管理アカウントとサービスアカウントを計画する (Search Server 2008)

[アーティクル]
06/16/2015

更新日: 2008年3月

適用対象: Microsoft Search Server 2008

トピックの最終更新日: 2015-03-09

注意

別途記載のない限り、この記事の情報は Microsoft Search Server 2008 と Microsoft Search Server 2008 Express の両方に適用されます。

この記事では、Microsoft Search Server 2008 の展開および管理に関与する可能性のある計画作成チームの役割について説明し、Search Server 2008 のインストールおよび管理で使用されるさまざまな管理アカウントとサービスアカウントについて説明します。

この記事の内容:

検索計画チームについて
管理アカウントおよびサービスアカウントについて
標準のアカウント要件
アカウントの推奨事項を計画する

検索計画チームについて

Search Server 2008 の機能と展開の計画を開始する前に、検索計画チームの役割を理解する必要があります。検索を計画する際は、組織および展開計画の規模に応じて、以下のチームメンバの一部またはすべてが必要になる場合があります。

検索サービスの構成を管理する Search サービス管理者。担当には、クロールするコンテンツソースの定義、クロールルールの設定、クロールのスケジュール設定が含まれます。また、Search サービス管理者は、インデックスを監視し、コンテンツソースが正常にクロールされているかどうかを確認します。
検索センターサイトを含む既定のサイトコレクションを管理する少なくとも一人のサイトコレクション管理者。この管理者はサイトレベルおよびサイトコレクションレベルでエンドユーザーの操作環境を管理します。担当には、キーワード、おすすめコンテンツ、範囲の定義が含まれます。SharePoint サイトをホストするファームに追加のサイトコレクションが存在する場合、追加のサイトコレクション管理者が必要になることがあります。
コンテンツのニーズに基づいて組織の 1 つ以上のファームのアーキテクチャおよびトポロジを計画する IT 管理者。通常、IT 管理者は、可用性、信頼性、容量計画などの IT の運用に影響を与えない限り、コンテンツには関与しません。

管理アカウントおよびサービスアカウントについて

管理アカウントおよびサービスアカウントは、アクセスおよびセキュリティを確保するために Search Server 2008 全体で使用されます。次のセクションでは、各アカウントの目的、単一サーバーおよび複数サーバーインストールでの標準のアカウントの要件、計画の推奨事項について説明するガイダンスを提供します。

サーバーファームレベルのアカウント

次の表では、Microsoft SQL Server の構成および Search Server 2008 のインストールに使用するアカウントについて説明します。

アカウント	目的
SQL Server サービスアカウント	SQL Server のインストール時に、このアカウントが要求されます。このアカウントは、以下の SQL Server サービスのサービスアカウントとして使用されます。 MSSQLSERVER SQLSERVERAGENT 既定のインスタンスを使用していない場合、これらのサービスは以下のように表示されます。 MSSQL$インスタンス名 SQLAgent$インスタンス名
セットアップユーザーアカウント	Search Server 2008 のインストール時にログオンするユーザーのアカウントです。
サーバーファームアカウント	このアカウントは、次のように呼ばれることもあります。データベースアクセスアカウントこのアカウントは、以下のとおりです。サーバーの全体管理サイトのアプリケーションプールアカウント Windows SharePoint Services Timer (sptimerV3) サービスのプロセスアカウント SSP のセキュリティアカウント

SQL Server サービスアカウント

SQL Server のインストール時に、このアカウントが要求されます。

このアカウントは、以下の SQL Server サービスのサービスアカウントとして使用されます。

MSSQLSERVER
SQLSERVERAGENT

既定のインスタンスを使用していない場合、これらのサービスは以下のように表示されます。

MSSQL$インスタンス名
SQLAgent$インスタンス名

セットアップユーザーアカウント

Search Server 2008 のインストール時にログオンするユーザーのアカウントです。

サーバーファームアカウント

このアカウントは、次のように呼ばれることもあります。

データベースアクセスアカウント

このアカウントは、以下のとおりです。

サーバーの全体管理サイトのアプリケーションプールアカウント
Windows SharePoint Services Timer (sptimerV3) サービスのプロセスアカウント
SSP のセキュリティアカウント

共有サービスプロバイダ (SSP) のアカウント

次の表では、検索サービスおよびコンテンツのクロールのために、SSP で使用されるアカウントについて説明します。

アカウント	目的	場所
SSP サービス資格情報	以下のサービスで使用されます。サーバー間通信の SSP Web サービスタイマジョブを実行する SSP タイマサービス	Search Server 2008 の詳細インストール時に、[Search Server の構成] ページの [省略可能] セクションの [Search サービス管理アカウント] で、このアカウントを指定できます。アカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[アプリケーション構成の管理] をクリックします。[Office SharePoint Server 共有サービス] で、[このファームの共有サービスの作成または構成] をクリックします。[このファームの共有サービスの管理] ページで、変更する SSP アカウントの名前の横にある矢印をクリックし、[プロパティの編集] をクリックします。[SSP サービス資格情報] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。
Office SharePoint Server Search	Office SharePoint Server Search サービスのサービスアカウントとして使用されます。このサービスのインスタンスは 1 つしか存在しません。	Search Server 2008 の詳細インストール時に、[Search Server の構成] ページの [Search サービスアカウント] で、このアカウントを定義します。インストール後にアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[サーバー構成の管理] をクリックします。[トポロジおよびサービス] で、[サーバーのサービス] をクリックします。[サービス] で、[Office SharePoint Server Search] をクリックします。[Office SharePoint Server Search サービス設定の構成] ページの [ファームの Search サービスアカウント] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。
既定のコンテンツアクセスアカウント	コンテンツをクロールするために使用する既定のアカウントです。特定のアカウントが指定されない場合、既定のコンテンツアクセスアカウントが使用されます。	このアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[共有サービスの管理] で [共有サービス] をクリックします。[検索管理] ページの [クロール中] で、[既定のコンテンツアクセスアカウント] をクリックします。[既定のコンテンツアクセスアカウント] ページで、[アカウント] および [パスワード] ボックスに新しいアカウント情報を入力します。
コンテンツアクセスアカウント	特定のコンテンツをクロールするために使用されるクロールルールで使用するオプションのアカウントです。たとえば、ファイル共有などの Search Server 2008 の外部にあるコンテンツでは、既定とは異なるアクセスアカウントが必要になる場合があります。	このアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[共有サービスの管理] で [共有サービス] をクリックします。 [検索管理] ページの [クロール中] の下で、[クロールルール] をクリックします。新規または既存のクロールルールの資格情報を設定します。

Windows SharePoint Services Search アカウント

以下の表では、Windows SharePoint Services Search のセットアップと構成に使用されるアカウントについて説明します。Search Server 2008 では、このサービスはヘルプの検索機能を提供するために使用されるので、Windows SharePoint Services ヘルプ検索サービスと呼ばれます。Search Server 2008 のインストール時に、アカウントはローカルサービスとして実行するよう自動的に事前定義されます。

アカウント	目的	場所
Windows SharePoint Services Search サービスアカウント	Windows SharePoint Services Search サービスのサービスアカウントとして使用されます。このサービスのインスタンスはファーム内に 1 つしか存在しません。	Search Server 2008 の詳細インストール時に、[Search Server の構成] ページの [Help Search サービスアカウント] でこのアカウントを定義します。インストール後にアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[サーバー構成の管理] をクリックします。[トポロジおよびサービス] で、[サーバーのサービス] をクリックします。[サーバーのサービス] ページの [サービス] の下で、[Windows SharePoint Services Search] をクリックします。[Windows SharePoint Services Search サービス設定の構成] ページの [サービスアカウント] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。
Windows SharePoint Services Search コンテンツアクセスアカウント	Windows SharePoint Services Search アプリケーションサーバーロールによりサイト内のヘルプコンテンツをクロールするために使用されます。	このアカウントは、インストール時に自動的に構成されます。インストール後にアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[サーバー構成の管理] をクリックします。[サーバー構成の管理] ページで、[トポロジおよびサービス] の [サーバーのサービス] をクリックします。[サーバーのサービス] ページの [サービス] で、[Windows SharePoint Services Search] をクリックします。[Windows SharePoint ServicesSearch サービス設定の構成] ページの [コンテンツアクセスアカウント] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。

Windows SharePoint Services Search サービスアカウント

Windows SharePoint Services Search サービスのサービスアカウントとして使用されます。このサービスのインスタンスはファーム内に 1 つしか存在しません。

Search Server 2008 の詳細インストール時に、[Search Server の構成] ページの [Help Search サービスアカウント] でこのアカウントを定義します。
インストール後にアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[サーバー構成の管理] をクリックします。[トポロジおよびサービス] で、[サーバーのサービス] をクリックします。[サーバーのサービス] ページの [サービス] の下で、[Windows SharePoint Services Search] をクリックします。[Windows SharePoint Services Search サービス設定の構成] ページの [サービスアカウント] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。

Windows SharePoint Services Search コンテンツアクセスアカウント

Windows SharePoint Services Search アプリケーションサーバーロールによりサイト内のヘルプコンテンツをクロールするために使用されます。

このアカウントは、インストール時に自動的に構成されます。

インストール後にアカウントを変更するには、サーバーの全体管理 Web サイトに移動し、[サーバー構成の管理] をクリックします。[サーバー構成の管理] ページで、[トポロジおよびサービス] の [サーバーのサービス] をクリックします。[サーバーのサービス] ページの [サービス] で、[Windows SharePoint Services Search] をクリックします。[Windows SharePoint ServicesSearch サービス設定の構成] ページの [コンテンツアクセスアカウント] の下にある [ユーザー名] および [パスワード] ボックスに新しいアカウント情報を入力します。

アプリケーションプールアカウント

次の表では、アプリケーションプールアカウントについて説明します。実装するアプリケーションプールごとに 1 つのアプリケーションプールアカウントを計画します。

Search Server 2008 のインストール時に、2 つのアプリケーションプールが自動的に作成されます。1 つはサーバーファームアカウントを使用するサーバーの全体管理用、もう 1 つは検索センター Web アプリケーションまたは SSP 用です。

アカウント	目的	場所
アプリケーションプールプロセスアカウント	Web アプリケーションに関連付けられているコンテンツデータベースへのアクセスに使用されます。	Web アプリケーションの作成時に定義され、Internet Information Server (IIS) で変更できます。

標準のアカウント要件

ここでは、単一サーバー (基本インストール) および複数サーバー (詳細インストール) 展開の両方の場合の個々のアカウントの要件について説明します。インストール前に与える必要がある権限を要件の一覧として示します。場合によっては、インストール時に自動的に与えられる追加の権限についても説明します。

注意

この記事には SQL 認証を使用する環境のアカウント要件は含まれていません。

サーバーファームレベルのアカウント

次の表では、サーバーファームレベルのアカウントの標準的なアカウント要件について説明します。

アカウント	単一サーバーの要件	サーバーファームの要件
SQL Server サービスアカウント	ローカルシステムアカウント (既定)	データベースシステム管理者
セットアップユーザーアカウント	ローカルコンピュータの Administrators グループのメンバ	ドメインユーザーアカウント Search Server 2008 がインストールされる各サーバーの Administrators グループのメンバ以下の SQL Server セキュリティロールのメンバ Logins Securityadmin Dbcreator
サーバーファームアカウント	ネットワークサービス (既定) 手動の構成は不要です。	ドメインユーザーアカウントこのアカウントには、追加権限 ( Web フロントエンドサーバー (WFE) およびアプリケーションサーバーへの追加権限も含む) が Search Server 2008 のインストールしたときおよびファームに追加コンピュータが追加されたときに自動的に与えられます。このアカウントは、以下の SQL Server セキュリティロールに自動的に追加されます。 Logins Dbcreator Securityadmin すべてのデータベースのデータベース所有者 (db_owner)

SSP のアカウント

次の表では、SSP のアカウントの標準的なアカウント要件について説明します。

アカウント	単一サーバーの要件	サーバーファームの要件
SSP サービスアカウント	手動の構成は不要です。	手動の構成は不要です。このアカウントには、Search Server 2008 のインストール時に以下の権限が自動的に与えられます。 SSP コンテンツデータベースのデータベース所有者 SSP コンテンツデータベースでの読み取り/書き込み SSP に関連付けられている Web アプリケーションのコンテンツデータベースでの読み取り/書き込み構成データベースからの読み取りサーバーの全体管理コンテンツデータベースからの読み取り WFE およびアプリケーションサーバー上の追加権限
Office SharePoint Server Search アカウント	既定では、このアカウントはローカルサービスアカウントとして実行されます。クロールルールを使用してリモートコンテンツをクロールするには、既定のコンテンツアクセスアカウントを変更できるように、このアカウントをドメインアカウントに変更します。	ドメインアカウントである必要があります。ファーム管理者グループのメンバではない必要があります。このアカウントには、Search Server 2008 のインストール時に以下の権限が自動的に与えられます。 Web アプリケーションのコンテンツデータベースの読み取り/書き込み構成データベースからの読み取り Windows SharePoint Services Search データベースの読み取り/書き込み
既定のコンテンツアクセスアカウント	このアカウントでローカルコンテンツをクロールする場合は、手動の構成は不要です。リモートコンテンツをクロールする場合は、アカウントをドメインアカウントに変更し、クロールルールを使用し、サーバーファームの要件を適用します。	ドメインアカウントである必要があります。ファーム管理者グループのメンバではない必要があります。このアカウントを使用してクロールする、外部コンテンツソースまたはセキュリティ保護されたコンテンツソースへの読み取り権限このアカウントには、Search Server 2008 のインストール時に追加の権限が自動的に与えられます。
コンテンツアクセスアカウント	このアカウントでローカルコンテンツをクロールする場合は、手動の構成は不要です。リモートコンテンツをクロールする場合は、アカウントをドメインアカウントに変更し、クロールルールを使用し、サーバーファームの要件を適用します。	このアカウントを使用してクロールする、外部コンテンツソースまたはセキュリティ保護されたコンテンツソースへの読み取り権限外部 SharePoint サイトへのすべての読み取りアクセス権

Windows SharePoint Services Search アカウント

次の表では、Windows SharePoint Services Search アカウントの標準的なアカウント要件について説明します。Search Server 2008 では、これらのアカウントはヘルプコンテンツの検索およびインデックス作成のみに使用されます。

アカウント	単一サーバーの要件	サーバーファームの要件
Windows SharePoint Services Search サービスアカウント	既定では、このアカウントはローカルサービスアカウントとして実行されます。	ドメインアカウントである必要があります。ファームの Administrators グループのメンバである必要はありません。このアカウントには、Search Server 2008 をインストールするときに以下の権限が自動的に与えられます。 Web アプリケーションのコンテンツデータベースの読み取り/書き込み構成データベースからの読み取り Windows SharePoint Services Search データベースの読み取り/書き込み
Windows SharePoint Services Search コンテンツアクセスアカウント	ファーム管理者グループのメンバではない必要があります。 Web アプリケーションへの読み取りアクセス権	Windows SharePoint Services Search サービスアカウントと同じ要件 Web アプリケーションへの読み取りアクセス権このアカウントには、Search Server 2008 をインストールするときに以下の権限が自動的に与えられます。ファームの Web アプリケーション完全読み取りポリシーに追加される

Windows SharePoint Services Search サービスアカウント

既定では、このアカウントはローカルサービスアカウントとして実行されます。

ドメインアカウントである必要があります。
ファームの Administrators グループのメンバである必要はありません。

このアカウントには、Search Server 2008 をインストールするときに以下の権限が自動的に与えられます。

Web アプリケーションのコンテンツデータベースの読み取り/書き込み
構成データベースからの読み取り
Windows SharePoint Services Search データベースの読み取り/書き込み

Windows SharePoint Services Search コンテンツアクセスアカウント

ファーム管理者グループのメンバではない必要があります。
Web アプリケーションへの読み取りアクセス権

Windows SharePoint Services Search サービスアカウントと同じ要件
Web アプリケーションへの読み取りアクセス権

このアカウントには、Search Server 2008 をインストールするときに以下の権限が自動的に与えられます。

ファームの Web アプリケーション完全読み取りポリシーに追加される

アプリケーションプールアカウント

次の表では、アプリケーションプールアカウントの標準的なアカウント要件について説明します。

アカウント	単一サーバーの要件	サーバーファームの要件
アプリケーションプールプロセスアカウント	手動の構成は不要です。	手動の構成は不要です。このアカウントには、以下の SQL Server のロールと権限が自動的に割り当てられます。 Web アプリケーションに関連付けられたコンテンツデータベースのデータベース所有者のロール関連付けられた SSP データベースでの読み取り/書き込み権限構成データベースからの読み取りこのアカウントには、WFE とアプリケーションサーバー上の追加権限が Search Server 2008 によって自動的に与えられます。

アプリケーションプールプロセスアカウント

手動の構成は不要です。

手動の構成は不要です。

このアカウントには、以下の SQL Server のロールと権限が自動的に割り当てられます。

Web アプリケーションに関連付けられたコンテンツデータベースのデータベース所有者のロール
関連付けられた SSP データベースでの読み取り/書き込み権限
構成データベースからの読み取り

このアカウントには、WFE とアプリケーションサーバー上の追加権限が Search Server 2008 によって自動的に与えられます。

アカウントの推奨事項を計画する

ここでは、ほとんどの環境でアカウントを実装するのに適した実用的な計画の推奨事項を以下の 2 つの展開シナリオに沿って説明します。

セキュリティ保護されたファーム環境
単一サーバー環境

セキュリティ保護されたファーム環境

これらの計画の推奨事項は、セキュリティ保護されたファーム環境における個別アカウントに関するものです。

サーバーファームレベルのアカウント

次の表では、セキュリティ保護されたファーム環境でのサーバーファームレベルのアカウントの計画に関する推奨事項について説明します。

アカウント	推奨事項
SQL Server サービスアカウント	SQL Server アカウントまたはローカルアカウントよりもドメインアカウントをお勧めします。これを行うには、ドメインユーザーアカウントの Active Directory ドメインサービスで、有効なサービスプリンシパル名 (SPN) を設定する必要がある場合があります。このアカウントにはサーバーファームアカウントを使用しないでください。
セットアップユーザーアカウント	ドメインアカウントをお勧めします。ワークグループ環境では、ローカル Windows アカウントでもかまいません。
サーバーファームアカウント	ドメインアカウントをお勧めします。

SSP のアカウント

次の表では、セキュリティ保護されたファーム環境における SSP のアカウントの計画に関する推奨事項について説明します。

アカウント	推奨事項
SSP サービスアカウント	既定では、サービスの既定のアカウントが使用されます。インストールの完了後に、このアカウントをドメインアカウントに変更します。
Office SharePoint Server Search アカウント	既定では、サービスの既定のアカウントが使用されます。インストールの完了後に、このアカウントをドメインアカウントに変更します。
既定のコンテンツアクセスアカウント	既定では、ネットワークサービスアカウントが使用されます。インストールの完了後に、このアカウントをドメインアカウントに変更します。既定のコンテンツアクセスアカウントには、ディレクトリサービスへのアクセス許可を与えないでください。

Windows SharePoint Services Search アカウント

次の表では、セキュリティ保護されたファーム環境での Windows SharePoint Services Search アカウントの計画に関する推奨事項について説明します。Search Server 2008 では、ヘルプのクロールおよびインデックス作成に、これらのアカウントが使用されます。

アカウント	推奨事項
Windows SharePoint Services Search サービスアカウント	既定では、ローカルサービスアカウントが使用されます。インストールの完了後に、このアカウントをドメインアカウントに変更します。
Windows SharePoint Services Search コンテンツアクセスアカウント	既定では、ローカルサービスアカウントが使用されます。

アプリケーションプールアカウント

次の表では、セキュリティ保護されたファーム環境でのアプリケーションプールアカウントの計画に関する推奨事項について説明します。

アカウント	推奨事項
アプリケーションプールプロセスアカウント	各アプリケーションプールに固有のドメインアカウントを計画します。フロントエンドサーバーでもバックエンドデータベースサーバーでも管理者権限を持たない一意のユーザーアカウントを選択します。

単一サーバー環境

次の表では、単一サーバー環境で Search Server 2008 を使用する場合の計画に関する推奨事項について説明します。単一サーバー環境とは、単一のサーバーがすべてのサーバーロールをホストする環境です。

シナリオ	推奨事項
Search Server 2008 Express	注意この情報は、Search Server 2008 Express にのみ適用されます。標準の管理者アカウントを使用してインストールを実行します。インストールによって割り当てられた既定のアカウントを使用します。 SQL Server に対して必要な権限をネットワークサービスアカウントに割り当てます。
ドメイン環境での SQL Server	セキュリティ保護されたファーム環境に対する推奨事項を使用します。
ワークグループ環境での SQL Server	ドメインアカウントではなく Windows アカウントを使用するという点以外では、セキュリティ保護されたファーム環境に対する推奨事項を使用します。

次の方法で共有

管理アカウントとサービスアカウントを計画する (Search Server 2008)

検索計画チームについて

管理アカウントおよびサービスアカウントについて

サーバーファームレベルのアカウント

共有サービスプロバイダ (SSP) のアカウント

Windows SharePoint Services Search アカウント

アプリケーションプールアカウント

標準のアカウント要件

サーバーファームレベルのアカウント

SSP のアカウント

Windows SharePoint Services Search アカウント

アプリケーションプールアカウント

アカウントの推奨事項を計画する

セキュリティ保護されたファーム環境

サーバーファームレベルのアカウント

SSP のアカウント

Windows SharePoint Services Search アカウント

アプリケーションプールアカウント

単一サーバー環境

その他のリソース

次の方法で共有

管理アカウントとサービス アカウントを計画する (Search Server 2008)

検索計画チームについて

管理アカウントおよびサービス アカウントについて

サーバー ファームレベルのアカウント

共有サービス プロバイダ (SSP) のアカウント

Windows SharePoint Services Search アカウント

アプリケーション プール アカウント

標準のアカウント要件

サーバー ファームレベルのアカウント

SSP のアカウント

Windows SharePoint Services Search アカウント

アプリケーション プール アカウント

アカウントの推奨事項を計画する

セキュリティ保護されたファーム環境

サーバー ファームレベルのアカウント

SSP のアカウント

Windows SharePoint Services Search アカウント

アプリケーション プール アカウント

単一サーバー環境

その他のリソース

管理アカウントとサービスアカウントを計画する (Search Server 2008)

管理アカウントおよびサービスアカウントについて

サーバーファームレベルのアカウント

共有サービスプロバイダ (SSP) のアカウント

アプリケーションプールアカウント

サーバーファームレベルのアカウント

アプリケーションプールアカウント

サーバーファームレベルのアカウント

アプリケーションプールアカウント