规划管理帐户和服务帐户 (Windows SharePoint Services)
本文内容:
关于管理帐户和服务帐户
单服务器的标准要求
服务器场的标准要求
使用域用户帐户时的最小特权管理要求
使用 SQL 身份验证时的最小特权管理要求
连接到预先创建的数据库时的最小特权管理要求
技术参考:各方案对帐户的要求
本文介绍必须规划的帐户,并介绍影响帐户要求的部署方案。
请将本文与以下规划工具一起使用:Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)。此规划工具根据部署方案列出了对每个帐户的要求。这些要求也列在本文的技术参考:各方案对帐户的要求一节中。
帐户要求详细说明了您在运行安装程序之前需要授予的特定权限。在某些情况下,规划工具中指明了通过运行安装程序自动授予的其他权限。
本文不介绍管理 Windows SharePoint Services 3.0 所需的安全角色和权限。有关详细信息,请参阅规划安全角色 (Windows SharePoint Services)。
关于管理帐户和服务帐户
本节列出并介绍您必须规划的帐户。帐户按照作用域进行分组。如果帐户的作用域有限,您可能需要为该类别规划多个帐户。
在完成帐户的安装和配置后,请确保未使用本地系统帐户来执行管理任务或浏览网站。例如,不要使用用于运行安装程序的同一个帐户来执行管理任务。
服务器场级帐户
下表说明用于配置 Microsoft SQL Server 数据库软件和安装 Windows SharePoint Services 3.0 的帐户。
| 帐户 | 用途 |
|---|---|
SQL Server 服务帐户 |
SQL Server 会在 SQL Server 安装过程中提示指定此帐户。此帐户用作以下 SQL Server 服务的服务帐户:
如果没有使用默认实例,这些服务将显示为:
|
“安装”用户帐户 |
此用户帐户用于:
|
服务器场帐户 |
此帐户也称为数据库访问帐户。 此帐户是:
|
Windows SharePoint Services 搜索帐户
下表说明用来安装和配置 Windows SharePoint Services 搜索的帐户。
| 帐户 | 用途 |
|---|---|
Windows SharePoint Services 搜索服务帐户 |
用作 Windows SharePoint Services 搜索服务的服务帐户。每台搜索服务器上都有此服务的一个实例。通常,服务器场只包含一台搜索服务器。 |
Windows SharePoint Services 搜索内容访问帐户 |
由 Windows SharePoint Services 搜索应用程序服务器角色用来跨网站爬网内容。 如果服务器场包含多台搜索服务器计算机,请规划多个帐户。这种情况不常见。 |
其他应用程序池标识帐户
如果创建其他应用程序池以承载网站,请规划其他应用程序池标识帐户。下表说明应用程序池标识帐户。请为计划实施的每个应用程序池规划一个应用程序池帐户。
| 帐户 | 用途 |
|---|---|
应用程序池标识 |
为应用程序池提供服务的工作进程用作其进程标识的用户帐户。此帐户用于访问与驻留在应用程序池中的 Web 应用程序关联的内容数据库。 |
单服务器的标准要求
如果是部署到单台服务器计算机,则帐户要求会大为降低。在评估环境中,可以使用一个帐户来满足所有帐户用途。在生产环境中,请确保您创建的帐户具有适合其用途的权限。
有关单服务器环境的帐户权限的列表,请参阅 Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
服务器场要求
如果是部署到多台服务器计算机,则使用服务器场的标准要求来确保帐户具有适当的权限跨多台计算机执行它们的进程。服务器场的标准要求详细说明在服务器场环境中运行所需的最低配置。为创造更安全的环境,请考虑使用最小特权管理要求(使用域用户帐户)。
有关服务器场环境的标准要求的列表,请参阅 Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
对于某些帐户,在您运行安装程序时会配置其他权限或对数据库的访问权。帐户规划工具中会指明这些权限。数据库管理员要注意的一个重要配置是,添加 WSS_Content_Application_Pools 数据库角色。安装程序将此角色添加到以下数据库中:
SharePoint_Config 数据库(配置数据库)
SharePoint_AdminContent 数据库
WSS_Content_Application_Pools 数据库角色的成员获授予对数据库的存储过程子集的“执行”权限。此外,此角色的成员获授予对 SharePoint_AdminContent 数据库中的 Versions 表 (dbo.Versions) 的“选择”权限。
对于其他数据库,帐户规划工具会指出读取这些数据库的访问权是自动配置的。在某些情况下,还会自动配置写入数据库的受限访问权限。若要提供此访问权,请配置对存储过程的权限。例如,对于 SharePoint_Config 数据库,会自动配置对以下存储过程的访问权:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
使用域用户帐户时的最小特权管理要求
最小特权管理是一种推荐的安全做法,在这种做法中,每个服务或用户仅获得完成他们有权执行的任务所需的最小特权。这意味着每个服务仅获授予其用途所需的资源的访问权。实现这一设计目标的最低要求包括以下项:
分开用于不同的服务和进程的帐户。
并无带有本地管理员权限的执行服务或进程帐户正在运行。
通过为每个服务使用单独的服务帐户并限制分配给每个帐户的权限,可以降低恶意用户或进程危害您的环境的机会。
域用户帐户下的最小特权管理是在大多数环境下的推荐配置。
有关域用户帐户下的最小特权管理要求的列表,请参阅 Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
使用 SQL 身份验证时的最小特权管理要求
在要求 SQL 身份验证的环境中,可以遵循最小特权管理的原则。在这种情况下:
SQL 身份验证用于创建的每个数据库。
所有其他管理和服务帐户都将创建为域用户帐户。
安装和配置
使用 SQL 身份验证需要额外的安装和配置:
所有数据库帐户都必须在 SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建为 SQL Server 登录帐户。必须在创建任何数据库(包括配置数据库和 AdminContent 数据库)之前创建这些帐户。
必须使用 Psconfig 命令行工具来创建配置数据库和 SharePoint_AdminContent 数据库。不能使用 SharePoint 产品和技术配置向导来创建这两个数据库。若要创建服务器场或将计算机加入服务器场,请将您为这两个数据库创建的 SQL Server 登录指定为 dbusername 和 dbpassword。将使用相同的 SQL Server 登录来访问这两个数据库。
可以通过选择“SQL 验证”选项在“管理中心”中创建其他内容数据库。但是,必须先在 SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建 SQL Server 登录帐户。
通过使用安全套接字层 (SSL) 或 Internet 协议安全性 (IPsec) 保护所有与数据库服务器之间的通信。
使用 SQL 身份验证时:
SQL Server 登录帐户在 Web 服务器和应用程序服务器的注册表中被加密。
不使用服务器场帐户来访问配置数据库和 SharePoint_AdminContent 数据库,而是改用相应的 SQL Server 登录帐户。
创建服务帐户和管理帐户
有关 SQL 身份验证下的最小特权管理要求的列表,请参阅 Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
创建 SQL Server 登录
在创建数据库之前,为每个数据库创建 SQL Server 登录。为配置数据库和 SharePoint_AdminContent 数据库创建两个登录,为每个内容数据库创建一个登录。
下表列出必须创建的登录。“登录”列指示为 SQL Server 登录指定或创建的帐户。对于初次登录,您必须输入“安装”用户帐户。对于所有其他登录,您创建一个新的 SQL Server 登录帐户。对于这些登录,“登录”列提供了示例帐户名。
| 登录 | 数据库 | SQL 权限 |
|---|---|---|
“安装”用户帐户 |
配置数据库和 SharePoint_AdminContent 数据库 |
创建登录时指定 Windows 身份验证。 |
<ConfigAdminDBAcc> |
配置数据库和 SharePoint_AdminContent 数据库 |
|
<WSSSearch_DB_Acc> |
WSS_Search 数据库 |
|
<Content_DB_Acc1> |
内容数据库 |
|
连接到预先创建的数据库时的最小特权管理要求
在数据库管理员预先创建数据库的环境下,可以遵循最小特权管理的原则。在这种情况下:
管理帐户和服务帐户都将创建为域用户帐户。
为用来配置数据库的帐户创建 SQL Server 登录。
数据库由数据库管理员创建。
有关使用预先创建的空白数据库来部署 Windows SharePoint Services 3.0 的详细信息,请参阅使用 DBA 创建的数据库进行部署 (Windows SharePoint Services)。
创建服务帐户和管理帐户
有关连接到现有空白数据库时的最小特权管理要求的列表,请参阅 Windows SharePoint Services 安全帐户要求(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x804)(该链接可能指向英文页面)规划工具,或查看在本文的技术参考:各方案对帐户的要求一节中列出的要求。
创建 SQL Server 登录
在创建数据库之前,为将访问数据库的每个帐户创建 SQL Server 登录。帐户规划工具详细说明了为每个帐户配置的特定权限。有关如何创建和授予对数据库的权限的说明,请参阅使用 DBA 创建的数据库进行部署 (Windows SharePoint Services)。
下表列出必须创建的登录。“数据库”列指示哪些数据库配置为每个登录帐户都具有权限。对于每个登录,在创建登录时指定 Windows 身份验证。
登录 |
数据库 |
“安装”用户帐户(运行 Psconfig 命令行工具的用户) |
所有数据库 |
服务器场帐户(Office SharePoint Server 数据库访问帐户) |
|
Windows SharePoint Services 搜索服务帐户 |
|
其他内容数据库的应用程序池标识 |
|
技术参考:各方案对帐户的要求
本节按方案列出帐户要求:
单服务器的标准要求
服务器场的标准要求
使用域用户帐户时的最小特权管理要求
使用 SQL 身份验证时的最小特权管理要求
连接到预先创建的数据库时的最小特权管理要求
单服务器的标准要求
服务器场级帐户
| 帐户 | 要求 |
|---|---|
SQL Server 服务帐户 |
本地系统帐户(默认) |
“安装”用户帐户 |
本地计算机上的 Administrators 组的成员 |
服务器场帐户 |
网络服务(默认) 不需要任何手动配置。 |
Windows SharePoint Services 搜索帐户
| 帐户 | 要求 |
|---|---|
Windows SharePoint Services 搜索服务帐户 |
默认情况下,此帐户作为本地系统帐户运行。 |
Windows SharePoint Services 搜索内容访问帐户 |
不得是 Farm Administrators 组的成员。 以下是自动配置的:
|
其他应用程序池标识帐户
| 帐户 | 要求 |
|---|---|
应用程序池标识 |
不需要任何手动配置。 网络服务帐户用于在安装和配置过程中创建的默认网站。 |
服务器场的标准要求
服务器场级帐户
| 帐户 | 要求 |
|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置 Microsoft Single Sign-On Service,则不会自动授予服务器场帐户对 SSO 数据库的 db_owner 访问权限 |
Windows SharePoint Services 搜索帐户
| 帐户 | 要求 |
|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
其他应用程序池标识帐户
| 帐户 | 要求 |
|---|---|
应用程序池标识 |
不需要任何手动配置。 以下是自动配置的:
|
使用域用户帐户时的最小特权管理要求
服务器场级帐户
| 帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
|---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
服务器场的标准要求,带有以下补充或例外:
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
|
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置 Microsoft Single Sign-On Service,则不会自动授予服务器场帐户对 SSO 数据库的 db_owner 访问权限。 |
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索帐户
| 帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
|---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
其他应用程序池标识帐户
| 帐户 | 服务器场的标准要求 | 使用域用户帐户的最小特权要求 |
|---|---|---|
应用程序池标识 |
不需要任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
使用 SQL 身份验证时的最小特权管理要求
服务器场级帐户
| 帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
|---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。 如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。如果使用域用户帐户作为 SQL Server 服务帐户,则向该域用户帐户授予权限。但是,如果使用网络服务或本地系统帐户,则向计算机帐户 (domain_name\SQL_hostname$) 授予对外部资源的权限。 |
服务器场的标准要求,带有以下补充或例外:
.gif "Note") 注意:
所有数据库帐户都必须在 Microsoft SQL Server 2000 企业管理器或 SQL Server 2005 Management Studio 中创建为 SQL Server 登录帐户。必须在创建任何内容数据库(包括配置数据库和 SharePoint_AdminContent 数据库)之前创建这些帐户。为配置数据库和 SharePoint_AdminContent 数据库创建一个 SQL Server 登录。
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
注意:
必须使用 Psconfig 命令行工具来创建配置数据库和 SharePoint_AdminContent 数据库。不能使用 SharePoint 产品和技术配置向导来创建这两个数据库。若要创建服务器场或将计算机加入服务器场,请将您为这两个数据库创建的 SQL Server 登录指定为 dbusername 和 dbpassword。将使用相同的 SQL Server 登录来访问这两个数据库。可以通过选择“SQL 验证”选项在“管理中心”中创建所有其他内容数据库。
|
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置 Microsoft Single Sign-On Service,则不会自动授予服务器场帐户对 SSO 数据库的 db_owner 访问权限。 |
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索帐户
| 帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
|---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
其他应用程序池标识帐户
| 帐户 | 服务器场的标准要求 | 使用 SQL 身份验证的最小特权要求 |
|---|---|---|
应用程序池标识 |
不需要任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
|
连接到预先创建的数据库时的最小特权管理要求
服务器场级帐户
| 帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
|---|---|---|
SQL Server 服务帐户 |
使用本地系统帐户或域用户帐户。 如果使用域用户帐户,则此帐户默认使用 Kerberos 身份验证,这需要在网络环境中进行其他配置。如果 SQL Server 使用无效(即在 Active Directory 目录服务环境中不存在)的服务主体名称 (SPN),则 Kerberos 身份验证会失败,这时会使用 NTLM。如果 SQL Server 使用有效但未分配给 Active Directory 中的适当容器的 SPN,则身份验证会失败,并产生“不能产生 SSPI 上下文”错误消息。身份验证将始终尝试使用它找到的第一个 SPN,因此,请确保未将 SPN 分配给 Active Directory 中的不适当容器。
|
服务器场的标准要求,带有以下补充或例外:
|
“安装”用户帐户 |
如果运行影响某个数据库的 Stsadm 命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场的标准要求,带有以下补充或例外:
此帐户用来配置数据库。在创建每个数据库之后,将数据库所有者(dbo 或 db_owner)更改为“安装”用户帐户。 |
服务器场帐户 |
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
注意 如果配置 Microsoft Single Sign-On Service,则不会自动授予服务器场帐户对 SSO 数据库的 db_owner 访问权限。 |
服务器场的标准要求,带有以下补充或例外:
创建共享服务提供程序 (SSP) 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
|
Windows SharePoint Services 搜索帐户
| 帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
|---|---|---|
Windows SharePoint Services 搜索服务帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
当运行 Psconfig 命令行工具以启动 Windows SharePoint Services 搜索服务时,自动在以下项中配置成员资格:
|
Windows SharePoint Services 搜索内容访问帐户 |
以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
当运行 Psconfig 命令行工具以启动 Windows SharePoint Services 搜索服务时,自动在以下项中配置成员资格:
|
其他应用程序池标识帐户
| 帐户 | 服务器场的标准要求 | 连接到预先创建的数据库时的最小特权要求 |
|---|---|---|
应用程序池标识 |
不需要任何手动配置。 以下是自动配置的:
|
服务器场的标准要求,带有以下补充或例外:
创建 SSP 数据库和 SSP 搜索数据库之后,将此帐户添加到其中每个数据库的以下项中:
|
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)。