規劃 SharePoint Server 中的管理及服務帳戶
適用於:2013 Subscription Edition SharePoint in Microsoft 365
若要安裝 SharePoint Server,您必須在執行 SharePoint Server 和 SQL Server 的伺服器上擁有適當的系統管理和服務帳戶。 安裝之後,您需要有適當的系統管理和服務帳戶,才能修改和維護環境。 您完成這些工作群組所需的帳戶不一定相同。 本文說明在安裝單一伺服器環境和伺服器數位環境之後所需的帳戶。
重要事項
請勿使用包含符號 $ 的服務帳戶名稱,但使用 SQL Server 的群組受控服務帳戶除外。
重要事項
SharePoint 服務不支援 Active Directory 受控服務帳戶或群組受控服務帳戶。
使用本文以及 SharePoint Server 中的初始部署系統管理與服務帳戶。
初始部署系統管理與服務帳戶一文說明執行安裝程式之前,您需要授與的特定帳戶和許可權。
本文不會說明在 SharePoint Server 中使用 Secure Store 服務的帳戶需求。 如需詳細資訊,請參閱<規劃 SharePoint Server 的 Secure Store Service>。
瞭解 Microsoft 365 中的 SharePoint 系統管理員角色。
關於系統管理和服務帳戶
本節列出並描述您必須規劃管理執行 SQL Server 或 SharePoint Server 之伺服器的帳戶。 帳戶會根據範圍進行分組。
完成帳戶的安裝和設定之後,請確定您不會使用本機系統帳戶來執行管理工作或瀏覽網站。
伺服器數位層級帳戶
下表描述用來設定 SQL Server 資料庫軟體和安裝 SharePoint Server 的帳戶。
Account | 用途 | 需求 |
---|---|---|
SQL Server 服務帳戶 | 用來執行 SQL Server 的 SQL Server 服務帳戶。 這是下列 SQL Server 服務的服務帳戶: MSSQLSERVER SQLSERVERAGENT 如果您未使用預設 SQL Server 實例,則在 Windows 服務控制台中,這些服務會顯示為: MSSQL<InstanceName> SQLAgent<InstanceName> |
使用網域用戶帳戶,或最好是 使用群組受控服務帳戶。 If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. 如果您針對 SQL Server 服務帳戶使用網域用戶帳戶或群組受控服務帳戶,請將許可權授與該網域用戶帳戶。 不過,如果您使用網路服務或本機系統帳戶,請將外部資源的許可權授與計算機帳戶 (domain_name<>\<SQL_hostname) >。 執行個體名稱可以是任意名稱,並在安裝 SQL Server 時即已建立。 |
伺服器數位管理員用戶帳戶 | 伺服器數位系統管理員用戶帳戶是指派給 SharePoint 系統管理員的唯一可識別帳戶。它是用來執行: 安裝程式 SharePoint 產品設定精靈 |
網域使用者帳戶。 伺服器陣列中每個SharePoint伺服器上的Administrators群組成員。 下列 SQL Server 角色的成員 (選擇性) : sysadmin 固定伺服器角色。 如果您執行會影響資料庫的 Windows PowerShell Cmdlet,此帳戶必須是資料庫 db_owner 固定資料庫角色的成員,或是 SQL 上 系統管理員 固定伺服器角色的成員。 |
伺服器數位服務帳戶 | 伺服器陣列服務帳戶可用來執行下列工作: 做為 SharePoint 管理中心網站的應用程式集區身分識別。 執行 Microsoft SharePoint Foundation 工作流程計時器服務。 |
網域使用者帳戶。 系統會自動為加入伺服器陣列之網頁伺服器和應用程式伺服器上的伺服器數位帳戶授與更多許可權。 伺服器陣列帳戶會自動新增為執行 SQL Server 之電腦上的 SQL Server 登入。 此帳戶並會新增至下列 SQL Server 安全性角色: * dbcreator 固定伺服器角色 * securityadmin 固定伺服器角色 * db_owner 伺服器陣列中所有 SharePoint 資料庫的固定資料庫角色 系統管理員不得以互動方式使用此帳戶。 修改伺服器數位服務帳戶需要使用 iisreset.exe 命令重新啟動 IIS 伺服器。 |
服務應用程式帳戶
下表描述用來設定服務應用程式的帳戶。
如需服務應用程式端點的詳細資訊,請 參閱使用服務端點。
注意事項
Excel Services 和使用者配置檔同步處理服務僅適用於 SharePoint 2013。
Access Services 和 PerformancePoint Service 不適用於訂閱版本。
Account | 服務 | 用途 | 需求 |
---|---|---|---|
服務應用程式端點 | 執行 SharePoint 服務實例和 Windows 服務 | 網域使用者帳戶 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
Access Services | X | |
Business Data Connectivity Service | X | X |
Secure Store Service | X | |
Usage and Health Data Collection Service | X | |
User Profile Service | X | |
Visio Graphics Service | X | |
Word Automation 服務 | X | |
Excel Services | X | |
Managed Metadata Service | X | |
PerformancePoint Service | X | |
Search Service | X |
注意事項
此帳戶會作為服務應用程式端點應用程式集區的身分識別。 除非有特定的隔離需求,否則應用程式集區可以用來裝載多個服務應用程式端點。 針對 Excel Services、受控元數據服務、PerformancePoint 服務和搜尋服務,您必須是網域用戶帳戶。 此外,Excel Services 僅適用於 SharePoint Server 2013。
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
Security Token Service | X | |
應用程式探索與負載平衡 | X | X |
注意事項
此帳戶會作為服務應用程式端點應用程式集區的身分識別。 此帳戶必須是伺服器數位服務帳戶,而 SharePoint 產品設定精靈會自動建立應用程式集區。
Account | 服務 | 用途 | 需求 |
---|---|---|---|
自動服務 | 不適用 | 用來代表使用者或服務執行函式 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
Excel Services | X | |
PerformancePoint Service | X | |
Visio Graphics Service | X |
注意事項
與活頁簿搭配使用的 Excel Services 可重新整理數據。 當活頁簿連線指定 「None」 進行驗證,或是使用任何不是Windows 認證的認證來重新整理數據時,就必須這麼做。 PerformancePoint 服務用於向數據源進行驗證。 Visio 服務會與檔搭配使用,以重新整理數據。 連接到 SharePoint Server 外部的數據源時,例如 SQL Server 是必要的。
Account | 服務 | 用途 | 需求 |
---|---|---|---|
默認內容存取 | 搜尋 | 編目內容 | 所編目內容的讀取存取權 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
SharePoint Server 搜尋 | X |
注意事項
編目內容的預設帳戶。 搜尋服務應用程式管理員可以建立編目規則,以指定要編目特定內容的其他帳戶。 必須具有所編目內容的讀取許可權。 必須明確授與本機伺服器數位外部內容的完整讀取許可權。 本機伺服器陣列中的內容資料庫會自動設定完整讀取許可權。 需要 在 設定為編目之 Windows 檔伺服器上的本機用戶原則中管理稽核和安全性記錄檔。
Account | 服務 | 用途 | 需求 |
---|---|---|---|
Search Service | 搜尋 | 執行 Windows 搜尋服務 | 成為網域用戶帳戶 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
SharePoint Server 搜尋 | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
伺服器陣列管理員 | User Profile Synchronization Service | 執行 Forefront Identity Manager 服務 | 伺服器陣列系統管理員帳戶;啟動使用者配置檔同步處理服務的本機系統管理員 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
User Profile Synchronization Service | X | 不適用 |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
同步處理連線 | User Profile Service | 線上到使用者身分識別存放區 | 將目錄變更復寫 (Active Directory) 、讀取存取 (其他目錄) |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
User Profile Service | X | 不適用 |
注意事項
如果 NetBIOS 和完整功能變數名稱 (FQDN) 名稱不相符,則復寫要同步處理之網域的組態分割區目錄變更許可權。
Account | 服務 | 用途 | 需求 |
---|---|---|---|
App Management Service | 不適用 | 用來安裝 SharePoint 載入宏 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
應用程式管理 | X | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
PowerPoint Conversion Service | PowerPoint 轉換服務 | 將 PowerPoint 檔案轉換成其他檔案格式 | 僅限 SharePoint Server 2013 (伺服器陣列管理員角色) |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
PowerPoint 轉換服務 | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
Machine Translation Service | Machine Translation Service | 執行自動化機器翻譯 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
Machine Translation Service | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
Access Services 2013 | Access Services | 在瀏覽器中與 Access 2013 資料庫互動 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
SharePoint Server 2013 中的 Access Service | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
Work Management | 工作管理服務 | 提供跨 SharePoint、Exchange 和 Project Server 的工作匯總。 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
工作管理 | X |
Account | 服務 | 用途 | 需求 |
---|---|---|---|
分散式快取 | AppFabric Windows 服務 | 執行分散式快取作業 | 不適用 |
服務名稱 | 在 SharePoint Server 中 | 在 SharePoint Foundation 中 |
---|---|---|
分散式快取 | X | X |
注意事項
使用分散式快取服務的部分功能包括新聞摘要、驗證、OneNote 用戶端存取、安全性調整,以及改善頁面載入效能。 伺服器陣列中至少需要一部分布式快取伺服器。
SharePoint Web 應用程式
單一帳戶應該用於所有名為 Web 應用程式集區帳戶的 Web 應用程式。 此條件可讓系統管理員針對所有 Web 應用程式使用單一 IIS 應用程式集區,以提升效能並減少伺服器上的記憶體使用量。
Account | 用途 |
---|---|
應用程式集區身分識別 | 服務應用程式集區的背景工作角色所處理的用戶帳戶,會用來作為其進程身分識別。 此帳戶可用來存取與位於應用程式集區中的 Web 應用程式相關聯的內容資料庫。 |
單一伺服器標準需求
如果您要部署到單一伺服器,帳戶需求會大幅降低。 在評估環境中,您可以針對所有帳戶用途使用單一帳戶。 在生產環境中,請確定您建立的帳戶具有適當的許可權供其使用。
如需單一伺服器環境的帳戶許可權清單,請參閱 SharePoint Server 中的初始部署系統管理與服務帳戶。
伺服器陣列需求
如果您要部署到多部伺服器,請使用伺服器數位標準需求,以確保帳戶具有適當的許可權,可跨多部計算機執行其程式。 伺服器數位標準需求詳細說明在伺服器數位環境中運作所需的最小設定。
如需伺服器數位環境的標準需求清單,請參閱本文的技術 參考:依案例列出的帳戶需求 一節中所列的需求。
對於某些帳戶,當您執行設定精靈時,會設定資料庫的其他許可權或存取權。 這些額外的許可權會在帳戶規劃工具中記下。 資料庫管理員必須注意的一個重要組態是新增 WSS_Content_Application_Pools 資料庫角色。 組態精靈會將此角色新增至下列資料庫:
SharePoint_Config資料庫 (設定資料庫)
SharePoint_Admin內容資料庫
WSS_Content_Application_Pools資料庫角色的成員會被授與資料庫預存程式子集的「執行」許可權。 此外,此角色的成員會被授與 [版本] 資料表的 [選取] 許可權 (dbo。SharePoint_AdminContent資料庫中) 版本。
對於其他資料庫,帳戶規劃工具表示會自動設定從這些資料庫讀取的存取權。 在某些情況下,也會自動設定資料庫的限制寫入權限。 為了提供此存取權,已設定預存程序的許可權。
技術參考:依案例的帳戶需求
本節依案例列出帳戶需求:
單一伺服器標準需求
重要事項
我們不建議在生產環境中使用此設定。
伺服器數位層級帳戶
Account | 需求 |
---|---|
SQL Server 服務 | 本機系統帳戶 (預設) |
伺服器數位管理員用戶帳戶 | 本機電腦上 Administrators 群組的成員。 |
伺服器數位服務 | 網路服務 (預設) 不需要手動設定。 |
服務應用程式帳戶
重要事項
此數據表中的帳戶僅適用於 SharePoint Server。
Account | 需求 |
---|---|
SharePoint Server Search Service | 根據預設,此帳戶會以本機系統帳戶執行。 如果您想要藉由變更預設內容存取帳戶或使用編目規則來編目遠端內容,請將此帳戶變更為網域用戶帳戶。 如果您未將此帳戶變更為網域用戶帳戶,則無法將默認內容存取帳戶變更為網域用戶帳戶,或新增編目規則來編目此內容。 這項限制的設計目的是要防止任何其他以本機系統帳戶執行的進程提高許可權。 |
默認內容存取 | 如果此帳戶只會編目本機伺服器數位內容,則不需要手動設定。 如果您想要使用編目規則來編目遠端內容,請將此帳戶變更為網域使用者一,並套用伺服器陣列所列的需求。 |
內容存取 | 與預設內容存取帳戶相同的需求。 |
配置檔同步處理帳戶 | 與伺服器陣列相同的需求。 |
Excel Services 自動服務 | 必須是網域使用者帳戶。 |
其他應用程式集區身分識別帳戶
Account | 需求 |
---|---|
應用程式集區身分識別 | 不需要手動設定。 網路服務帳戶用於安裝和設定期間所建立的默認網站。 |
伺服器陣列標準需求
伺服器數位層級帳戶
Account | 用途 | 需求 |
---|---|---|
SQL Server 服務帳戶 |
用來執行 SQL Server 的 SQL Server 服務帳戶。 這是下列 SQL Server 服務的服務帳戶: MSSQLSERVER SQLSERVERAGENT 如果您未使用預設 SQL Server 實例,則在 Windows 服務控制台中,這些服務會顯示為: MSSQL<InstanceName> SQLAgent<InstanceName> |
使用網域用戶帳戶,或最好是 使用群組受控服務帳戶。 If you plan to back up to or restore from an external resource, permissions to the external resource must be granted to the appropriate account. 如果您針對 SQL Server 服務帳戶使用網域用戶帳戶或群組受控服務帳戶,請將許可權授與該網域用戶帳戶。 不過,如果您使用網路服務或本機系統帳戶,請將外部資源的許可權授與計算機帳戶 (domain_name<>\<SQL_hostname) >。 執行個體名稱可以是任意名稱,並在安裝 SQL Server 時即已建立。 |
伺服器數位管理員用戶帳戶 |
伺服器數位系統管理員用戶帳戶是指派給 SharePoint 系統管理員的唯一可識別帳戶。它是用來執行: 安裝程式 SharePoint 產品設定精靈 |
網域使用者帳戶。 伺服器陣列中每個SharePoint伺服器上的Administrators群組成員。 下列 SQL Server 角色的成員 (選擇性) : sysadmin 固定伺服器角色。 如果您執行會影響資料庫的 Windows PowerShell Cmdlet,此帳戶必須是資料庫 db_owner 固定資料庫角色的成員,或是 SQL 上 系統管理員 固定伺服器角色的成員。 |
伺服器數位服務帳戶 |
伺服器陣列服務帳戶可用來執行下列工作: 做為 SharePoint 管理中心網站的應用程式集區身分識別。 執行 Microsoft SharePoint Foundation 工作流程計時器服務。 |
網域使用者帳戶。 系統會自動為加入伺服器陣列之網頁伺服器和應用程式伺服器上的伺服器數位帳戶授與更多許可權。 伺服器陣列帳戶會自動新增為執行 SQL Server 之電腦上的 SQL Server 登入。 此帳戶並會新增至下列 SQL Server 安全性角色: * dbcreator 固定伺服器角色 * securityadmin 固定伺服器角色 * db_owner 伺服器陣列中所有 SharePoint 資料庫的固定資料庫角色 系統管理員不得以互動方式使用此帳戶。 修改伺服器數位服務帳戶需要使用 iisreset.exe 命令重新啟動 IIS 伺服器。 |
服務應用程式服務帳戶
重要事項
配置檔同步處理帳戶和 Excel Services 自動服務帳戶僅適用於 SharePoint Server。
Account | 需求 |
---|---|
SharePoint Server Search Service 帳戶 | 必須是網域使用者帳戶。 不得為伺服器陣組管理員群組的成員。 系統會自動設定下列專案:從設定資料庫、系統管理內容資料庫、搜尋管理資料庫、編目資料庫讀取的存取權。 完整控制查詢伺服器上索引分割區的存取權。 |
預設的內容存取帳戶 | 必須是網域使用者帳戶。 不得為伺服器陣組管理員群組的成員。 讀取您想要使用此帳戶編目之外部或安全內容來源的存取權。 對於不屬於伺服器陣列的網站,此帳戶必須在裝載網站的 Web 應用程式上明確授與「完整讀取」許可權。 系統會自動設定下列專案:伺服器數位所裝載的內容資料庫會自動授與完整讀取許可權。 |
內容存取帳戶 | 此帳戶設定為存取之外部或安全內容來源的讀取許可權。 對於不屬於伺服器陣列一部分的網站,此帳戶必須在裝載網站的 Web 應用程式上明確授與「完整讀取」許可權。 |
配置檔同步處理帳戶 | 目錄服務的讀取許可權。 帳戶必須具有 Active Directory 中的 [複寫變更] 許可權。 管理使用者配置檔個人化服務許可權。 檢視商務數據目錄匯入連線中所使用實體的許可權。 |
Excel Services 自動服務帳戶 | 必須是網域使用者帳戶。 |
其他應用程式集區身分識別帳戶
Account | 需求 |
---|---|
應用程式集區身分識別 | 不需要手動設定。 系統會自動設定下列專案: 與 Web 應用程式相關聯的內容資料庫和搜尋資料庫SP_DATA_ACCESS角色中的成員資格。 組態和SharePoint_AdminContent資料庫的特定應用程式集區角色中的成員資格。 系統會自動授與此帳戶對前端網頁伺服器和應用程式伺服器的更多許可權。 |