Compartir a través de


Plan de cuentas administrativas y de servicio en SharePoint Server

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint en Microsoft 365

Para instalar SharePoint Server, debe tener las cuentas administrativas y de servicio adecuadas en los servidores que ejecutan SharePoint Server y SQL Server. Tras la instalación, debe tener dichas cuentas para modificar y mantener el entorno. Las cuentas que puede necesitar para completar estos grupos de tareas no tienen por qué ser las mismas. En este artículo se describen las cuentas que necesita después de la instalación para un entorno de servidor único y un entorno de granja de servidores.

Importante

No use nombres de cuenta de servicio que contengan el símbolo $ con la excepción de usar una cuenta de servicio administrada de grupo para SQL Server.

Importante

Los servicios de SharePoint no admiten cuentas de servicio administradas de Active Directory ni cuentas de servicio administradas de grupo.

Use este artículo junto con las cuentas administrativas y de servicio de implementación inicial en SharePoint Server.

En el artículo sobre las cuentas administrativas y de servicio para la implementación inicial se describen las cuentas y los permisos específicos que se necesitan antes de ejecutar el programa de instalación.

En este artículo no se describen los requisitos de cuenta para usar el servicio almacenamiento seguro en SharePoint Server. Para obtener más información, consulte Planear el Servicio de almacenamiento seguro en SharePoint Server.

Obtenga información sobre el rol de administrador de SharePoint en Microsoft 365.

Cuentas administrativas y de servicio

En esta sección se enumeran y describen las cuentas para las que debe planear la administración de servidores que ejecutan SQL Server o SharePoint Server. Las cuentas se encuentran agrupadas por ámbito.

Una vez completada la instalación y la configuración de las cuentas, asegúrese de no usar la cuenta de sistema local para llevar a cabo tareas administrativas o para explorar sitios.

Cuentas en el nivel de la granja de servidores

En la tabla siguiente se describen las cuentas que se usan para configurar el software de base de datos de SQL Server e instalar SharePoint Server.

Account Finalidad Requisitos
Cuenta de servicio de SQL Server La cuenta de servicio de SQL Server se usa para ejecutar SQL Server. Se trata de la cuenta de servicio de los siguientes servicios de SQL Server:
MSSQLSERVER
SQLSERVERAGENT
Si no usa la instancia predeterminada de SQL Server, en la consola de Servicios de Windows, estos servicios se mostrarán como:
MSSQL<InstanceName>
SQLAgent<InstanceName>
Use una cuenta de usuario de dominio o, preferiblemente, una cuenta de servicio administrada de grupo.
Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio o una cuenta de servicio administrada de grupo para la cuenta de servicio de SQL Server, conceda permisos a esa cuenta de usuario de dominio. Sin embargo, si usa el servicio de red o la cuenta de sistema local, conceda permisos al recurso externo a la cuenta de equipo (<domain_name>\<SQL_hostname>).
El nombre de la instancia es arbitrario y se creó al instalar SQL Server.
Cuenta de usuario del administrador de la granja de servidores La cuenta de usuario del administrador de la granja de servidores es una cuenta de identificación única asignada a un administrador de SharePoint. Se usa para ejecutar:
Instalación
Asistente para la configuración de productos de SharePoint
Cuenta de usuario de dominio.
Miembro del grupo Administradores en cada servidor de SharePoint de la granja de servidores.
Miembro del siguiente rol de SQL Server (opcional): rol fijo de servidor sysadmin .
Si ejecuta cmdlets de Windows PowerShell que afectan a una base de datos, esta cuenta debe ser miembro de la db_owner rol fijo de base de datos de la base de datos o miembro del rol fijo de servidor sysadmin en SQL.
Cuenta de servicio de granja de servidores La cuenta de servicio de la granja de servidores se usa para realizar las tareas siguientes:
Actuar como la identidad del grupo de aplicaciones para el sitio web de Administración central de SharePoint.
Iniciar el servicio de temporizador de flujo de trabajo de Microsoft SharePoint Foundation.
Cuenta de usuario de dominio.
Se conceden automáticamente más permisos para la cuenta de granja de servidores en servidores web y servidores de aplicaciones que están unidos a una granja de servidores.
La cuenta de la granja de servidores se agrega automáticamente como un inicio de sesión de SQL Server en el equipo que ejecuta SQL Server. La cuenta se agrega a los siguientes roles de seguridad de SQL Server:
* rol fijo de servidor dbcreator
* rol fijo de servidor securityadmin
* db_owner rol fijo de base de datos para todas las bases de datos de SharePoint de la granja de servidores
Un administrador no debe usar esta cuenta de forma interactiva.
Modificar la cuenta de servicio de granja de servidores tendrá que reiniciar el servidor IIS mediante el iisreset.exe comando .

Cuentas de aplicación de servicio

En la tabla siguiente se describen las cuentas que se usan para instalar y configurar una aplicación de servicio.

Para obtener más información sobre puntos de conexión de aplicación de servicio, vea Uso de los puntos de conexión de servicio.

Nota:

Excel Services y el servicio de sincronización de perfiles de usuario solo se aplican a SharePoint 2013.

Access Services y PerformancePoint Service no se aplican a Subscription Edition.

Account Servicio Objetivo Requisitos
Extremo de aplicación de servicio Ejecución de instancias de SharePoint Services y Servicios de Windows Cuenta de usuario de dominio
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicios de Access X
Servicio de conectividad a datos empresariales X X
Servicio de almacenamiento seguro X
Servicio de recolección de datos de mantenimiento X
Servicio de perfiles de usuario X
Servicio de gráficos de Visio X
Word Automation Services X
Servicios de Excel X
Servicio de metadatos administrados X
Servicio PerformancePoint X
Servicio de búsqueda X

Nota:

Esta cuenta se usa como identidad para el grupo de aplicaciones de punto de conexión de aplicación de servicio. Salvo que haya requisitos de aislamiento específicos, el grupo de aplicaciones puede utilizarse para hospedar varios extremos de aplicación de servicio. Para Servicios de Excel, Servicio de metadatos administrados, Servicio de PerformancePoint y Servicio de búsqueda, debe ser una cuenta de usuario de dominio. Además, Excel Services solo está disponible en SharePoint Server 2013.

Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicio de token de seguridad X
Servicio de equilibrio de carga y detección de aplicaciones X X

Nota:

Esta cuenta se usa como identidad para el grupo de aplicaciones de punto de conexión de aplicación de servicio. Debe ser la cuenta de servicio de la granja de servidores y Asistente para la configuración de productos de SharePoint crea el grupo de aplicaciones de forma automática.

Account Servicio Objetivo Requisitos
Servicio desatendido N/D Se usa para ejecutar funciones en nombre del usuario o servicio N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicios de Excel X
Servicio PerformancePoint X
Servicio de gráficos de Visio X

Nota:

Servicios de Excel que se usan con libros para actualizar datos. Es necesaria cuando las conexiones del libro especifican "Ninguna" para la autenticación, o cuando se utiliza cualquier credencial que no es de Windows para actualizar los datos. El servicio PerformancePoint se usa para autenticarse con orígenes de datos. El servicio Visio se usa con documentos para actualizar datos. Es necesario al conectarse a orígenes de datos externos a SharePoint Server, como SQL Server.

Account Servicio Objetivo Requisitos
Cuenta predeterminada de acceso al contenido Búsqueda Rastreo de contenido Acceso de lectura al contenido que se está rastreando
Nombre del servicio En SharePoint Server En SharePoint Foundation
Búsqueda de SharePoint Server X

Nota:

La cuenta predeterminada para rastrear el contenido. Los administradores de aplicaciones de servicio de búsqueda pueden crear reglas de rastreo para especificar que otras cuentas rastreen un contenido concreto. Debe tener acceso de lectura al contenido que se está rastreando. Los permisos de acceso completo de lectura deben concederse de forma explícita a contenido que se encuentra fuera de la granja de servidores. Los permisos de acceso completo de lectura se configuran automáticamente para las bases de datos de contenido de la granja de servidores local. Requiere administrar la auditoría y el registro de seguridad directamente en la directiva de usuario local en los servidores de archivos de Windows que está configurado para rastrear.

Account Servicio Objetivo Requisitos
Search Service Búsqueda Ejecución de los servicios de Windows Search Ser una cuenta de usuario de dominio
Nombre del servicio En SharePoint Server En SharePoint Foundation
Búsqueda de SharePoint Server X
Account Servicio Objetivo Requisitos
Administrador de granjas de servidores Servicio de sincronización de perfiles de usuario Ejecuta los servicios de Forefront Identity Manager Cuenta de administrador de la granja de servidores; Administrador local donde se inicia el servicio de sincronización de perfiles de usuario
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicio de sincronización de perfiles de usuario X N/D
Account Servicio Objetivo Requisitos
Conexión de sincronización Servicio de perfiles de usuario Conexión a almacenes de identidades de usuario Replicar cambios de directorio (Active Directory), acceso de lectura (otros directorios)
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicio de perfiles de usuario X N/D

Nota:

Permisos de replicar cambios de directorio en la partición de la configuración de los dominios que se están sincronizando si NetBIOS y el nombre de dominio completo (FQDN) no coinciden.

Account Servicio Objetivo Requisitos
Servicio de administración de aplicaciones N/D Se usa para instalar complementos de SharePoint N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Administración de aplicaciones X X
Account Servicio Objetivo Requisitos
Servicio de conversión de PowerPoint Servicios de conversión de PowerPoint Convertir archivos de PowerPoint a otros formatos de archivo Rol de administrador de granja de servidores (solo SharePoint Server 2013)
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicio de conversión de PowerPoint X
Account Servicio Objetivo Requisitos
Servicio de traducción automática Servicio de traducción automática Realizar traducciones automáticas automatizadas N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicio de traducción automática X
Account Servicio Objetivo Requisitos
Access Services 2013 Servicios de Access Interacción con bases de datos de Access 2013 en un explorador N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Servicios de Access en SharePoint Server 2013 X
Account Servicio Objetivo Requisitos
Administración del trabajo Servicio de administración del trabajo Proporciona agregación de tareas en SharePoint, Exchange y Project Server. N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Administración del trabajo X
Account Servicio Objetivo Requisitos
Caché distribuida Servicio De AppFabric para Windows Ejecuta operaciones de caché distribuida N/D
Nombre del servicio En SharePoint Server En SharePoint Foundation
Caché distribuida X X

Nota:

Algunas de las características que usan el servicio Caché distribuida son suministro de noticias, autenticación, acceso de cliente de OneNote, recorte de seguridad y mejora el rendimiento de carga de página. Se requiere al menos un servidor de caché distribuida en la granja de servidores.

Aplicaciones web de SharePoint

Se debe usar una sola cuenta para todas las aplicaciones web, denominada cuenta de grupo de aplicaciones web. Esta condición permite al administrador usar un único grupo de aplicaciones iis para todas las aplicaciones web, lo que aumenta el rendimiento y reduce el uso de memoria en el servidor.

Account Objetivo
Identidad del grupo de aplicaciones Cuenta de usuario que los procesos de trabajo que realizan el mantenimiento del grupo de aplicaciones usan como identidad de proceso. Esta cuenta se utiliza para acceder al contenido de las bases de datos que están asociadas a las aplicaciones web hospedadas en el grupo de aplicaciones.

Requisitos estándar de servidor único

Si va a realizar la implementación en un único servidor, los requisitos de la cuenta se reducen considerablemente. En un entorno de evaluación, puede usar una sola cuenta. En un entorno de producción, en cambio, asegúrese de que las cuentas que cree disponen de los permisos adecuados para llevar a cabo las tareas necesarias.

Para obtener una lista de permisos de cuenta para entornos de servidor único, vea Cuentas administrativas y de servicio de implementación iniciales en SharePoint Server.

Requisitos para una granja de servidores

Si va a realizar la implementación en más de un servidor, use los requisitos estándar de la granja de servidores para asegurarse de que las cuentas tengan los permisos adecuados para realizar sus procesos en varios equipos. Los requisitos comunes de una granja de servidores representan la configuración mínima necesaria para funcionar en un entorno de granja de servidores.

Si desea consultar una lista de los requisitos comunes para entornos de granjas de servidores, vea la lista de la sección Referencia técnica: Requisitos de las cuentas por escenario en este mismo artículo.

En algunas cuentas, se configuran permisos adicionales o acceso a bases de datos al ejecutar el Asistente para configuración. Estos privilegios adicionales se indican en la herramienta de planeamiento de cuentas. Una configuración importante que los administradores de bases de datos deberían tener en cuenta es la agregación del rol de base de datos WSS_Content_Application_Pools. El Asistente para configuración agrega este rol a las bases de datos siguientes:

  • Base de datos SharePoint_Config (base de datos de configuración)

  • SharePoint_Admin base de datos de contenido

A los miembros del rol de base de datos de WSS_Content_Application_Pools se les concede el permiso de ejecución a un subconjunto de los procedimientos almacenados para la base de datos. También se les concede el permiso de selección a la tabla de versiones (dbo.Versions) en la base de datos SharePoint_AdminContent.

Para otras bases de datos, la herramienta de planeación de cuentas indica que el acceso de lectura desde estas bases de datos se configura automáticamente. En algunos casos, también se configura de forma automática el acceso de escritura limitado a una base de datos. Para proporcionar este acceso, se configuran permisos de acceso a los procedimientos almacenados.

Referencia técnica: requisitos de cuentas por escenario

En esta sección se incluyen los requisitos de cuentas por escenario:

Requisitos estándar de servidor único

Importante

No se recomienda esta configuración en un entorno de producción.

Cuentas en el nivel de la granja de servidores

Account Requisitos
Servicio SQL Server Cuenta de sistema local (predeterminada)
Cuenta de usuario del administrador de la granja de servidores Miembro del grupo Administradores en el equipo local.
Servicio de granja de servidores Servicio de red (valor predeterminado) No es necesaria ninguna configuración manual.

Cuentas de aplicación de servicio

Importante

Las cuentas que aparecen en esta tabla solo se aplican a SharePoint Server.

Cuenta Requisitos
Servicio de búsqueda de SharePoint Server De forma predeterminada, esta cuenta se ejecuta como la cuenta de sistema local. Si desea rastrear contenido remoto cambiando la cuenta de acceso al contenido predeterminada o mediante reglas de rastreo, cambie esta cuenta a un usuario de dominio uno. De no hacerlo, no podrá cambiar la cuenta predeterminada de acceso al contenido a una cuenta de usuario de dominio ni agregar reglas de rastreo para rastrear ese contenido. Esta restricción está pensada para impedir la elevación de privilegios en cualquier otro proceso que se ejecute como la cuenta de sistema local.
Cuenta predeterminada de acceso al contenido No es necesaria ninguna configuración manual si esta cuenta solo rastrea contenido de una granja de servidores local. Si desea rastrear contenido remoto mediante reglas de rastreo, cambie esta cuenta a un usuario de dominio uno y aplique los requisitos enumerados para una granja de servidores.
Cuenta de acceso al contenido Tiene los mismos requisitos que la cuenta predeterminada de acceso al contenido
Cuenta de sincronización de perfiles Tiene los mismos requisitos que una granja de servidores.
Cuenta de servicio desatendida de Servicios de Excel Debe ser una cuenta de usuario de dominio.

Cuentas de identidad del grupo de aplicaciones adicionales

Account Requisitos
Identidad del grupo de aplicaciones No es necesaria ninguna configuración manual. La cuenta de servicio de red se usa para el sitio web predeterminado que se crea durante el programa de instalación y la configuración.

Requisitos estándar de granjas de servidores

Cuentas en el nivel de la granja de servidores

Account Finalidad Requisitos
Cuenta de servicio de SQL Server
La cuenta de servicio de SQL Server se usa para ejecutar SQL Server. Se trata de la cuenta de servicio de los siguientes servicios de SQL Server:
MSSQLSERVER
SQLSERVERAGENT
Si no usa la instancia predeterminada de SQL Server, en la consola de Servicios de Windows, estos servicios se mostrarán como:
MSSQL<InstanceName>
SQLAgent<InstanceName>
Use una cuenta de usuario de dominio o, preferiblemente, una cuenta de servicio administrada de grupo.
Si tiene previsto realizar copias de seguridad o restaurar desde un recurso externo, es necesario conceder permisos al recurso externo sobre la cuenta que corresponda. Si usa una cuenta de usuario de dominio o una cuenta de servicio administrada de grupo para la cuenta de servicio de SQL Server, conceda permisos a esa cuenta de usuario de dominio. Sin embargo, si usa el servicio de red o la cuenta de sistema local, conceda permisos al recurso externo a la cuenta de equipo (<domain_name>\<SQL_hostname>).
El nombre de la instancia es arbitrario y se creó al instalar SQL Server.
Cuenta de usuario del administrador de la granja de servidores
La cuenta de usuario del administrador de la granja de servidores es una cuenta de identificación única asignada a un administrador de SharePoint. Se usa para ejecutar:
Instalación
Asistente para la configuración de productos de SharePoint
Cuenta de usuario de dominio.
Miembro del grupo Administradores en cada servidor de SharePoint de la granja de servidores.
Miembro del siguiente rol de SQL Server (opcional): rol fijo de servidor sysadmin .
Si ejecuta cmdlets de Windows PowerShell que afectan a una base de datos, esta cuenta debe ser miembro de la db_owner rol fijo de base de datos de la base de datos o miembro del rol fijo de servidor sysadmin en SQL.
Cuenta de servicio de granja de servidores
La cuenta de servicio de la granja de servidores se usa para realizar las tareas siguientes:
Actuar como la identidad del grupo de aplicaciones para el sitio web de Administración central de SharePoint.
Iniciar el servicio de temporizador de flujo de trabajo de Microsoft SharePoint Foundation.
Cuenta de usuario de dominio.
Se conceden automáticamente más permisos para la cuenta de granja de servidores en servidores web y servidores de aplicaciones que están unidos a una granja de servidores.
La cuenta de la granja de servidores se agrega automáticamente como un inicio de sesión de SQL Server en el equipo que ejecuta SQL Server. La cuenta se agrega a los siguientes roles de seguridad de SQL Server:
* rol fijo de servidor dbcreator
* rol fijo de servidor securityadmin
* db_owner rol fijo de base de datos para todas las bases de datos de SharePoint de la granja de servidores
Un administrador no debe usar esta cuenta de forma interactiva.
Modificar la cuenta de servicio de granja de servidores tendrá que reiniciar el servidor IIS mediante el iisreset.exe comando .

Cuentas de aplicación de servicio

Importante

La cuenta de sincronización de perfiles y la cuenta de servicio desatendida de Excel Services solo se aplican a SharePoint Server.

Account Requisitos
Cuenta de servicio de búsqueda de SharePoint Server Debe ser una cuenta de usuario de dominio. No puede pertenecer al grupo Administradores de la granja de servidores. Las siguientes opciones se configuran automáticamente: acceso para leer desde la base de datos de configuración, la base de datos de contenido de administración, la base de datos de administración de búsqueda y las bases de datos de rastreo. Acceso de control total a las particiones del índice de los servidores de consultas.
Cuenta predeterminada de acceso al contenido Debe ser una cuenta de usuario de dominio. No puede pertenecer al grupo Administradores de la granja de servidores. Acceso de lectura a los orígenes de contenido seguros o externos que desea rastrear con esa cuenta. Para los sitios que no forman parte de la granja de servidores, esta cuenta debe obtener un permiso explícito para tener el acceso completo de lectura en las aplicaciones web que hospedan los sitios. Las siguientes opciones se configuran automáticamente: los permisos de lectura completa se conceden automáticamente a las bases de datos de contenido hospedadas por la granja de servidores.
Cuenta de acceso al contenido Acceso de lectura a orígenes de contenido seguros o externos a los que esta cuenta está configurada para tener acceso. Para los sitios web que no forman parte de la granja de servidores, esta cuenta debe obtener un permiso explícito para tener el acceso completo de lectura en las aplicaciones web que hospedan los sitios.
Cuenta de sincronización de perfiles Acceso de lectura al servicio de directorio. La cuenta debe tener el permiso Replicar cambios en Active Directory. Permiso de servicios de personalización para administrar perfiles de usuario. Ver los permisos en entidades usadas en las conexiones de importación del Catálogo de datos profesionales.
Cuenta servicio desatendida de Servicios de Excel Debe ser una cuenta de usuario de dominio.

Cuentas de identidad del grupo de aplicaciones adicionales

Account Requisitos
Identidad del grupo de aplicaciones No es necesaria ninguna configuración manual. Lo siguiente se configura automáticamente: Pertenencia al rol de SP_DATA_ACCESS para bases de datos de contenido y bases de datos de búsqueda asociadas a la aplicación web. Pertenecer a roles de grupos de aplicaciones específicos para la base de datos SharePoint_AdminContent y la base de datos de configuración. Se conceden automáticamente más permisos para esta cuenta a servidores front-end web y servidores de aplicaciones.