Partilhar via


Planejar contas administrativas e de serviço no SharePoint Server

APLICA-SE A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Para instalar o SharePoint Server, tem de ter contas administrativas e de serviço adequadas em servidores com o SharePoint Server e o SQL Server. Após a instalação, é necessário ter contas apropriadas administrativas e de serviço para modificar e manter o ambiente. As contas exigidas para concluir esses grupos de tarefas não são necessariamente as mesmas. Este artigo descreve as contas necessárias após a instalação para um ambiente de servidor único e um ambiente de farm de servidores.

Importante

Não utilize nomes de contas de serviço que contenham o símbolo $ com a exceção de utilizar uma Conta de Serviço Gerida de Grupo para o SQL Server.

Importante

Os serviços do SharePoint não suportam Contas de Serviço Geridas do Active Directory nem Contas de Serviço Geridas de Grupo.

Utilize este artigo juntamente com a Implementação inicial administrativa e contas de serviço no SharePoint Server.

O artigo inicial sobre contas administrativas e de serviço de implantação descreve a conta e permissões específicas que você precisa conceder antes de executar a instalação.

Este artigo não descreve os requisitos de conta para utilizar o serviço Arquivo Seguro no SharePoint Server. Para saber mais, veja Plan the Secure Store Service in SharePoint Server.

Saiba mais sobre a função de administrador do SharePoint no Microsoft 365.

Sobre contas administrativas e de serviço

Esta secção lista e descreve as contas para as quais tem de planear gerir servidores com o SQL Server ou o SharePoint Server. As contas são agrupadas de acordo com o escopo.

Após concluir a instalação e configuração de contas, certifique-se de não usar a conta de Sistema Local para executar tarefas de administração ou para navegar sites.

Contas no nível do farm de servidores

A tabela seguinte descreve as contas que são utilizadas para configurar o software de base de dados do SQL Server e para instalar o SharePoint Server.

Account Objetivo Requisitos
Conta de serviço do SQL Server A conta de serviço do SQL Server é usada para executar o SQL Server. É a conta para os seguintes serviços do SQL Server:
MSSQLSERVER
SQLSERVERAGENT
Se não utilizar a instância predefinida do SQL Server, na consola dos Serviços Windows, estes serviços serão apresentados como:
MSSQL<InstanceName>
SQLAgent<InstanceName>
Utilize uma conta de utilizador de domínio ou, de preferência, uma Conta de Serviço Gerida de Grupo.
Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões desse precisarão ser concedidas para a conta apropriada. Se utilizar uma conta de utilizador de domínio ou uma Conta de Serviço Gerida de Grupo para a conta de serviço do SQL Server, conceda permissões a essa conta de utilizador de domínio. No entanto, se utilizar o Serviço de Rede ou a conta do Sistema Local, conceda permissões para o recurso externo à conta do computador (<domain_name>\<SQL_hostname>).
O nome da instância é arbitrário e foi criado quando o SQL Server foi instalado.
Conta de utilizador administrador do farm A conta de utilizador administrador do farm é uma conta identificável exclusivamente atribuída a um administrador do SharePoint. É utilizado para executar:
Configurar
Assistente de Configuração de Produtos do SharePoint
Conta de usuário do domínio.
Membro do grupo Administradores em cada servidor do SharePoint no farm.
Membro da seguinte função do SQL Server (opcional): função de servidor fixa sysadmin .
Se executar cmdlets do Windows PowerShell que afetam uma base de dados, esta conta tem de ser membro da db_owner função de base de dados fixa para a base de dados ou um membro da função de servidor fixa sysadmin no SQL.
Conta de serviço do farm A conta de serviço do farm é utilizada para realizar as seguintes tarefas:
Atuar como a identidade do pool de aplicativos do site da Administração Central do SharePoint.
Execute o Serviço de Timer do Microsoft SharePoint Workflow Foundation.
Conta de usuário do domínio.
São concedidas automaticamente mais permissões para a conta do farm de servidores em servidores Web e servidores de aplicações que estão associados a um farm de servidores.
A conta de farm de servidores é adicionada automaticamente como um logon do SQL Server no computador que executa o SQL Server. A conta é adicionada às seguintes funções de servidor do SQL Server:
* função de servidor fixa do dbcreator
* função de servidor fixa securityadmin
* db_owner função de base de dados fixa para todas as bases de dados do SharePoint no farm de servidores
Esta conta não pode ser utilizada interativamente por um administrador.
Modificar a conta de serviço do farm terá de reiniciar o servidor IIS com o iisreset.exe comando .

Contas de aplicativos de serviço

A tabela a seguir descreve as contas que são usadas para instalar e configurar um aplicativo de serviço.

Para obter mais informações sobre pontos finais de aplicação de serviço, veja Using Service Endpoints (Utilizar Pontos Finais de Serviço).

Observação

Os Serviços do Excel e o Serviço de Sincronização de Perfis de Utilizador aplicam-se apenas ao SharePoint 2013.

Os Serviços do Access e o Serviço PerformancePoint não se aplicam à Edição da Subscrição.

Account Serviço Objetivo Requisitos
Pontos de extremidade de aplicativo de serviço Executar Instâncias do SharePoint Services e Serviços Windows Conta de usuário de domínio
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviços do Access X
Serviço Conectividade de Dados Corporativos X X
Serviço de Repositório Seguro X
Serviço de Conjunto de Dados de Uso e Integridade X
Serviço de Perfil de Usuário X
Serviço de Gráfico do Visio X
Serviços de Automação do Word X
Excel Services X
Serviço de Metadados Gerenciados X
Serviço PerformancePoint X
Serviço de Pesquisa X

Observação

Esta conta é usada como a identidade do pool de aplicativos do ponto de extremidade do aplicativo de serviço. A menos que haja requisitos específicos de isolamento, o pool de aplicativos pode ser usado para hospedar vários pontos de extremidade de aplicativo de serviço. Para os Serviços do Excel, o serviço de Metadados Geridos, o serviço PerformancePoint e o serviço de Pesquisa, tem de ser uma conta de utilizador de domínio. Além disso, os Serviços do Excel só estão disponíveis no SharePoint Server 2013.

Nome do serviço No SharePoint Server No SharePoint Foundation
Serviço de Token de Segurança X
Descoberta de Aplicativo e Serviço de Balanceador de Carga X X

Observação

Esta conta é usada como a identidade do pool de aplicativos do ponto de extremidade do aplicativo de serviço. Esta conta tem de ser a Conta de Serviço do Farm e o Assistente de Configuração de Produtos SharePoint cria automaticamente o conjunto aplicacional.

Account Serviço Objetivo Requisitos
Serviço autônomo N/D Utilizado para executar funções em nome do utilizador ou serviço N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviços do Excel X
Serviço PerformancePoint X
Serviço de Gráfico do Visio X

Observação

Serviços do Excel utilizados com livros para atualizar dados. Obrigatório quando as conexões da pasta de trabalho especificar "Nenhum" para autenticação, ou quando alguma credencial que não forem credenciais do Windows forem usadas para atualizar dados. O serviço PerformancePoint é utilizado para autenticação com origens de dados. O serviço Visio é utilizado com documentos para atualizar dados. É necessário ao ligar a origens de dados externas ao SharePoint Server, como o SQL Server.

Account Serviço Objetivo Requisitos
Acesso a conteúdo padrão Pesquisar Rastrear conteúdo Acesso de leitura ao conteúdo que está a ser pesquisado
Nome do serviço No SharePoint Server No SharePoint Foundation
Pesquisa do SharePoint Server X

Observação

A conta padrão para rastrear conteúdo. Um administrador de aplicativo de serviço pode criar regras de rastreamento para especificar que outras contas rastreiem conteúdo específico. Deve ter acesso de leitura ao conteúdo sendo rastreado. Conceda permissões de Leitura Completa explicitamente ao conteúdo que está fora do farm local. As permissões de Leitura Completa são configuradas automaticamente para banco de dados de conteúdo no farm local. Requer Gerir registos de auditoria e segurança diretamente na Política de Utilizador Local nos servidores de ficheiros do Windows que está configurado para pesquisa.

Account Serviço Objetivo Requisitos
Serviço de Pesquisa Pesquisar Executar os serviços do Windows Search Ser uma conta de utilizador de domínio
Nome do serviço No SharePoint Server No SharePoint Foundation
Pesquisa do SharePoint Server X
Account Serviço Objetivo Requisitos
Administrador de farms Serviço de Sincronização de Perfis de Usuário Executa os serviços do Forefront Identity Manager Conta de administrador do farm; Administrador local onde o Serviço de Sincronização de Perfis de Utilizador é iniciado
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviço de Sincronização de Perfis de Usuário X N/D
Account Serviço Objetivo Requisitos
Conexão de sincronização Serviço Perfil de Usuário Ligar aos arquivos de identidade do utilizador Replicar alterações de diretório (Active Directory), acesso de leitura (outros diretórios)
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviço Perfil de Usuário X N/D

Observação

Permissões Replicando alterações no diretório na partição de configuração dos domínios sendo sincronizado, se o NetBIOS e os Nomes de Domínio Totalmente Qualificados (FQDN) não são iguais.

Account Serviço Objetivo Requisitos
Serviço de gerenciamento de aplicativos N/D Utilizado para instalar Suplementos do SharePoint N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Gerenciamento de aplicativos X X
Account Serviço Objetivo Requisitos
Serviço de Conversão do PowerPoint Serviços de Conversão do PowerPoint Converter ficheiros do PowerPoint noutros formatos de ficheiro Função de administrador do farm (apenas no SharePoint Server 2013)
Nome do serviço No SharePoint Server No SharePoint Foundation
PowerPoint conversion service X
Account Serviço Objetivo Requisitos
Serviço de tradução automática Serviço de tradução automática Executar traduções automáticas automatizadas N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviço de Tradução Automática X
Account Serviço Objetivo Requisitos
Serviços do Access 2013 Serviços do Access Interagir com bases de dados do Access 2013 num browser N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Serviços do Access no SharePoint Server 2013 X
Account Serviço Objetivo Requisitos
Gerenciamento de Trabalho Serviço de Gestão de Trabalho Fornece agregação de tarefas no SharePoint, Exchange e Project Server. N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Gerenciamento de trabalho X
Account Serviço Objetivo Requisitos
Cache distribuído Serviço AppFabric do Windows Executa operações de Cache Distribuída N/D
Nome do serviço No SharePoint Server No SharePoint Foundation
Cache distribuído X X

Observação

Algumas das funcionalidades que utilizam o serviço Cache Distribuída são Newsfeeds, Autenticação, acesso ao cliente do OneNote, Limitação de Segurança e melhora o desempenho de carregamento de páginas. É necessário, pelo menos, um servidor de Cache Distribuída no farm.

Aplicações Web do SharePoint

Deve ser utilizada uma única conta para todas as Aplicações Web, denominadas conta de conjunto de Aplicações Web. Esta condição permite ao administrador utilizar um único Conjunto Aplicacional do IIS para todas as Aplicações Web, o que aumenta o desempenho e reduz a utilização da memória no servidor.

Account Objetivo
Identidade de pool de aplicativos A conta do usuário que o funcionário processa esse serviço que o pool de aplicativos usa como sua identidade do processo. Esta conta é usada para acessar bancos de dados de conteúdo que estão associados com os aplicativos web que residem no pool de aplicativos.

Requisitos padrão de servidor único

Se estiver a implementar num único servidor, os requisitos de conta são bastante reduzidos. Em um ambiente de avaliação, é possível usar uma conta única para todas as finalidades da conta. Em um ambiente de produção, verifique se as contas criadas têm as permissões apropriadas para suas finalidades.

Para obter uma lista de permissões de conta para ambientes de servidor único, veja Implementação inicial administrativa e contas de serviço no SharePoint Server.

Requisitos do farm de servidores

Se estiver a implementar em mais do que um servidor, utilize os requisitos padrão do farm de servidores para garantir que as contas têm as permissões adequadas para realizar os processos em vários computadores. Os requisitos padrão de farm de servidor detalham a configuração mínima necessária para operar em um ambiente de farm de servidor.

Para obter uma lista de requisitos para ambientes de farm de servidor, consulte os requisitos listados na seção Referência técnica: requisitos de conta por cenário deste artigo.

Para algumas contas, são configuradas permissões adicionais ou acesso a bases de dados quando executa o Assistente de Configuração. Estes privilégios adicionais são indicados na ferramenta de planeamento de contas. Uma configuração importante que os administradores de bancos de dados devem conhecer é a adição da função de banco de dados WSS_Content_Application_Pools. O Assistente de Configuração adiciona esta função às seguintes bases de dados:

  • Banco de dados SharePoint_Config (banco de dados de configuração)

  • SharePoint_Admin base de dados de conteúdos

Membros da função de banco de dados WSS_Content_Application_Pools recebem a permissão de Executar em um subconjunto de procedimentos armazenados do banco de dados. Além disso, os membros desta função recebem a permissão Selecionar na tabela Versões (dbo.Versions) no banco de dados SharePoint_AdminContent.

Em outros bancos de dados, a ferramenta de planejamento de contas indica que o acesso à leitura desses bancos de dados é configurado automaticamente. Em alguns casos, o acesso limitado de gravação para bancos de dados também é configurado automaticamente. Para fornecer esse acesso, as permissões para procedimentos de armazenamento são configuradas.

Referência técnica: requisitos de conta por cenário

Esta seção lista os requisitos de conta por cenário

Requisitos padrão de servidor único

Importante

Não recomendamos esta configuração num ambiente de produção.

Contas no nível do farm de servidores

Account Requisitos
Serviços do SQL Server Conta do Sistema Local (padrão)
Conta de utilizador administrador do farm Membro do grupo Administradores no computador local.
Serviço de farm Serviço de Rede (predefinição) Não é necessária qualquer configuração manual.

Contas de aplicativos de serviço

Importante

As contas nesta tabela aplicam-se apenas ao SharePoint Server.

Account Requisitos
Serviço de Pesquisa do SharePoint Server Como padrão, essa conta é executada como a conta do Sistema Local. Se quiser pesquisar conteúdo remoto ao alterar a conta de acesso a conteúdos predefinida ou ao utilizar regras de pesquisa, altere esta conta para uma conta de utilizador de domínio. Se você não alterar essa conta para uma conta de usuário de domínio, não será possível alterar a conta padrão de acesso a conteúdo para a conta de usuário padrão, ou adicionar regras de rastreamento para rastrear esse conteúdo. Essa restrição é projetada para evitar elevação de privilégio para qualquer outro processo sendo executado na conta do Sistema Local.
Acesso a conteúdo padrão Nenhuma configuração manual é necessária se essa conta está rastreando apenas conteúdo de farm local. Se quiser pesquisar conteúdo remoto através de regras de pesquisa, altere esta conta para um utilizador de domínio e aplique os requisitos listados para um farm de servidores.
Acesso a conteúdo Mesmo requisito da conta padrão de acesso a conteúdo.
Conta de Sincronização de Perfis Mesmos requisitos do farm de servidores.
Serviço Autónoma dos Serviços do Excel Deve ser uma conta de usuário de domínio.

Contas adicionais de identidade de pool de aplicativos

Account Requisitos
Identidade de pool de aplicativos Nenhuma configuração manual é necessária. A conta de Serviço de Rede é usada para o web site padrão que é criado durante a instalação e configuração.

Requisitos padrão de farm de servidores

Contas no nível do farm de servidores

Account Objetivo Requisitos
Conta de serviço do SQL Server
A conta de serviço do SQL Server é usada para executar o SQL Server. É a conta para os seguintes serviços do SQL Server:
MSSQLSERVER
SQLSERVERAGENT
Se não utilizar a instância predefinida do SQL Server, na consola dos Serviços Windows, estes serviços serão apresentados como:
MSSQL<InstanceName>
SQLAgent<InstanceName>
Utilize uma conta de utilizador de domínio ou, de preferência, uma Conta de Serviço Gerida de Grupo.
Se você pretende fazer backup em, ou restaurar de, um recurso externo, as permissões desse precisarão ser concedidas para a conta apropriada. Se utilizar uma conta de utilizador de domínio ou uma Conta de Serviço Gerida de Grupo para a conta de serviço do SQL Server, conceda permissões a essa conta de utilizador de domínio. No entanto, se utilizar o Serviço de Rede ou a conta do Sistema Local, conceda permissões para o recurso externo à conta do computador (<domain_name>\<SQL_hostname>).
O nome da instância é arbitrário e foi criado quando o SQL Server foi instalado.
Conta de utilizador administrador do farm
A conta de utilizador administrador do farm é uma conta identificável exclusivamente atribuída a um administrador do SharePoint. É utilizado para executar:
Configurar
Assistente de Configuração de Produtos do SharePoint
Conta de usuário do domínio.
Membro do grupo Administradores em cada servidor do SharePoint no farm.
Membro da seguinte função do SQL Server (opcional): função de servidor fixa sysadmin .
Se executar cmdlets do Windows PowerShell que afetam uma base de dados, esta conta tem de ser membro da db_owner função de base de dados fixa para a base de dados ou um membro da função de servidor fixa sysadmin no SQL.
Conta de serviço do farm
A conta de serviço do farm é utilizada para realizar as seguintes tarefas:
Atuar como a identidade do pool de aplicativos do site da Administração Central do SharePoint.
Execute o Serviço de Timer do Microsoft SharePoint Workflow Foundation.
Conta de usuário do domínio.
São concedidas automaticamente mais permissões para a conta do farm de servidores em servidores Web e servidores de aplicações que estão associados a um farm de servidores.
A conta de farm de servidores é adicionada automaticamente como um logon do SQL Server no computador que executa o SQL Server. A conta é adicionada às seguintes funções de servidor do SQL Server:
* função de servidor fixa do dbcreator
* função de servidor fixa securityadmin
* db_owner função de base de dados fixa para todas as bases de dados do SharePoint no farm de servidores
Esta conta não pode ser utilizada interativamente por um administrador.
Modificar a conta de serviço do farm terá de reiniciar o servidor IIS com o iisreset.exe comando .

Contas de serviço do aplicativo de serviço

Importante

A conta de Sincronização de Perfis e a conta de serviço autónoma dos Serviços do Excel aplicam-se apenas ao SharePoint Server.

Account Requisitos
Conta do serviço de pesquisa do SharePoint Server Deve ser uma conta de usuário de domínio. Não pode ser membro do grupo Administradores de Farm. Os seguintes são configurados automaticamente: acesso para ler a partir da base de dados de configuração, base de dados de conteúdos de administração, base de dados de administração de pesquisas, bases de dados de pesquisa. Acesso de Controle Total às partições do índice em servidores de consulta.
Conta de acesso de conteúdo padrão Deve ser uma conta de usuário de domínio. Não pode ser membro do grupo Administradores de Farm. Acesso de leitura a fontes de conteúdo externas ou seguras que você deseja rastrear usando essa conta. Para sites que não fazem parte do farm de servidor, essa conta deve ser receber explicitamente permissões de Leitura Completa nos aplicativos web que hospedam os sites. As seguintes opções são configuradas automaticamente: as permissões de Leitura Completa são concedidas automaticamente às bases de dados de conteúdos alojadas pelo farm de servidores.
Conta de acesso de conteúdo Acesso de leitura às fontes de conteúdo externas e seguras que essa conta está configurada para acessar. Para websites que não fazem parte do farm de servidor, essa conta deve receber explicitamente permissões de Leitura Completa nos aplicativos web que hospedam os sites.
Conta de Sincronização de Perfis Acesso de leitura ao serviço de diretório. A conta tem de ter a permissão Replicar Alterações no Active Directory. Permissão de serviços de personalização para Gerenciar Perfis de Usuário. Exibir permissões em entidades usadas nas conexões de importação do Catálogo de Dados Corporativos.
Conta de serviço autônoma do Serviços do Excel Deve ser uma conta de usuário de domínio.

Contas adicionais de identidade de pool de aplicativos

Account Requisitos
Identidade de pool de aplicativos Nenhuma configuração manual é necessária. As seguintes definições são configuradas automaticamente: associação na função de SP_DATA_ACCESS para bases de dados de conteúdo e bases de dados de pesquisa associadas à aplicação Web. Associação nas funções específicas de pool de aplicativos para configuração e os banco de dados SharePoint_AdminContent. São concedidas automaticamente mais permissões para esta conta para servidores Web front-end e servidores de aplicações.