管理者アカウントとサービス アカウントを計画する (Office SharePoint Server)
この記事の内容 :
管理アカウントおよびサービス アカウントについて
単一サーバーの標準的な要件
サーバー ファームの標準的な要件
ドメイン ユーザー アカウントを使用する場合の最小限の特権管理要件
SQL 認証を使用する場合の最小限の特権管理要件
事前に作成されたデータベースに接続する場合の最小限の特権管理要件
テクニカル リファレンス : シナリオ別のアカウント要件
この記事では、計画が必要なアカウント、およびアカウント要件に影響を与える展開シナリオについて説明します。
この記事は、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールと共に使用します。この計画ツールでは、展開シナリオに基づく各アカウントの要件が示されています。アカウントの要件は、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」にも記載されています。
アカウント要件は、セットアップ プログラムを実行する前に与える必要がある具体的な権限について詳しく説明します。場合によっては、セットアップの実行時に自動的に与えられる追加の権限についても計画ツールに記載されています。
ここでは、Microsoft Office SharePoint Server 2007 でシングル サインオン (SSO) を使用する場合のアカウント要件については説明されません。詳細については、「シングル サインオンを計画する」を参照してください。
また、Office SharePoint Server 2007 を管理するために必要なセキュリティ ロールおよび権限についても、ここでは説明されません。詳細については、「セキュリティ ロールを計画する (Office SharePoint Server)」を参照してください。
管理アカウントおよびサービス アカウントについて
ここでは、計画が必要なアカウントを示します。アカウントは、対象範囲に応じてグループ分けしてあります。アカウントの範囲が限られている場合は、そのカテゴリに対して複数のアカウントを作成する必要がある可能性があります。
たとえば、複数の共有サービス プロバイダ (SSP) を実装している場合は、複数の SSP アカウントを指定する必要があります。
アカウントのインストールおよび構成が完了した後は、管理タスクの実行やサイトの閲覧にローカル システム アカウントを使用しないようにしてください。たとえば、セットアップの実行に使用したのと同じアカウントを、管理タスクの実行に使用しないでください。
サーバー ファームレベルのアカウント
以下の表では、Microsoft SQL Server データベース ソフトウェアの構成、および Office SharePoint Server 2007 のインストールに使用されるアカウントについて説明します。
アカウント | 目的 |
---|---|
SQL Server サービス アカウント |
SQL Server のセットアップ時にこのアカウントが要求されます。このアカウントは、以下の SQL Server サービスのサービス アカウントとして使用されます。
既定のインスタンスを使用していない場合、これらのサービスは以下のように表示されます。
|
セットアップ ユーザー アカウント |
以下を実行するために使用されるユーザー アカウントです。
|
サーバー ファーム アカウント |
このアカウントは、データベース アクセス アカウントとも呼ばれます。 このアカウントは、以下のとおりです。
|
SSP のアカウント
以下の表では、SSP のセットアップと構成に使用されるアカウントについて説明します。実装する SSP ごとに 1 セットの SSP アカウントを計画します。
アカウント | 目的 |
---|---|
SSP アプリケーション プール アカウント |
SSP 管理サイトのアプリケーション プール アカウントです。このアカウントは、SSP 管理サイトをホストする Web アプリケーションのアプリケーション プールを実行するときに使用されます。 |
SSP サービス アカウント |
以下のサービスで使用されます。
|
Office SharePoint Server Search サービス アカウント |
Office SharePoint Server Search サービスのサービス アカウントとして使用されます。このサービスにはインスタンスが 1 つだけ存在し、すべての SSP によって、インデックス サーバー上のインデックスの場所にコンテンツ インデックス ファイルが書き込まれるとき、および検索可能なインデックスが Microsoft Office SharePoint Server 2007 ファーム内のすべてのクエリ サーバーに伝達されるときに使用されます。 |
既定のコンテンツ アクセス アカウント |
コンテンツをクロールするために、特定の SSP 内で使用される既定のアカウント (URL または URL パターンのクロール ルールによって別の認証方法が指定されていない場合)。 |
コンテンツ アクセス アカウント |
コンテンツ ソースにアクセスするために構成される特定のアカウントです。このアカウントは省略可能で、新しいクロール ルールの作成時に指定されます。たとえば、Office SharePoint Server 2007 から見て外側にあるコンテンツ ソース (ファイル共有など) では、別のアクセス アカウントが要求されることもあります。 |
プロファイル インポートの既定のアクセス アカウント |
用途は以下のとおりです。
アカウントが指定されない場合、既定のコンテンツ アクセス アカウントが使用されます。既定のコンテンツ アクセス アカウントに、データのインポート元ディレクトリに対する読み取りアクセス許可がない場合は、別のアカウントの使用を計画します。ディレクトリ接続ごとに 1 つのアカウントを計画できます。 |
Excel Services 無人サービス アカウント |
認証で非 Windows のユーザー名とパスワード文字列を要求する外部データ ソースに接続するため、Excel Calculation Services が使用するアカウントです。このアカウントが構成されていない場合、Excel Services はこれらのタイプのデータ ソースには接続しません。このアカウントの資格情報は非 Windows データ ソースへの接続で使用されますが、Excel Calculation Services が使用するアカウントなので、ドメインのメンバである必要があります。 |
Windows SharePoint Services Search アカウント
以下の表では、Windows SharePoint Services Search のセットアップと構成に使用されるアカウントについて説明します。Office SharePoint Server 2007 では、このサービスはヘルプの検索機能を提供するために使用されるので、Windows SharePoint Services ヘルプ検索サービスと呼ばれます。Office SharePoint Server 2007 をインストールしている場合、ヘルプ コンテンツの検索用にサービスの実装を計画するときにのみこれらのアカウントを計画します。
アカウント | 目的 |
---|---|
Windows SharePoint Services Search サービス アカウント |
Windows SharePoint Services ヘルプ検索サービスのサービス アカウントとして使用されます。このサービスのインスタンスはファーム内に 1 つしか存在せず、インデックス サーバー上のインデックスの場所にコンテンツ インデックス ファイルが書き込まれるとき、および Office SharePoint Server 2007 ファーム内のすべてのクエリ サーバーに検索可能なインデックスが伝達されるときに使用されます。 |
Windows SharePoint Services Search コンテンツ アクセス アカウント |
Windows SharePoint Services Search アプリケーション サーバー ロールがサイト内のコンテンツをクロールするために使用します。 |
追加のアプリケーション プール ID アカウント
サイトをホストするために追加のアプリケーション プールを作成する場合は、追加のアプリケーション プール ID アカウントを計画します。以下の表では、アプリケーション プール ID アカウントについて説明します。実装するアプリケーション プールごとに 1 つのアプリケーション プール アカウントを計画します。
アカウント | 目的 |
---|---|
アプリケーション プール ID |
アプリケーション プールに応対するワーカー プロセスが、プロセス ID として使用するユーザー アカウントです。アプリケーション プール内に存在する Web アプリケーションと関連付けられているコンテンツ データベースへのアクセスに使用されます。 |
単一サーバーの標準的な要件
単一サーバー コンピュータを展開する場合は、アカウントの要件が非常に少なくなります。評価環境では、単一のアカウントをすべての用途で使用できます。実稼働環境では、作成するアカウントが用途に応じた適切な権限を持っていることを確認する必要があります。
単一サーバー環境でのアカウントの権限の一覧については、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」に記載されている要件を参照してください。
サーバー ファームの要件
複数のサーバー コンピュータを展開する場合は、サーバー ファームの標準的な要件を参照して、アカウントが複数のコンピュータ間でプロセスを実行するのに必要な権限を持っていることを確認します。サーバー ファームの標準的な要件は、サーバー ファーム環境で操作を行うのに必要な最小構成について詳しく説明します。高度なセキュリティが必要とされる環境では、ドメイン ユーザー アカウントを使用する最小限の特権管理要件を使用することを検討してください。
サーバー ファーム環境の標準的な要件の一覧については、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」に記載されている要件を参照してください。
一部のアカウントでは、セットアップを実行すると、データベースに対する追加の権限やアクセス許可が構成されます。アカウントの計画ツールには、これらの権限やアクセス許可についても記載されています。構成に関連してデータベース管理者が特に気を付けなければならないのは、WSS_Content_Application_Pools データベース ロールの追加です。セットアップにより、以下のデータベースにはこのロールが追加されます。
SharePoint_Config データベース (構成データベース)
SharePoint_AdminContent データベース
WSS_Content_Application_Pools データベース ロールのメンバには、データベースのストアド プロシージャのサブセットに対する実行権限が与えられます。加えて、このロールのメンバには、SharePoint_AdminContent データベースの Versions テーブル (dbo.Versions) に対する選択権限も与えられます。
他のデータベースの場合、アカウントの計画ツールは、それらのデータベースの読み取りアクセス許可が自動的に構成されることを示しています。場合によっては、データベースに対する制限付き書き込みアクセス許可も自動的に構成されます。このアクセス許可を与えるため、ストアド プロシージャに対する権限が構成されます。たとえば、SharePoint_Config データベースの場合は、以下のストアド プロシージャへのアクセス許可が自動的に構成されます。
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
ドメイン ユーザー アカウントを使用する場合の最小限の特権管理要件
最小限の特権管理とは、推奨されているセキュリティ対策であり、サービスまたはユーザーが実行を許可されているタスクを完了するのに必要な最小限の特権のみを各サービスまたはユーザーに与えるというものです。つまり、各サービスには、そのサービスの目的を実行するのに必要なリソースへのアクセス許可のみが与えられます。この設計目標を達成するための最小要件には、以下が含まれます。
各サービスおよびプロセスごとに個別のアカウントを使用します。
サービス実行アカウントやプロセス アカウントは、ローカル管理者権限で実行しません。
サービスごとに個別のサービス アカウントを使用し、各アカウントに割り当てる権限を制限することにより、悪意のあるユーザーやプロセスが環境に危害を加える危険性を低減することができます。
ドメイン ユーザー アカウントを使用する最小限の特権管理は、ほとんどの環境で推奨されている構成です。
ドメイン ユーザー アカウントを使用する最小限の特権管理要件の一覧については、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」に記載されている要件を参照してください。
SQL 認証を使用する場合の最小限の特権管理要件
SQL 認証が必要とされる環境でも、最小限の特権管理の原則に従うことができます。このシナリオでは、以下のように構成が行われます。
SQL 認証は、作成されたすべてのデータベースに対して使用されます。
他のすべての管理アカウントおよびサービス アカウントは、ドメイン ユーザー アカウントとして作成されます。
セットアップと構成
SQL 認証を使用する場合は、追加のセットアップと構成が必要となります。
すべてのデータベース アカウントは、SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で SQL Server ログイン アカウントとして作成する必要があります。これらのアカウントは、データベース (構成データベースや AdminContent データベースを含む) を作成する前に作成しなければなりません。
Psconfig コマンド ライン ツールを使用して、構成データベースと SharePoint_AdminContent データベースを作成する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。ファームを作成する、またはファームにコンピュータを追加するには、これらのデータベース用に作成する SQL Server ログインを dbusername および dbpassword として指定します。この SQL Server ログインは、いずれのデータベースへのアクセスでも使用されます。
[SQL 認証] オプションを選択することで、追加のコンテンツ データベースをサーバーの全体管理で作成できます。ただし、最初に SQL Server ログイン アカウントを SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で作成する必要があります。
SSL (Secure Sockets Layer) またはインターネット プロトコル セキュリティ (IPsec) を使用して、データベース サーバーとのすべての通信をセキュリティ保護します。
SQL 認証を使用すると、以下のようになります。
SQL Server ログイン アカウントは、Web サーバーとアプリケーション サーバーのレジストリ内で暗号化されます。
サーバー ファーム アカウントは、構成データベースや SharePoint_AdminContent データベースへのアクセスには使用されません。代わりに、SQL Server ログイン アカウントが使用されます。
サービス アカウントと管理アカウントを作成する
SQL 認証を使用する最小限の特権管理要件の一覧については、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」に記載されている要件を参照してください。
SQL Server ログインを作成する
データベースを作成する前に、各データベースの SQL Server ログインを作成します。構成データベースと SharePoint_AdminContent データベースには、2 つのログインが作成されます。各コンテンツ データベースごとに 1 つのログインを作成してください。
以下の表に、作成する必要のあるログインを示します。[ログイン] 列には、その SQL Server ログイン用に指定または作成されるアカウントを記載しています。最初のログインでは、セットアップ ユーザー アカウントを入力する必要があります。その他のすべてのログインでは、新しい SQL Server ログイン アカウントを作成します。これらのログインの [ログイン] 列に記載されているのは、アカウント名の例です。
ログイン | データベース | SQL 権限 |
---|---|---|
セットアップ ユーザー アカウント |
構成データベースと SharePoint_AdminContent データベース |
ログインの作成時に Windows 認証を指定します。 |
<*ConfigAdminDBAcc*> |
構成データベースと SharePoint_AdminContent データベース |
|
<*SSP_DB_Acc*> |
SSP データベース |
|
<*SSPSearchDB_Acc*> |
SSP 検索データベース |
|
<*WSSSearch_DB_Acc*> |
WSS_Search データベース |
|
<*Content_DB_Acc1*> |
コンテンツ データベース |
|
事前に作成されたデータベースに接続する場合の最小限の特権管理要件
データベース管理者によってデータベースが事前に作成されている環境でも、最小限の特権管理の原則に従うことができます。このシナリオでは、以下のように構成が行われます。
管理アカウントとサービス アカウントはドメイン ユーザー アカウントとして作成されます。
SQL Server ログインは、データベースの構成に使用されるアカウントで作成されます。
データベースは、データベース管理者によって作成されます。
事前に作成された空のデータベースを使用する Office SharePoint Server 2007 の展開については、「DBA が作成したデータベースを使用して展開する (Office SharePoint Server)」を参照してください。
サービス アカウントと管理アカウントを作成する
既存の空のデータベースに接続する場合の最小限の特権管理要件の一覧については、「Office SharePoint Server のセキュリティ アカウントの要件」(https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x411) の計画ツールを参照するか、この記事の「テクニカル リファレンス : シナリオ別のアカウント要件」に記載されている要件を参照してください。
SQL Server ログインを作成する
データベースを作成する前に、データベースにアクセスする各アカウントの SQL Server ログインを作成します。アカウントの計画ツールは、各アカウントごとに構成される特定の権限について詳しく説明しています。データベースに対する権限を作成し付与する手順については、「DBA が作成したデータベースを使用して展開する (Office SharePoint Server)」を参照してください。
以下の表に、作成する必要のあるログインを示します。[データベース] 列には、各ログイン アカウントに付与される権限が構成されるデータベースを記載しています。各ログインの作成時に、Windows 認証を指定してください。
ログイン |
データベース |
セットアップ ユーザー アカウント (Psconfig コマンド ライン ツールの実行ユーザー) |
すべてのデータベース |
サーバー ファーム アカウント (Office SharePoint Server データベース アクセス アカウント) |
|
SSP サービス アカウント |
|
Office SharePoint Server Search アカウント |
|
既定のコンテンツ アクセス アカウント |
|
SSP アプリケーション プール アカウント (ID) |
SSP 管理 Web アプリケーションのコンテンツ データベース |
個人用サイト Web サイト アプリケーション プールのアプリケーション プール ID |
個人用サイト Web アプリケーションのコンテンツ データベース |
Windows SharePoint Services Search サービス アカウント |
|
追加のコンテンツ データベースのアプリケーション プール ID |
|
テクニカル リファレンス : シナリオ別のアカウント要件
ここでは、アカウント要件をシナリオ別に示します。
単一サーバーの標準的な要件
サーバー ファームの標準的な要件
ドメイン ユーザー アカウントを使用する場合の最小限の特権管理要件
SQL 認証を使用する場合の最小限の特権管理要件
事前に作成されたデータベースに接続する場合の最小限の特権管理要件
単一サーバーの標準的な要件
サーバー ファームレベルのアカウント
アカウント | 要件 |
---|---|
SQL Server サービス アカウント |
ローカル システム アカウント (既定) |
セットアップ ユーザー アカウント |
ローカル コンピュータの Administrators グループのメンバ |
サーバー ファーム アカウント |
ネットワーク サービス (既定) 手動の構成は不要です。 |
SSP のアカウント
アカウント | 要件 |
---|---|
SSP アプリケーション プール アカウント |
手動の構成は不要です。 |
SSP サービス アカウント |
|
Office SharePoint Server Search サービス アカウント |
既定では、このアカウントはローカル システム アカウントとして実行されます。 既定のコンテンツ アクセス アカウントを変更するかクロール ルールを使用して、リモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー アカウントに変更します。このアカウントをドメイン ユーザー アカウントに変更しなければ、既定のコンテンツ アクセス アカウントをドメイン ユーザー アカウントに変更したり、このコンテンツをクロールするクロール ルールを追加したりすることはできません。この制限の目的は、ローカル システム アカウントとして実行されている他のプロセスの特権が昇格されることを防ぐことです。 |
既定のコンテンツ アクセス アカウント |
このアカウントがローカル ファーム コンテンツをクロールするだけの場合は、手動の構成は不要です。ただし、クロール ルールを使用してリモート コンテンツをクロールする場合は、このアカウントをドメイン ユーザー アカウントに変更し、サーバー ファームの要件を適用してください。 |
コンテンツ アクセス アカウント |
上記の SSP 既定のコンテンツ アクセス アカウントと同じです。 |
プロファイル インポートの既定のアクセス アカウント |
サーバー ファームと同じ要件です。 |
Excel Services 無人サービス アカウント |
ドメイン ユーザー アカウントである必要があります。 |
Windows SharePoint Services Search アカウント
アカウント | 要件 |
---|---|
Windows SharePoint Services Search サービス アカウント |
既定では、このアカウントはローカル システム アカウントとして実行されます。 |
Windows SharePoint Services Search コンテンツ アクセス アカウント |
Farm Administrators グループのメンバではない必要があります。 自動的に以下のように構成されます。
|
追加のアプリケーション プール ID アカウント
アカウント | 要件 |
---|---|
アプリケーション プール ID |
手動の構成は不要です。 セットアップ中および構成中に作成された既定の Web サイトでは、ネットワーク サービス アカウントが使用されます。 |
サーバー ファームの標準的な要件
サーバー ファームレベルのアカウント
アカウント | 要件 |
---|---|
SQL Server サービス アカウント |
ローカル システム アカウントまたはドメイン ユーザー アカウントのいずれかを使用します。 ドメイン ユーザー アカウントを使用する場合、このアカウントでは既定で Kerberos 認証が使用されます。この場合は、ネットワーク環境で追加の構成が必要になります。SQL Server が無効な (Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を使用すると、Kerberos 認証は失敗し、代わりに NTLM が使用されます。SPN が有効であっても Active Directory の適切なコンテナに割り当てられていない場合は、認証が失敗し、"SSPI コンテキストを生成できません" というエラー メッセージが表示されます。認証では、最初に見つかる SPN が使用されるため、Active Directory の不適切なコンテナに割り当てられている SPN がないかどうか確認する必要があります。 外部リソースにバックアップする、あるいは外部リソースから復元する場合は、外部リソースに対する権限を適切なアカウントに与える必要があります。SQL Server サービス アカウントでドメイン ユーザー アカウントを使用する場合は、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントやローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。 |
セットアップ ユーザー アカウント |
データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントは、そのデータベースの db_owner 固定データベース ロールのメンバである必要があります。 |
サーバー ファーム アカウント |
このアカウントには、サーバー ファームに参加する Web サーバーおよびアプリケーション サーバー上の追加の権限が自動的に与えられます。 このアカウントは、SQL Server を実行しているコンピュータの SQL Server ログインとして自動的に追加され、以下の SQL Server セキュリティ ロールに追加されます。
メモ Microsoft Single Sign-On Service を構成する場合は、サーバー ファーム アカウントに SSO データベースのdb_owner権限が自動的に付与されません。 |
SSP のアカウント
アカウント | 要件 |
---|---|
SSP アプリケーション プール アカウント |
手動の構成は不要です。 自動的に以下のように構成されます。
|
SSP サービス アカウント |
|
Office SharePoint Server Search サービス アカウント |
自動的に以下のように構成されます。
|
既定のコンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
コンテンツ アクセス アカウント |
|
プロファイル インポートの既定のアクセス アカウント |
|
Excel Services 無人サービス アカウント |
ドメイン ユーザー アカウントである必要があります。 |
Windows SharePoint Services Search アカウント
アカウント | 要件 |
---|---|
Windows SharePoint Services Search サービス アカウント |
自動的に以下のように構成されます。
|
Windows SharePoint Services Search コンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
追加のアプリケーション プール ID アカウント
アカウント | 要件 |
---|---|
アプリケーション プール ID |
手動の構成は不要です。 自動的に以下のように構成されます。
|
ドメイン ユーザー アカウントを使用する場合の最小限の特権管理要件
サーバー ファームレベルのアカウント
アカウント | サーバー ファームの標準的な要件 | ドメイン ユーザー アカウントを使用する最小限の特権の要件 |
---|---|---|
SQL Server サービス アカウント |
ローカル システム アカウントまたはドメイン ユーザー アカウントのいずれかを使用します。 ドメイン ユーザー アカウントを使用する場合、このアカウントでは既定で Kerberos 認証が使用されます。この場合は、ネットワーク環境で追加の構成が必要になります。SQL Server が無効な (Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を使用すると、Kerberos 認証は失敗し、代わりに NTLM が使用されます。SPN が有効であっても Active Directory の適切なコンテナに割り当てられていない場合は、認証が失敗し、"SSPI コンテキストを生成できません" というエラー メッセージが表示されます。認証では、最初に見つかる SPN が使用されるため、Active Directory の不適切なコンテナに割り当てられている SPN がないかどうか確認する必要があります。 外部リソースにバックアップする、あるいは外部リソースから復元する場合は、外部リソースに対する権限を適切なアカウントに与える必要があります。SQL Server サービス アカウントでドメイン ユーザー アカウントを使用する場合は、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントやローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
セットアップ ユーザー アカウント |
データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントは、そのデータベースの db_owner 固定データベース ロールのメンバである必要があります。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
サーバー ファーム アカウント |
このアカウントには、サーバー ファームに参加する Web サーバーおよびアプリケーション サーバー上の追加の権限が自動的に与えられます。 このアカウントは、SQL Server を実行しているコンピュータの SQL Server ログインとして自動的に追加され、以下の SQL Server セキュリティ ロールに追加されます。
メモ Microsoft Single Sign-On Service を構成する場合は、サーバー ファーム アカウントに SSO データベースのdb_owner権限が自動的に付与されません。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SSP のアカウント
アカウント | サーバー ファームの標準的な要件 | ドメイン ユーザー アカウントを使用する最小限の特権の要件 |
---|---|---|
SSP アプリケーション プール アカウント |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SSP サービス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Office SharePoint Server Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
既定のコンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
セキュリティ強化のために、SSP ごとに個別の既定のコンテンツ アクセス アカウントを使用してください。 |
コンテンツ アクセス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
プロファイル インポートの既定のアクセス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Excel Services 無人サービス アカウント |
ドメイン ユーザー アカウントである必要があります。 |
ドメイン ユーザー アカウントである必要があります。 |
Windows SharePoint Services Search アカウント
アカウント | サーバー ファームの標準的な要件 | ドメイン ユーザー アカウントを使用する最小限の特権の要件 |
---|---|---|
Windows SharePoint Services Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Windows SharePoint Services Search コンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
追加のアプリケーション プール ID アカウント
アカウント | サーバー ファームの標準的な要件 | ドメイン ユーザー アカウントを使用する最小限の特権の要件 |
---|---|---|
アプリケーション プール ID |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SQL 認証を使用する場合の最小限の特権管理要件
サーバー ファームレベルのアカウント
アカウント | サーバー ファームの標準的な要件 | SQL 認証を使用する最小限の特権の要件 |
---|---|---|
SQL Server サービス アカウント |
ローカル システム アカウントまたはドメイン ユーザー アカウントのいずれかを使用します。 ドメイン ユーザー アカウントを使用する場合、このアカウントでは既定で Kerberos 認証が使用されます。この場合は、ネットワーク環境で追加の構成が必要になります。SQL Server が無効な (Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を使用すると、Kerberos 認証は失敗し、代わりに NTLM が使用されます。SPN が有効であっても Active Directory の適切なコンテナに割り当てられていない場合は、認証が失敗し、"SSPI コンテキストを生成できません" というエラー メッセージが表示されます。認証では、最初に見つかる SPN が使用されるため、Active Directory の不適切なコンテナに割り当てられている SPN がないかどうか確認する必要があります。 外部リソースにバックアップする、あるいは外部リソースから復元する場合は、外部リソースに対する権限を適切なアカウントに与える必要があります。SQL Server サービス アカウントでドメイン ユーザー アカウントを使用する場合は、そのドメイン ユーザー アカウントに権限を与えます。ただし、ネットワーク サービス アカウントやローカル システム アカウントを使用する場合は、外部リソースに対する権限をマシン アカウント (*domain_name\SQL_hostname$*) に与えます。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
注意 すべてのデータベース アカウントは、Microsoft SQL Server 2000 Enterprise Manager または SQL Server 2005 Management Studio で SQL Server ログイン アカウントとして作成する必要があります。これらのアカウントは、コンテンツ データベース (構成データベースや SharePoint_AdminContent データベースを含む) を作成する前に作成しなければなりません。構成データベースと SharePoint_AdminContent データベースの両方に対して 1 つの SQL Server ログインを作成してください。 |
セットアップ ユーザー アカウント |
データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントは、そのデータベースの db_owner 固定データベース ロールのメンバである必要があります。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
注意 Psconfig コマンド ライン ツールを使用して、構成データベースと SharePoint_AdminContent データベースを作成する必要があります。SharePoint 製品とテクノロジ構成ウィザードを使用してこれらのデータベースを作成することはできません。ファームを作成する、またはファームにコンピュータを追加するには、これらのデータベース用に作成する SQL Server ログインを dbusername および dbpassword として指定します。この SQL Server ログインは、いずれのデータベースへのアクセスでも使用されます。その他のすべてのコンテンツ データベースは、[SQL 認証] オプションを選択することによって、サーバーの全体管理で作成できます。 |
サーバー ファーム アカウント |
このアカウントには、サーバー ファームに参加する Web サーバーおよびアプリケーション サーバー上の追加の権限が自動的に与えられます。 このアカウントは、SQL Server を実行しているコンピュータの SQL Server ログインとして自動的に追加され、以下の SQL Server セキュリティ ロールに追加されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SSP のアカウント
アカウント | サーバー ファームの標準的な要件 | SQL 認証を使用する最小限の特権の要件 |
---|---|---|
SSP アプリケーション プール アカウント |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SSP サービス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Office SharePoint Server Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
既定のコンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
コンテンツ アクセス アカウント |
Web サイトがサーバー ファームに含まれていない場合、このアカウントには、サイトをホストする Web アプリケーションでのすべて読み取り権限を明示的に与える必要があります。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
プロファイル インポートの既定のアクセス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Excel Services 無人サービス アカウント |
ドメイン ユーザー アカウントである必要があります。 |
ドメイン ユーザー アカウントである必要があります。 |
Windows SharePoint Services Search アカウント
アカウント | サーバー ファームの標準的な要件 | SQL 認証を使用する最小限の特権の要件 |
---|---|---|
Windows SharePoint Services Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
Windows SharePoint Services Search コンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
追加のアプリケーション プール ID アカウント
アカウント | サーバー ファームの標準的な要件 | SQL 認証を使用する最小限の特権の要件 |
---|---|---|
アプリケーション プール ID |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
事前に作成されたデータベースに接続する場合の最小限の特権管理要件
サーバー ファームレベルのアカウント
アカウント | サーバー ファームの標準的な要件 | 事前に作成されたデータベースに接続する場合の最小限の特権の要件 |
---|---|---|
SQL Server サービス アカウント |
ローカル システム アカウントまたはドメイン ユーザー アカウントのいずれかを使用します。 ドメイン ユーザー アカウントを使用する場合、このアカウントでは既定で Kerberos 認証が使用されます。この場合は、ネットワーク環境で追加の構成が必要になります。SQL Server が無効な (Active Directory ディレクトリ サービス環境に存在しない) サービス プリンシパル名 (SPN) を使用すると、Kerberos 認証は失敗し、代わりに NTLM が使用されます。SPN が有効であっても Active Directory の適切なコンテナに割り当てられていない場合は、認証が失敗し、"SSPI コンテキストを生成できません" というエラー メッセージが表示されます。認証では、最初に見つかる SPN が使用されるため、Active Directory の不適切なコンテナに割り当てられている SPN がないかどうか確認する必要があります。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
セットアップ ユーザー アカウント |
データベースに影響を与える Stsadm コマンドを実行する場合、このアカウントは、そのデータベースの db_owner 固定データベース ロールのメンバである必要があります。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
このアカウントは、データベースの構成に使用されます。各データベースを作成した後で、データベースの所有者 (dbo または db_owner) をセットアップ ユーザー アカウントに変更します。 |
サーバー ファーム アカウント |
このアカウントには、サーバー ファームに参加する Web サーバーおよびアプリケーション サーバー上の追加の権限が自動的に与えられます。 このアカウントは、SQL Server を実行しているコンピュータの SQL Server ログインとして自動的に追加され、以下の SQL Server セキュリティ ロールに追加されます。
メモ Microsoft Single Sign-On Service を構成する場合は、サーバー ファーム アカウントに SSO データベースのdb_owner権限が自動的に付与されません。 |
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
共有サービス プロバイダ (SSP) データベースおよび SSP 検索データベースを作成した後で、このアカウントをそれらの各データベースの以下のメンバに追加します。
|
SSP のアカウント
アカウント | サーバー ファームの標準的な要件 | 事前に作成されたデータベースに接続する場合の最小限の特権の要件 |
---|---|---|
SSP アプリケーション プール アカウント |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
SSP サービス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
構成データベースおよびサーバーの全体管理コンテンツ データベースを作成した後で、このアカウントをそれらのデータベースの以下のメンバに追加します。
共有サービス管理サイトのコンテンツ データベース、SSP データベース、SSP 検索データベースを作成した後で、このアカウントをそれらの各データベースの以下のメンバに追加します。
個人用サイトを作成した後で、このアカウントを個人用サイト Web アプリケーションのコンテンツ データベースの以下のメンバに追加します。
各コンテンツ データベースを作成した後で、このアカウントを以下に追加します。
|
Office SharePoint Server Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
構成データベースおよびサーバーの全体管理コンテンツ データベースを作成した後で、このアカウントをそれらのデータベースの以下のメンバに追加します。
SSP データベースおよび SSP 検索データベースを作成した後で、このアカウントをそれらの各データベースの以下のメンバに追加します。
|
既定のコンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
セキュリティ強化のために、SSP ごとに個別の既定のコンテンツ アクセス アカウントを使用してください。 構成データベースおよびサーバーの全体管理コンテンツ データベースを作成した後で、このアカウントをそれらのデータベースの以下のメンバに追加します。
|
コンテンツ アクセス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
|
プロファイル インポートの既定のアクセス アカウント |
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
このアカウントは、サーバー ファームに参加しているコンピュータの Administrators グループのメンバではない必要があります。 |
Excel Services 無人サービス アカウント |
ドメイン ユーザー アカウントである必要があります。 |
ドメイン ユーザー アカウントである必要があります。 |
Windows SharePoint Services Search アカウント
アカウント | サーバー ファームの標準的な要件 | 事前に作成されたデータベースに接続する場合の最小限の特権の要件 |
---|---|---|
Windows SharePoint Services Search サービス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
SSP データベースおよび SSP 検索データベースを作成した後で、このアカウントをそれらの各データベースの以下のメンバに追加します。
Psconfig コマンド ライン ツールを実行して Windows SharePoint Services Search サービスを開始すると、以下のメンバシップが自動的に構成されます。
|
Windows SharePoint Services Search コンテンツ アクセス アカウント |
自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
Psconfig コマンド ライン ツールを実行して Windows SharePoint Services Search サービスを開始すると、以下のメンバシップが自動的に構成されます。
|
追加のアプリケーション プール ID アカウント
アカウント | サーバー ファームの標準的な要件 | 事前に作成されたデータベースに接続する場合の最小限の特権の要件 |
---|---|---|
アプリケーション プール ID |
手動の構成は不要です。 自動的に以下のように構成されます。
|
サーバー ファームの標準的な要件。ただし、以下の追加または例外事項があります。
SSP データベースおよび SSP 検索データベースを作成した後で、このアカウントをそれらの各データベースの以下のメンバに追加します。
|
このドキュメントをダウンロードする
このトピックは、簡単に読んだり印刷したりできるように、次のダウンロード可能なドキュメントに収められています。
入手可能なドキュメントの詳細な一覧については、「Office SharePoint Server 2007 のダウンロード可能なブック」を参照してください。