Planifier des comptes d'administration et de service dans SharePoint Server

S’APPLIQUE À :oui-img-132013 oui-img-162016 oui-img-192019 oui-img-seÉdition d’abonnement no-img-sopSharePoint dans Microsoft 365

Pour installer SharePoint Server, vous devez disposer de comptes d’administration et de service appropriés sur les serveurs exécutant SharePoint Server et SQL Server. Après l'installation, vous devez avoir des comptes d'administration et de services appropriés pour modifier et mettre à jour l'environnement. Les comptes requis pour effectuer des groupes de tâches ne sont pas nécessairement les mêmes. Cet article décrit les comptes dont vous avez besoin après l’installation pour un environnement à serveur unique et un environnement de batterie de serveurs.

Importante

N’utilisez pas de noms de compte de service qui contiennent le symbole $ à l’exception de l’utilisation d’un compte de service managé de groupe pour SQL Server.

Importante

Les services SharePoint ne prennent pas en charge les comptes de service managés Active Directory ou les comptes de service gérés de groupe.

Utilisez cet article avec le déploiement initial des comptes d’administration et de service dans SharePoint Server.

L'article Comptes d'administration et de service requis pour le déploiement initial décrit le compte spécifique et les autorisations que vous devez octroyer avant d'exécuter le programme d'installation.

Cet article ne décrit pas la configuration requise pour l’utilisation du service Banque d’informations sécurisé dans SharePoint Server. Pour plus d'informations, voir Planifier le service Banque d'informations sécurisé dans SharePoint Server.

En savoir plus sur le rôle d’administrateur SharePoint dans Microsoft 365.

À propos des comptes d’administration et de service

Cette section répertorie et décrit les comptes pour lesquels vous devez planifier la gestion des serveurs exécutant SQL Server ou SharePoint Server. Les comptes sont regroupés en fonction de leur portée.

Une fois l’installation terminée et les comptes configurés, vérifiez que vous n’utilisez pas le compte de système local pour effectuer des tâches d’administration ou parcourir les sites.

Comptes au niveau des batteries de serveurs

Le tableau suivant décrit les comptes utilisés pour configurer le logiciel de base de données SQL Server et installer SharePoint Server.

Account Objectif Configuration requise
Compte de service SQL Server Le compte de service SQL Server utilisé pour exécuter SQL Server. Il s’agit du compte pour les services SQL Server suivants :
MSSQLSERVER
SQLSERVERAGENT
Si vous n’utilisez pas l’instance SQL Server par défaut, dans la console Services Windows, ces services sont affichés comme suit :
MSSQL<Nom d'instance>
SQLAgent<Nom d'instance>
Utilisez un compte d’utilisateur de domaine ou, de préférence, un compte de service géré de groupe.
Si vous souhaitez effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour cette ressource doivent être octroyées au compte approprié. Si vous utilisez un compte d’utilisateur de domaine ou un compte de service géré de groupe pour le compte de service SQL Server, accordez des autorisations à ce compte d’utilisateur de domaine. Toutefois, si vous utilisez le service réseau ou le compte système local, accordez des autorisations à la ressource externe au compte d’ordinateur (<domain_name>\<SQL_hostname>).
Le nom de l'instance est arbitraire et a été créé lors de l'installation de SQL Server.
Compte d’utilisateur de l’administrateur de batterie de serveurs Le compte d’utilisateur de l’administrateur de batterie de serveurs est un compte d’identification unique attribué à un administrateur SharePoint. Il est utilisé pour exécuter :
Configuration
Assistant Configuration des produits SharePoint
Compte d'utilisateur de domaine
Membre du groupe Administrateurs sur chaque serveur SharePoint de la batterie de serveurs.
Membre du rôle SQL Server suivant (facultatif) : rôle serveur fixe sysadmin .
Si vous exécutez des applets de commande Windows PowerShell qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données ou membre du rôle serveur fixe sysadmin sur SQL.
Compte de service de batterie de serveurs Le compte de service de batterie est utilisé pour effectuer les tâches suivantes :
Agir comme identité du pool d’applications pour le site web Administration centrale de SharePoint
Exécuter le service Minuteur de flux de travail Microsoft SharePoint Foundation
Compte utilisateur de domaine.
Des autorisations supplémentaires sont automatiquement accordées pour le compte de batterie de serveurs sur les serveurs Web et les serveurs d’applications joints à une batterie de serveurs.
Le compte de batterie de serveurs est automatiquement ajouté en tant que connexion SQL Server sur l’ordinateur qui exécute SQL Server. Le compte est ajouté aux rôles de sécurité SQL Server suivants :
* Rôle serveur fixe dbcreator
* Rôle serveur fixe securityadmin
* db_owner rôle de base de données fixe pour toutes les bases de données SharePoint de la batterie de serveurs
Ce compte ne doit pas être utilisé de manière interactive par un administrateur.
Modifier le compte de service de batterie de serveurs doit redémarrer le serveur IIS à l’aide de la iisreset.exe commande .

Comptes d’applications de service

Le tableau suivant décrit les comptes utilisés pour installer et configurer une application de service.

Pour plus d'informations sur les points de terminaison d'applications de service, voir Utilisation des points de terminaison de service.

Notes

Excel Services et le service de synchronisation de profil utilisateur s’appliquent uniquement à SharePoint 2013.

Access Services et PerformancePoint Service ne s’appliquent pas à Subscription Edition.

Account Service Objectif Configuration requise
Point de terminaison d'application de service Exécuter des instances SharePoint Services et des services Windows Compte d’utilisateur de domaine
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Services d'accès X
Service Business Data Connectivity X X
Service Banque d’informations sécurisé X
Service de collecte de données relatives à l'utilisation et à l'état X
Service de profil utilisateur X
Service Graphiques Visio X
Word Automation Services X
Excel Services X
Service de métadonnées gérées X
Service PerformancePoint X
Service de recherche X

Remarque

Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Sauf exigences d’isolation particulières, ce pool d’applications peut être utilisé pour héberger plusieurs points de terminaison d’application de service. Pour Excel Services, le service de métadonnées managées, le service PerformancePoint et le service de recherche, vous devez être un compte d’utilisateur de domaine. Excel Services est également disponible uniquement dans SharePoint Server 2013.

Nom de service Dans SharePoint Server Dans SharePoint Foundation
Service d'émission de jeton de sécurité X
Service de détection d'applications et d'équilibrage de charge X X

Remarque

Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Ce compte doit être le compte de service de batterie de serveurs et l’Assistant Configuration des produits SharePoint crée automatiquement le pool d’applications.

Account Service Objectif Conditions requises
Service automatisé S/O Utilisé pour exécuter des fonctions pour le compte de l’utilisateur ou du service S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Excel Services X
Service PerformancePoint X
Service Graphiques Visio X

Remarque

Excel Services utilisé avec les classeurs pour actualiser les données. Il est requis lorsque les connexions de classeur spécifient la valeur « Aucune » pour l'authentification, ou lorsque des informations d'identification qui ne sont pas des informations d'identification Windows sont utilisées pour actualiser des données. Le service PerformancePoint est utilisé pour l’authentification auprès des sources de données. Le service Visio est utilisé avec les documents pour actualiser les données. Elle est requise lors de la connexion à des sources de données externes à SharePoint Server, telles que SQL Server.

Account Service Objectif Conditions requises
Accès au contenu par défaut Recherche Analyser du contenu Accès en lecture au contenu analysé
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Recherche SharePoint Server X

Remarque

Compte par défaut pour l’analyse de contenu. Un administrateur d’application de service de recherche peut créer des règles d’analyse pour spécifier d’autres comptes pour analyser un contenu spécifique. Doit disposer d’un accès en lecture au contenu analysé. Des autorisations de lecture totale doivent être octroyées explicitement au contenu situé en dehors de la batterie de serveurs locale. Des autorisations de lecture totale sont configurées automatiquement pour les bases de données de contenu dans la batterie de serveurs locale. Nécessite le droit Gérer l’audit et le journal de sécurité dans la stratégie d’utilisateur local sur les serveurs de fichiers Windows qu’elle est configurée pour analyser.

Account Service Objectif Conditions requises
Service de recherche Recherche Exécuter les services Recherche Windows Être un compte d’utilisateur de domaine
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Recherche SharePoint Server X
Account Service Objectif Conditions requises
Administrateur de batterie de serveurs Service de synchronisation de profil utilisateur Exécute les services Forefront Identity Manager Compte d’administrateur de batterie de serveurs ; Administrateur local où le service de synchronisation de profils utilisateur est démarré
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Service de synchronisation de profil utilisateur X S/O
Account Service Objectif Conditions requises
Connexion de synchronisation Service de profil utilisateur Se connecter à des magasins d’identités d’utilisateur Répliquer les modifications d’annuaire (Active Directory), accès en lecture (autres répertoires)
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Service de profil utilisateur X S/O

Notes

Autorisations Réplication des changements de répertoire sur la partition de configuration des domaines synchronisés si le nom NetBIOS et le nom de domaine complet ne correspondent pas.

Account Service Objectif Conditions requises
Service Gestion des applications S/O Utilisé pour installer des compléments SharePoint S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Gestion des applications X X
Account Service Objectif Conditions requises
Service de conversion PowerPoint PowerPoint Conversion Services Convertir des fichiers PowerPoint dans d’autres formats de fichier Rôle d’administrateur de batterie (SharePoint Server 2013 uniquement)
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Service de conversion PowerPoint X
Account Service Objectif Conditions requises
Service de traduction automatique Service de traduction automatique Effectuer des traductions automatiques automatisées S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Service de traduction automatique X
Account Service Objectif Conditions requises
Access Services 2013 Services d'accès Interagir avec des bases de données Access 2013 dans un navigateur S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Access Services dans SharePoint Server 2013 X
Account Service Objectif Conditions requises
Gestion du travail Service de gestion du travail Fournit l’agrégation des tâches dans SharePoint, Exchange et Project Server. S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Gestion du travail X
Account Service Objectif Conditions requises
Cache distribué Service Windows AppFabric Exécute des opérations de cache distribué S/O
Nom de service Dans SharePoint Server Dans SharePoint Foundation
Cache distribué X X

Remarque

Certaines des fonctionnalités qui utilisent le service de cache distribué sont les flux d’actualités, l’authentification, l’accès au client OneNote, le découpage de sécurité et l’amélioration des performances de chargement de page. Au moins un serveur de cache distribué est requis dans la batterie de serveurs.

SharePoint Web Applications

Un seul compte doit être utilisé pour toutes les applications web, nommé compte de pool d’applications web. Cette condition permet à l’administrateur d’utiliser un pool d’applications IIS unique pour toutes les applications web, ce qui augmente les performances et réduit l’utilisation de la mémoire sur le serveur.

Account Objectif
Identité de pool d'applications Compte d'utilisateur que les processus de travail qui servent le pool d'applications utilisent comme identité de processus. Ce compte est utilisé pour accéder aux bases de données de contenu associées aux applications web qui résident dans le pool d'applications.

Configuration standard requise pour un serveur unique

Si vous effectuez un déploiement sur un seul serveur, les exigences de compte sont considérablement réduites. Dans un environnement d'évaluation, vous pouvez utiliser un seul compte pour toutes les utilisations de compte. Dans un environnement de production, assurez-vous que les comptes que vous créez disposent des autorisations appropriées pour leur utilisation.

Pour obtenir la liste des autorisations de compte pour les environnements à serveur unique, voir Comptes d’administration et de service de déploiement initial dans SharePoint Server.

Configuration requise pour une batterie de serveurs

Si vous effectuez un déploiement sur plusieurs serveurs, utilisez les exigences standard de la batterie de serveurs pour vous assurer que les comptes disposent des autorisations appropriées pour effectuer leurs processus sur plusieurs ordinateurs. La configuration standard requise pour une batterie de serveurs détaille la configuration minimale nécessaire pour opérer dans un environnement de batterie de serveurs.

Pour obtenir la liste des exigences standard pour les environnements de batterie de serveurs, voir celles énumérées dans la section Référence technique : configuration de compte requise par scénario de cet article.

Pour certains comptes, des autorisations supplémentaires ou un accès aux bases de données est configuré lorsque vous exécutez l’Assistant Configuration. Ces privilèges supplémentaires sont notés dans l’outil de planification des comptes. Une des exigences que les administrateurs de base de données doivent connaître constitue l'ajout du rôle de base de données WSS_Content_Application_Pools. L’Assistant Configuration ajoute ce rôle aux bases de données suivantes :

  • base de données SharePoint_Config (base de données de configuration) ;

  • base de données de contenu SharePoint_Admin

Les membres du rôle de base de données WSS_Content_Application_Pools disposent de l'autorisation d'exécution sur un sous-ensemble des procédures stockées pour la base de données. Ils disposent, en outre, de l'autorisation de sélection sur la table de versions (dbo.Versions) de la base de données SharePoint_AdminContent.

Pour les autres bases de données, l'outil de planification des comptes indique que l'accès en lecture à partir de ces bases de données est configuré automatiquement. Dans certains cas, un accès limité en écriture à une base de données est aussi configuré automatiquement. Pour fournir cet accès, des autorisations pour les procédures stockées sont configurées.

Référence technique : configuration de compte requise par scénario

Cette section énumère les configurations de compte requises par scénario :

Configuration standard requise pour un serveur unique

Importante

Nous déconseillons cette configuration dans un environnement de production.

Comptes au niveau des batteries de serveurs

Account Configuration requise
Service SQL Server Compte de système local (défaut)
Compte d’utilisateur de l’administrateur de batterie de serveurs Membre du groupe Administrateurs sur l’ordinateur local.
Service de batterie de serveurs Service réseau (par défaut) Aucune configuration manuelle n’est nécessaire.

Comptes d’applications de service

Importante

Les comptes de ce tableau ne s'appliquent qu'à SharePoint Server.

Compte Configuration requise
Service de recherche SharePoint Server Par défaut, ce compte constitue le compte de système local. Si vous souhaitez analyser le contenu distant en modifiant le compte d’accès au contenu par défaut ou en utilisant des règles d’analyse, remplacez ce compte par un utilisateur de domaine. Dans le cas contraire, vous ne pouvez pas remplacer le compte d'accès au contenu par défaut par un compte d'utilisateur de domaine ou ajouter des règles d'analyse pour analyser ce contenu. Cette restriction sert à prévenir l'élévation de privilège pour tout autre processus constituant le compte de système local.
Accès au contenu par défaut Aucune configuration manuelle n'est requise si ce compte n'analyse que du contenu de batterie locale. Si vous souhaitez analyser le contenu distant à l’aide de règles d’analyse, remplacez ce compte par un compte utilisateur de domaine et appliquez les exigences répertoriées pour une batterie de serveurs.
Accès au contenu Configuration requise identique à celle du compte d'accès au contenu par défaut.
Compte de synchronisation de profil Configuration requise identique à celle de la batterie de serveurs.
Service automatisé Excel Services Doit être un compte d'utilisateur de domaine.

Comptes d’identité de pool d’applications supplémentaires

Account Configuration requise
Identité de pool d'applications Aucune configuration manuelle n'est requise. Le compte du service réseau est utilisé pour le site Web par défaut créé lors de l’installation et de la configuration.

Configuration standard requise pour une batterie de serveurs

Comptes au niveau des batteries de serveurs

Account Objectif Configuration requise
Compte de service SQL Server
Le compte de service SQL Server utilisé pour exécuter SQL Server. Il s’agit du compte pour les services SQL Server suivants :
MSSQLSERVER
SQLSERVERAGENT
Si vous n’utilisez pas l’instance SQL Server par défaut, dans la console Services Windows, ces services sont affichés comme suit :
MSSQL<Nom d'instance>
SQLAgent<Nom d'instance>
Utilisez un compte d’utilisateur de domaine ou, de préférence, un compte de service géré de groupe.
Si vous souhaitez effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour cette ressource doivent être octroyées au compte approprié. Si vous utilisez un compte d’utilisateur de domaine ou un compte de service géré de groupe pour le compte de service SQL Server, accordez des autorisations à ce compte d’utilisateur de domaine. Toutefois, si vous utilisez le service réseau ou le compte système local, accordez des autorisations à la ressource externe au compte d’ordinateur (<domain_name>\<SQL_hostname>).
Le nom de l'instance est arbitraire et a été créé lors de l'installation de SQL Server.
Compte d’utilisateur de l’administrateur de batterie de serveurs
Le compte d’utilisateur de l’administrateur de batterie de serveurs est un compte d’identification unique attribué à un administrateur SharePoint. Il est utilisé pour exécuter :
Configuration
Assistant Configuration des produits SharePoint
Compte d'utilisateur de domaine
Membre du groupe Administrateurs sur chaque serveur SharePoint de la batterie de serveurs.
Membre du rôle SQL Server suivant (facultatif) : rôle serveur fixe sysadmin .
Si vous exécutez des applets de commande Windows PowerShell qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données ou membre du rôle serveur fixe sysadmin sur SQL.
Compte de service de batterie de serveurs
Le compte de service de batterie est utilisé pour effectuer les tâches suivantes :
Agir comme identité du pool d’applications pour le site web Administration centrale de SharePoint
Exécuter le service Minuteur de flux de travail Microsoft SharePoint Foundation
Compte utilisateur de domaine.
Des autorisations supplémentaires sont automatiquement accordées pour le compte de batterie de serveurs sur les serveurs Web et les serveurs d’applications joints à une batterie de serveurs.
Le compte de batterie de serveurs est automatiquement ajouté en tant que connexion SQL Server sur l’ordinateur qui exécute SQL Server. Le compte est ajouté aux rôles de sécurité SQL Server suivants :
* Rôle serveur fixe dbcreator
* Rôle serveur fixe securityadmin
* db_owner rôle de base de données fixe pour toutes les bases de données SharePoint de la batterie de serveurs
Ce compte ne doit pas être utilisé de manière interactive par un administrateur.
Modifier le compte de service de batterie de serveurs doit redémarrer le serveur IIS à l’aide de la iisreset.exe commande .

Comptes de service d’applications de service

Importante

Le compte de synchronisation de profils et le compte de service sans assistance Excel Services s’appliquent uniquement à SharePoint Server.

Account Configuration requise
Compte du service de recherche SharePoint Server Doit être un compte d'utilisateur de domaine. Ne doit pas être membre du groupe Administrateurs de batterie de serveurs. Les éléments suivants sont configurés automatiquement : accès à la lecture à partir de la base de données de configuration, base de données de contenu d’administration, base de données d’administration de recherche, bases de données d’analyse. accès en contrôle total aux partitions d'index sur les serveurs de requête.
Compte d’accès au contenu par défaut Doit être un compte d'utilisateur de domaine. Ne doit pas être membre du groupe Administrateurs de batterie de serveurs. Accès en lecture aux sources de contenu externes ou sécurisées que vous voulez analyser en utilisant ce compte. Pour les sites qui ne font pas partie de la batterie de serveurs, ce compte doit disposer explicitement des autorisations de lecture totale sur les applications web qui hébergent ces sites. Les éléments suivants sont automatiquement configurés : les autorisations de lecture complète sont automatiquement accordées aux bases de données de contenu hébergées par la batterie de serveurs.
Compte d'accès au contenu Accès en lecture aux sources de contenu externes ou sécurisées auxquelles la configuration de ce compte autorise l'accès. Pour les sites web qui ne font pas partie de la batterie de serveurs, ce compte doit disposer explicitement d'autorisations de lecture totale sur les applications web qui hébergent ces sites.
Compte de synchronisation de profil Accès en lecture au service d'annuaire. Le compte doit disposer de l’autorisation Répliquer les modifications dans Active Directory. Autorisation des services de personnalisation Gérer les profils utilisateurs. Voir les autorisations sur les entités utilisées dans les connexions d'importation du catalogue de données métiers.
Compte de service automatisé Excel Services Doit être un compte d'utilisateur de domaine.

Comptes d’identité de pool d’applications supplémentaires

Account Configuration requise
Identité de pool d'applications Aucune configuration manuelle n'est requise. Les éléments suivants sont configurés automatiquement : l’appartenance au rôle SP_DATA_ACCESS pour les bases de données de contenu et les bases de données de recherche associées à l’application web. appartenance à des rôles de pool d'applications spécifiques pour les bases de données de configuration et SharePoint_AdminContent. Des autorisations supplémentaires pour ce compte sur les serveurs web frontaux et les serveurs d’applications sont automatiquement accordées.