规划在 SharePoint 服务器的管理和服务帐户
8/23/2017
本文内容
适用于:
2013
2016
2019
Microsoft 365
若要安装 SharePoint 服务器,您必须在运行 SharePoint Server 和 SQL Server 的服务器上具有适当的管理SQL Server。 在完成安装之后,您需要具有适当的管理和服务帐户才能修改和维护环境。 完成这些任务组所需的帐户不必相同。 本文介绍对于单服务器环境和服务器场环境在安装后分别需要的帐户。
重要
请勿使用包含符号 $ 的服务帐户名称,但使用组托管服务帐户进行SQL Server。
重要
SharePoint服务不支持 Active Directory 托管服务帐户或组托管服务帐户。
初始部署管理和服务帐户文章介绍特定帐户和运行安装程序前需要授予的权限。
本文不介绍在 SharePoint Server 中使用 Secure Store Service 的帐户要求。 有关详细信息,请参阅在 SharePoint Server 中规划 Secure Store Service。
关于管理帐户和服务帐户
本节列出并介绍管理运行 SQL Server 或 SharePoint 服务器时必须规划的帐户。 这些帐户按范围进行了分组。
在您完成安装和配置帐户之后,确保您不使用本地系统帐户执行管理任务或浏览网站。
服务器场级帐户
下表介绍了用于配置数据库软件SQL Server安装 SharePoint Server 的帐户。
帐户
用途
要求
SQL Server 服务帐户
SQL Server 服务帐户用于运行 SQL Server。它是以下 SQL Server 服务的服务帐户:
MSSQLSERVER
SQLSERVERAGENT
如果不使用默认 SQL Server 实例,则在 Windows 服务控制台中,这些服务将如下所示:
MSSQL
SQLAgent
使用域用户帐户或最好是组托管 服务帐户。
如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。 如果您使用域用户帐户或组托管服务帐户作为 SQL Server帐户,请授予对域用户帐户的权限。 但是,如果使用网络服务帐户或本地系统帐户,则向计算机帐户授予对外部资源的权限 \ () 。
实例名称是一个任意名称,并且是在安装 SQL Server 时创建的。
服务器场管理员用户帐户
服务器场管理员用户帐户是分配给服务器场管理员的一个唯一可识别SharePoint帐户。它用于运行以下内容:
安装
SharePoint 产品配置向导
域用户帐户。
服务器场中管理员组服务器上SharePoint组的成员。
以下角色组SQL Server角色 (可选 ) :sysadmin 固定服务器角色。
如果运行Windows PowerShell数据库的 Windows PowerShell cmdlet,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员或 SQL 上的 sysadmin 固定服务器角色的成员。
服务器场服务帐户
服务器场服务帐户用于执行以下任务:
充当 SharePoint 管理中心网站的应用程序池标识。
运行 Microsoft SharePoint Foundation 工作流定时服务。
域用户帐户。
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为服务器场帐户授予其他权限。
服务器场帐户将作为 SQL Server 登录名自动添加到运行 SQL Server 的计算机上。该帐户将添加到以下 SQL Server 安全角色中:
* dbcreator 固定服务器角色
* securityadmin 固定服务器角色
* db_owner 服务器场中所有数据库SharePoint固定数据库角色
管理员不应以交互方式使用该帐户。
服务应用程序帐户
下表介绍用于设置和配置服务应用程序的帐户。
有关服务应用程序终结点的更多信息,请参阅使用服务终结点。
备注
Excel Services User Profile Synchronization Service 仅适用于 SharePoint 2013。
帐户
服务
用途
要求
服务应用程序终结点
运行SharePoint Services实例和 Windows 服务
域用户帐户
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
Access Services
X
Business Data Connectivity Service
X
X
Secure Store Service
X
Usage and Health Data Collection Service
X
User Profile Service
X
Visio Graphics Service
X
Word Automation services
X
Excel Services
X
Managed Metadata Service
X
PerformancePoint Service
X
Search Service
X
备注
此帐户用作服务应用程序终结点应用程序池的标识。 除非存在特定隔离要求,该应用程序池可用于承载多个服务应用程序终结点。 对于 Excel Services、Managed Metadata Service、PerformancePoint Service 和 Search Service,您必须是域用户帐户。 此外Excel Services仅在 SharePoint Server 2013 中可用。
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
Security Token Service
X
Application Discovery and Load Balancer Service
X
X
备注
此帐户用作服务应用程序终结点应用程序池的标识。 此帐户必须是场服务帐户,SharePoint 产品配置向导 自动创建该应用程序池。
帐户
服务
用途
要求
无人参与服务
不适用
用于代表用户或服务执行函数
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
Excel Services
X
PerformancePoint Service
X
Visio Graphics Service
X
备注
Excel Services工作簿一起刷新数据。 当工作簿连接为身份验证指定"无"或者将 Windows 凭据之外的任何凭据用于刷新数据时需要。 PerformancePoint 服务用于对数据源进行身份验证。 Visio服务用于文档以刷新数据。 连接到服务器外部的数据源(如 SharePoint)时需要SQL Server。
帐户
服务
用途
要求
默认内容访问
搜索
爬网内容
对正在爬网的内容的读取访问权限
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
SharePoint Server 搜索
X
备注
对内容进行爬网的默认帐户。 Search Service 应用程序管理员可以创建爬网规则,以指定可对特定内容进行爬网的其他帐户。 必须具有要爬网的内容的读取访问权限。 必须明确授予对本地场之外的内容的“完全读取”权限。 自动为本地场中的内容数据库配置"完全读取"权限。 需要 管理配置为 爬网的 Windows 服务器上本地用户策略中的审核和安全日志。
帐户
服务
用途
要求
Search Service
搜索
运行 Windows 搜索服务
成为域用户帐户
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
SharePoint Server 搜索
X
帐户
服务
用途
要求
服务器场管理员
用户配置文件同步服务
运行 Forefront Identity Manager 服务
服务器场管理员帐户;启动用户配置文件同步服务的本地管理员
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
用户配置文件同步服务
X
不适用
帐户
服务
用途
要求
同步连接
User Profile Service
连接标识存储
在 Active Directory (复制) 更改、读取 (其他目录)
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
User Profile Service
X
不适用
备注
如果 NetBIOS 名称与完全限定的域名 (FQDN) 名称不匹配,则同步域的配置分区上的"复制目录更改"权限。
帐户
服务
用途
要求
应用管理服务
不适用
用于安装SharePoint加载项
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
应用程序管理
X
X
帐户
服务
用途
要求
PowerPoint 转换服务
PowerPoint转换服务
将PowerPoint文件转换为其他文件格式
服务器场管理员角色 (SharePoint Server 2013)
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
PowerPoint Conversion Service
X
帐户
服务
用途
要求
Machine Translation Service
Machine Translation Service
执行自动机器翻译
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
机器翻译服务
X
帐户
服务
用途
要求
Access Services 2013
Access Services
在浏览器中与 Access 2013 数据库交互
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
SharePoint Server 2013 中的 Access Services
X
帐户
服务
用途
要求
工作管理
工作管理服务
提供跨 SharePoint、Exchange 和 Project 服务器的任务聚合。
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
工作管理
X
帐户
服务
用途
要求
分布式缓存
AppFabric Windows 服务
运行分布式缓存操作
不适用
服务名称
在 SharePoint Server 中
在 SharePoint Foundation 中
分布式缓存
X
X
备注
使用分布式缓存服务的一些功能包括新闻源、身份验证、OneNote客户端访问、安全修整以及提高页面加载性能。 服务器场中至少需要一台分布式缓存服务器。
SharePointWeb 应用程序
应该将单个帐户用于名为 Web 应用程序池帐户的所有 Web 应用程序。 这使管理员能够将单个 IIS 应用程序池用于所有 Web 应用程序,从而提高性能并减少服务器的内存使用率。
帐户
用途
应用程序池标识
工作器处理应用程序池用作其进程标识的服务的用户帐户。此帐户用于访问与应用程序池中驻留的 Web 应用程序关联的内容数据库。
单服务器标准要求
如果要部署到单台服务器,帐户要求将大幅降低。 在评估环境中,可以将单个帐户用于所有帐户目的。 在生产环境中,确保您创建的帐户具有用于其目的的适当权限。
有关单服务器环境的帐户权限列表,请参阅在 SharePoint Server 中启动部署管理帐户和服务帐户。
服务器场要求
如果要部署到多台服务器,请使用服务器场标准要求,以确保帐户具有跨多台计算机执行其进程的适当权限。 服务器场标准要求具体介绍在服务器场环境中执行操作所需的最低要求。
有关服务器场环境的标准要求列表,请参阅本文的技术参考:不同方案的帐户要求中所列要求。
对于某些帐户,运行配置向导时将配置其他权限或数据库访问权限。 这些帐户规划工具中都有说明。 数据库管理员需要明白的重要配置是添加 WSS_Content_Application_Pools 数据库角色。 配置向导会将此角色添加到以下数据库:
SharePoint_Config 数据库(配置数据库)
SharePoint_Admin内容数据库
系统授予 WSS_Content_Application_Pools 数据库角色的成员对数据库的存储过程子集的执行权限。此外,还授予此角色的成员对 SharePoint_AdminContent 数据库中版本表 (dbo.Versions) 的选择权限。
对于其他数据库,帐户规划工具指示会自动配置从这些数据库读取内容的访问权限。在某些情况下,还会自动配置写入数据库的有限的访问权限。若要提供这一访问权限,需要配置针对存储过程的权限。
技术参考:不同方案的帐户要求
本节列出不同方案的帐户要求:
单服务器标准要求
重要
我们不建议在生产环境中进行此配置。
服务器场级别帐户
帐户
要求
SQL Server 服务
本地系统帐户(默认值)
服务器场管理员用户帐户
本地管理员组用户的成员。
场服务
Network Service (默认) 无需手动配置。
服务应用程序帐户
重要
此表中的帐户仅适用于 SharePoint Server。
帐户
要求
SharePoint Server 搜索服务
默认情况下,此帐户作为本地系统帐户运行。 如果您希望通过更改默认内容访问帐户或者通过使用爬网规则爬网远程内容,则将此帐户更改为域用户帐户。 如果不将此帐户更改为域用户帐户,则无法将默认内容访问帐户更改为域用户帐户,或者添加爬网规则以爬网此内容。 此限制设计用于防止提升对作为本地系统帐户运行的任何其他进程的权限。
默认内容访问
如果此帐户仅爬网本地场内容,则无需手动配置。如果希望通过使用爬网规则爬网远程内容,则将此帐户更改为域用户帐户,并应用为服务器场列出的要求。
内容访问
与默认内容访问帐户的要求相同。
配置文件同步帐户
与服务器场的要求相同。
Excel Services 无人参与服务
必须是域用户帐户。
其他应用程序池标识帐户
帐户
要求
应用程序池标识
无需手动配置。 网络服务 帐户用于在安装和配置过程中创建的默认网站。
服务器场标准要求
服务器场级别帐户
帐户
用途
要求
SQL Server 服务帐户
SQL Server 服务帐户用于运行 SQL Server。它是以下 SQL Server 服务的服务帐户:
MSSQLSERVER
SQLSERVERAGENT
如果不使用默认 SQL Server 实例,则在 Windows 服务控制台中,这些服务将如下所示:
MSSQL
SQLAgent
使用域用户帐户或最好是组托管 服务帐户。
如果计划备份到外部资源或从外部资源还原,则必须向适当的帐户授予对外部资源的权限。 如果您使用域用户帐户或组托管服务帐户作为 SQL Server帐户,请授予对域用户帐户的权限。 但是,如果使用网络服务帐户或本地系统帐户,则向计算机帐户授予对外部资源的权限 \ () 。
实例名称是一个任意名称,并且是在安装 SQL Server 时创建的。
服务器场管理员用户帐户
服务器场管理员用户帐户是分配给服务器场管理员的一个唯一可识别SharePoint帐户。它用于运行以下内容:
安装
SharePoint 产品配置向导
域用户帐户。
服务器场中管理员组服务器上SharePoint组的成员。
以下角色组SQL Server角色 (可选 ) :sysadmin 固定服务器角色。
如果运行Windows PowerShell数据库的 Windows PowerShell cmdlet,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员或 SQL 上的 sysadmin 固定服务器角色的成员。
服务器场服务帐户
服务器场服务帐户用于执行以下任务:
充当 SharePoint 管理中心网站的应用程序池标识。
运行 Microsoft SharePoint Foundation 工作流定时服务。
域用户帐户。
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为服务器场帐户授予其他权限。
服务器场帐户将作为 SQL Server 登录名自动添加到运行 SQL Server 的计算机上。该帐户将添加到以下 SQL Server 安全角色中:
* dbcreator 固定服务器角色
* securityadmin 固定服务器角色
* db_owner 服务器场中所有数据库SharePoint固定数据库角色
管理员不应以交互方式使用该帐户。
Service 应用程序服务帐户
重要
配置文件同步帐户Excel Services无人参与服务帐户仅适用于 SharePoint 服务器。
帐户
要求
SharePoint Server 搜索服务帐户
必须是域用户帐户。 不得是 Farm 管理员组 的成员。 将自动配置以下内容:访问以读取配置数据库、管理内容数据库、搜索管理数据库、爬网数据库。 查询服务器上索引分区的完全控制访问权限。
默认内容访问帐户
必须是域用户帐户。 不得是 Farm 管理员组 的成员。 要通过使用此帐户爬网的外部源或安全内容源的读取访问权限。 对于不是服务器场一部分的网站,必须明确授予此帐户承载这些网站的 Web 应用程序上的"完全读取"权限。 将自动配置以下内容:自动向服务器场承载的内容数据库授予完全读取权限。
内容访问帐户
对将此帐户配置为有权访问的外部源或安全内容源的读取访问权限。 对于不是服务器场一部分的 Web 网站,必须在承载这些网站的 Web 应用程序上明确授予此帐户"完全读取"权限。
配置文件同步帐户
目录服务的读取访问权限。 该帐户必须具有 Active Directory 中的复制更改权限。 管理用户配置文件演示文稿服务权限。 业务数据目录导入连接中使用的实体上的查看权限。
Excel Services 无人参与服务帐户
必须是域用户帐户。
其他应用程序池标识帐户
帐户
要求
应用程序池标识
无需手动配置。 将自动配置以下内容:内容数据库SP_DATA_ACCESS Web应用程序关联的搜索数据库的 SP_DATA_ACCESS 角色中的成员身份。 配置数据库和 SharePoint_AdminContent 数据库的特定应用程序池角色中的成员资格。 自动授予此帐户对前端 Web 服务器和应用程序服务器的其他权限。
2202
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
