Планирование административных и служебных учетных записей в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
Чтобы установить SharePoint Server, необходимо иметь соответствующие административные учетные записи и учетные записи служб на серверах с SharePoint Server и SQL Server. После установки потребуются соответствующие административные учетные записи и учетные записи служб для изменения и обслуживания среды. Учетные записи, необходимые для выполнения этих задач, могут не совпадать. В этой статье описываются учетные записи, необходимые после установки для среды с одним сервером и среды фермы серверов.
Важно!
Не используйте имена учетных записей служб, содержащие символ $, за исключением использования групповой управляемой учетной записи службы для SQL Server.
Важно!
Службы SharePoint не поддерживают управляемые учетные записи служб Active Directory или групповые управляемые учетные записи служб.
Используйте эту статью вместе с учетными записями администратора и служб начального развертывания в SharePoint Server.
В статье, посвященной административным учетным записям и учетным записям служб первоначального развертывания, описываются конкретные учетные записи и разрешения, которые требуется предоставить перед запуском программы установки.
В этой статье не описаны требования к учетной записи для использования службы Secure Store в SharePoint Server. Дополнительные сведения см. в статье Plan the Secure Store Service in SharePoint Server.
Сведения о роли администратора SharePoint в Microsoft 365.
Общие сведения об административных и служебных учетных записях
В этом разделе перечислены и описаны учетные записи, для которых необходимо запланировать управление серверами под управлением SQL Server или SharePoint Server. Учетные записи сгруппированы по сфере применения.
Завершив установку и настройку учетных записей, убедитесь, что для выполнения задач администрирования и просмотра сайтов не используется учетная запись Local System.
Учетные записи уровня фермы сервера
В следующей таблице описаны учетные записи, которые используются для настройки SQL Server программного обеспечения базы данных и установки SharePoint Server.
| Account | Назначение | Требования |
|---|---|---|
| Учетная запись службы SQL Server | Учетная запись службы SQL Server используется для выполнения SQL Server. Это учетная запись службы для следующих служб SQL Server: MSSQLSERVER, SQLSERVERAGENT. Если вы не используете экземпляр SQL Server по умолчанию, в консоли служб Windows эти службы будут отображаться следующим образом: MSSQL<имя_экземпляра> SQLAgent<имя_экземпляра> |
Используйте учетную запись пользователя домена или желательно групповую управляемую учетную запись службы. If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. Если вы используете учетную запись пользователя домена или групповую управляемую учетную запись службы для SQL Server учетной записи службы, предоставьте разрешения этой учетной записи пользователя домена. Однако если вы используете сетевую службу или учетную запись локальной системы, предоставьте разрешения для внешнего ресурса учетной> записи компьютера (<domain_name\<SQL_hostname>). Имя экземпляра задается произвольно при установке SQL Server. |
| Учетная запись администратора фермы | Учетная запись администратора фермы — это уникально идентифицируемая учетная запись, назначенная администратору SharePoint. Он используется для выполнения: Настройка Мастер настройки продуктов SharePoint |
Учетная запись пользователя домена. Член группы администраторов на каждом сервере SharePoint в ферме. Член следующей роли SQL Server (необязательно): предопределительная роль сервера sysadmin. При выполнении Windows PowerShell командлетов, влияющих на базу данных, эта учетная запись должна быть членом db_owner предопределенных ролей базы данных для базы данных или членом предопределенных ролей сервера sysadmin в SQL. |
| Учетная запись службы фермы | Учетная запись службы фермы используется для выполнения следующих задач: действия в качестве удостоверения пула приложений для веб-сайта центра администрирования SharePoint; запуск службы Microsoft SharePoint Foundation Workflow Timer. |
Учетная запись пользователя домена Дополнительные разрешения автоматически предоставляются учетной записи фермы серверов на веб-серверах и серверах приложений, присоединенных к ферме серверов. Учетная запись фермы серверов автоматически добавляется в качестве учетной записи для входа SQL Server на компьютере, на котором выполняется SQL Server. Эта учетная запись добавляется в следующие роли безопасности SQL Server: * предопределинная роль сервера dbcreator * Securityadmin предопределила роль сервера * db_owner предопределенных ролей базы данных для всех баз данных SharePoint в ферме серверов Администратор не должен использовать эту учетную запись в интерактивном режиме. Измените учетную запись службы фермы, чтобы перезапустить сервер IIS с помощью iisreset.exe команды . |
Учетные записи служб-приложений
В следующей таблице описываются учетные записи, которые используются для установки и настройки приложения-службы.
Дополнительные сведения о конечных точках приложений служб см. в статье Использование конечных точек службы.
Примечание.
службы Excel и служба синхронизации профилей пользователей применяются только к SharePoint 2013.
Службы Access и PerformancePoint Service не применяются к выпуску Subscription.
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Конечная точка приложения-службы | Запуск экземпляров SharePoint Services и служб Windows | Учетная запись домена |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Службы Access | X | |
| Служба подключения к бизнес-данным | X | X |
| Служба Secure Store | X | |
| Служба сбора данных об использовании и исправности | X | |
| Служба профилей пользователей | X | |
| Служба графики Visio | X | |
| Word Automation Services | X | |
| Службы Excel | X | |
| Служба управляемых метаданных | X | |
| Служба PerformancePoint Service | X | |
| Служба поиска | X |
Примечание.
Эта учетная запись используется в качестве удостоверения для пула приложений конечной точки приложения-службы. В отсутствие особых требований к изоляции пул приложений можно использовать для размещения нескольких конечных точек приложений-служб. Для службы Excel, управляемой службы метаданных, службы PerformancePoint и служба необходимо быть учетной записью пользователя домена. Кроме того, службы Excel доступна только в SharePoint Server 2013.
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба маркеров безопасности | X | |
| Обнаружение приложений и служба балансировки нагрузки | X | X |
Примечание.
Эта учетная запись используется в качестве удостоверения для пула приложений конечной точки приложения-службы. Эта учетная запись должна быть учетной записью службы фермы, а мастер настройки продуктов SharePoint автоматически создает пул приложений.
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Автоматическая служба | Недоступно | Используется для выполнения функций от имени пользователя или службы | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Службы Excel | X | |
| Служба PerformancePoint Service | X | |
| Служба графики Visio | X |
Примечание.
службы Excel используется с книгами для обновления данных. Требуется, если в подключениях рабочих книг для проверки подлинности указывается значение "Нет" или если для обновления данных используются учетные данные, не являющиеся учетными данными Windows. Служба PerformancePoint используется для проверки подлинности с помощью источников данных. Служба Visio используется с документами для обновления данных. Это необходимо при подключении к внешним источникам данных SharePoint Server, например к SQL Server.
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Доступ к контенту по умолчанию | Поиск | Обход содержимого | Доступ на чтение к содержимому, для которого выполняется обход контента |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба поиска SharePoint Server | X |
Примечание.
Учетная запись по умолчанию для обхода контента. Администратор приложения-службы поиска может создавать правила обхода контента, чтобы настроить выполнение обхода определенного контента другими учетными записями. Должна иметь доступ для чтения к контенту, обход которого выполняется. Разрешения "Полное чтение" должны быть явно предоставлены для контента, который находится за пределами локальной фермы. Разрешения "Полное чтение" автоматически настраиваются для баз данных контента в локальной ферме. Требуется управление журналом аудита и безопасности прямо в локальной политике пользователей на файловом сервере Windows, для обхода контента настроено.
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Служба поиска | Поиск | Запуск служб Windows Search | Учетная запись пользователя домена |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба поиска SharePoint Server | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Администратор фермы | Служба синхронизации профилей пользователей | Запуск служб Forefront Identity Manager | Учетная запись администратора фермы; Локальный администратор, на котором запущена служба синхронизации профилей пользователей |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба синхронизации профилей пользователей | X | Недоступно |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Подключение синхронизации | Служба профилей пользователей | Подключение к хранилищам удостоверений пользователей | Репликация изменений каталога (Active Directory), доступ на чтение (другие каталоги) |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба профилей пользователей | X | Недоступно |
Примечание.
Разрешения "Репликация изменений каталога" на разделе конфигурации синхронизируемых доменов, если имя NetBIOS и полное доменное имя не совпадают.
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| служба управления приложениями; | Недоступно | Используется для установки надстроек SharePoint | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Управление приложениями | X | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Служба преобразования PowerPoint | Службы преобразования PowerPoint | Преобразование файлов PowerPoint в другие форматы | Роль администратора фермы (только SharePoint Server 2013) |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба преобразования PowerPoint | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Служба машинного перевода | Служба машинного перевода | Выполнение автоматизированного машинного перевода | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Служба машинного перевода | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Службы Access 2013 | Службы Access | Взаимодействие с базами данных Access 2013 в браузере | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Службы Access в SharePoint Server 2013 | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Служба управления работой | Служба "Управление работой" | Обеспечивает агрегирование задач в SharePoint, Exchange и Project Server. | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Управление работой | X |
| Account | Служба | Назначение | Требования |
|---|---|---|---|
| Распределенный кэш | Служба Windows AppFabric | Выполняет операции распределенного кэша | Недоступно |
| Имя службы | В SharePoint Server | В SharePoint Foundation |
|---|---|---|
| Распределенный кэш | X | X |
Примечание.
Некоторые из функций, которые используют службу распределенного кэша, это каналы новостей, проверка подлинности, клиентский доступ OneNote, обрезка безопасности и повышение производительности загрузки страниц. В ферме требуется по крайней мере один сервер распределенного кэша.
Веб-приложения SharePoint
Для всех веб-приложений должна использоваться одна учетная запись с именем учетная запись пула веб-приложений. Это условие позволяет администратору использовать один пул приложений IIS для всех веб-приложений, что повышает производительность и сокращает использование памяти на сервере.
| Account | Назначение |
|---|---|
| Удостоверение пула приложений | Учетная запись пользователя, которую рабочие процессы, обслуживающие пул приложений, используют как удостоверение процесса. Эта учетная запись используется для доступа к базам данных контента, которые связаны с веб-приложениями, размещаемыми в пуле приложений. |
Стандартные требования к одному серверу
При развертывании на одном сервере требования к учетной записи значительно снижаются. В тестовой среде можно использовать одну учетную запись для решения всех задач. В рабочей среде необходимо убедиться, что созданная учетная запись имеет достаточные разрешения для выполнения этих целей.
Список разрешений учетных записей для сред с одним сервером см. в статье Начальное развертывание учетных записей администраторов и служб в SharePoint Server.
Требования установки на ферме серверов
При развертывании на нескольких серверах используйте стандартные требования фермы серверов, чтобы гарантировать, что учетные записи имеют соответствующие разрешения для выполнения своих процессов на нескольких компьютерах. Стандартные требования к ферме серверов описывают минимальную конфигурацию, необходимую для работы решения в среде фермы серверов.
Список стандартных требований для среды фермы серверов см. в разделе Технический справочник: требования к учетной записи в зависимости от сценария этой статьи.
Для некоторых учетных записей при запуске мастера настройки настраиваются дополнительные разрешения или доступ к базам данных. Эти дополнительные привилегии отмечены в средстве планирования учетных записей. Одним из важных аспектов настройки, который необходимо учитывать администраторам базы данных, является добавление роли базы данных WSS_Content_Application_Pools. Мастер настройки добавляет эту роль в следующие базы данных:
база данных SharePoint_Config (база данных конфигурации);
база данных содержимого SharePoint_Admin
Членам роли базы данных WSS_Content_Application_Pools предоставляется разрешение Execute на подмножество хранимых процедур для базы данных. Кроме того, членам этой роли предоставляется разрешение Select на таблицу версий (dbo.Versions) в базе данных SharePoint_AdminContent.
Для других баз данных средство планирования учетных записей указывает, какие разрешения на доступ для чтения из этих баз данных настроены автоматически. В некоторых случаях также настраивается автоматически ограниченный доступ для записи в базы данных. Чтобы предоставить этот доступ, настраиваются разрешения для хранимых процедур.
Технический справочник: требования к учетной записи в зависимости от сценария
В этом разделе требования к учетным записям перечисляются в зависимости от сценария.
Стандартные требования к одному серверу
Важно!
Мы не рекомендуем использовать эту конфигурацию в рабочей среде.
Учетные записи фермы серверов
| Account | Требования |
|---|---|
| Служба SQL Server | Учетная запись Local System (по умолчанию) |
| Учетная запись администратора фермы | Член группы "Администраторы" на локальном компьютере. |
| Служба фермы | Сетевая служба (по умолчанию). Настройка вручную не требуется. |
Учетные записи служб-приложений
Важно!
Учетные записи в этой таблице применяются только к SharePoint Server.
| Учетная запись | Требования |
|---|---|
| Служба поиска SharePoint Server | По умолчанию эта учетная запись выполняется от имени учетной записи Local System. Если вы хотите выполнить обход удаленного содержимого, изменив учетную запись доступа к содержимому по умолчанию или используя правила обхода контента, измените эту учетную запись на учетную запись пользователя домена. Если не заменить эту учетную запись учетной записью пользователя домена, нельзя будет изменить учетную запись доступа к контенту по умолчанию на учетную запись пользователя домена или добавить правила обхода для обхода этого контента. Это ограничение предназначено для предотвращения повышения привилегий другого процесса, выполняющегося от имени учетной записи Local System. |
| Доступ к контенту по умолчанию | Если эта учетная запись используется только для обхода контента локальной фермы, вносить изменения вручную не требуется. Если вы хотите сканировать удаленное содержимое с помощью правил обхода контента, измените эту учетную запись на учетную запись пользователя домена и примените требования, перечисленные для фермы серверов. |
| Доступ к контенту | Некоторые требования, такие как учетная запись доступа к контенту по умолчанию. |
| Учетная запись синхронизации профилей | Те же требования, что и к ферме серверов. |
| Автоматическая служба Службы Excel | Должна являться учетной записью пользователя домена. |
Дополнительные учетные записи удостоверений пулов приложений
| Account | Требования |
|---|---|
| Удостоверение пула приложений | Ручные настройки не требуются. Учетная запись сетевой службы используется для веб-сайта по умолчанию, который создан во время установки и настройки. |
Стандартные требования среды фермы серверов
Учетные записи фермы серверов
| Account | Назначение | Требования |
|---|---|---|
| Учетная запись службы SQL Server |
Учетная запись службы SQL Server используется для выполнения SQL Server. Это учетная запись службы для следующих служб SQL Server: MSSQLSERVER, SQLSERVERAGENT. Если вы не используете экземпляр SQL Server по умолчанию, в консоли служб Windows эти службы будут отображаться следующим образом: MSSQL<имя_экземпляра> SQLAgent<имя_экземпляра> |
Используйте учетную запись пользователя домена или желательно групповую управляемую учетную запись службы. If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. Если вы используете учетную запись пользователя домена или групповую управляемую учетную запись службы для SQL Server учетной записи службы, предоставьте разрешения этой учетной записи пользователя домена. Однако если вы используете сетевую службу или учетную запись локальной системы, предоставьте разрешения для внешнего ресурса учетной> записи компьютера (<domain_name\<SQL_hostname>). Имя экземпляра задается произвольно при установке SQL Server. |
| Учетная запись администратора фермы |
Учетная запись администратора фермы — это уникально идентифицируемая учетная запись, назначенная администратору SharePoint. Он используется для выполнения: Настройка Мастер настройки продуктов SharePoint |
Учетная запись пользователя домена. Член группы администраторов на каждом сервере SharePoint в ферме. Член следующей роли SQL Server (необязательно): предопределительная роль сервера sysadmin. При выполнении Windows PowerShell командлетов, влияющих на базу данных, эта учетная запись должна быть членом db_owner предопределенных ролей базы данных для базы данных или членом предопределенных ролей сервера sysadmin в SQL. |
| Учетная запись службы фермы |
Учетная запись службы фермы используется для выполнения следующих задач: действия в качестве удостоверения пула приложений для веб-сайта центра администрирования SharePoint; запуск службы Microsoft SharePoint Foundation Workflow Timer. |
Учетная запись пользователя домена Дополнительные разрешения автоматически предоставляются учетной записи фермы серверов на веб-серверах и серверах приложений, присоединенных к ферме серверов. Учетная запись фермы серверов автоматически добавляется в качестве учетной записи для входа SQL Server на компьютере, на котором выполняется SQL Server. Эта учетная запись добавляется в следующие роли безопасности SQL Server: * предопределинная роль сервера dbcreator * Securityadmin предопределила роль сервера * db_owner предопределенных ролей базы данных для всех баз данных SharePoint в ферме серверов Администратор не должен использовать эту учетную запись в интерактивном режиме. Измените учетную запись службы фермы, чтобы перезапустить сервер IIS с помощью iisreset.exe команды . |
Учетные записи приложений-служб
Важно!
Учетная запись синхронизации профилей и учетная запись службы службы Excel автоматически применяются только к SharePoint Server.
| Account | Требования |
|---|---|
| Учетная запись службы поиска SharePoint Server | Должна являться учетной записью пользователя домена. Не должна быть членом группы "Администраторы фермы". Автоматически настраиваются следующие параметры: доступ для чтения из базы данных конфигурации, базы данных контента администрирования, базы данных администрирования поиска, баз данных обхода контента. полный доступ к разделам индекса на серверах запросов. |
| Учетная запись по умолчанию для доступа к контенту | Должна являться учетной записью пользователя домена. Не должна быть членом группы "Администраторы фермы". Доступ на чтение к внешним или защищенным источникам контента, обход которых требуется выполнять с помощью этой учетной записи. Для сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения на веб-приложениях, размещенных на этих сайтах. Следующие параметры настраиваются автоматически. Разрешения на полное чтение автоматически предоставляются базам данных контента, размещенным в ферме серверов. |
| Учетная запись для доступа к контенту | Доступ на чтение к внешним или защищенным источникам контента, доступ к которым настроен для этой учетной записи. Для веб-сайтов, не являющихся частью фермы серверов, этой учетной записи должны быть явно предоставлены разрешения полного чтения в веб-приложениях, размещенных на этих сайтах. |
| Учетная запись синхронизации профилей | Доступ для чтения к службе каталогов. Учетная запись должна иметь разрешение Репликация изменений в Active Directory. Разрешение "Управление профилями пользователей" служб персонализации. Просмотр разрешений для объектов, используемых в подключениях импорта каталога бизнес-данных. |
| Учетная запись автоматической службы Службы Excel | Должна являться учетной записью пользователя домена. |
Дополнительные учетные записи удостоверений пулов приложений
| Account | Требования |
|---|---|
| Удостоверение пула приложений | Ручные настройки не требуются. Автоматически настраивается следующее: членство в роли SP_DATA_ACCESS для баз данных контента и баз данных поиска, связанных с веб-приложением. членство в ролях конкретных пулов приложений для баз данных конфигурации и баз данных SharePoint_AdminContent. Дополнительные разрешения для этой учетной записи для интерфейсных веб-серверов и серверов приложений предоставляются автоматически. |