Поделиться через


Планирование учетных записей администратора и служб (Windows SharePoint Services)

Содержание:

  • Общие сведения об административных и служебных учетных записях

  • Стандартные требования к среде из одного сервера

  • Стандартные требования к ферме серверов

  • Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

  • Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

  • Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

  • Техническая справочная информация: требования к учетным записям по сценариям

В данной статье приводится описание учетных записей, которые необходимо спланировать, а также сценариев развертывания, определяющих требования к учетным записям.

При изучении материалов статьи используйте следующее средство планирования: Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). В этом средстве планирования содержится список требований к каждой учетной записи на основе сценария развертывания. Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям настоящей статьи.

В требованиях к учетным записям подробно описаны конкретные разрешения, которые необходимо предоставить перед выполнением программы установки. В некоторых случаях в средстве планирования указываются дополнительные разрешения, предоставляемые автоматически при выполнении программы установки.

Роли безопасности и разрешения, необходимые для администрирования Windows SharePoint Services 3.0, в данной статье не описываются. Дополнительные сведения см. в разделе Планирование ролей безопасности (Windows SharePoint Services).

Общие сведения об административных и служебных учетных записях

В этом разделе приводится описание учетных записей, которые необходимо спланировать. Учетные записи сгруппированы по сфере применения. Если сфера применения учетной записи ограниченна, для соответствующей категории может потребоваться планирование нескольких учетных записей.

После установки и настройки учетных записей не следует использовать локальную системную учетную запись для выполнения задач администрирования или перехода по сайтам. Например, для выполнения задач администрирования не рекомендуется использовать учетную запись, которая уже используется для запуска программы установки.

Учетные записи фермы серверов

В следующей таблице описаны учетные записи, используемые для настройки программного обеспечения баз данных Microsoft SQL Server и установки служб Windows SharePoint Services 3.0.

Учетная запись Цель

Служебная учетная запись SQL Server

Программное обеспечение SQL Server запрашивает эту учетную запись при установке. Она используется в качестве учетной записи службы для следующих служб SQL Server:

  • MSSQLSERVER

  • SQLSERVERAGENT

Если экземпляр по умолчанию не используется, службы будут отображаться следующим образом:

  • MSSQL$*Имя_экземпляра*

  • SQLAgent$*Имя_службы*

Учетная запись программы установки

Учетная запись пользователя для запуска перечисленных ниже компонентов.

  • Программа установки на каждом сервере

  • Мастер настройки продуктов и технологий SharePoint

  • Средство командной строки Psconfig

  • Средство командной строки Stsadm

Учетная запись фермы серверов.

Эта учетная запись также является учетной записью для доступа к базам данных.

Эта учетная запись:

  • удостоверением пула приложений для веб-сайта центра администрирования SharePoint;

  • учетной записью процесса для службы времени Windows SharePoint Services.

Учетные записи поиска Windows SharePoint Services

В таблице ниже описываются учетные записи, используемые для установки и настройки службы поиска Windows SharePoint Services.

Учетная запись Цель

Учетная запись службы поиска Windows SharePoint Services.

Используется в качестве учетной записи для службы поиска Windows SharePoint Services. На каждом сервере поиска распложен один экземпляр этой службы. Как правило, в ферме серверов присутствует только один сервер поиска.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

Используется ролью сервера приложений поиска Windows SharePoint Services для обхода контента сайтов.

Если в ферме серверов присутствует несколько серверов поиска, необходимо спланировать несколько учетных записей, но это не является распространенным случаем.

Дополнительные учетные записи удостоверения пула приложений

При создании дополнительных пулов приложений для размещения сайтов, следует спланировать дополнительные учетные записи удостоверения пула приложений. В следующей таблице приводится описание учетной записи удостоверения пула приложений. Для каждого реализуемого пула приложений следует планировать учетную запись пула приложений.

Учетная запись Цель

Удостоверение пула приложений

Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют в качестве удостоверения процесса. Эта учетная запись используется для доступа к базам данных контента, связанным с веб-приложениями в пуле приложений.

Стандартные требования к среде из одного сервера

При развертывании на одном сервере к учетным записям предъявляются гораздо менее строгие требования. В тестовой среде можно использовать одну учетную запись для всех назначений учетных записей. В рабочей среде необходимо, чтобы разрешения учетных записей соответствовали их назначениям.

Список разрешений учетных записей в средах из одного сервера см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Требования установки на ферме серверов

При развертывании на нескольких серверах рекомендуется придерживаться стандартных требований к ферме серверов, чтобы гарантировать наличие у учетных записей соответствующих разрешений на выполнение процессов на нескольких компьютерах. Стандартные требования к ферме серверов подробно определяют минимальную конфигурацию, необходимую для работы в среде фермы серверов. Для обеспечения более безопасной среды можно использовать требования к администрированию по принципу предоставления минимальных прав с помощью учетных записей домена.

Список стандартных требований к средам фермы серверов см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

При выполнении программы установки для некоторых учетных записей настраиваются дополнительные разрешения или доступ к базам данных. Они указаны в средстве планирования учетных записей. Важной настройкой, о которой должны знать администраторы баз данных, является добавление роли базы данных WSS_Content_Application_Pools. Эта роль добавляется программой установки к следующим базам данных:

  • База данных SharePoint_Config (база данных конфигурации)

  • База данных SharePoint_AdminContent

Членам роли базы данных WSS_Content_Application_Pools предоставляется разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, членам этой роли предоставляется разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent.

Для остальных баз данных в средстве планирования учетных записей указано, что доступ для чтения из этих базы данных настраивается автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Для получения этого доступа настраиваются разрешения на хранимые процедуры. Например, для базы данных SharePoint_Config автоматически настраивается доступ к следующим хранимым процедурам:

  • proc_dropEmailEnabledList

  • proc_dropEmailEnabledListsByWeb

  • proc_dropSiteMap

  • proc_markForDeletionEmailEnabledList

  • proc_markForDeletionEmailEnabledListsBySite

  • proc_markForDeletionEmailEnabledListsByWeb

  • proc_putDistributionListToDelete

  • proc_putEmailEnabledList

  • proc_putSiteMap

Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Администрирование по принципу предоставления минимальных прав является рекомендуемым способом обеспечения безопасности, в рамках которого каждой службе или пользователю предоставляются только минимальные права, необходимые для выполнения разрешенных задач. Это означает, что каждой службе предоставляется доступ только к тем ресурсам, которые необходимы для ее целей. Минимальные требования для реализации такого подхода включают следующие условия.

  • Использование отдельных учетных записей для разных служб и процессов.

  • Ни одна из учетных записей, выполняющих службы или процессы, не запущена с разрешениями локального администратора.

Использование отдельных учетных записей служб для каждой службы и ограничение разрешений, назначенных каждой учетной записи, позволит сократить вероятность нарушения безопасности среды злоумышленником или вредоносным процессом.

Администрирование по принципу предоставления минимальных прав с помощью учетных записей домена является рекомендуемой конфигурацией для большинства сред.

Список стандартных требований к администрированию по принципу предоставления минимальных прав с помощью учетных записей домена см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых требуется проверка подлинности SQL. В этом сценарии должны выполняться следующие условия.

  • для каждой создаваемой базы данных используется проверка подлинности SQL;

  • Все остальные учетные записи администрирования и служб создаются в качестве учетных записей домена.

Установка и настройка

Для использования проверки подлинности SQL требуется дополнительная установка и настройка.

  • Все учетные записи баз данных должны создаваться как учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent.

  • Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных.

  • Для создания дополнительных баз данных контента необходимо установить в центре администрирования параметр Проверка подлинности SQL. Однако сначала необходимо создать учетные записи входа в SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio.

  • Обеспечение безопасности подключения к серверам баз данных при помощи протокола SSL или IPsec.

Использование проверки подлинности SQL обеспечиваются следующие возможности.

  • Шифрование учетных записей входа SQL Server в реестре веб-серверов и серверов приложений.

  • Использование для доступа к базе данных конфигурации и базе данных SharePoint_AdminContent соответствующих учетных записей входа в SQL Server вместо учетной записи фермы серверов.

Создание учетных записей служб и администратора

Список стандартных требований к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Создание учетных данных SQL Server

Перед созданием баз данных требуется создать учетные данные SQL Server для каждой базы данных. Для базы данных конфигурации и базы данных SharePoint_AdminContent создаются две учетные записи. Для каждой базы данных контента необходимо создать одну учетную запись.

В следующей таблице перечислены учетные данные, которые необходимо создать. В столбце "Имя входа" указана учетная запись, которая указывается или создается для входа в SQL Server. Для первого имени входа необходимо ввести данные учетной записи программы установки. Для других учетных данных создается новая учетная запись входа в SQL Server. Для таких учетных данных в столбце имени входа приводится пример имени учетной записи.

Учетные данные База данных Права SQL

Учетная запись программы установки

База данных конфигурации и база данных SharePoint_AdminContent

Выбор проверки подлинности Windows при создании учетных данных.

<*ConfigAdminDBAcc*>

База данных конфигурации и база данных SharePoint_AdminContent

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

<*WSSSearch_DB_Acc*>

База данных WSS_Search

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

<*Content_DB_Acc1*>

Базы данных контента

  • Выбор проверки подлинности SQL при создании учетных данных.

  • Назначение роли сервера dbcreator.

Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Администрирование по принципу предоставления минимальных прав можно реализовать в средах, в которых базы данных предварительно создаются администратором баз данных. В этом сценарии должны выполняться следующие условия.

  • Учетные записи администратора и служб создаются в качестве учетных записей домена.

  • Для учетных записей, используемых для настройки баз данных, создаются учетные данные SQL Server.

  • Базы данных создаются администратором баз данных.

Дополнительные сведения о развертывании служб Windows SharePoint Services 3.0 с предварительно созданными пустыми базами данных см. в разделе Развертывание с помощью баз данных, созданных администратором баз данных (службы Windows SharePoint Services).

Создание учетных записей служб и администратора

Список стандартных требований к администрированию по принципу предоставления минимальных прав при подключении к существующим пустым базам данных см. в средстве планирования Требования к учетным записям безопасности Windows SharePoint Services (на английском языке) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x419) (на английском языке). Список требований можно также найти в разделе Техническая справочная информация: требования к учетным записям по сценариям данной статьи.

Создание учетных данных SQL Server

Перед созданием баз данных требуется создать учетные данные SQL Server для каждой учетной записи, используемой для доступа к базам данных. В средстве планирования учетных записей подробно описаны конкретные разрешения, настроенные для каждой учетной записи. Указания по созданию и предоставлению разрешений для баз данных см. в разделе Развертывание с помощью баз данных, созданных администратором баз данных (службы Windows SharePoint Services).

В следующей таблице перечислены учетные данные, которые требуется создать. В столбце "База данных" указаны базы данных, разрешения на которые настраиваются для каждой учетной записи. При создании каждой учетной записи следует задавать проверку подлинности Windows.

Учетные данные

База данных

Учетная запись программы установки (используется в качестве пользователя, от имени которого запускается средство командной строки Psconfig)

Все базы данных

Учетная запись фермы серверов (учетная запись доступа к базам данных Office SharePoint Server)

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

Учетная запись службы поиска Windows SharePoint Services.

  • База данных WSS_Search

  • База данных конфигурации

  • База данных SharePoint_AdminContent

Удостоверение пула приложений для дополнительных баз данных контента

  • База данных поставщика общих служб

  • База данных поиска поставщика общих служб

  • Базы данных контента, связанные с пулом приложений

Техническая справочная информация: требования к учетным записям по сценариям

В этом разделе перечислены требования к учетным записям в зависимости от сценария развертывания.

  • Стандартные требования к среде из одного сервера

  • Стандартные требования к ферме серверов

  • Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

  • Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

  • Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Стандартные требования к среде из одного сервера

Учетные записи фермы серверов

Учетная запись Требования

Служебная учетная запись SQL Server

Локальная системная учетная запись (по умолчанию)

Учетная запись программы установки

Входит в группу администраторов локального компьютера.

Учетная запись фермы серверов.

Служба сети (по умолчанию)

Ручная настройка не требуется.

Учетные записи поиска Windows SharePoint Services

Учетная запись Требования

Учетная запись службы поиска Windows SharePoint Services.

По умолчанию, эта учетная запись используется в качестве локальной системной учетной записи.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Требования

Удостоверение пула приложений

Ручная настройка не требуется.

Учетная запись сетевой службы используется для веб-сайта по умолчанию, созданного во время установки и настройки.

Стандартные требования к ферме серверов

Учетные записи фермы серверов

Учетная запись Требования

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание._При настройке службы единого входа Microsoft учетной записи фермы серверов на присваивается автоматически разрешениеdb_owner на доступ к базе данных SSO.

Учетные записи поиска Windows SharePoint Services

Учетная запись Требования

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Требования

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Должна быть учетной записью пользователя домена.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Данная учетная запись НЕ должна быть членом группы администраторов на компьютере с SQL Server.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании учетных записей пользователей домена

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

Если планируется использовать внешний источник для резервного копирования и восстановления, соответствующей учетной записи необходимо предоставить разрешения на внешний источник. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить такой учетной записи пользователя домена. При этом, если используется учетная запись Network Service или системная учетная запись, разрешения на внешний источник необходимо предоставить учетной записи компьютера (*имя_домена\имяузла_SQL$*).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Примечание

При создании, все учетные записи баз данных должны быть учетными записями входа в SQL Server в SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Такие учетные записи требуется создать перед созданием каких-либо баз данных, в том числе базы данных конфигурации и базы данных AdminContent. Создайте одно имя входа SQL Server как для базы данных конфигурации, так и для базы данных SharePoint_AdminContent.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • Учетные данные SQL Server на компьютере с SQL Server.

  • НЕ должна быть членом следующих ролей безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

  • НЕ должна быть членом группы администраторов на компьютере, где запущен SQL Server.

Примечание

Для создания базы данных конфигурации и базы данных SharePoint_AdminContent следует воспользоваться средством командной строки. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. При создании фермы или включения компьютера в ферму укажите учетные данные SQL Server для этих баз данных в качестве значений параметров dbusername и dbpassword. Эти же учетные данные SQL используются для доступа к обеим базам данных. Все остальные базы данных контента можно создать в центре администрирования, выбрав параметр проверки подлинности SQL.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server на компьютере, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при использовании проверки подлинности SQL

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • НЕ должна быть учетной записью SQL Server.

Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Учетные записи фермы серверов

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Служебная учетная запись SQL Server

Используйте системную учетную запись или учетную запись пользователя домена.

При использовании учетной записи пользователя домена, для этой учетной записи по умолчанию применяется проверка подлинности Kerberos, требующая дополнительной настройки в сетевой среде. При использовании сервером SQL Server недопустимого имени-участника сервера (SPN) (то есть, несуществующего в среде службы каталогов Active Directory), проверка подлинности Kerberos не будет выполнена, в случае чего будет использоваться NTLM. При использовании сервером SQL Server допустимого имени-участника сервера, но не назначенного соответствующему контейнеру в Active Directory, проверка подлинности не удастся и будет выдано сообщение об ошибке "Не удается генерировать контекст SSPI". При проверке подлинности всегда будет использоваться первое найденное имя-участник сервера, поэтому необходимо удостовериться, что имена-участники сервера назначены соответствующим контейнерам в Active Directory.

  • Если для резервного копирования и восстановления планируется использовать внешний ресурс, соответствующей учетной записи необходимо предоставить разрешения на этот ресурс. При использовании учетной записи пользователя домена для учетной записи службы сервера SQL Server, разрешения необходимо предоставить этой учетной записи пользователя домена. Однако, если используется учетная запись сетевой службы или локального компьютера, разрешения на внешний ресурс необходимо предоставить учетной записи компьютера (имя_домена\SQL_имя_компьютера$).

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

Учетная запись программы установки

  • Учетная запись пользователя домена.

  • Член группы администраторов на каждом сервере, на котором запущена программа установки.

  • Учетные данные SQL Server на компьютере, где запущен SQL Server.

  • Имеет следующие роли безопасности SQL Server:

    • Предопределенная роль сервера securityadmin

    • Предопределенная роль сервера dbcreator

При выполнении команд ­Stsadm, влияющих на базу данных, данная учетная запись должна быть членом предопределенной роли базы данных db_owner для соответствующей базы данных.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на компьютере, где запущен SQL Server.

Эта учетная запись используется для настройки баз данных. После создания каждой базы данных следует сменить владельца базы данных (dbo или db_owner) на учетную запись программы установки.

Учетная запись фермы серверов.

  • Учетная запись пользователя домена.

  • Если ферма серверов является дочерней фермой с веб-приложениями, использующими общие службы родительской фермы, данная учетная запись должна быть членом фиксированной роли базы данных db_owner в базе данных конфигурации родительской фермы.

Дополнительные разрешения для данной учетной записи предоставляются автоматически на веб-серверах и серверах приложений, входящих в состав фермы серверов.

Данная учетная запись автоматически добавляется в качестве учетной записи для входа в SQL Server на компьютере с SQL Server, и добавляется к следующим ролям безопасности сервера SQL:

  • Предопределенная роль сервера dbcreator

  • Предопределенная роль сервера securityadmin

  • Предопределенная роль базы данных db_owner для всех баз данных в ферме серверов

Примечание.  При настройке службы единого входа Microsoft учетной записи фермы серверов не присваивается автоматически разрешение на db_owner доступ к базе данных SSO.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

  • НЕ должна быть членом группы администраторов на каком-либо сервере в ферме серверов, включая компьютер, где запущен SQL Server.

  • Для данной учетной записи не требуются разрешения на SQL Server перед созданием базы данных конфигурации.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Предопределенная роль базы данных db_owner

Учетные записи поиска Windows SharePoint Services

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Учетная запись службы поиска Windows SharePoint Services.

  • Должна быть учетной записью пользователя домена.

  • Не должна быть членом группы администраторов фермы.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Членство в роли db_owner для базы данных поиска Windows SharePoint Services.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

При выполнении средства командной строки ­Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.

  • Группа пользователей и роль db_owner для базы данных WSS_Search.

  • Группа пользователей в базе данных конфигурации.

  • Группа пользователей в базе данных контента центра администрирования.

Учетная запись службы поиска Windows SharePoint Services для доступа к контенту

  • Требования аналогичны требованиям к учетной записи службы поиска Windows SharePoint Services

Ниже перечислены параметры, которые настраиваются автоматически.

  • Добавление к политике "Полное чтение" веб-приложения для фермы.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена.

При выполнении средства командной строки ­Psconfig для запуска службы поиска Windows SharePoint Services автоматически настраивается членство в перечисленных ниже группах.

  • Группа пользователей и роль db_owner для базы данных WSS_Search.

  • Группа пользователей в базе данных конфигурации.

  • Группа пользователей в базе данных контента центра администрирования.

Дополнительные учетные записи удостоверения пула приложений

Учетная запись Стандартные требования к ферме серверов Требования к администрированию по принципу предоставления минимальных прав при подключении к предварительно созданным базам данных

Удостоверение пула приложений

Ручная настройка не требуется.

Ниже перечислены параметры, которые настраиваются автоматически.

  • Членство в роли db_owner для баз данных контента и баз данных поиска, связанных с веб-приложением.

  • Доступ для чтения из базы данных конфигурации и базы данных SharePoint_AdminContent.

  • Дополнительные разрешения для данной учетной записи на интерфейсные веб-серверы и серверы приложений предоставляются автоматически.

Стандартные требования к ферме серверов с перечисленными ниже дополнениями и исключениями.

  • Используйте отдельную учетную запись пользователя домена для каждого пула приложений.

  • Данная учетная запись не должна быть членом группы администраторов на каком-либо компьютере в ферме серверов.

После создания базы данных поставщика общих служб и базы данных поиска поставщика общих служб добавьте эту учетную запись в перечисленные ниже группы для каждой из созданных баз данных:

  • Группа пользователей

  • Роль db_owner

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующую загружаемую книгу:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.

См. также

Понятия

Планирование ролей безопасности (Windows SharePoint Services)