Les comptes de service jouent un rôle très important dans l’installation de chaque version de SharePoint, mais chacun a une manière différente de les configurer. Et une fois que vous installez votre SharePoint avec un ensemble de comptes de service, il n’est pas toujours facile de les changer. Jetons un coup d’œil aux comptes de service SharePoint 2016 que je recommande.
Chaque administrateur SharePoint que vous demandez, aura un avis différent sur le nombre de comptes de service dont vous avez besoin et sur l'opportunité de disposer de comptes de service dédiés pour certaines applications de service ou certaines tâches d'administration. Même si tous les administrateurs SharePoint ont des opinions différentes, cela ne veut pas dire que certains ont tort ou raison, il n’existe pas de véritable solution «d’or» qui conviendrait à toutes les batteries de serveurs SharePoint existantes. D'après mon expérience avec SharePoint, voici les comptes de service que je recommande pour votre implémentation de SharePoint 2016.
Les comptes de service suivants peuvent être nommés conformément à la convention de dénomination de votre entreprise. Les stratégies de sécurité locales ne doivent être configurées que si vous avez des stratégies de groupe qui les enlèveront.
Compte |
La description |
Autorisations locales / d'applications |
Stratégie de sécurité locale |
SP_Admin |
Ce compte sera utilisé pour installer et configurer la batterie de serveurs SharePoint initialement. Après la configuration initiale, vous pouvez octroyer des droits d'administrateur de batterie à votre compte SharePoint Administrators afin qu'ils puissent se connecter et gérer SharePoint avec leur propre compte. |
Sauvegarder des fichiers et des répertoires
Programmes de débogage Gérer le journal d'audit et de sécurité Restaurer des fichiers et des répertoires S'approprier des fichiers ou d'autres objets |
|
SP_Farm |
Exécute le service de minuterie et d'administration SharePoint |
Autoriser l'ouverture de session locale Ajuster les quotas de mémoire pour un processus Emprunter l'identité d'un client après l'authentification Se connecter en tant que travail par lots Se connecter en tant que service Remplacer un jeton de niveau processus |
|
SP_Services |
Exécute le pool d'applications pour la plupart de vos applications de service. Certaines applications de service nécessitent davantage de droits et un compte de service dédié est recommandé. Nous les convertissons un peu plus bas dans cet article de blog! |
Ajuster les quotas de mémoire pour un processus Se connecter en tant que travail par lots Se connecter en tant que service Remplacer un jeton de niveau processus Emprunter l'identité d'un client après l'authentification |
|
SP_Pool |
Exécute le pool d'applications pour vos applications Web. |
Emprunter l'identité d'un client après l'authentification Se connecter en tant que travail par lots Lon comme un service |
|
SP_Crawl |
Compte d'accès au contenu par défaut pour l'application de service de recherche. Ce compte est poursuivi pour analyser le contenu de vos applications Web SharePoint. |
||
SP_Sync |
Utilisé pour synchroniser les profils entre AD et SharePoint Server 2016 |
|
|
SP_C2WTS |
Utilisé pour exécuter le jeton Revendications vers Windows Un service |
Agir en tant que partie du système d'exploitation Emprunter l'identité d'un client après l'authentification Se connecter en tant que service |
|
SP_SU |
Compte cache d'objet (super utilisateur). MNous ne devons pas être un compte qui sera jamais utilisé pour vous connecter au site. |
||
SP_SR |
Compte cache d'objet (Super Reader). MNous ne devons pas être un compte qui sera jamais utilisé pour vous connecter au site. |
Les comptes de service suivants sont recommandés pour vos bases de données SharePoint hébergeant SQL Server dédiées et peuvent être nommés conformément à la convention de dénomination de votre entreprise. Les stratégies de sécurité locales ne doivent être configurées que si vous avez des stratégies de groupe qui les enlèveront.
Compte |
La description |
Autorisations locales / d'applications |
Stratégie de sécurité locale |
SP_SQLAdmin |
Ce compte sera utilisé pour installer et configurer SQL Server initialement. Après la configuration initiale, vous pouvez accorder les droits d'administrateur SQL à votre compte Administrateurs SQL afin qu'ils puissent se connecter et gérer SQL avec leur propre compte. |
Sauvegarder des fichiers et des répertoires
Programmes de débogage Gérer le journal d'audit et de sécurité Restaurer des fichiers et des répertoires S'approprier des fichiers ou d'autres objets |
|
SP_SQLEngine |
Ce compte exécutera le service de moteur de base de données. |
Se connecter en tant que service
Remplacer un jeton de niveau processus Contrôle transversal de contournement Ajuster les quotas de mémoire pour un processus Effectuer des tâches de maintenance en volume (uniquement si vous souhaitez activer l'initialisation instantanée du fichier) |
|
SP_SQLAgent |
Ce compte exécutera le service SQL Server Agent. |
Se connecter en tant que service
Remplacer un jeton de niveau processus Contrôle transversal de contournement Ajuster les quotas de mémoire pour un processus |
En fonction des fonctionnalités que vous prévoyez d'utiliser dans votre implémentation SharePoint 2016, voici quelques autres comptes de service que je recommande:
Compte |
La description |
Autorisations locales / d'applications |
Stratégie de sécurité locale |
SP_WFM |
Ce compte serait utilisé comme compte RunAs pour le gestionnaire de flux de travaux et les batteries de bus de service. Si vous le souhaitez, vous pouvez créer un compte dédié pour chacun. |
Emprunter l'identité d'un client après l'authentification Se connecter en tant que service Se connecter en tant que travail par lots |
|
SP_Access |
Ce compte serait utilisé pour exécuter le pool d'applications de service pour l'application de service Access Apps for SharePoint. La raison d'un compte de service dédié est que ce compte nécessite des autorisations spéciales dans SQL ainsi que des paramètres spéciaux dans l'application de service Access App Services. |
|
Ajuster les quotas de mémoire pour un processus Se connecter en tant que travail par lots Se connecter en tant que service Remplacer un jeton de niveau processus Emprunter l'identité d'un client après l'authentification |
SP_PowerPivot |
Le compte d'actualisation des données sans assistance PowerPivot est un compte désigné pour l'exécution des travaux d'actualisation des données PowerPivot dans une batterie de serveurs SharePoint. |
Quels que soient les comptes que vous choisissez, voici certaines recommandations que vous devez suivre pour vos comptes de service SharePoint 2016.
Tout d'abord, la longueur de votre nom d'utilisateur des comptes de service doit être inférieure à 20 (nom de domaine compris). Cela est dû à l'attribut SAM-Account-Name (également appelé nom de connexion de l'utilisateur antérieur à Windows 2000) qui est limité à 20 caractères dans le schéma AD. Par exemple, CORP SP16Prod_SuperReader est de 25 caractères et serait trop long.
Ma deuxième recommandation consiste à utiliser différents comptes de service pour chaque environnement. Par exemple, votre production peut avoir un SP_Services, alors que votre compte QA serait SPQ_Services. Cela garantit que rien dans une batterie de serveurs ne peut affecter l'autre. Si vous souhaitez tester, par exemple, le mot de passe du compte géré ou le donner à quelqu'un d'autre, vous ne compromettrez pas la sécurité. stabilité de votre ferme SharePoint de production.
Suivez-moi sur les médias sociaux et partagez cet article avec vos amis!
Commentaires
Laisser un commentaire