Plan de cuentas administrativas y de servicio en SharePoint Server
SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365
Para instalar SharePoint Server, debe tener las cuentas administrativas y de servicio adecuadas en los servidores que ejecutan SharePoint Server y SQL Server. Tras la instalación, debe tener dichas cuentas para modificar y mantener el entorno. Las cuentas que puede necesitar para completar estos grupos de tareas no tienen por qué ser las mismas. En este artículo se describen las cuentas que necesita después de la instalación para un entorno de servidor único y un entorno de granja de servidores.
Importante
No use nombres de cuenta de servicio que contengan el símbolo $ con la excepción de usar una cuenta de servicio administrada de grupo para SQL Server.
Importante
Los servicios de SharePoint no admiten cuentas de servicio administradas de Active Directory ni cuentas de servicio administradas de grupo.
Use este artículo junto con las cuentas administrativas y de servicio de implementación inicial en SharePoint Server.
En el artículo sobre las cuentas administrativas y de servicio para la implementación inicial se describen las cuentas y los permisos específicos que se necesitan antes de ejecutar el programa de instalación.
En este artículo no se describen los requisitos de cuenta para usar el servicio almacenamiento seguro en SharePoint Server. Para obtener más información, consulte Planear el Servicio de almacenamiento seguro en SharePoint Server.
Obtenga información sobre el rol de administrador de SharePoint en Microsoft 365.
Cuentas administrativas y de servicio
En esta sección se enumeran y describen las cuentas para las que debe planear la administración de servidores que ejecutan SQL Server o SharePoint Server. Las cuentas se encuentran agrupadas por ámbito.
Una vez completada la instalación y la configuración de las cuentas, asegúrese de no usar la cuenta de sistema local para llevar a cabo tareas administrativas o para explorar sitios.
Cuentas en el nivel de la granja de servidores
En la tabla siguiente se describen las cuentas que se usan para configurar el software de base de datos de SQL Server e instalar SharePoint Server.
Account | Finalidad | Requisitos |
---|---|---|
Cuenta de servicio de SQL Server | La cuenta de servicio de SQL Server se usa para ejecutar SQL Server. Se trata de la cuenta de servicio de los siguientes servicios de SQL Server: MSSQLSERVER SQLSERVERAGENT Si no usa la instancia predeterminada de SQL Server, en la consola de Servicios de Windows, estos servicios se mostrarán como: MSSQL<InstanceName> SQLAgent<InstanceName> |
Use una cuenta de usuario de dominio o, preferiblemente, una cuenta de servicio administrada de grupo. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio o una cuenta de servicio administrada de grupo para la cuenta de servicio de SQL Server, conceda permisos a esa cuenta de usuario de dominio. Sin embargo, si usa el servicio de red o la cuenta de sistema local, conceda permisos al recurso externo a la cuenta de equipo (<domain_name>\<SQL_hostname>). El nombre de la instancia es arbitrario y se creó al instalar SQL Server. |
Cuenta de usuario del administrador de la granja de servidores | La cuenta de usuario del administrador de la granja de servidores es una cuenta de identificación única asignada a un administrador de SharePoint. Se usa para ejecutar: Instalación Asistente para la configuración de productos de SharePoint |
Cuenta de usuario de dominio. Miembro del grupo Administradores en cada servidor de SharePoint de la granja de servidores. Miembro del siguiente rol de SQL Server (opcional): rol fijo de servidor sysadmin . Si ejecuta cmdlets de Windows PowerShell que afectan a una base de datos, esta cuenta debe ser miembro de la db_owner rol fijo de base de datos de la base de datos o miembro del rol fijo de servidor sysadmin en SQL. |
Cuenta de servicio de granja de servidores | La cuenta de servicio de la granja de servidores se usa para realizar las tareas siguientes: Actuar como la identidad del grupo de aplicaciones para el sitio web de Administración central de SharePoint. Iniciar el servicio de temporizador de flujo de trabajo de Microsoft SharePoint Foundation. |
Cuenta de usuario de dominio. Se conceden automáticamente más permisos para la cuenta de granja de servidores en servidores web y servidores de aplicaciones que están unidos a una granja de servidores. La cuenta de la granja de servidores se agrega automáticamente como un inicio de sesión de SQL Server en el equipo que ejecuta SQL Server. La cuenta se agrega a los siguientes roles de seguridad de SQL Server: * rol fijo de servidor dbcreator * rol fijo de servidor securityadmin * db_owner rol fijo de base de datos para todas las bases de datos de SharePoint de la granja de servidores Un administrador no debe usar esta cuenta de forma interactiva. Modificar la cuenta de servicio de granja de servidores tendrá que reiniciar el servidor IIS mediante el iisreset.exe comando . |
Cuentas de aplicación de servicio
En la tabla siguiente se describen las cuentas que se usan para instalar y configurar una aplicación de servicio.
Para obtener más información sobre puntos de conexión de aplicación de servicio, vea Uso de los puntos de conexión de servicio.
Nota:
Excel Services y el servicio de sincronización de perfiles de usuario solo se aplican a SharePoint 2013.
Access Services y PerformancePoint Service no se aplican a Subscription Edition.
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Extremo de aplicación de servicio | Ejecución de instancias de SharePoint Services y Servicios de Windows | Cuenta de usuario de dominio |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicios de Access | X | |
Servicio de conectividad a datos empresariales | X | X |
Servicio de almacenamiento seguro | X | |
Servicio de recolección de datos de mantenimiento | X | |
Servicio de perfiles de usuario | X | |
Servicio de gráficos de Visio | X | |
Word Automation Services | X | |
Servicios de Excel | X | |
Servicio de metadatos administrados | X | |
Servicio PerformancePoint | X | |
Servicio de búsqueda | X |
Nota:
Esta cuenta se usa como identidad para el grupo de aplicaciones de punto de conexión de aplicación de servicio. Salvo que haya requisitos de aislamiento específicos, el grupo de aplicaciones puede utilizarse para hospedar varios extremos de aplicación de servicio. Para Servicios de Excel, Servicio de metadatos administrados, Servicio de PerformancePoint y Servicio de búsqueda, debe ser una cuenta de usuario de dominio. Además, Excel Services solo está disponible en SharePoint Server 2013.
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicio de token de seguridad | X | |
Servicio de equilibrio de carga y detección de aplicaciones | X | X |
Nota:
Esta cuenta se usa como identidad para el grupo de aplicaciones de punto de conexión de aplicación de servicio. Debe ser la cuenta de servicio de la granja de servidores y Asistente para la configuración de productos de SharePoint crea el grupo de aplicaciones de forma automática.
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Servicio desatendido | N/D | Se usa para ejecutar funciones en nombre del usuario o servicio | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicios de Excel | X | |
Servicio PerformancePoint | X | |
Servicio de gráficos de Visio | X |
Nota:
Servicios de Excel que se usan con libros para actualizar datos. Es necesaria cuando las conexiones del libro especifican "Ninguna" para la autenticación, o cuando se utiliza cualquier credencial que no es de Windows para actualizar los datos. El servicio PerformancePoint se usa para autenticarse con orígenes de datos. El servicio Visio se usa con documentos para actualizar datos. Es necesario al conectarse a orígenes de datos externos a SharePoint Server, como SQL Server.
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Cuenta predeterminada de acceso al contenido | Búsqueda | Rastreo de contenido | Acceso de lectura al contenido que se está rastreando |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Búsqueda de SharePoint Server | X |
Nota:
La cuenta predeterminada para rastrear el contenido. Los administradores de aplicaciones de servicio de búsqueda pueden crear reglas de rastreo para especificar que otras cuentas rastreen un contenido concreto. Debe tener acceso de lectura al contenido que se está rastreando. Los permisos de acceso completo de lectura deben concederse de forma explícita a contenido que se encuentra fuera de la granja de servidores. Los permisos de acceso completo de lectura se configuran automáticamente para las bases de datos de contenido de la granja de servidores local. Requiere administrar la auditoría y el registro de seguridad directamente en la directiva de usuario local en los servidores de archivos de Windows que está configurado para rastrear.
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Search Service | Búsqueda | Ejecución de los servicios de Windows Search | Ser una cuenta de usuario de dominio |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Búsqueda de SharePoint Server | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Administrador de granjas de servidores | Servicio de sincronización de perfiles de usuario | Ejecuta los servicios de Forefront Identity Manager | Cuenta de administrador de la granja de servidores; Administrador local donde se inicia el servicio de sincronización de perfiles de usuario |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicio de sincronización de perfiles de usuario | X | N/D |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Conexión de sincronización | Servicio de perfiles de usuario | Conexión a almacenes de identidades de usuario | Replicar cambios de directorio (Active Directory), acceso de lectura (otros directorios) |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicio de perfiles de usuario | X | N/D |
Nota:
Permisos de replicar cambios de directorio en la partición de la configuración de los dominios que se están sincronizando si NetBIOS y el nombre de dominio completo (FQDN) no coinciden.
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Servicio de administración de aplicaciones | N/D | Se usa para instalar complementos de SharePoint | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Administración de aplicaciones | X | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Servicio de conversión de PowerPoint | Servicios de conversión de PowerPoint | Convertir archivos de PowerPoint a otros formatos de archivo | Rol de administrador de granja de servidores (solo SharePoint Server 2013) |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicio de conversión de PowerPoint | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Servicio de traducción automática | Servicio de traducción automática | Realizar traducciones automáticas automatizadas | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicio de traducción automática | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Access Services 2013 | Servicios de Access | Interacción con bases de datos de Access 2013 en un explorador | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Servicios de Access en SharePoint Server 2013 | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Administración del trabajo | Servicio de administración del trabajo | Proporciona agregación de tareas en SharePoint, Exchange y Project Server. | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Administración del trabajo | X |
Account | Servicio | Objetivo | Requisitos |
---|---|---|---|
Caché distribuida | Servicio De AppFabric para Windows | Ejecuta operaciones de caché distribuida | N/D |
Nombre del servicio | En SharePoint Server | En SharePoint Foundation |
---|---|---|
Caché distribuida | X | X |
Nota:
Algunas de las características que usan el servicio Caché distribuida son suministro de noticias, autenticación, acceso de cliente de OneNote, recorte de seguridad y mejora el rendimiento de carga de página. Se requiere al menos un servidor de caché distribuida en la granja de servidores.
Aplicaciones web de SharePoint
Se debe usar una sola cuenta para todas las aplicaciones web, denominada cuenta de grupo de aplicaciones web. Esta condición permite al administrador usar un único grupo de aplicaciones iis para todas las aplicaciones web, lo que aumenta el rendimiento y reduce el uso de memoria en el servidor.
Account | Objetivo |
---|---|
Identidad del grupo de aplicaciones | Cuenta de usuario que los procesos de trabajo que realizan el mantenimiento del grupo de aplicaciones usan como identidad de proceso. Esta cuenta se utiliza para acceder al contenido de las bases de datos que están asociadas a las aplicaciones web hospedadas en el grupo de aplicaciones. |
Requisitos estándar de servidor único
Si va a realizar la implementación en un único servidor, los requisitos de la cuenta se reducen considerablemente. En un entorno de evaluación, puede usar una sola cuenta. En un entorno de producción, en cambio, asegúrese de que las cuentas que cree disponen de los permisos adecuados para llevar a cabo las tareas necesarias.
Para obtener una lista de permisos de cuenta para entornos de servidor único, vea Cuentas administrativas y de servicio de implementación iniciales en SharePoint Server.
Requisitos para una granja de servidores
Si va a realizar la implementación en más de un servidor, use los requisitos estándar de la granja de servidores para asegurarse de que las cuentas tengan los permisos adecuados para realizar sus procesos en varios equipos. Los requisitos comunes de una granja de servidores representan la configuración mínima necesaria para funcionar en un entorno de granja de servidores.
Si desea consultar una lista de los requisitos comunes para entornos de granjas de servidores, vea la lista de la sección Referencia técnica: Requisitos de las cuentas por escenario en este mismo artículo.
En algunas cuentas, se configuran permisos adicionales o acceso a bases de datos al ejecutar el Asistente para configuración. Estos privilegios adicionales se indican en la herramienta de planeamiento de cuentas. Una configuración importante que los administradores de bases de datos deberían tener en cuenta es la agregación del rol de base de datos WSS_Content_Application_Pools. El Asistente para configuración agrega este rol a las bases de datos siguientes:
Base de datos SharePoint_Config (base de datos de configuración)
SharePoint_Admin base de datos de contenido
A los miembros del rol de base de datos de WSS_Content_Application_Pools se les concede el permiso de ejecución a un subconjunto de los procedimientos almacenados para la base de datos. También se les concede el permiso de selección a la tabla de versiones (dbo.Versions) en la base de datos SharePoint_AdminContent.
Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura desde estas bases de datos se configura automáticamente. En algunos casos, también se configura de forma automática el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos de acceso a los procedimientos almacenados.
Referencia técnica: requisitos de cuentas por escenario
En esta sección se incluyen los requisitos de cuentas por escenario:
Requisitos estándar de servidor único
Importante
No se recomienda esta configuración en un entorno de producción.
Cuentas en el nivel de la granja de servidores
Account | Requisitos |
---|---|
Servicio SQL Server | Cuenta de sistema local (predeterminada) |
Cuenta de usuario del administrador de la granja de servidores | Miembro del grupo Administradores en el equipo local. |
Servicio de granja de servidores | Servicio de red (valor predeterminado) No es necesaria ninguna configuración manual. |
Cuentas de aplicación de servicio
Importante
Las cuentas que aparecen en esta tabla solo se aplican a SharePoint Server.
Cuenta | Requisitos |
---|---|
Servicio de búsqueda de SharePoint Server | De forma predeterminada, esta cuenta se ejecuta como la cuenta de sistema local. Si desea rastrear contenido remoto cambiando la cuenta de acceso al contenido predeterminada o mediante reglas de rastreo, cambie esta cuenta a un usuario de dominio uno. De no hacerlo, no podrá cambiar la cuenta predeterminada de acceso al contenido a una cuenta de usuario de dominio ni agregar reglas de rastreo para rastrear ese contenido. Esta restricción está pensada para impedir la elevación de privilegios en cualquier otro proceso que se ejecute como la cuenta de sistema local. |
Cuenta predeterminada de acceso al contenido | No es necesaria ninguna configuración manual si esta cuenta solo rastrea contenido de una granja de servidores local. Si desea rastrear contenido remoto mediante reglas de rastreo, cambie esta cuenta a un usuario de dominio uno y aplique los requisitos enumerados para una granja de servidores. |
Cuenta de acceso al contenido | Tiene los mismos requisitos que la cuenta predeterminada de acceso al contenido |
Cuenta de sincronización de perfiles | Tiene los mismos requisitos que una granja de servidores. |
Cuenta de servicio desatendida de Servicios de Excel | Debe ser una cuenta de usuario de dominio. |
Cuentas de identidad del grupo de aplicaciones adicionales
Account | Requisitos |
---|---|
Identidad del grupo de aplicaciones | No es necesaria ninguna configuración manual. La cuenta de servicio de red se usa para el sitio web predeterminado que se crea durante el programa de instalación y la configuración. |
Requisitos estándar de granjas de servidores
Cuentas en el nivel de la granja de servidores
Account | Finalidad | Requisitos |
---|---|---|
Cuenta de servicio de SQL Server |
La cuenta de servicio de SQL Server se usa para ejecutar SQL Server. Se trata de la cuenta de servicio de los siguientes servicios de SQL Server: MSSQLSERVER SQLSERVERAGENT Si no usa la instancia predeterminada de SQL Server, en la consola de Servicios de Windows, estos servicios se mostrarán como: MSSQL<InstanceName> SQLAgent<InstanceName> |
Use una cuenta de usuario de dominio o, preferiblemente, una cuenta de servicio administrada de grupo. Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio o una cuenta de servicio administrada de grupo para la cuenta de servicio de SQL Server, conceda permisos a esa cuenta de usuario de dominio. Sin embargo, si usa el servicio de red o la cuenta de sistema local, conceda permisos al recurso externo a la cuenta de equipo (<domain_name>\<SQL_hostname>). El nombre de la instancia es arbitrario y se creó al instalar SQL Server. |
Cuenta de usuario del administrador de la granja de servidores |
La cuenta de usuario del administrador de la granja de servidores es una cuenta de identificación única asignada a un administrador de SharePoint. Se usa para ejecutar: Instalación Asistente para la configuración de productos de SharePoint |
Cuenta de usuario de dominio. Miembro del grupo Administradores en cada servidor de SharePoint de la granja de servidores. Miembro del siguiente rol de SQL Server (opcional): rol fijo de servidor sysadmin . Si ejecuta cmdlets de Windows PowerShell que afectan a una base de datos, esta cuenta debe ser miembro de la db_owner rol fijo de base de datos de la base de datos o miembro del rol fijo de servidor sysadmin en SQL. |
Cuenta de servicio de granja de servidores |
La cuenta de servicio de la granja de servidores se usa para realizar las tareas siguientes: Actuar como la identidad del grupo de aplicaciones para el sitio web de Administración central de SharePoint. Iniciar el servicio de temporizador de flujo de trabajo de Microsoft SharePoint Foundation. |
Cuenta de usuario de dominio. Se conceden automáticamente más permisos para la cuenta de granja de servidores en servidores web y servidores de aplicaciones que están unidos a una granja de servidores. La cuenta de la granja de servidores se agrega automáticamente como un inicio de sesión de SQL Server en el equipo que ejecuta SQL Server. La cuenta se agrega a los siguientes roles de seguridad de SQL Server: * rol fijo de servidor dbcreator * rol fijo de servidor securityadmin * db_owner rol fijo de base de datos para todas las bases de datos de SharePoint de la granja de servidores Un administrador no debe usar esta cuenta de forma interactiva. Modificar la cuenta de servicio de granja de servidores tendrá que reiniciar el servidor IIS mediante el iisreset.exe comando . |
Cuentas de aplicación de servicio
Importante
La cuenta de sincronización de perfiles y la cuenta de servicio desatendida de Excel Services solo se aplican a SharePoint Server.
Account | Requisitos |
---|---|
Cuenta de servicio de búsqueda de SharePoint Server | Debe ser una cuenta de usuario de dominio. No puede pertenecer al grupo Administradores de la granja de servidores. Las siguientes opciones se configuran automáticamente: acceso para leer desde la base de datos de configuración, la base de datos de contenido de administración, la base de datos de administración de búsqueda y las bases de datos de rastreo. Acceso de control total a las particiones del índice de los servidores de consultas. |
Cuenta predeterminada de acceso al contenido | Debe ser una cuenta de usuario de dominio. No puede pertenecer al grupo Administradores de la granja de servidores. Acceso de lectura a los orígenes de contenido seguros o externos que desea rastrear con esa cuenta. Para los sitios que no forman parte de la granja de servidores, esta cuenta debe obtener un permiso explícito para tener el acceso completo de lectura en las aplicaciones web que hospedan los sitios. Las siguientes opciones se configuran automáticamente: los permisos de lectura completa se conceden automáticamente a las bases de datos de contenido hospedadas por la granja de servidores. |
Cuenta de acceso al contenido | Acceso de lectura a orígenes de contenido seguros o externos a los que esta cuenta está configurada para tener acceso. Para los sitios web que no forman parte de la granja de servidores, esta cuenta debe obtener un permiso explícito para tener el acceso completo de lectura en las aplicaciones web que hospedan los sitios. |
Cuenta de sincronización de perfiles | Acceso de lectura al servicio de directorio. La cuenta debe tener el permiso Replicar cambios en Active Directory. Permiso de servicios de personalización para administrar perfiles de usuario. Ver los permisos en entidades usadas en las conexiones de importación del Catálogo de datos profesionales. |
Cuenta servicio desatendida de Servicios de Excel | Debe ser una cuenta de usuario de dominio. |
Cuentas de identidad del grupo de aplicaciones adicionales
Account | Requisitos |
---|---|
Identidad del grupo de aplicaciones | No es necesaria ninguna configuración manual. Lo siguiente se configura automáticamente: Pertenencia al rol de SP_DATA_ACCESS para bases de datos de contenido y bases de datos de búsqueda asociadas a la aplicación web. Pertenecer a roles de grupos de aplicaciones específicos para la base de datos SharePoint_AdminContent y la base de datos de configuración. Se conceden automáticamente más permisos para esta cuenta a servidores front-end web y servidores de aplicaciones. |