Pianificare gli account amministrativi e di servizio (Office SharePoint Server)
Contenuto dell'articolo:
Informazioni sugli account amministrativi e di servizio
Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Riferimento tecnico: requisiti per gli account in base allo scenario
In questo articolo vengono descritti gli account che devono essere pianificati e gli scenari di distribuzione che influiscono sui requisiti per gli account.
Utilizzare questo articolo con lo strumento di pianificazione seguente: Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) . In tale strumento di pianificazione vengono elencati i requisiti relativi a ogni account in base allo scenario di distribuzione. I requisiti sono inoltre elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Nei requisiti per gli account vengono indicate le autorizzazioni specifiche che devono essere concesse prima dell'esecuzione del programma di installazione. In alcuni casi, nello strumento di pianificazione vengono specificate autorizzazioni aggiuntive concesse automaticamente con l'esecuzione del programma di installazione.
In questo articolo non vengono descritti i requisiti degli account per l'utilizzo di Single Sign-On (SSO) in Microsoft Office SharePoint Server 2007. Per ulteriori informazioni, vedere Pianificare l'utilizzo di Single Sign-on.
In questo articolo non vengono descritti i ruoli di protezione e le autorizzazioni necessarie per amministrare Microsoft Office SharePoint Server 2007. Per ulteriori informazioni, vedere Pianificare i ruoli di protezione (Office SharePoint Server).
Informazioni sugli account amministrativi e di servizio
In questa sezione vengono elencati e descritti gli account che devono essere pianificati, raggruppati in base all'ambito. Se un account ha un ambito limitato, potrebbe essere necessario pianificare più account per la stessa categoria.
Se ad esempio si intende implementare più provider di servizi condivisi, sarà necessario indicare più account di provider di servizi condivisi.
Dopo aver eseguito l'installazione e la configurazione degli account, non utilizzare l'account Sistema locale per eseguire attività di amministrazione o per esplorare i siti. Non utilizzare ad esempio per le attività amministrative lo stesso account utilizzato per eseguire il programma di installazione.
Account a livello di server farm
Nella tabella seguente sono descritti gli account utilizzati per configurare il software di database Microsoft SQL Server e installare Microsoft Office SharePoint Server 2007.
| Account | Scopo |
|---|---|
Account del servizio SQL Server |
SQL Server richiede questo account durante l'esecuzione del programma di installazione di SQL Server. L'account viene utilizzato come account di servizio per i servizi di SQL Server seguenti:
Se non si utilizza l'istanza predefinita, questi servizi verranno visualizzati come:
|
Account utente Setup |
Account utente utilizzato per eseguire gli elementi seguenti:
|
Account server farm |
Questo account è conosciuto anche come account di accesso al database. Questo account rappresenta:
|
Account di provider di servizi condivisi
Nella tabella seguente sono descritti gli account utilizzati per impostare e configurare un provider di servizi condivisi. Pianificare un insieme di account di provider di servizi condivisi per ogni provider di questo tipo che si intende implementare.
| Account | Scopo |
|---|---|
Account del pool di applicazioni SSP |
Account del pool di applicazioni del sito di amministrazione del provider di servizi condivisi. Viene utilizzato per eseguire il pool di applicazioni per l'applicazione Web che ospita il sito di amministrazione del provider di servizi condivisi. |
Account del servizio SSP |
Utilizzato da:
|
Account del servizio di ricerca di Office SharePoint Server |
Utilizzato come account di servizio per il servizio di ricerca di Office SharePoint Server. È disponibile una sola istanza di questo servizio che verrà utilizzata da tutti i provider di servizi condivisi per scrivere i file dell'indice di contenuto nel percorso dell'indice sui server di indicizzazione e per propagare l'indice di ricerca a tutti i server di query in una farm di Microsoft Office SharePoint Server 2007. |
Account di accesso al contenuto predefinito |
Account predefinito utilizzato all'interno un provider di contenuti condivisi specifico per eseguire la ricerca per indicizzazione del contenuto, a meno che non si specifichi un metodo di autenticazione diverso tramite una regola di ricerca per indicizzazione per un URL o una serie di URL. |
Account di accesso al contenuto |
Account specifico configurato per accedere a un'origine di contenuto. Questo account è facoltativo e viene specificato quando si crea una nuova regola di ricerca per indicizzazione. È ad esempio possibile che con origini di contenuto esterne a Microsoft Office SharePoint Server 2007, come nel caso di una condivisione di file, sia richiesto un account di accesso diverso. |
Account di accesso predefinito per l'importazione dei profili |
Utilizzato per:
Se non viene specificato alcun account, viene utilizzato l'account predefinito di accesso al contenuto. Se l'account predefinito di accesso al contenuto non dispone di accesso in lettura alla directory o alle directory da cui si desidera importare dati, pianificare l'utilizzo di un account diverso. È possibile pianificare fino a un account per ogni connessione alla directory. |
Account di servizio automatico di Excel Services |
Account utilizzato da Servizi di calcolo Excel per connettersi a origini dati esterne che richiedono una stringa composta da nome utente e password non Windows per l'autenticazione. Se questo account non è configurato, Excel Services non effettuerà alcun tentativo di connessione a questi tipi di origini dati. Sebbene le credenziali dell'account vengano utilizzate per connettersi a origini dati non Windows, l'account deve essere membro del dominio per consentirne l'utilizzo in Servizi di calcolo Excel. |
Account del servizio di ricerca di Windows SharePoint Services
Nella tabella seguente sono descritti gli account utilizzati per impostare e configurare il servizio di ricerca di Windows SharePoint Services. In Microsoft Office SharePoint Server 2007 questo servizio è noto come servizio di ricerca Guida di Windows SharePoint Services poiché viene utilizzato per offrire funzionalità di ricerca per la Guida. Se si installa Microsoft Office SharePoint Server 2007, pianificare questi account solo se si intende implementare il servizio per eseguire ricerche nel contenuto della Guida.
| Account | Scopo |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Utilizzato come account di servizio per il servizio di ricerca Guida di Windows SharePoint Services. In una farm è disponibile una sola istanza di questo servizio che verrà utilizzata per scrivere i file dell'indice di contenuto nel percorso dell'indice sui server di indicizzazione e per propagare l'indice di ricerca a tutti i server di query in una farm di Microsoft Office SharePoint Server 2007. |
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Utilizzato dal ruolo del server applicazioni del servizio di ricerca di Windows SharePoint Services per eseguire la ricerca per indicizzazione del contenuto tra i siti. |
Account dell'identità dei pool di applicazioni aggiuntivi
Se si creano ulteriori pool di applicazioni per ospitare i siti, è necessario pianificare account dell'identità dei pool di applicazioni aggiuntivi. Nella tabella seguente viene descritto l'account dell'identità del pool di applicazioni. Pianificarne uno per ogni pool di applicazioni che si intende implementare.
| Account | Scopo |
|---|---|
Identità del pool di applicazioni |
Account utente utilizzato come identità di processo dai processi di lavoro che gestiscono il pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che fanno parte del pool di applicazioni. |
Requisiti standard per server singolo
Se si esegue la distribuzione in un computer server singolo, i requisiti per gli account vengono ridotti in modo significativo. In un ambiente di valutazione è possibile utilizzare un unico account per tutti gli scopi degli account. In un ambiente di produzione verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.
Per un elenco delle autorizzazioni per gli account in ambienti a server singolo, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Requisiti per server farm
Se si esegue la distribuzione in più computer server, utilizzare i requisiti standard per server farm affinché gli account dispongano delle autorizzazioni appropriate per eseguire i processi in più computer. Nei requisiti standard per server farm viene specificata la configurazione minima necessaria per lavorare in un ambiente server farm. Per un ambiente più protetto, prendere in considerazione la possibilità di utilizzare i requisiti del principio dei privilegi minimi con account utente di dominio.
Per un elenco dei requisiti standard in ambienti server farm, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Per alcuni account vengono configurate ulteriori autorizzazioni o accessi ai database quando si esegue il programma di installazione, specificati nello strumento di pianificazione. Una configurazione importante di cui devono tenere conto gli amministratori è l'aggiunta del ruolo del database WSS_Content_Application_Pools. Il programma di installazione aggiunge questo ruolo ai database seguenti:
Database SharePoint_Config (database di configurazione)
Database SharePoint_AdminContent
Ai membri del ruolo del database WSS_Content_Application_Pools viene concessa l'autorizzazione di esecuzione per un sottoinsieme delle stored procedure del database, nonché l'autorizzazione di selezione per la tabella Versions (dbo.Versions) nel database SharePoint_AdminContent.
Nello strumento di pianificazione degli account viene indicato che l'accesso per la lettura da altri database viene configurato automaticamente. In alcuni casi viene configurato automaticamente anche un accesso limitato per la scrittura in un database. Per fornire questo accesso, vengono configurate autorizzazioni per le stored procedure. Per il database SharePoint_Config ad esempio viene configurato automaticamente l'accesso alle stored procedure seguenti:
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Il principio dei privilegi minimi è un metodo di protezione consigliato in cui a ogni servizio o utente vengono forniti solo i privilegi minimi necessari per eseguire le attività per le quali sono autorizzati. A ogni servizio pertanto viene concesso solo l'accesso alle risorse necessarie per il relativo scopo. Di seguito vengono elencati alcuni dei requisiti minimi necessari per raggiungere questo obiettivo di progettazione:
Vengono utilizzati account separati per servizi e processi diversi.
Non viene utilizzato alcun account di servizio o di processo in esecuzione con le autorizzazioni di amministratore locale.
Utilizzando account di servizio separati e limitando le autorizzazioni assegnate a ogni account, si riduce il rischio che l'ambiente possa essere danneggiato da un utente malintenzionato o da un processo dannoso.
Il principio dei privilegi minimi con account utente di dominio è la configurazione consigliata per la maggior parte degli ambienti.
Per un elenco dei requisiti del principio dei privilegi minimi con account utente di dominio, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Negli ambienti in cui l'autenticazione di SQL Server è un requisito, è possibile seguire il principio dei privilegi minimi. In questo scenario:
Per ogni database creato viene utilizzata l'autenticazione di SQL Server.
Tutti gli altri account di amministrazione e di servizio vengono creati come account utente di dominio.
Installazione e configurazione
Per utilizzare l'autenticazione di SQL Server, è necessario eseguire ulteriori operazioni di installazione e configurazione:
Tutti gli account di database devono essere creati come account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database, inclusi il database di configurazione e il database AdminContent.
È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è possibile infatti utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database.
È possibile creare ulteriori database del contenuto in Amministrazione centrale selezionando l'opzione Autenticazione di SQL Server . È tuttavia necessario prima creare gli account di accesso di SQL Server in SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio.
Proteggere tutte le comunicazioni con i server database utilizzando Secure Sockets Layer (SSL) o Internet Protocol Security (IPsec).
Quando viene utilizzata l'autenticazione di SQL Server:
Gli account di accesso di SQL Server vengono crittografati nel Registro di sistema dei server Web e dei server applicazioni.
L'account della server farm non viene utilizzato per accedere al database di configurazione e al database SharePoint_AdminContent. Vengono invece utilizzati gli account di accesso di SQL Server corrispondenti.
Creazione di account di servizio e amministrazione
Per un elenco dei requisiti del principio dei privilegi minimi con l'autenticazione di SQL Server, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Creazione di account di accesso di SQL Server
Prima di creare i database, creare gli account di accesso di SQL Server per ognuno dei database. Vengono creati due account di accesso per i database di configurazione e SharePoint_AdminContent. Creare un account di accesso per ogni database del contenuto.
Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Account di accesso viene indicato l'account specificato o creato per l'accesso a SQL Server. Per il primo accesso, è necessario immettere l'account utente Setup. Per tutti gli altri accessi, si crea un nuovo account di accesso di SQL Server. Per questi account di accesso, nella colonna Account di accesso viene fornito un nome di account di esempio.
| Account di accesso | Database | Diritti SQL |
|---|---|---|
Account utente Setup |
Database di configurazione e SharePoint_AdminContent |
Specificare l'autenticazione di Windows durante la creazione dell'account di accesso. |
<*AccDBConfigAdmin*> |
Database di configurazione e SharePoint_AdminContent |
|
<*SSP_DB_Acc*> |
Database del provider di servizi condivisi |
|
<*SSPSearchDB_Acc*> |
Database di ricerca del provider di servizi condivisi |
|
<*Acc_DB_WSSSearch*> |
Database WSS_Search |
|
<*Acc1_DB_Contenuto*> |
Database del contenuto |
|
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Negli ambienti in cui i database vengono creati in precedenza da un amministratore di database è possibile seguire il principio dei privilegi minimi. In questo scenario:
Gli account di amministrazione e di servizio vengono creati come account utente di dominio.
Vengono creati account di accesso di SQL Server per gli account utilizzati per configurare i database.
I database vengono creati da un amministratore di database.
Per ulteriori informazioni sulla distribuzione di Microsoft Office SharePoint Server 2007 utilizzando database vuoti creati in precedenza, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Office SharePoint Server).
Creazione di account di servizio e amministrazione
Per un elenco dei requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza, vedere lo strumento di pianificazione Requisiti dell'account di protezione di Office SharePoint Server (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x410) (informazioni in lingua inglese) oppure vedere i requisiti elencati nella sezione Riferimento tecnico: Requisiti degli account in base allo scenario di questo articolo.
Creazione di account di accesso di SQL Server
Prima di creare i database, creare account di accesso di SQL Server per ogni account che accederà ai database. Nello strumento di pianificazione degli account vengono descritte in dettaglio le autorizzazioni configurate per ogni account. Per istruzioni su come creare e concedere le autorizzazioni per i database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (Office SharePoint Server).
Nella tabella seguente vengono elencati gli account di accesso che devono essere creati. Nella colonna Database vengono indicati i database configurati con le autorizzazioni per ogni account di accesso. Specificare l'autenticazione di Windows quando si crea ogni account di accesso.
Account di accesso |
Database |
Account utente Setup (utente Esegui come per lo strumento da riga di comando Psconfig) |
Tutti i database |
Account server farm (account di accesso al database di Office SharePoint Server) |
|
Account del servizio SSP |
|
Account del servizio di ricerca di Office SharePoint Server |
|
Account di accesso al contenuto predefinito |
|
Account del pool di applicazioni SSP (identità) |
Database del contenuto per l'applicazione Web per l'amministrazione del provider di servizi condivisi |
Identità del pool di applicazioni per il sito Web per i siti personali |
Database del contenuto per l'applicazione Web per i siti personali |
Account del servizio di ricerca di Windows SharePoint Services |
|
Identità del pool di applicazioni per database del contenuto aggiuntivi |
|
Riferimento tecnico: requisiti per gli account in base allo scenario
In questa sezione vengono elencati i requisiti per gli account in base allo scenario:
Requisiti standard per server singolo
Requisiti standard per server farm
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Requisiti standard per server singolo
Account a livello di server farm
| Account | Requisiti |
|---|---|
Account del servizio SQL Server |
Account Sistema locale (predefinito) |
Account utente Setup |
Membro del gruppo Administrators nel computer locale |
Account server farm |
Servizio di rete (predefinito) Non sono necessari interventi di configurazione manuale. |
Account di provider di servizi condivisi
| Account | Requisiti |
|---|---|
Account del pool di applicazioni SSP |
Non sono necessari interventi di configurazione manuale. |
Account del servizio SSP |
|
Account del servizio di ricerca di Office SharePoint Server |
Per impostazione predefinita, questo account viene eseguito come account Sistema locale. Se si desidera eseguire la ricerca per indicizzazione del contenuto remoto tramite la modifica dell'account di accesso al contenuto predefinito oppure utilizzando le regole di ricerca per indicizzazione, modificarlo in un account utente di dominio. In caso contrario, non sarà possibile modificare l'account di accesso al contenuto predefinito o aggiungere regole per eseguire la ricerca per indicizzazione di questo contenuto. Con questa limitazione si impedisce l'elevazione dei privilegi per qualsiasi altro processo in esecuzione come account di sistema locale. |
Account di accesso al contenuto predefinito |
Non sono necessari interventi di configurazione manuale se questo account esegue la ricerca per indicizzazione del contenuto locale della farm. Se si desidera eseguire la ricerca per indicizzazione del contenuto remoto utilizzando le regole di ricerca per indicizzazione, modificare questo account in un account utente di dominio e applicare i requisiti elencati per una server farm. |
Account di accesso al contenuto |
Uguale all'account di accesso al contenuto predefinito del provider di servizi condivisi descritto in precedenza. |
Account di accesso predefinito per l'importazione dei profili |
Requisiti identici a quelli della server farm. |
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Per impostazione predefinita, questo account viene eseguito come account Sistema locale. |
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Non deve essere un membro del gruppo Amministratori farm. Le impostazioni seguenti vengono configurate automaticamente:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti |
|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione. |
Requisiti standard per server farm
Account a livello di server farm
| Account | Requisiti |
|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Account di provider di servizi condivisi
| Account | Requisiti |
|---|---|
Account del pool di applicazioni SSP |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Account del servizio SSP |
|
Account del servizio di ricerca di Office SharePoint Server |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account di accesso al contenuto predefinito |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account di accesso al contenuto |
|
Account di accesso predefinito per l'importazione dei profili |
|
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti |
|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti |
|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di provider di servizi condivisi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Account del pool di applicazioni SSP |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio SSP |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio di ricerca di Office SharePoint Server |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto predefinito |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Per una maggiore protezione utilizzare un account di accesso al contenuto predefinito diverso per ogni provider di servizi condivisi. |
Account di accesso al contenuto |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso predefinito per l'importazione dei profili |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Deve essere un account utente di dominio. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizzano account utente di dominio |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si utilizza un account utente di dominio per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Se invece si utilizza l'account Servizio di rete o Sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (*nome_dominio\nomehost_SQL$*). |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Nota Tutti gli account di database devono essere creati come account di accesso di SQL Server in Microsoft SQL Server 2000 Enterprise Manager o SQL Server 2005 Management Studio. Questi account devono essere creati prima della creazione di qualsiasi database del contenuto, inclusi il database di configurazione e il database SharePoint_AdminContent. Creare un account di accesso di SQL Server sia per il database di configurazione che per il database SharePoint_AdminContent. |
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Nota È necessario utilizzare lo strumento da riga di comando Psconfig per creare il database di configurazione e il database SharePoint_AdminContent. Per la creazione di questi database non è infatti possibile utilizzare la Configurazione guidata Prodotti e tecnologie SharePoint. Per creare una farm o aggiungere un computer a una farm, specificare l'account di accesso di SQL Server creato per questi database come dbusername e dbpassword. Lo stesso account di accesso di SQL Server viene utilizzato per accedere a entrambi i database. Tutti gli altri database del contenuto possono essere creati in Amministrazione centrale selezionando l'opzione di autenticazione di SQL Server. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di provider di servizi condivisi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Account del pool di applicazioni SSP |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio SSP |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio di ricerca di Office SharePoint Server |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto predefinito |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto |
Per i siti Web che non fanno parte della server farm, è necessario concedere in modo esplicito a questo account autorizzazioni di lettura complete per le applicazioni Web che ospitano i siti. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso predefinito per l'importazione dei profili |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Deve essere un account utente di dominio. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi quando si utilizza l'autenticazione di SQL Server |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza
Account a livello di server farm
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Account del servizio SQL Server |
Utilizzare un account Sistema locale o un account utente di dominio. Se si utilizza un account utente di dominio, per tale account viene utilizzata l'autenticazione Kerberos per impostazione predefinita, che richiede ulteriori interventi di configurazione nell'ambiente di rete. Se SQL Server utilizza un nome dell'entità servizio (SPN) non valido, ovvero che non esiste nell'ambiente del servizio directory Active Directory, l'autenticazione Kerberos avrà esito negativo e verrà utilizzata l'autenticazione NTLM. Se SQL Server utilizza un nome SPN valido ma non assegnato al contenitore appropriato in Active Directory, l'autenticazione avrà esito negativo e verrà generato il messaggio di errore "Impossibile generare il contesto SSPI". Il processo di autenticazione tenterà sempre di utilizzare il primo nome SPN trovato, pertanto assicurarsi che non siano presenti nomi SPN assegnati a contenitori non appropriati in Active Directory.
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account utente Setup |
Se si eseguono comandi Stsadm con effetti su un database, questo account deve essere membro del ruolo predefinito del database db_owner per il database. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Questi account viene utilizzato per configurare i database. Dopo aver creato ogni database, sostituire il proprietario del database, ovvero dbo o db_owner, con l'account utente Setup. |
Account server farm |
Autorizzazioni aggiuntive vengono concesse automaticamente per questo account in server Web e server applicazioni che vengono aggiunti a una server farm. Questo account viene aggiunto automaticamente come un account di accesso di SQL Server nel computer che esegue SQL Server e viene aggiunto ai ruoli di protezione di SQL Server seguenti:
Nota Se si configura il servizio Microsoft Single Sign-On, l'account della server farm non verrà assegnato automaticamente al ruolo db_owner per il database del servizio SSO. |
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
|
Account di provider di servizi condivisi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Account del pool di applicazioni SSP |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account del servizio SSP |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:
Dopo aver creato il database del contenuto per il sito di amministrazione dei servizi condivisi, il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
Dopo aver creato i siti personali, aggiungere questo account agli elementi seguenti per il database del contenuto dell'applicazione Web per i siti personali:
Dopo aver creato i singoli database del contenuto, aggiungere questo account agli elementi seguenti:
|
Account del servizio di ricerca di Office SharePoint Server |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
|
Account di accesso al contenuto predefinito |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Per una maggiore protezione utilizzare un account di accesso al contenuto predefinito separato per ogni provider di servizi condivisi. Dopo aver creato il database di configurazione e i database del contenuto di Amministrazione centrale, aggiungere questo account agli elementi seguenti per questi database:
|
Account di accesso al contenuto |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
|
Account di accesso predefinito per l'importazione dei profili |
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Questo account non deve essere un membro del gruppo Administrators in alcun computer nella server farm. |
Account di servizio automatico di Excel Services |
Deve essere un account utente di dominio. |
Deve essere un account utente di dominio. |
Account del servizio di ricerca di Windows SharePoint Services
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Account del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:
|
Account di accesso al contenuto del servizio di ricerca di Windows SharePoint Services |
Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Quando si esegue lo strumento da riga di comando Psconfig per avviare il servizio di ricerca di Windows SharePoint Services, vengono configurate automaticamente le appartenenze seguenti:
|
Account dell'identità dei pool di applicazioni aggiuntivi
| Account | Requisiti standard per server farm | Requisiti del principio dei privilegi minimi per la connessione a database creati in precedenza |
|---|---|---|
Identità del pool di applicazioni |
Non sono necessari interventi di configurazione manuale. Le impostazioni seguenti vengono configurate automaticamente:
|
Requisiti standard della server farm con le aggiunte o eccezioni seguenti:
Dopo aver creato il database del provider di servizi condivisi e il database di ricerca del provider di servizi condivisi, aggiungere questo account agli elementi seguenti per ognuno dei database:
|
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili che è possibile scaricare per Office SharePoint Server 2007, vedere Downloadable content for Office SharePoint Server 2007 (informazioni in lingua inglese).
Vedere anche
Concetti
Pianificare l'utilizzo di Single Sign-on
Pianificare i ruoli di protezione (Office SharePoint Server)