• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

SharePoint 2010 – Service Accounts

Sep 12, 2012 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, Konfiguration, SharePoint |

 

Zu Beginn von SharePoint Projekten stellt sich immer wieder die gleiche Frage nach den Service Accounts.

Welche Accounts werden benötigt?
Wann ist es sinnvoll dedizierte Accounts für spezielle Aufgaben zu benutzen?
Welche Berechtigungen sind nötig?
Wer benötigt wirklich das Recht „logon as a service“?

Im Zuge eines SharePoint 2010 Projekts haben wir eine genaue Auflistung der benötigten Service Accounts, sowie der nötigen Berechtigungen erarbeitet.

SharePoint Administrator / Installer Account

Dieser Account wird zur Installation der SharePoint Farm benutzt. Er kann Server zur hinzufügen und entfernen. Er sollte auch genutzt werden um Patches und Updates zu installieren. Zu diesem Thema gibt es viele Diskussionen, welche nicht eindeutig geklärt wurden. Es kursieren Empfehlungen, nach denen das SharePoint Setup sowie weitere Installationen von Patches und Updates immer mit dem gleichen Account ausgeführt werden sollten. Dies bedingt jedoch einen anonymen nicht personalisierten Setup-Account, welcher sich interaktiv an den Servern anmelden darf uns dessen Passwort mehreren Personen bekannt ist. Viele Unternehmen sind bestrebt genau diese Accounts loszuwerden. Wir haben es nicht geschafft von Microsoft hier eine eindeutige Aussage zu bekommen. Da es keine Aussage in dem Sinne „es muss ein Setup Account genutzt werden„ gibt, haben wir uns entschieden das Setup mit personalisierten Admin-Accounts auszuführen.

Es genügt ein normaler Account (domain user) mit den folgenden Berechtigungen:

Mitglied der Farm Administrators Gruppe
SQL Security Admin
SQL dbcreator
Local Admin auf jedem Server der Farm
SharePoint_Shell_Access (zur Nutzung von PowerShell)

SharePoint Farm Service

Mit diesem Account findet die automatische Kommunikation innerhalb der Farm statt. Die Berechtigungen für diesen Account werden während der Installation der Farm vom Setup Programm automatisch gesetzt. (SQL dbcreator, securityadmin und db_owner). Ein normaler „domain user“ ist hier ebenfalls ausreichend. Wichtig: während der Installation der Service Application „User Profile Service“ muss dieser Account kurzfristig lokale Admin Berechtigungen auf dem User Profile Service Application-Server haben, da mit diesen Credentials die MIIS Komponenten installiert werden.

Application Pool Account

Der Application Pool Account wird, wie der Name vermuten lässt, bei den IIS Application Pools hinterlegt. Die SharePoint WebApplications erben die Identität dieses Accounts. In der Regel kann dieser Account für alle Application Pools verwendet werden. Ausnahmen könnten für besonders Sicherheitsrelevante Bereiche gemacht werden.

Der Account wird als „managed account“ in der SharePoint Farm konfiguriert. Es werden keine weiteren Berechtigungen benötigt.

Service Application Account

Dieser Account wird für alle Service Applications genutzt. Eine Unterscheidung für einzelne Service Applications wird nicht gemacht. Der Account wird als „managed account“ in der SharePoint Farm konfiguriert. Es werden keine weiteren Berechtigungen benötigt.

SharePoint Search Account

Mit diesem Account wird der SharePoint Content durchsucht. Er benötigt zumindest LESE Berechtigungen auf alle Daten der SharePoint Farm. Diese Berechtigungen werden automatisch gesetzt, wenn die Search Service Application vor der der ersten WebApplication erstellt wird. Wichtig ist hier noch mal die Unterscheidung: die Search Service Application läuft mit dem Service Application Account. Die Suche selbst wird mit dem Search Account durchgeführt. Es genügt ein normaler Account (domain user).

User Profile Synchronization Account

Der User Profile Synchronization Account synchronisiert Informationen der Windows Domain mit der SharePoint Farm. Hierzu zählen z.B. Benutzer und Gruppen. Damit diese Informationen übertragen werden können, benötigt der Account spezielle „replicating directory changes“ Berechtigungen in der Windows Domäne. Vorsicht: es gibt zwei ähnlich bezeichnete Berechtigungen „replicating directory changes“ und „replicating directory changes all“. Nur die erste Berechtigung (ohne ALL) funktioniert.

SQL Server Service

Die meisten SQL Server laufen als „local system“ ohne speziellen Service Account. Dies ist auch für SharePoint Installationen möglich. Soll jedoch SharePoint Backup mit PowerShell verwendet werden, so ist es notwendig, dass der SQL Server mit einem Service Account läuft. Die PowerShell cmdlets exportieren die Daten aus der SQL Datenbank mit der Identität des SQL Servers. Läuft der SQL Server als „local system“, so können die Daten nicht auf ein Netzwerk Share übertragen werden.

Zusammenfassung

Account Type Permissions Comment
SQL Server service Domain User MSSQLSERVERSQLSERVER AGENT  
SharePoint Setup Admin Domain User SQL server loginSQL securityadmin

SQL dbcreator

Local admin of each server in farm

SharePoint_Shell_Access

For installlation / patchesLocal admin of each server in farm

Add/remove servers

SharePoint Farm Service Domain User SharePoint assigns permissions automaticallyLocal admin on UPS (user profile) server

Dbcreator, securityadmin, db_owner

 
ApplicationPool Account Domain User To be registered as „managed account“ Assigned as application pool identity
Service Application Account Domain User To be registered as „managed account“  
SharePoint Search Account Domain User Read permissions to all SP content (automatically) Configure SP_Crawl before creating webapps
User Profile Synchronization Domain User „replicating directory changes“ permissions on domain level  

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 12.09.2012
0

You also might be interested in

QMM EX: Postfach synchronisieren – die häufigsten Probleme

QMM EX: Postfach synchronisieren – die häufigsten Probleme

Jul 11, 2014

Der Dell / Quest Migration Manger for Exchange QMMEX ist[...]

PowerShell prompt

PowerShell: Verbindung zu einer anderen Domain herstellen

Mrz 25, 2014

wer mit der PowerShell in einem Multi-Domain Umfeld arbeitet, um[...]

Azure Active Directory in der Praxis – Die ersten Schritte

Azure Active Directory in der Praxis – Die ersten Schritte

Jun 15, 2021

Mit Azure Active Directory (Azure AD) bietet Microsoft eine cloudbasierte[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next