de conta por cenário:

  • Requisitos padrão de servidor único

  • Requisitos padrão de farm de servidor

  • Requisitos de administração com privilégios mínimos usando contas de usuário de domínio

  • Requisitos de administração com privilégios mínimos usando autenticação SQL

  • Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Requisitos padrão de servidor único

Contas de nível de farm de servidores

Conta Requisitos

Conta de serviço do SQL Server

Conta do Sistema Local (padrão)

Conta de usuário de configuração

Membro do grupo Administradores no computador local

Conta de farm de servidores

Serviço de Rede (padrão)

Nenhuma configuração manual é necessária.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos

Conta de serviço da Pesquisa do Windows SharePoint Services

Por padrão, essa conta é executada como a conta do Sistema Local.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Adicionado à política de Leitura Completa do aplicativo Web do farm.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

A conta do Serviço de Rede é usada para o site padrão criado durante a Instalação e a configuração.

Requisitos padrão de farm de servidor

Contas de nível de farm de servidores

Conta Requisitos

Conta de serviço do SQL Server

Usar uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos do Stsadm que afetam um banco de dados, essa conta deverá ser um membro da função do banco de dados fixa db_owner do banco de dados.

Conta de farm de servidores

  • Conta de usuário do domínio.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • Função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Observação   Se você configurar o serviço de logon único da Microsoft, a conta de farm de servidores não obterá automaticamente acesso de db_owner ao banco de dados do SSO

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação à função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à política de Leitura Completa do aplicativo Web do farm.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Deve ser uma conta de usuário de domínio.

  • Associação à função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web front-end.

Requisitos de administração com privilégios mínimos usando contas de usuário de domínio

Contas de nível de farm de servidores

Conta Requisitos padrão de farm de servidor Requisitos com privilégios mínimos usando contas de usuário de domínio

Conta de serviço do SQL Server

Usar uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos do Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixa db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Esta conta NÃO deve ser membro do grupo Administradores no computador que executa o SQL Server.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • Função de banco de dados fixa de db_owner para todos os bancos de dados no farm de servidores.

Observação   Se você configurar o serviço de logon único da Microsoft, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisitos padrão de farm de servidor Requisitos com privilégios mínimos usando contas de usuário de domínio

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação à função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à política de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de identidade de pool de aplicativos adicional

Conta Requisitos padrão de farm de servidor Requisitos com privilégios mínimos usando contas de usuário de domínio

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada para cada pool de aplicativos.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Requisitos de administração com privilégios mínimos usando autenticação SQL

Contas de nível de farm de servidores

Conta Requisito padrão do farm de servidores Requisitos com privilégios mínimos usando autenticação SQL

Conta de serviço do SQL Server

Usar uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

Se planeja fazer o backup ou restaurar de um recurso externo, as permissões para o recurso externo precisam ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar uma conta de Sistema de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta da máquina (nome_de_domínio\SQL_hostname$).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

ObservaçãoObservação:
Todas as contas de banco de dados precisam ser criadas como contas de login do SQL Server no Microsoft SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. É preciso criá-las antes de quaisquer bancos de dados de conteúdo, incluindo os de configuração e do SharePoint_AdminContent. Crie um login do SQL Server tanto para o banco de dados de configuração quanto para o do SharePoint_AdminContent.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos do Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • Login do SQL Server no computador com SQL Server.

  • NÃO é membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

  • NÃO é membro do grupo Administradores no computador que executa o SQL Server.

ObservaçãoObservação:
Você precisa usar a ferramenta de linha de comando Psconfig para criar os bancos de dados de configuração e do SharePoint_AdminContent. Não é possível usar o Assistente de Configuração de Produtos e Tecnologias do SharePoint para criá-los. Para criar um farm ou associar um computador a ele, especifique o login do SQL Server criado para esses bancos de dados como dbusername e dbpassword. O mesmo login do SQL Server é usado para acessar ambos os bancos de dados. Todos os outros bancos de dados de conteúdo podem ser criados na Administração Central selecionando a opção de autenticação SQL.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • Função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Observação   Se você configurar o serviço de logon único da Microsoft, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server no computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Contas de Pesquisa do Windows SharePoint Services

Conta Requisito padrão do farm de servidores Requisitos com privilégios mínimos usando autenticação SQL

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação à função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à política de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Conta de identidade de pool de aplicativos adicional

Conta Requisito padrão do farm de servidores Requisitos com privilégios mínimos usando autenticação SQL

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • NÃO é login do SQL Server.

Requisitos de administração com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Contas de nível de farm de servidores

Conta Requisito padrão do farm de servidores Requisitos com privilégios mínimos ao se conectar a bancos de dados criados anteriormente

Conta de serviço do SQL Server

Usar uma conta de Sistema Local ou uma conta de usuário de domínio.

Se uma conta de usuário de domínio for usada, essa conta usará autenticação Kerberos por padrão, que requer configuração adicional em seu ambiente de rede. Se o SQL Server usa um nome da entidade de serviço (SPN) inválido (isto é, não existe no ambiente de serviço de diretório do Active Directory), a autenticação Kerberos falha e NTLM é usado. Se o SQL Server usar um SPN válido, mas não atribuído ao contêiner apropriado no Active Directory, a autenticação falhará, resultando em uma mensagem de erro "Não foi possível gerar o contexto SSPI". A autenticação sempre tentará usar o primeiro SPN, assim, assegure-se de que não haja SPNs atribuídos a contêineres incorretos no Active Directory.

  • Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões desse precisarão ser concedidas para a conta apropriada. Se usa uma conta de usuário de domínio para a conta de serviço do SQL Server, conceda permissões para essa conta de usuário de domínio. Entretanto, se usa a conta do Serviço de Rede ou do Serviço Local, conceda permissões do recurso externo para a conta da máquina (nome_do_domínio\NomeDoHost$_SQL).

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Conta de usuário de configuração

  • Conta de usuário do domínio.

  • Membro do grupo Administradores em cada servidor no qual a Instalação foi executada.

  • Logon do SQL Server no computador com o SQL Server em execução.

  • Membro das seguintes funções de segurança do SQL Server:

    • Função de servidor fixa securityadmin

    • Função de servidor fixa dbcreator

Se você executar os comandos do Stsadm que afetam um banco de dados, essa conta deve ser um membro da função do banco de dados fixo db_owner do banco de dados.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores no computador que executa o SQL Server.

Esta conta é usada para configurar bancos de dados. Após a criação de cada um, altere o proprietário do banco de dados (dbo ou db_owner) para a conta do Usuário da Instalação.

Conta de farm de servidores

  • Conta de usuário do domínio.

  • Se um farm de servidores for um farm filho com aplicativos Web que consome serviços compartilhados de um farm pai, essa conta deve ser membro da função de banco de dados físico db_owner no banco de dados de configuração do farm pai.

Permissões adicionais são automaticamente concedidas a essa conta em servidores Web e servidores de aplicativos associados a um farm de servidores.

Essa conta é automaticamente adicionada como um logon do SQL Server no computador que executa o SQL Server e adicionada às seguintes funções de servidor do SQL Server:

  • Função de servidor fixa dbcreator

  • Função de servidor fixa securityadmin

  • Função de banco de dados fixa db_owner para todos os bancos de dados no farm de servidores

Observação   Se você configurar o serviço de logon único da Microsoft, a conta de farm de servidores não receberá automaticamente acesso de db_owner ao banco de dados do SSO.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

  • NÃO é membro do grupo Administradores em nenhum servidor do farm, incluindo o computador que executa o SQL Server.

  • Esta conta não exige permissões no SQL Server antes de criar o banco de dados de configuração.

Após a criação dos bancos de dados do Shared Services Provider (SSP) e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função de banco de dados fixa de db_owner

Contas de Pesquisa do Windows SharePoint Services

Conta Requisito padrão do farm de servidores Requisitos com privilégios mínimos ao conectar-se a bancos de dados criados anteriormente

Conta de serviço da Pesquisa do Windows SharePoint Services

  • Deve ser uma conta de usuário de domínio.

  • Não deve ser membro do grupo Administradores do Farm.

Os itens a seguir são configurados automaticamente:

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • Associação à função db_owner para o banco de dados da Pesquisa do Windows SharePoint Services.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Ao executar a ferramenta de linha de comando Psconfig para iniciar o serviço de Pesquisa do Windows SharePoint Services, a associação será configurada automaticamente nos seguintes itens:

  • Grupo de usuários e a função db_owner para o banco de dados do WSS_Search.

  • Grupo de usuários no banco de dados de configuração.

  • Grupo de usuários no banco de dados de conteúdo da Administração Central.

Conta de acesso de conteúdo de Pesquisa do Windows SharePoint Services

  • Requisitos iguais aos da conta do serviço de Pesquisa do Windows SharePoint Services.

Os itens a seguir são configurados automaticamente:

  • Adicionado à política de Leitura Completa do aplicativo Web do farm.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada.

Ao executar a ferramenta de linha de comando Psconfig para iniciar o serviço de Pesquisa do Windows SharePoint Services, a associação será configurada automaticamente nos seguintes itens:

  • Grupo de usuários e a função db_owner no banco de dados do WSS_Search.

  • Grupo de usuários no banco de dados de configuração.

  • Grupo de usuários no banco de dados de conteúdo da Administração Central.

Conta de identidade de pool de aplicativos adicional

Conta Requisito padrão do farm de servidores Requisitos do menor privilégio ao se conectar a bancos de dados pré-criados

Identidade de pool de aplicativos

Nenhuma configuração manual é necessária.

Os itens a seguir são configurados automaticamente:

  • Associação à função db_owner para os bancos de dados de conteúdo e de pesquisa associados ao aplicativo Web.

  • Acesso à leitura dos bancos de dados de configuração e do SharePoint_AdminContent.

  • São concedidas automaticamente permissões adicionais em relação a esta conta para servidores Web de front-end.

Requisitos padrão de farm de servidores com as adições ou exceções a seguir:

  • Usar uma conta de usuário de domínio separada para cada pool de aplicativos.

  • Esta conta não deve ser um membro do grupo Administradores em nenhum computador no farm de servidores.

Após a criação dos bancos de dados do SSP e de pesquisa do SSP, adicione esta conta aos seguintes itens para cada um desses bancos de dados:

  • Grupo de usuários

  • Função db_owner

Baixar este manual

Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:

Consulte a lista completa de manuais disponíveis na página de download de manuais do Windows SharePoint Services (em inglês).

Consulte também

Conceitos

Planejar funções de segurança (Windows SharePoint Services)