Назначение и удаление администраторов приложения-службы в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
Администратор приложения службы SharePoint Server должен быть членом группы администраторов фермы, чтобы назначить или удалить других администраторов для этого приложения-службы. Администраторам приложений службы предоставляется доступ к веб-сайту центра администрирования SharePoint с ограничением безопасности и они могут управлять параметрами, связанными с приложением службы, но должны быть членом группы администраторов фермы для добавления и удаления других администраторов приложений службы.
Примечание.
По умолчанию члены группы администраторов фермы имеют разрешения на управление всеми приложениями-службами.
Вы можете назначать или удалять администраторов приложений служб с помощью веб-сайта центра администрирования SharePoint или с помощью Microsoft PowerShell.
Назначение администраторов для приложения-службы или их удаление с помощью центра администрирования
Убедитесь, что учетная запись пользователя, с помощью которой выполняется данная процедура, является участником группы администраторов фермы.
На домашней странице Центр администрирования в разделе Управление приложениями щелкните Управление приложениями-службами.
На странице "Управление приложениями-службами" выберите строку с приложением-службой, для которого вы хотите назначить или удалить администраторов. Лента становится доступной.
На ленте щелкните элемент Администраторы.
Чтобы добавить администратора:
- В первом текстовом поле на странице введите учетные записи пользователей или группы, которые вы хотите добавить. Чтобы проверить имя, вы можете щелкнуть значок People. Чтобы найти пользователей, можно щелкнуть значок Адресная книга. В текстовое поле можно добавить несколько администраторов.
- Добавив администраторов, нажмите кнопку ОК.
Чтобы удалить администратора:
- Во втором текстовом поле на странице выберите администратора, которого вы хотите удалить. Этот шаг не удаляет пользователя из системы, а просто отменяет административные разрешения пользователя для выбранного приложения-службы.
- Нажмите Удалить.
- Удалив администраторов, нажмите кнопку ОК.
Назначение или удаление администраторов приложения службы с помощью PowerShell
Убедитесь, что выполняются следующие минимальные требования:
Вы должны являться участником предопределенной роли сервера securityadmin для экземпляра SQL Server.
Вы должны являться участником предопределенной базы данных db_owner на всех базах данных, которые вы планируете обновить.
Вы должны входить в группу "Администраторы" сервера, на котором выполняется командлет PowerShell.
Примечание.
Если этих разрешений недостаточно, обратитесь к администратору установки или администратору SQL Server за дополнительными разрешениями.
Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.
Запустите командную консоль SharePoint.
Чтобы создать субъект утверждений, в командной строке PowerShell введите следующую команду:
$principal = New-SPClaimsPrincipal "<contoso\jane>" -IdentityType WindowsSamAccountName
Где contoso\jane — это имя пользователя, которому требуется назначить административные разрешения. Имя пользователя должно быть введено в формате jane@contoso.com или contoso\jane. Созданный субъект утверждений сохраняется в переменной $principal.
Чтобы получить приложение-службу, введите следующую команду:
$spapp = Get-SPServiceApplication -Name "<ServiceApplicationDisplayName>"
Где ServiceApplicationDisplayName — отображаемое имя приложения службы. Идентификатор приложения-службы сохраняется в переменной $spapp.
Важно!
Отображаемое имя должно быть заключено в кавычки и в точности соответствовать отображаемому имени приложения-службы. Это относится и к регистру символов. Если у вас есть приложения-службы с одинаковыми отображаемыми именами (не рекомендуется), вы можете воспользоваться командлетом Get-SPServiceApplication, чтобы просмотреть все приложения-службы. Определить приложение-службу можно по идентификатору GUID. Дополнительные сведения см. в статье Get-SPServiceApplication.
Чтобы получить объект безопасности администратора для приложения-службы, введите следующую команду:
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Полученный объект безопасности администратора хранится в переменной $security .
Предостережение
При использовании этой команды необходимо добавить аргумент -Admin.
Чтобы назначить или отозвать административные разрешения для пользователя, который определен новым субъектом утверждений $principal (созданным на шаге 6 этой процедуры) объекту безопасности администратора приложения службы $security (полученному на шаге 8 этой процедуры), используйте соответствующую команду, как показано в следующем примере:
- Чтобы назначить административные разрешения, введите следующую команду:
Grant-SPObjectSecurity $security $principal "Full Control"
- Чтобы отозвать административные разрешения, введите следующую команду:
Revoke-SPObjectSecurity $security $principal
Чтобы назначить обновленный объект безопасности $security приложению-службе, введите следующую команду:
Set-SPServiceApplicationSecurity $spapp $security -Admin
Предостережение
При использовании этой команды необходимо добавить аргумент -Admin.
Чтобы убедиться в том, что объект безопасности приложения-службы обновлен правильно, введите следующую команду:
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
Примеры
В следующем примере пользователь учетной записи службы contoso\jane добавляется в объект безопасности администраторов для приложения-службы с именем "Contoso Visio Graphics".
$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Grant-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
В следующем примере пользователь учетной записи службы contoso\jane удаляется из объекта безопасности администраторов для приложения-службы с именем "Contoso Visio Graphics".
$principal = New-SPClaimsPrincipal "contoso\jane" -IdentityType WindowsSamAccountName
$spapp = Get-SPServiceApplication -Name "Contoso Visio Graphics"
$security = Get-SPServiceApplicationSecurity $spapp -Admin
Revoke-SPObjectSecurity $security $principal "Full Control"
Set-SPServiceApplicationSecurity $spapp $security -Admin
(Get-SPServiceApplicationSecurity $spapp -Admin).AccessRules
Дополнительные сведения см. в следующих статьях Microsoft PowerShell:
Примечание.
[!Примечание] Для выполнения административных задач из командной строки мы рекомендуем использовать Windows PowerShell. Программа командной строки Stsadm является устаревшей, однако она добавлена для совместимости с предыдущими версиями продукта.