今天收到客户求助电话,称在创建SharePoint Server服务器场中的第一个共享服务提供程序 (SSP)时,遇到问题,问题如下:
- 始终无法将创建的Web网站集,在SSP创建页面中显示出来。
我首先询问了客户MOSS的安装环境,客户的安装环境如下:
- 操作系统:Windows Server 2003 R2
- MOSS版本:Microsoft SharePoint Server 2007 with SP1
- 数据库版本:SQL Server 2005 with SP3
- 操作系统和应用程序已经升级到最新补丁。
看来很正常。我又向客户询问了SharePoint Server的安装和配置过程,以及SQL Server配置中的几个要点,也没有发现问题。看来比较奇怪了。于是我又问了客户一句:“您创建SharePoint Server的专用账号了吗?”
“什么专用账号呀?”客户反问我,“我都是用域管理员账号安装的,已经是最大权限了。”
问题就在这里!
在微软官方的《Office SharePoint Server入门》文档第27页,明确指明安装SharePoint Server系统需要创建的专用账号有哪些,请见下表:
所需帐户
下表描述了用于配置 Microsoft SQL Server 和安装 Office SharePoint Server 2007 的帐户。有关所需帐户(包括这些帐户必需的特定权限)的详细信息,请参阅规划管理帐户和服务帐户 (Office SharePoint Server)。
帐户 | 用途 | 要求 |
SQL Server | 此帐户用作以下 SQL Server 服务的服务帐户: · · MSSQLSERVER · · SQLSERVERAGENT 如果没有使用默认实例,这些服务将显示为: · · MSSQL$ 实例名称 · · SQLAgent$ 实例名称 | 在安装 SQL Server 的过程中,SQL Server 会提示您输入此帐户。您可以选择进行以下两项操作: · · 将其中一个内置系统帐户(Local System、Network Service 或 Local Service)分配给可配置 SQL Server 服务的登录。有关这些帐户和安全注意事项的详细信息,请参阅 SQL Server 文档中的设置 Windows 服务帐户主题 (http://go.microsoft.com/fwlink/?linkid=121664&clcid=0x804)。 · · 将域用户帐户分配给服务登录。但是,如果使用此选项,则必须执行配置 Active Directory 中的服务主体名称 (SPN) 所需的其他步骤,才能支持 SQL Server 所使用的 Kerberos 身份验证。 |
“安装”用户帐户 | “安装”用户帐户用于运行以下各项: · · 在每台服务器上运行安装程序 · · 运行 SharePoint 产品和技术配置向导 · · 运行 PSConfig 命令行工具 · · 运行 Stsadm 命令行工具 | · · 域用户帐户 · · 运行安装程序的每台服务器上的 Administrators 组的成员 · · 运行 SQL Server 的计算机上的 SQL Server 登录 · · 以下 SQL Server 安全角色的成员: · securityadmin 固定服务器角色 · dbcreator 固定服务器角色 如果运行从数据库读取或写入数据库的 Stsadm 命令行工具命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。 |
服务器场帐户/数据库访问帐户 | 服务器场帐户用于: · · 充当 SharePoint 管理中心应用程序池的应用程序池标识。 · · 运行 Windows SharePoint Services 定时服务。 | · · 域用户帐户。 · · 如果服务器场是子服务器场,并且包含使用更大服务器场的共享服务的 Web 应用程序,则此帐户必须是更大服务器场的配置数据库中 db_owner 固定数据库角色的成员。 在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。 在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中: · · dbcreator 固定服务器角色 · · securityadmin 固定服务器角色 · · db_owner 固定数据库角色(对于服务器场中的所有数据库) |
在SharePoint Server创建SSP的时候,必须使用专用的服务器场帐户,而不能使用域管理员帐户,否则会因为IIS资源池权限的问题,导致Web网站集无法显示在SSP创建页面的下拉列表中。
事实上,我们在安装各种不同的业务和应用系统的时候,应该养成一个良好帐户管理的习惯:
- 为不同的应用分别创建权限组和用户帐户;
- 将用户帐户添加到权限组中。
而通过这样基于权限组的管理方式,我们就可以灵活地管理业务和应系统的安全权限,减少安全漏洞。
转载于:https://blog.51cto.com/louxy/301129