Планирование учетных записей администратора и служб (Windows SharePoint Services)
Содержание:
Общие сведения об административных и служебных учетных записях
Стандартные требования к среде из одного сервера
Стандартные требования к ферме серверов
Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена
Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL
Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных
Техническая справочная информация: требования к учетным записям по сценариям
В данной статье приводится описание учетных записей, которые необходимо спланировать, а также сценариев развертывания, определяющих требования к учетным записям.
При изучении материалов статьи используйте следующее средство планирования: Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). В этом средстве планирования содержится список требований к каждой учетной записи на основе сценария развертывания. Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям настоящей статьи.
В требованиях к учетным записям подробно описаны конкретные разрешения, которые необходимо предоставить перед выполнением программы установки. В некоторых случаях в средстве планирования указываются дополнительные разрешения, предоставляемые автоматически при выполнении программы установки.
Роли безопасности и разрешения, необходимые для администрирования Windows SharePoint Services 3.0, в данной статье не описываются. Дополнительные сведения см. в разделе Планирование ролей безопасности (Windows SharePoint Services).
Общие сведения об административных и служебных учетных записях
В этом разделе приводится описание учетных записей, которые необходимо спланировать. Учетные записи сгруппированы по сфере применения. Если сфера применения учетной записи ограниченна, для соответствующей категории может потребоваться планирование нескольких учетных записей.
После установки и настройки учетных записей не следует использовать локальную системную учетную запись для выполнения задач администрирования или перехода по сайтам. Например, для выполнения задач администрирования не рекомендуется использовать учетную запись, которая уже используется для запуска программы установки.
Учетные записи фермы серверов
В следующей таблице описаны учетные записи, используемые для настройки программного обеспечения баз данных Microsoft SQL Server и установки служб Windows SharePoint Services 3.0.
| Учетная запись | Цель |
|---|---|
Служебная учетная запись SQL Server |
Программное обеспечение SQL Server запрашивает эту учетную запись при установке. Она используется в качестве учетной записи службы для следующих служб SQL Server:
Если экземпляр по умолчанию не используется, службы будут отображаться следующим образом:
|
Учетная запись программы установки |
Учетная запись пользователя для запуска перечисленных ниже компонентов.
|
Учетная запись фермы серверов. |
Эта учетная запись также является учетной записью для доступа к базам данных. Эта учетная запись:
|
Учетные записи поиска Windows SharePoint Services
В таблице ниже описываются учетные записи, используемые для установки и настройки службы поиска Windows SharePoint Services.
| Учетная запись | Цель |
|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
Используется в качестве учетной записи для службы поиска Windows SharePoint Services. На каждом сервере поиска распложен один экземпляр этой службы. Как правило, в ферме серверов присутствует только один сервер поиска. |
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Используется ролью сервера приложений поиска Windows SharePoint Services для обхода контента сайтов. Если в ферме серверов присутствует несколько серверов поиска, необходимо спланировать несколько учетных записей, но это не является распространенным случаем. |
Дополнительные учетные записи удостоверения пула приложений
При создании дополнительных пулов приложений для размещения сайтов, следует спланировать дополнительные учетные записи удостоверения пула приложений. В следующей таблице приводится описание учетной записи удостоверения пула приложений. Для каждого реализуемого пула приложений следует планировать учетную запись пула приложений.
| Учетная запись | Цель |
|---|---|
Удостоверение пула приложений |
Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют в качестве удостоверения процесса. Эта учетная запись используется для доступа к базам данных контента, связанным с веб-приложениями в пуле приложений. |
Стандартные требования к среде из одного сервера
При развертывании на одном сервере к учетным записям предъявляются гораздо менее строгие требования. В тестовой среде можно использовать одну учетную запись для всех назначений учетных записей. В рабочей среде необходимо, чтобы разрешения учетных записей соответствовали их назначениям.
Список разрешений учетных записей в средах из одного сервера см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.
Требования установки на ферме серверов
При развертывании на нескольких серверах рекомендуется придерживаться стандартных требований к ферме серверов, чтобы гарантировать наличие у учетных записей соответствующих разрешений на выполнение процессов на нескольких компьютерах. Стандартные требования к ферме серверов подробно определяют минимальную конфигурацию, необходимую для работы в среде фермы серверов. Для обеспечения более безопасной среды можно использовать требования к администрированию по принципу предоставления минимальных прав с помощью учетных записей домена.
Список стандартных требований к средам фермы серверов см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.
При выполнении программы установки для некоторых учетных записей настраиваются дополнительные разрешения или доступ к базам данных. Они указаны в средстве планирования учетных записей. Важной настройкой, о которой должны знать администраторы баз данных, является добавление роли базы данных WSS_Content_Application_Pools. Эта роль добавляется программой установки к следующим базам данных:
База данных SharePoint_Config (база данных конфигурации)
База данных SharePoint_AdminContent
Членам роли базы данных WSS_Content_Application_Pools предоставляется разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, членам этой роли предоставляется разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent.
Для остальных баз данных в средстве планирования учетных записей указано, что доступ для чтения из этих базы данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения этого доступа настраиваются разрешения на хранимые процедуры. Например, для базы данных SharePoint_Config автоматически настраивается доступ к следующим хранимым процедурам:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена
Администрирование по принципу предоставления минимальных прав является рекомендуемым способом обеспечения безопасности, в рамках которого каждой службе или пользователю предоставляются только минимальные права, необходимые для выполнения разрешенных задач. Это означает, что каждой службе предоставляется доступ только к тем ресурсам, которые необходимы для ее целей. Минимальные требования для реализации такого подхода включают следующие условия.
Использование отдельных учетных записей для разных служб и процессов.
Ни одна из учетных записей, выполняющих службы или процессы, не запущена с разрешениями локального администратора.
Использование отдельных учетных записей служб для каждой службы и ограничение разрешений, назначенных каждой учетной записи, позволит сократить вероятность нарушения безопасности среды злоумышленником или вредоносным процессом.
Администрирование по принципу предоставления минимальных прав с помощью учетных записей домена является рекомендуемой конфигурацией для большинства сред.
Список стандартных требований к администрированию по принципу предоставления минимальных прав с помощью учетных записей домена см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.
Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL
Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых требуется проверка подлинности SQL. В этом сценарии должны выполняться следующие условия.
для каждой создаваемой базы данных используется проверка подлинности SQL;
Все остальные учетные записи администрирования и служб создаются в качестве учетных записей домена.
Установка и настройка
Для использования проверки подлинности SQL требуется дополнительная установка и настройка.
Все учетные записи баз данных должны создаваться как учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent.
Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных.
Для создания дополнительных баз данных контента необходимо установить в центре администрирования параметр Проверка подлинности SQL. Однако сначала необходимо создать учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio.
Обеспечение безопасности подключения к серверам баз данных при помощи протокола SSL или IPsec.
Использование проверки подлинности SQL обеспечиваются следующие возможности.
Шифрование учетных записей входа SQL Server в реестре веб-серверов и серверов приложений.
Использование для доступа к базе данных конфигурации и базе данных SharePoint_AdminContent соответствующих учетных записей входа в SQL Server вместо учетной записи фермы серверов.
Создание учетных записей служб и администратора
Список стандартных требований к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.
Создание учетных данных SQL Server
Перед созданием баз данных требуется создать учетные данные SQL Server для каждой базы данных. Для базы данных конфигурации и базы данных SharePoint_AdminContent создаются две учетные записи. Для каждой базы данных контента необходимо создать одну учетную запись.
В следующей таблице перечислены учетные данные, которые необходимо создать. В столбце "Имя входа" указана учетная запись, которая указывается или создается для входа в SQL Server. Для первого имени входа необходимо ввести данные учетной записи программы установки. Для других учетных данных создается новая учетная запись входа в SQL Server. Для таких учетных данных в столбце имени входа приводится пример имени учетной записи.
| Учетные данные | База данных | Права SQL |
|---|---|---|
Учетная запись программы установки |
База данных конфигурации и база данных SharePoint_AdminContent |
Выбор проверки подлинности Windows при создании учетных данных. |
<*ConfigAdminDBAcc*> |
База данных конфигурации и база данных SharePoint_AdminContent |
|
<*WSSSearch_DB_Acc*> |
База данных WSS_Search |
|
<*Content_DB_Acc1*> |
Базы данных контента |
|
Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных
Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых базы данных предварительно создаются администратором баз данных. В этом сценарии должны выполняться следующие условия.
Учетные записи администратора и служб создаются в качестве учетных записей домена.
Для учетных записей, используемых для настройки баз данных, создаются учетные данные SQL Server.
Базы данных создаются администратором баз данных.
Дополнительные сведения о развертывании служб Windows SharePoint Services 3.0 с предварительно созданными пустыми базами данных см. в разделе Развертывание с помощью баз данных, созданных администратором баз данных (службы Windows SharePoint Services).
Создание учетных записей служб и администратора
Список стандартных требований к администрированию по принципу предоставления минимальных прав при подключении к существующим пустым базам данных см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.
Создание учетных данных SQL Server
Перед созданием баз данных требуется создать учетные данные SQL Server для каждой учетной записи, используемой для доступа к базам данных. В средстве планирования учетных записей подробно описаны конкретные разрешения, настроенные для каждой учетной записи. Указания по созданию и предоставлению разрешений для баз данных см. в разделе Развертывание с помощью баз данных, созданных администратором баз данных (службы Windows SharePoint Services).
В следующей таблице перечислены учетные данные, которые требуется создать. В столбце "База данных" указаны базы данных, разрешения на которые настраиваются для каждой учетной записи. При создании каждой учетной записи следует задавать проверку подлинности Windows.
Учетные данные |
База данных |
Учетная запись программы установки (используется в качестве пользователя, от имени которого запускается средство командной строки Psconfig) |
Все базы данных |
Учетная запись фермы серверов (учетная запись доступа к базам данных Office SharePoint Server) |
|
Учетная запись службы поиска Windows SharePoint Services. |
|
Удостоверение пула приложений для дополнительных баз данных контента |
|
Техническая справочная информация: требования к учетным записям по сценариям
В этом разделе перечислены требования к учетным записям в зависимости от сценария развертывания.
Стандартные требования к среде из одного сервера
Стандартные требования к ферме серверов
Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена
Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL
Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных
Стандартные требования к среде из одного сервера
Учетные записи фермы серверов
| Учетная запись | Требования |
|---|---|
Служебная учетная запись SQL Server |
Локальная системная учетная запись (по умолчанию) |
Учетная запись программы установки |
Входит в группу администраторов локального компьютера. |
Учетная запись фермы серверов. |
Служба сети (по умолчанию) Ручная настройка не требуется. |
Учетные записи поиска Windows SharePoint Services
| Учетная запись | Требования |
|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
По умолчанию, эта учетная запись используется в качестве локальной системной учетной записи. |
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Не должна быть членом группы администраторов фермы. Ниже перечислены параметры, которые настраиваются автоматически.
|
Дополнительные учетные записи удостоверения пула приложений
| Учетная запись | Требования |
|---|---|
Удостоверение пула приложений |
Ручная настройка не требуется. Учетная запись сетевой службы используется для веб-сайта по умолчанию, созданного во время установки и настройки. |
Стандартные требования к ферме серверов
Учетные записи фермы серверов
| Учетная запись | Требования |
|---|---|
Служебная учетная запись SQL Server |
Используйте системную учетную запись или учетную запись пользователя домена. При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory. Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*). |
Учетная запись программы установки |
При выполнении команд Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных. |
Учетная запись фермы серверов. |
Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов. Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:
Примечание._При настройке службы единого входа Microsoft учетной записи фермы серверов на присваивается автоматически разрешениеdb_owner на доступ к базе данных SSO. |
Учетные записи поиска Windows SharePoint Services
| Учетная запись | Требования |
|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Дополнительные учетные записи удостоверения пула приложений
| Учетная запись | Требования |
|---|---|
Удостоверение пула приложений |
Ручная настройка не требуется. Ниже перечислены параметры, которые настраиваются автоматически.
|
Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена
Учетные записи фермы серверов
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена |
|---|---|---|
Служебная учетная запись SQL Server |
Используйте системную учетную запись или учетную запись пользователя домена. При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory. Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*). |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетная запись программы установки |
При выполнении команд Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетная запись фермы серверов. |
Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов. Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:
Примечание. При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетные записи поиска Windows SharePoint Services
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена |
|---|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Дополнительные учетные записи удостоверения пула приложений
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена |
|---|---|---|
Удостоверение пула приложений |
Ручная настройка не требуется. Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL
Учетные записи фермы серверов
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL |
|---|---|---|
Служебная учетная запись SQL Server |
Используйте системную учетную запись или учетную запись пользователя домена. При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory. Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*). |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
Примечание При создании, все учетные записи баз данных должны быть учетными записями входа в SQL Server в SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent. Создайте одно имя входа SQL Server как для базы данных конфигурации, так и для базы данных SharePoint_AdminContent. |
Учетная запись программы установки |
При выполнении команд Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
Примечание Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных. Все остальные базы данных контента можно создать в центре администрирования, выбрав параметр проверки подлинности SQL. |
Учетная запись фермы серверов. |
Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов. Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:
Примечание. При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетные записи поиска Windows SharePoint Services
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL |
|---|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Дополнительные учетные записи удостоверения пула приложений
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL |
|---|---|---|
Удостоверение пула приложений |
Ручная настройка не требуется. Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных
Учетные записи фермы серверов
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных |
|---|---|---|
Служебная учетная запись SQL Server |
Используйте системную учетную запись или учетную запись пользователя домена. При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
|
Учетная запись программы установки |
При выполнении команд Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
Эта учетная запись используется для настройки баз данных. После создания каждой базы данных следует сменить владельца базы данных (dbo или db_owner) на учетную запись программы установки. |
Учетная запись фермы серверов. |
Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов. Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:
Примечание. При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO. |
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:
|
Учетные записи поиска Windows SharePoint Services
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных |
|---|---|---|
Учетная запись службы поиска Windows SharePoint Services. |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
При выполнении средства командной строки Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.
|
Учетная запись службы поиска Windows SharePoint Services для доступа к контенту |
Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
При выполнении средства командной строки Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.
|
Дополнительные учетные записи удостоверения пула приложений
| Учетная запись | Стандартные требования к ферме серверов | Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных |
|---|---|---|
Удостоверение пула приложений |
Ручная настройка не требуется. Ниже перечислены параметры, которые настраиваются автоматически.
|
Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.
После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:
|
Загрузить эту книгу
Для упрощения чтения и печати этот раздел включен в следующую загружаемую книгу:
Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.
См. также
Понятия
Планирование ролей безопасности (Windows SharePoint Services)