Serveur d'impression

Recommandations et meilleures pratiques relatives aux comptes de service SharePoint 2016 – Serveur d’impression

Par Titanfall , le 3 mai 2019 - 7 minutes de lecture

Recommandations relatives aux comptes de service SharePoint 2016

Les comptes de service jouent un rôle très important dans l’installation de chaque version de SharePoint, mais chacun a une manière différente de les configurer. Et une fois que vous installez votre SharePoint avec un ensemble de comptes de service, il n’est pas toujours facile de les changer. Jetons un coup d’œil aux comptes de service SharePoint 2016 que je recommande.

Comptes de service SharePoint 2016

Chaque administrateur SharePoint que vous demandez, aura un avis différent sur le nombre de comptes de service dont vous avez besoin et sur l'opportunité de disposer de comptes de service dédiés pour certaines applications de service ou certaines tâches d'administration. Même si tous les administrateurs SharePoint ont des opinions différentes, cela ne veut pas dire que certains ont tort ou raison, il n’existe pas de véritable solution «d’or» qui conviendrait à toutes les batteries de serveurs SharePoint existantes. D'après mon expérience avec SharePoint, voici les comptes de service que je recommande pour votre implémentation de SharePoint 2016.

Les comptes de service suivants peuvent être nommés conformément à la convention de dénomination de votre entreprise. Les stratégies de sécurité locales ne doivent être configurées que si vous avez des stratégies de groupe qui les enlèveront.

Compte

La description

Autorisations locales / d'applications

Stratégie de sécurité locale

SP_Admin

Ce compte sera utilisé pour installer et configurer la batterie de serveurs SharePoint initialement. Après la configuration initiale, vous pouvez octroyer des droits d'administrateur de batterie à votre compte SharePoint Administrators afin qu'ils puissent se connecter et gérer SharePoint avec leur propre compte.

Sauvegarder des fichiers et des répertoires

Programmes de débogage

Gérer le journal d'audit et de sécurité

Restaurer des fichiers et des répertoires

S'approprier des fichiers ou d'autres objets

SP_Farm

Exécute le service de minuterie et d'administration SharePoint

Autoriser l'ouverture de session locale

Ajuster les quotas de mémoire pour un processus

Emprunter l'identité d'un client après l'authentification

Se connecter en tant que travail par lots

Se connecter en tant que service

Remplacer un jeton de niveau processus

SP_Services

Exécute le pool d'applications pour la plupart de vos applications de service. Certaines applications de service nécessitent davantage de droits et un compte de service dédié est recommandé. Nous les convertissons un peu plus bas dans cet article de blog!

Ajuster les quotas de mémoire pour un processus

Se connecter en tant que travail par lots

Se connecter en tant que service

Remplacer un jeton de niveau processus

Emprunter l'identité d'un client après l'authentification

SP_Pool

Exécute le pool d'applications pour vos applications Web.

Emprunter l'identité d'un client après l'authentification

Se connecter en tant que travail par lots

Lon comme un service

SP_Crawl

Compte d'accès au contenu par défaut pour l'application de service de recherche. Ce compte est poursuivi pour analyser le contenu de vos applications Web SharePoint.

SP_Sync

Utilisé pour synchroniser les profils entre AD et SharePoint Server 2016

  • Utilisateur du domaine

  • Doit avoir «Replicate Directory Changes» dans Active Directory >> Tutorial ici
SP_C2WTS

Utilisé pour exécuter le jeton Revendications vers Windows

Un service

Agir en tant que partie du système d'exploitation

Emprunter l'identité d'un client après l'authentification

Se connecter en tant que service

SP_SU

Compte cache d'objet (super utilisateur). MNous ne devons pas être un compte qui sera jamais utilisé pour vous connecter au site.

SP_SR

Compte cache d'objet (Super Reader). MNous ne devons pas être un compte qui sera jamais utilisé pour vous connecter au site.

Les comptes de service suivants sont recommandés pour vos bases de données SharePoint hébergeant SQL Server dédiées et peuvent être nommés conformément à la convention de dénomination de votre entreprise. Les stratégies de sécurité locales ne doivent être configurées que si vous avez des stratégies de groupe qui les enlèveront.

Compte

La description

Autorisations locales / d'applications

Stratégie de sécurité locale

SP_SQLAdmin

Ce compte sera utilisé pour installer et configurer SQL Server initialement. Après la configuration initiale, vous pouvez accorder les droits d'administrateur SQL à votre compte Administrateurs SQL afin qu'ils puissent se connecter et gérer SQL avec leur propre compte.

Sauvegarder des fichiers et des répertoires

Programmes de débogage

Gérer le journal d'audit et de sécurité

Restaurer des fichiers et des répertoires

S'approprier des fichiers ou d'autres objets

SP_SQLEngine

Ce compte exécutera le service de moteur de base de données.

Se connecter en tant que service

Remplacer un jeton de niveau processus

Contrôle transversal de contournement

Ajuster les quotas de mémoire pour un processus

Effectuer des tâches de maintenance en volume (uniquement si vous souhaitez activer l'initialisation instantanée du fichier)

SP_SQLAgent

Ce compte exécutera le service SQL Server Agent.

Se connecter en tant que service

Remplacer un jeton de niveau processus

Contrôle transversal de contournement

Ajuster les quotas de mémoire pour un processus

En fonction des fonctionnalités que vous prévoyez d'utiliser dans votre implémentation SharePoint 2016, voici quelques autres comptes de service que je recommande:

Compte

La description

Autorisations locales / d'applications

Stratégie de sécurité locale

SP_WFM

Ce compte serait utilisé comme compte RunAs pour le gestionnaire de flux de travaux et les batteries de bus de service. Si vous le souhaitez, vous pouvez créer un compte dédié pour chacun.

Emprunter l'identité d'un client après l'authentification

Se connecter en tant que service

Se connecter en tant que travail par lots

SP_Access

Ce compte serait utilisé pour exécuter le pool d'applications de service pour l'application de service Access Apps for SharePoint. La raison d'un compte de service dédié est que ce compte nécessite des autorisations spéciales dans SQL ainsi que des paramètres spéciaux dans l'application de service Access App Services.

  • Utilisateur du domaine

  • Membre des rôles SQL suivants

    • DB Creator

    • Admin de sécurité

  • Autorisation de lecture / écriture sur le dossier du cache de configuration situé dans C: ProgramData Microsoft SharePoint Config

  • Le pool d'applications IIS exécutant l'application de service Access App Services doit avoir «Charger le profil utilisateur» à True. Accédez aux pools d'applications IIS et, dans les paramètres avancés, définissez «Charger le profil utilisateur» sur True.

Ajuster les quotas de mémoire pour un processus

Se connecter en tant que travail par lots

Se connecter en tant que service

Remplacer un jeton de niveau processus

Emprunter l'identité d'un client après l'authentification

SP_PowerPivot

Le compte d'actualisation des données sans assistance PowerPivot est un compte désigné pour l'exécution des travaux d'actualisation des données PowerPivot dans une batterie de serveurs SharePoint.

Quels que soient les comptes que vous choisissez, voici certaines recommandations que vous devez suivre pour vos comptes de service SharePoint 2016.

Tout d'abord, la longueur de votre nom d'utilisateur des comptes de service doit être inférieure à 20 (nom de domaine compris). Cela est dû à l'attribut SAM-Account-Name (également appelé nom de connexion de l'utilisateur antérieur à Windows 2000) qui est limité à 20 caractères dans le schéma AD. Par exemple, CORP SP16Prod_SuperReader est de 25 caractères et serait trop long.

Ma deuxième recommandation consiste à utiliser différents comptes de service pour chaque environnement. Par exemple, votre production peut avoir un SP_Services, alors que votre compte QA serait SPQ_Services. Cela garantit que rien dans une batterie de serveurs ne peut affecter l'autre. Si vous souhaitez tester, par exemple, le mot de passe du compte géré ou le donner à quelqu'un d'autre, vous ne compromettrez pas la sécurité. stabilité de votre ferme SharePoint de production.

Suivez-moi sur les médias sociaux et partagez cet article avec vos amis!

4,88/5 (41)

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.