Planejar contas administrativas e de serviço no SharePoint Server
APLICA-SE A:
2013 2019 Subscription Edition 
SharePoint no Microsoft 365
Para instalar o SharePoint Server, você precisa ter contas administrativas e de serviço apropriadas em servidores que executam o SharePoint Server e SQL Server. Após a instalação, é necessário ter contas apropriadas administrativas e de serviço para modificar e manter o ambiente. As contas exigidas para concluir esses grupos de tarefas não são necessariamente as mesmas. Este artigo descreve as contas necessárias após a instalação para um ambiente de servidor único e um ambiente de farm do servidor.
Importante
Não use nomes de conta de serviço que contenham o símbolo $ com exceção do uso de uma Conta de Serviço Gerenciado de Grupo para SQL Server.
Importante
Os serviços do SharePoint não dão suporte a Contas de Serviço Gerenciado do Active Directory ou Contas de Serviço Gerenciado de Grupo.
Use este artigo junto com contas administrativas e de serviço de implantação inicial no SharePoint Server.
O artigo inicial sobre contas administrativas e de serviço de implantação descreve a conta e permissões específicas que você precisa conceder antes de executar a instalação.
Este artigo não descreve os requisitos da conta para usar o serviço Secure Store no SharePoint Server. Para saber mais, veja Plan the Secure Store Service in SharePoint Server.
Saiba mais sobre a função de administrador do SharePoint no Microsoft 365.
Sobre contas administrativas e de serviço
Esta seção lista e descreve as contas para as quais você deve planejar para gerenciar servidores que executam SQL Server ou SharePoint Server. As contas são agrupadas de acordo com o escopo.
Após concluir a instalação e configuração de contas, certifique-se de não usar a conta de Sistema Local para executar tarefas de administração ou para navegar sites.
Contas no nível do farm de servidores
A tabela a seguir descreve as contas usadas para configurar SQL Server software de banco de dados e instalar o SharePoint Server.
| Account | Objetivo | Requisitos |
|---|---|---|
| Conta de serviço do SQL Server | A conta de serviço do SQL Server é usada para executar o SQL Server. É a conta para os seguintes serviços do SQL Server: MSSQLSERVER SQLSERVERAGENT Se você não usar a instância padrão SQL Server, no console do Windows Services, esses serviços serão mostrados como: MSSQL<InstanceName> SQLAgent<InstanceName> |
Use uma conta de usuário de domínio ou, preferencialmente, uma Conta de Serviço Gerenciada de Grupo. Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões desse precisarão ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio ou Conta de Serviço Gerenciado de Grupo para a conta de serviço SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar o Serviço de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta do computador (<domain_name>\<SQL_hostname>). O nome da instância é arbitrário e foi criado quando o SQL Server foi instalado. |
| Conta de usuário do administrador do farm | A conta de usuário do administrador do farm é uma conta exclusivamente identificável atribuída a um administrador do SharePoint. Ele é usado para executar: Configurar Assistente de Configuração de Produtos do SharePoint |
Conta de usuário do domínio. Membro do grupo Administradores em cada servidor do SharePoint no farm. Membro da seguinte função de SQL Server (opcional): função de servidor fixa sysadmin. Se você executar Windows PowerShell cmdlets que afetam um banco de dados, essa conta deverá ser um membro do db_owner função de banco de dados fixa para o banco de dados ou um membro da função de servidor fixa sysadmin no SQL. |
| Conta de serviço farm | A conta de serviço farm é usada para executar as seguintes tarefas: Atuar como a identidade do pool de aplicativos do site da Administração Central do SharePoint. Execute o Serviço de Timer do Microsoft SharePoint Workflow Foundation. |
Conta de usuário do domínio. Mais permissões são concedidas automaticamente para a conta farm do servidor em servidores Web e servidores de aplicativo que são ingressados em um farm de servidores. A conta de farm de servidores é adicionada automaticamente como um logon do SQL Server no computador que executa o SQL Server. A conta é adicionada às seguintes funções de servidor do SQL Server: * Função de servidor fixa do dbcreator * função de servidor fixa securityadmin * db_owner função de banco de dados fixa para todos os bancos de dados do SharePoint no farm de servidores Essa conta não deve ser usada interativamente por um administrador. Modificar a conta de serviço farm precisará reiniciar o servidor IIS usando o iisreset.exe comando. |
Contas de aplicativos de serviço
A tabela a seguir descreve as contas que são usadas para instalar e configurar um aplicativo de serviço.
Para obter mais informações sobre pontos de extremidade do aplicativo de serviço, consulte Usando pontos de extremidade de serviço.
Observação
Serviços do Excel e o Serviço de Sincronização de Perfil de Usuário só se aplicam ao SharePoint 2013.
Os Serviços de Acesso e o Serviço do PerformancePoint não se aplicam à Edição de Assinatura.
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Pontos de extremidade de aplicativo de serviço | Executar instâncias de SharePoint Services e Serviços Windows | Conta de usuário de domínio |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviços do Access | X | |
| Serviço Conectividade de Dados Corporativos | X | X |
| Serviço de Repositório Seguro | X | |
| Serviço de Conjunto de Dados de Uso e Integridade | X | |
| Serviço de Perfil de Usuário | X | |
| Serviço de Gráfico do Visio | X | |
| Serviços de Automação do Word | X | |
| Excel Services | X | |
| Serviço de Metadados Gerenciados | X | |
| Serviço PerformancePoint | X | |
| Serviço de Pesquisa | X |
Observação
Esta conta é usada como a identidade do pool de aplicativos do ponto de extremidade do aplicativo de serviço. A menos que haja requisitos específicos de isolamento, o pool de aplicativos pode ser usado para hospedar vários pontos de extremidade de aplicativo de serviço. Para Serviços do Excel, serviço de metadados gerenciados, serviço PerformancePoint e serviço Pesquisa você deve ser uma conta de usuário de domínio. Também Serviços do Excel só está disponível no SharePoint Server 2013.
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviço de Token de Segurança | X | |
| Descoberta de Aplicativo e Serviço de Balanceador de Carga | X | X |
Observação
Esta conta é usada como a identidade do pool de aplicativos do ponto de extremidade do aplicativo de serviço. Essa conta deve ser a Conta de Serviço farm e o Assistente de Configuração de Produtos do SharePoint cria automaticamente o pool de aplicativos.
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviço autônomo | N/D | Usado para executar funções em nome do usuário ou serviço | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviços do Excel | X | |
| Serviço PerformancePoint | X | |
| Serviço de Gráfico do Visio | X |
Observação
Serviços do Excel usado com pastas de trabalho para atualizar dados. Obrigatório quando as conexões da pasta de trabalho especificar "Nenhum" para autenticação, ou quando alguma credencial que não forem credenciais do Windows forem usadas para atualizar dados. O serviço PerformancePoint é usado para autenticação com fontes de dados. O serviço visio é usado com documentos para atualizar dados. Ele é necessário ao se conectar a fontes de dados externas ao SharePoint Server, como SQL Server.
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Acesso a conteúdo padrão | Pesquisar | Rastrear conteúdo | Ler o acesso ao conteúdo que está sendo rastreado |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Pesquisa do SharePoint Server | X |
Observação
A conta padrão para rastrear conteúdo. Um administrador de aplicativo de serviço pode criar regras de rastreamento para especificar que outras contas rastreiem conteúdo específico. Deve ter acesso de leitura ao conteúdo sendo rastreado. Conceda permissões de Leitura Completa explicitamente ao conteúdo que está fora do farm local. As permissões de Leitura Completa são configuradas automaticamente para banco de dados de conteúdo no farm local. Requer Gerenciar a auditoria e o log de segurança diretamente na Política de Usuário Local em servidores de arquivos do Windows que ele está configurado para rastreamento.
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviço de Pesquisa | Pesquisar | Executar os serviços de Pesquisa do Windows | Ser uma conta de usuário de domínio |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Pesquisa do SharePoint Server | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Administrador de farms | Serviço de Sincronização de Perfis de Usuário | Executa os serviços do Forefront Identity Manager | Conta de administrador do farm; Administrador local em que o Serviço de Sincronização de Perfil de Usuário é iniciado |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviço de Sincronização de Perfis de Usuário | X | N/D |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Conexão de sincronização | Serviço Perfil de Usuário | Conectar-se aos repositórios de identidade do usuário | Replicar alterações de diretório (Active Directory), acesso de leitura (outros diretórios) |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviço Perfil de Usuário | X | N/D |
Observação
Permissões Replicando alterações no diretório na partição de configuração dos domínios sendo sincronizado, se o NetBIOS e os Nomes de Domínio Totalmente Qualificados (FQDN) não são iguais.
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviço de gerenciamento de aplicativos | N/D | Usado para instalar suplementos do SharePoint | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Gerenciamento de aplicativos | X | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviço de Conversão do PowerPoint | Serviços de Conversão do PowerPoint | Converter arquivos do PowerPoint em outros formatos de arquivo | Função de administrador do farm (somente SharePoint Server 2013) |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| PowerPoint conversion service | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviço de tradução automática | Serviço de tradução automática | Executar traduções automáticas de máquina | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviço de Tradução Automática | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Serviços do Access 2013 | Serviços do Access | Interagir com bancos de dados do Access 2013 em um navegador | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Serviços do Access no SharePoint Server 2013 | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Gerenciamento de Trabalho | Serviço de Gerenciamento de Trabalho | Fornece agregação de tarefas entre SharePoint, Exchange e Project Server. | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Gerenciamento de trabalho | X |
| Account | Serviço | Objetivo | Requisitos |
|---|---|---|---|
| Cache distribuído | Serviço Windows AppFabric | Executa operações de Cache Distribuído | N/D |
| Nome do serviço | No SharePoint Server | No SharePoint Foundation |
|---|---|---|
| Cache distribuído | X | X |
Observação
Alguns dos recursos que usam o serviço cache distribuído são Newsfeeds, Authentication, acesso ao cliente do OneNote, Corte de Segurança e melhora o desempenho de carga da página. Pelo menos um servidor cache distribuído é necessário no farm.
Aplicativos Web do SharePoint
Uma única conta deve ser usada para todos os Aplicativos Web, chamada conta do pool de aplicativos Web. Essa condição permite que o administrador use um único Pool de Aplicativos do IIS para todos os Aplicativos Web, o que aumenta o desempenho e reduz o uso de memória no servidor.
| Account | Objetivo |
|---|---|
| Identidade de pool de aplicativos | A conta do usuário que o funcionário processa esse serviço que o pool de aplicativos usa como sua identidade do processo. Esta conta é usada para acessar bancos de dados de conteúdo que estão associados com os aplicativos web que residem no pool de aplicativos. |
Requisitos padrão de servidor único
Se você estiver implantando em um único servidor, os requisitos da conta serão muito reduzidos. Em um ambiente de avaliação, é possível usar uma conta única para todas as finalidades da conta. Em um ambiente de produção, verifique se as contas criadas têm as permissões apropriadas para suas finalidades.
Para obter uma lista de permissões de conta para ambientes de servidor único, consulte Contas administrativas e de serviço de implantação inicial no SharePoint Server.
Requisitos do farm de servidores
Se você estiver implantando em mais de um servidor, use os requisitos padrão do farm do servidor para garantir que as contas tenham as permissões apropriadas para executar seus processos em vários computadores. Os requisitos padrão de farm de servidor detalham a configuração mínima necessária para operar em um ambiente de farm de servidor.
Para obter uma lista de requisitos para ambientes de farm de servidor, consulte os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.
Para algumas contas, permissões adicionais ou acesso a bancos de dados são configurados quando você executa o Assistente de Configuração. Esses privilégios extras são observados na ferramenta de planejamento de contas. Uma configuração importante que os administradores de bancos de dados devem conhecer é a adição da função de banco de dados WSS_Content_Application_Pools. O Assistente de Configuração adiciona essa função aos seguintes bancos de dados:
Banco de dados SharePoint_Config (banco de dados de configuração)
SharePoint_Admin banco de dados de conteúdo
Membros da função de banco de dados WSS_Content_Application_Pools recebem a permissão de Executar em um subconjunto de procedimentos armazenados do banco de dados. Além disso, os membros desta função recebem a permissão Selecionar na tabela Versões (dbo.Versions) no banco de dados SharePoint_AdminContent.
Em outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso à leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para fornecer esse acesso, as permissões para procedimentos de armazenamento são configuradas.
Referência técnica: requisitos de conta por cenário
Esta seção lista os requisitos de conta por cenário
Requisitos padrão de servidor único
Importante
Não recomendamos essa configuração em um ambiente de produção.
Contas no nível do farm de servidores
| Account | Requisitos |
|---|---|
| Serviços do SQL Server | Conta do Sistema Local (padrão) |
| Conta de usuário do administrador do farm | Membro do grupo Administradores no computador local. |
| Serviço farm | Serviço de Rede (padrão) Nenhuma configuração manual é necessária. |
Contas de aplicativos de serviço
Importante
As contas nesta tabela se aplicam apenas ao SharePoint Server.
| Account | Requisitos |
|---|---|
| Serviço de Pesquisa do SharePoint Server | Como padrão, essa conta é executada como a conta do Sistema Local. Se você quiser rastrear conteúdo remoto alterando a conta de acesso de conteúdo padrão ou usando regras de rastreamento, altere essa conta para um usuário de domínio. Se você não alterar essa conta para uma conta de usuário de domínio, não será possível alterar a conta padrão de acesso a conteúdo para a conta de usuário padrão, ou adicionar regras de rastreamento para rastrear esse conteúdo. Essa restrição é projetada para evitar elevação de privilégio para qualquer outro processo sendo executado na conta do Sistema Local. |
| Acesso a conteúdo padrão | Nenhuma configuração manual é necessária se essa conta está rastreando apenas conteúdo de farm local. Se você quiser rastrear conteúdo remoto usando regras de rastreamento, altere essa conta para um usuário de domínio e aplique os requisitos listados para um farm de servidores. |
| Acesso a conteúdo | Mesmo requisito da conta padrão de acesso a conteúdo. |
| Conta de sincronização de perfil | Mesmos requisitos do farm de servidores. |
| serviço autônomo Serviços do Excel | Deve ser uma conta de usuário de domínio. |
Contas adicionais de identidade de pool de aplicativos
| Account | Requisitos |
|---|---|
| Identidade de pool de aplicativos | Nenhuma configuração manual é necessária. A conta de Serviço de Rede é usada para o web site padrão que é criado durante a instalação e configuração. |
Requisitos padrão de farm de servidores
Contas no nível do farm de servidores
| Account | Objetivo | Requisitos |
|---|---|---|
| Conta de serviço do SQL Server |
A conta de serviço do SQL Server é usada para executar o SQL Server. É a conta para os seguintes serviços do SQL Server: MSSQLSERVER SQLSERVERAGENT Se você não usar a instância padrão SQL Server, no console do Windows Services, esses serviços serão mostrados como: MSSQL<InstanceName> SQLAgent<InstanceName> |
Use uma conta de usuário de domínio ou, preferencialmente, uma Conta de Serviço Gerenciada de Grupo. Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões desse precisarão ser concedidas para a conta apropriada. Se você usar uma conta de usuário de domínio ou Conta de Serviço Gerenciado de Grupo para a conta de serviço SQL Server, conceda permissões para essa conta de usuário de domínio. No entanto, se você usar o Serviço de Rede ou a conta do Sistema Local, conceda permissões ao recurso externo para a conta do computador (<domain_name>\<SQL_hostname>). O nome da instância é arbitrário e foi criado quando o SQL Server foi instalado. |
| Conta de usuário do administrador do farm |
A conta de usuário do administrador do farm é uma conta exclusivamente identificável atribuída a um administrador do SharePoint. Ele é usado para executar: Configurar Assistente de Configuração de Produtos do SharePoint |
Conta de usuário do domínio. Membro do grupo Administradores em cada servidor do SharePoint no farm. Membro da seguinte função de SQL Server (opcional): função de servidor fixa sysadmin. Se você executar Windows PowerShell cmdlets que afetam um banco de dados, essa conta deverá ser um membro do db_owner função de banco de dados fixa para o banco de dados ou um membro da função de servidor fixa sysadmin no SQL. |
| Conta de serviço farm |
A conta de serviço farm é usada para executar as seguintes tarefas: Atuar como a identidade do pool de aplicativos do site da Administração Central do SharePoint. Execute o Serviço de Timer do Microsoft SharePoint Workflow Foundation. |
Conta de usuário do domínio. Mais permissões são concedidas automaticamente para a conta farm do servidor em servidores Web e servidores de aplicativo que são ingressados em um farm de servidores. A conta de farm de servidores é adicionada automaticamente como um logon do SQL Server no computador que executa o SQL Server. A conta é adicionada às seguintes funções de servidor do SQL Server: * Função de servidor fixa do dbcreator * função de servidor fixa securityadmin * db_owner função de banco de dados fixa para todos os bancos de dados do SharePoint no farm de servidores Essa conta não deve ser usada interativamente por um administrador. Modificar a conta de serviço farm precisará reiniciar o servidor IIS usando o iisreset.exe comando. |
Contas de serviço do aplicativo de serviço
Importante
A conta de sincronização de perfil e Serviços do Excel conta de serviço autônoma só se aplicam ao SharePoint Server.
| Account | Requisitos |
|---|---|
| Conta do serviço de pesquisa do SharePoint Server | Deve ser uma conta de usuário de domínio. Não pode ser membro do grupo Administradores de Farm. Os seguintes são configurados automaticamente: Acesso à leitura do banco de dados de configuração, banco de dados de conteúdo de administração, banco de dados de administração de pesquisa, bancos de dados de rastreamento. Acesso de Controle Total às partições do índice em servidores de consulta. |
| Conta de acesso de conteúdo padrão | Deve ser uma conta de usuário de domínio. Não pode ser membro do grupo Administradores de Farm. Acesso de leitura a fontes de conteúdo externas ou seguras que você deseja rastrear usando essa conta. Para sites que não fazem parte do farm de servidor, essa conta deve ser receber explicitamente permissões de Leitura Completa nos aplicativos web que hospedam os sites. Os seguintes são configurados automaticamente: as permissões de leitura completa são concedidas automaticamente aos bancos de dados de conteúdo hospedados pelo farm de servidores. |
| Conta de acesso de conteúdo | Acesso de leitura às fontes de conteúdo externas e seguras que essa conta está configurada para acessar. Para websites que não fazem parte do farm de servidor, essa conta deve receber explicitamente permissões de Leitura Completa nos aplicativos web que hospedam os sites. |
| Conta de sincronização de perfil | Acesso de leitura ao serviço de diretório. A conta deve ter a permissão Replicar Alterações no Active Directory. Permissão de serviços de personalização para Gerenciar Perfis de Usuário. Exibir permissões em entidades usadas nas conexões de importação do Catálogo de Dados Corporativos. |
| Conta de serviço autônoma do Serviços do Excel | Deve ser uma conta de usuário de domínio. |
Contas adicionais de identidade de pool de aplicativos
| Account | Requisitos |
|---|---|
| Identidade de pool de aplicativos | Nenhuma configuração manual é necessária. Os seguintes são configurados automaticamente: Associação na função SP_DATA_ACCESS para bancos de dados de conteúdo e bancos de dados de pesquisa associados ao aplicativo Web. Associação nas funções específicas de pool de aplicativos para configuração e os banco de dados SharePoint_AdminContent. Mais permissões para essa conta para servidores Web front-end e servidores de aplicativo são concedidas automaticamente. |