Pianificare gli account amministrativi e di servizio in SharePoint Server
SI APPLICA A:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Per installare SharePoint Server, è necessario avere account amministrativi e di servizio appropriati nei server che eseguono SharePoint Server e SQL Server. Dopo l'installazione, è necessario disporre degli account amministrativi e di servizio appropriati per modificare e gestire l'ambiente. Gli account richiesti per completare questi gruppi di attività non sono necessariamente gli stessi. Questo articolo descrive gli account necessari dopo l'installazione per un ambiente a server singolo e per un ambiente server farm.
Importante
Non usare nomi di account di servizio che contengono il simbolo $ ad eccezione dell'uso di un account del servizio gestito di gruppo per SQL Server.
Importante
I servizi di SharePoint non supportano gli account del servizio gestito di Active Directory o gli account del servizio gestito di gruppo.
Usare questo articolo insieme agli account amministrativi e di servizio per la distribuzione iniziale in SharePoint Server.
Nell'articolo relativo agli account amministrativi e di servizio per la distribuzione iniziale vengono descritte le autorizzazioni e gli account specifici necessari per l'esecuzione del programma di installazione.
Questo articolo non descrive i requisiti dell'account per l'uso del servizio di archiviazione sicura in SharePoint Server. Per ulteriori informazioni, vedere Pianificare il servizio di archiviazione sicura in SharePoint Server.
Informazioni sul ruolo di amministratore di SharePoint in Microsoft 365.
Informazioni sugli account amministrativi e di servizio
Questa sezione elenca e descrive gli account per i quali è necessario pianificare la gestione dei server che eseguono SQL Server o SharePoint Server. Tali account sono raggruppati in base all'ambito.
Dopo aver completato l'installazione e la configurazione degli account, assicurarsi di non utilizzare l'account Sistema locale per eseguire attività amministrative o esplorare siti.
Account a livello di server farm
Nella tabella seguente vengono descritti gli account usati per configurare il software di database di SQL Server e per installare SharePoint Server.
Account | Scopo | Requisiti |
---|---|---|
Account del servizio SQL Server | L'account del servizio Server SQL viene utilizzato per eseguire SQL Server. È l'account del servizio per i servizi di SQL Server seguenti: MSSQLSERVER SQLSERVERAGENT Se non si usa l'istanza predefinita di SQL Server, nella console di Servizi Windows questi servizi verranno visualizzati come segue: MSSQL<InstanceName> SQLAgent<InstanceName> |
Usare un account utente di dominio o preferibilmente un account del servizio gestito di gruppo. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si usa un account utente di dominio o un account del servizio gestito di gruppo per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Tuttavia, se si usa il servizio di rete o l'account di sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (<domain_name>\<SQL_hostname>). Il nome dell'istanza è arbitrario ed è stato creato durante l'installazione di SQL Server. |
Account utente amministratore farm | L'account utente amministratore della farm è un account univoco assegnato a un amministratore di SharePoint. Viene usato per eseguire: Configurazione Configurazione guidata Prodotti SharePoint |
Account utente di dominio. Membro del gruppo Administrators in ogni server SharePoint nella farm. Membro del ruolo sql server seguente (facoltativo): ruolo predefinito del server sysadmin . Se si eseguono cmdlet di Windows PowerShell che interessano un database, questo account deve essere un membro del ruolo predefinito del database db_owner per il database o un membro del ruolo predefinito del server sysadmin in SQL. |
Account del servizio farm | L'account del servizio farm viene usato per eseguire le attività seguenti: Agire da identità del pool di applicazioni per il sito Web Amministrazione centrale SharePoint. Eseguire il Servizio timer flussi di lavoro Microsoft SharePoint Foundation. |
Account utente di dominio. Vengono concesse automaticamente altre autorizzazioni per l'account della server farm nei server Web e nei server applicazioni aggiunti a una server farm. L'account della server farm viene aggiunto automaticamente come account di accesso di SQL Server nel computer che esegue SQL Server. L'account viene aggiunto ai ruoli di sicurezza di SQL Server seguenti: * ruolo predefinito del server dbcreator * ruolo predefinito del server securityadmin * db_owner ruolo predefinito del database per tutti i database di SharePoint nella server farm Questo account non deve essere usato in modo interattivo da un amministratore. Modificare l'account del servizio farm dovrà riavviare il server IIS usando il iisreset.exe comando . |
Account delle applicazioni di servizio
Nella tabella seguente vengono illustrati gli account utilizzati per installare e configurare un'applicazione di servizio.
Per altre informazioni sugli endpoint dell'applicazione di servizio, vedere Uso degli endpoint di servizio.
Nota
Excel Services e il servizio di sincronizzazione profili utente si applicano solo a SharePoint 2013.
Access Services e PerformancePoint Service non si applicano a Subscription Edition.
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Endpoint applicazioni servizio | Eseguire istanze di SharePoint Services e Servizi Windows | Account utente di dominio |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Access Services | X | |
Servizio di integrazione applicativa dei dati | X | X |
Servizio di archiviazione sicura | X | |
Servizio per raccolta dati di utilizzo e integrità | X | |
Servizio profili utente | X | |
Servizio grafica di Visio | X | |
Word Automation Services | X | |
Excel Services | X | |
Servizio metadati gestiti | X | |
PerformancePoint Service | X | |
Servizio di ricerca | X |
Nota
Questo account viene utilizzato come identità per il pool di applicazioni degli endpoint applicazione servizio. Se non sono presenti requisiti di isolamento specifici, è possibile usare il pool di applicazioni per ospitare più endpoint applicazioni servizio. Per Excel Services, il servizio metadati gestiti, il servizio PerformancePoint e il servizio di ricerca è necessario essere un account utente di dominio. Excel Services è disponibile anche solo in SharePoint Server 2013.
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio token di sicurezza | X | |
Servizio di individuazione applicazioni e bilanciamento del carico | X | X |
Nota
Questo account viene utilizzato come identità per il pool di applicazioni degli endpoint applicazione servizio. Questo account deve essere l'account del servizio farm e la Configurazione guidata prodotti SharePoint crea automaticamente il pool di applicazioni.
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Servizio automatico | N/D | Usato per eseguire funzioni per conto dell'utente o del servizio | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Excel Services | X | |
PerformancePoint Service | X | |
Servizio grafica di Visio | X |
Nota
Excel Services usato con le cartelle di lavoro per aggiornare i dati. È obbligatorio se per l'autenticazione delle connessioni cartella di lavoro è specificato "Nessuna" oppure se per l'aggiornamento dei dati vengono utilizzate credenziali non Windows. Il servizio PerformancePoint viene usato per l'autenticazione con le origini dati. Il servizio Visio viene usato con i documenti per aggiornare i dati. È necessario quando ci si connette a origini dati esterne a SharePoint Server, ad esempio SQL Server.
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Account predefinito di accesso al contenuto | Ricerca | Eseguire la ricerca per indicizzazione del contenuto | Accesso in lettura al contenuto sottoposto a ricerca per indicizzazione |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio di ricerca di SharePoint Server | X |
Nota
Account predefinito per la ricerca per indicizzazione del contenuto. Un amministratore dell'applicazione del servizio di ricerca può creare regole di ricerca per indicizzazione per specificare altri account per la ricerca per indicizzazione di contenuto specifico. Deve disporre dell'accesso in lettura per sottoporre il contenuto a ricerca per indicizzazione. È necessario concedere esplicitamente autorizzazioni di lettura complete per il contenuto all'esterno della farm locale. Le autorizzazioni di lettura complete vengono configurate automaticamente per i database del contenuto nella farm locale. È necessario gestire il log di controllo e sicurezza direttamente nei file server Di criteri utente locali in Windows per cui è configurato per la ricerca per indicizzazione.
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Servizio di ricerca | Ricerca | Eseguire i servizi di Windows Search | Essere un account utente di dominio |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio di ricerca di SharePoint Server | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Amministratori farm | Servizio di sincronizzazione dei profili utente | Esegue i servizi Forefront Identity Manager | Account amministratore farm; Amministratore locale in cui viene avviato il servizio di sincronizzazione profili utente |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio di sincronizzazione dei profili utente | X | N/D |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Connessione di sincronizzazione | Servizio profili utente | Connettersi agli archivi identità utente | Replicare le modifiche alla directory (Active Directory), accesso in lettura (altre directory) |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio profili utente | X | N/D |
Nota
Replica delle autorizzazioni per la modifica delle directory nella partizione di configurazione dei domini in fase di sincronizzazione se il nome NetBIOS e il nome di dominio completo (FQDN) non corrispondono.
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Servizio di gestione app | N/D | Usato per installare i componenti aggiuntivi di SharePoint | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Gestione dell’app | X | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Servizio di conversione PowerPoint | Servizi di conversione di PowerPoint | Convertire i file di PowerPoint in altri formati di file | Ruolo di amministratore della farm (solo SharePoint Server 2013) |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio di conversione di PowerPoint | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Servizio di traduzione automatica | Servizio di traduzione automatica | Eseguire traduzioni automatiche | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Servizio di traduzione automatica | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Access Services 2013 | Access Services | Interagire con i database di Access 2013 in un browser | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Access Services in SharePoint Server 2013 | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Gestione del lavoro | Servizio Gestione del lavoro | Fornisce l'aggregazione di attività in SharePoint, Exchange e Project Server. | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Gestione del lavoro | X |
Account | Servizio | Scopo | Requisiti |
---|---|---|---|
Cache distribuita | Servizio Windows AppFabric | Esegue operazioni di cache distribuita | N/D |
Nome del servizio | In SharePoint Server | In SharePoint Foundation |
---|---|---|
Cache distribuita | X | X |
Nota
Alcune delle funzionalità che usano il servizio Cache distribuita sono Newsfeeds, Autenticazione, Accesso client OneNote, Limitazione della sicurezza e miglioramento delle prestazioni di caricamento delle pagine. Nella farm è necessario almeno un server cache distribuita.
Applicazioni Web di SharePoint
È necessario usare un singolo account per tutte le applicazioni Web, denominato account del pool di applicazioni Web. Questa condizione consente all'amministratore di usare un singolo pool di applicazioni IIS per tutte le applicazioni Web, aumentando le prestazioni e riducendo l'utilizzo della memoria nel server.
Account | Scopo |
---|---|
Identità del pool di applicazioni | Account utente utilizzato come identità processo dai processi di lavoro che intervengono nel pool di applicazioni. Questo account viene utilizzato per accedere ai database del contenuto associati alle applicazioni Web che si trovano nel pool di applicazioni. |
Requisiti standard per server singolo
Se si esegue la distribuzione in un singolo server, i requisiti dell'account sono notevolmente ridotti. In un ambiente di valutazione, è possibile usare un singolo account per tutti gli scopi degli account. In un ambiente di produzione, verificare che gli account creati dispongano delle autorizzazioni appropriate per i relativi scopi.
Per un elenco delle autorizzazioni degli account per gli ambienti a server singolo, vedere Account amministrativi e di servizio della distribuzione iniziale in SharePoint Server.
Requisiti per le server farm
Se si esegue la distribuzione in più server, usare i requisiti standard della server farm per assicurarsi che gli account dispongano delle autorizzazioni appropriate per eseguire i processi in più computer. I requisiti standard per le server farm specificano in dettaglio la configurazione minima necessaria per l'esecuzione in un ambiente server farm.
Per un elenco dei requisiti standard per gli ambienti server farm, vedere i requisiti elencati nella sezione Informazioni di riferimento tecniche: requisiti per gli account in base allo scenario di questo articolo.
Per alcuni account, le autorizzazioni aggiuntive o l'accesso ai database vengono configurati quando si esegue la Configurazione guidata. Questi privilegi aggiuntivi vengono annotati nello strumento di pianificazione degli account. Una configurazione importante di cui gli amministratori di database devono tenere conto è l'aggiunta del ruolo del database WSS_Content_Application_Pools . La Configurazione guidata aggiunge questo ruolo ai database seguenti:
Database SharePoint_Config (database di configurazione)
SharePoint_Admin database del contenuto
I membri del ruolo del database WSS_Content_Application_Pools dispongono dell'autorizzazione di esecuzione per un sottoinsieme di stored procedure per tale database. I membri di tale ruolo dispongono inoltre dell'autorizzazione di selezione per la tabella delle versioni (dbo.Versions) del database SharePoint_AdminContent.
Per altri database, lo strumento di pianificazione degli account indica che l'accesso in lettura da questi database viene configurato automaticamente. In alcuni casi, viene configurato automaticamente anche un accesso in scrittura limitato. Per fornire tale accesso, vengono configurate le autorizzazioni per le stored procedure.
Informazioni di riferimento tecniche: requisiti per gli account in base allo scenario
In questa sezione vengono elencati i requisiti per gli account in base allo scenario:
Requisiti standard per server singolo
Importante
Questa configurazione non è consigliata in un ambiente di produzione.
Account a livello di server farm
Account | Requisiti |
---|---|
Servizio SQL Server | Account Sistema locale (predefinito) |
Account utente amministratore farm | Membro del gruppo Administrators nel computer locale. |
Servizio farm | Servizio di rete (impostazione predefinita) Non è necessaria alcuna configurazione manuale. |
Account delle applicazioni di servizio
Importante
Gli account in questa tabella si applicano solo a SharePoint Server.
Account | Requisiti |
---|---|
Servizio di ricerca di SharePoint Server | Per impostazione predefinita, questo account viene eseguito come account Sistema locale. Se si vuole eseguire la ricerca per indicizzazione del contenuto remoto modificando l'account di accesso al contenuto predefinito o usando le regole di ricerca per indicizzazione, impostare questo account su un account utente di dominio. Se non si converte l'account in un account utente di dominio, è impossibile convertire l'account predefinito di accesso al contenuto in un account utente di dominio oppure aggiungere regole di ricerca per indicizzazione per sottoporre il contenuto a ricerca per indicizzazione. Questa limitazione è progettata per impedire l'elevazione dei privilegi per qualsiasi altro processo in esecuzione come account Sistema locale. |
Account predefinito di accesso al contenuto | Non è richiesta alcuna configurazione manuale se l'account sottopone a ricerca per indicizzazione solo il contenuto della farm locale. Se si vuole eseguire la ricerca per indicizzazione del contenuto remoto usando le regole di ricerca per indicizzazione, impostare questo account su un utente di dominio e applicare i requisiti elencati per una server farm. |
Account di accesso al contenuto | Stessi requisiti dell'account predefinito di accesso al contenuto. |
Account di sincronizzazione profili | Stessi requisiti della server farm. |
Servizio automatico Excel Services | Deve essere un account utente di dominio. |
Account identità dei pool di applicazioni aggiuntivi
Account | Requisiti |
---|---|
Identità del pool di applicazioni | Non è necessaria alcuna configurazione manuale. L'account Servizio di rete viene utilizzato per il sito Web predefinito creato durante l'installazione e la configurazione. |
Requisiti standard per le server farm
Account a livello di server farm
Account | Scopo | Requisiti |
---|---|---|
Account del servizio SQL Server |
L'account del servizio Server SQL viene utilizzato per eseguire SQL Server. È l'account del servizio per i servizi di SQL Server seguenti: MSSQLSERVER SQLSERVERAGENT Se non si usa l'istanza predefinita di SQL Server, nella console di Servizi Windows questi servizi verranno visualizzati come segue: MSSQL<InstanceName> SQLAgent<InstanceName> |
Usare un account utente di dominio o preferibilmente un account del servizio gestito di gruppo. Se si prevede di eseguire il backup in una risorsa esterna o il ripristino da una risorsa esterna, è necessario concedere le autorizzazioni per tale risorsa all'account appropriato. Se si usa un account utente di dominio o un account del servizio gestito di gruppo per l'account del servizio SQL Server, concedere le autorizzazioni a tale account utente di dominio. Tuttavia, se si usa il servizio di rete o l'account di sistema locale, concedere le autorizzazioni per la risorsa esterna all'account computer (<domain_name>\<SQL_hostname>). Il nome dell'istanza è arbitrario ed è stato creato durante l'installazione di SQL Server. |
Account utente amministratore farm |
L'account utente amministratore della farm è un account univoco assegnato a un amministratore di SharePoint. Viene usato per eseguire: Configurazione Configurazione guidata Prodotti SharePoint |
Account utente di dominio. Membro del gruppo Administrators in ogni server SharePoint nella farm. Membro del ruolo sql server seguente (facoltativo): ruolo predefinito del server sysadmin . Se si eseguono cmdlet di Windows PowerShell che interessano un database, questo account deve essere un membro del ruolo predefinito del database db_owner per il database o un membro del ruolo predefinito del server sysadmin in SQL. |
Account del servizio farm |
L'account del servizio farm viene usato per eseguire le attività seguenti: Agire da identità del pool di applicazioni per il sito Web Amministrazione centrale SharePoint. Eseguire il Servizio timer flussi di lavoro Microsoft SharePoint Foundation. |
Account utente di dominio. Vengono concesse automaticamente altre autorizzazioni per l'account della server farm nei server Web e nei server applicazioni aggiunti a una server farm. L'account della server farm viene aggiunto automaticamente come account di accesso di SQL Server nel computer che esegue SQL Server. L'account viene aggiunto ai ruoli di sicurezza di SQL Server seguenti: * ruolo predefinito del server dbcreator * ruolo predefinito del server securityadmin * db_owner ruolo predefinito del database per tutti i database di SharePoint nella server farm Questo account non deve essere usato in modo interattivo da un amministratore. Modificare l'account del servizio farm dovrà riavviare il server IIS usando il iisreset.exe comando . |
Account delle applicazioni di servizio
Importante
L'account di sincronizzazione dei profili e l'account del servizio automatico di Excel Services si applicano solo a SharePoint Server.
Account | Requisiti |
---|---|
Account del servizio di ricerca di SharePoint Server | Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Di seguito vengono configurati automaticamente gli elementi seguenti: Accesso per la lettura dal database di configurazione, database del contenuto di amministrazione, database di amministrazione della ricerca, database di ricerca per indicizzazione. Accesso di tipo Controllo completo alle partizioni di indice nei server di query. |
Account predefinito di accesso al contenuto | Deve essere un account utente di dominio. Non deve essere un membro del gruppo Amministratori farm. Accesso in lettura alle origini contenuto sicure o esterne che si desidera sottoporre a ricerca per indicizzazione utilizzando questo account. Per i siti che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti. Di seguito vengono configurate automaticamente le autorizzazioni di lettura completa ai database del contenuto ospitati dalla server farm. |
Account di accesso al contenuto | Accesso in lettura alle origini contenuto sicure o esterne per cui la configurazione dell'account prevede l'accesso. Per i siti Web che non fanno parte della server farm, è necessario concedere esplicitamente all'account autorizzazioni di lettura completa per le applicazioni Web che ospitano i siti. |
Account di sincronizzazione profili | Accesso in lettura al servizio directory. L'account deve disporre dell'autorizzazione Replica modifiche in Active Directory. Autorizzazione per i servizi di personalizzazione Gestisci profili utente. Autorizzazioni per la visualizzazione nelle entità utilizzate nelle connessioni di importazione del Catalogo dati business. |
Account di servizio automatico di Excel Services | Deve essere un account utente di dominio. |
Account identità dei pool di applicazioni aggiuntivi
Account | Requisiti |
---|---|
Identità del pool di applicazioni | Non è necessaria alcuna configurazione manuale. Vengono configurati automaticamente i seguenti elementi: Appartenenza al ruolo SP_DATA_ACCESS per i database del contenuto e database di ricerca associati all'applicazione Web. Appartenenza a ruoli specifici del pool di applicazioni per la configurazione e i database SharePoint_AdminContent. Vengono concesse automaticamente altre autorizzazioni per questo account ai server Web front-end e ai server applicazioni. |