Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server)

Artikel
06/12/2012

Inhalt dieses Artikels

Informationen zu administrativen Konten und zu Dienstkonten
Einzelserver-Standardanforderungen
Serverfarm-Standardanforderungen
Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten
Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung
Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken
Technische Referenz: Kontoanforderungen nach Szenario

Dieser Artikel enthält eine Beschreibung der zu planenden Konten und der Bereitstellungsszenarien, die sich auf die Kontoanforderungen auswirken.

Verwenden Sie diesen Artikel zusammen mit dem folgenden Planungstool: Office SharePoint-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407). In diesem Planungstool werden die Anforderungen für die einzelnen Konten basierend auf dem Bereitstellungsszenario aufgeführt. Die Anforderungen werden zudem im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt.

Unter den Kontoanforderungen werden die speziellen Berechtigungen, die Sie vor dem Installieren erteilen müssen, detailliert beschrieben. In einigen Fällen wird im Planungstool auf zusätzliche Berechtigungen hingewiesen, die durch das Installieren automatisch erteilt werden.

Dieser Artikel enthält keine Beschreibung der Kontoanforderungen für die Verwendung des einmaligen Anmeldens (Single Sign-On, SSO) in Microsoft Office SharePoint Server 2007. Weitere Informationen finden Sie unter Planen des einmaligen Anmeldens.

Dieser Artikel enthält keine Beschreibung der für die Verwaltung von Microsoft Office SharePoint Server 2007 erforderlichen Sicherheitsrollen und Berechtigungen. Weitere Informationen finden Sie unter Planen der Sicherheitsrollen (Office SharePoint Server).

Informationen zu administrativen Konten und zu Dienstkonten

In diesem Abschnitt werden die zu planenden Konten aufgeführt und beschrieben. Die Konten sind nach Bereich gruppiert. Wenn der Bereich eines Kontos eingeschränkt ist, müssen Sie für diese Kategorie möglicherweise mehrere Konten planen.

Wenn Sie beispielsweise Anbieter für gemeinsame Dienste (Shared Services Providers, SSPs) implementieren, müssen Sie mehrere SSP-Konten zuweisen.

Stellen Sie nach Abschluss der Installation und Konfiguration von Konten sicher, dass Sie das lokale Systemkonto nicht für die Ausführung administrativer Aufgaben oder für das Durchsuchen von Websites verwenden. Verwenden Sie beispielsweise für die Ausführung administrativer Aufgaben nicht dasselbe Konto wie für die Setup-Ausführung.

Konten auf Serverfarmebene

In der folgenden Tabelle werden die Konten beschrieben, die zum Konfigurieren der Microsoft SQL Server-Datenbanksoftware und zum Installieren von Microsoft Office SharePoint Server 2007 verwendet werden.

Konto	Zweck
SQL Server-Dienstkonto	SQL Server fragt im Rahmen des Setups von SQL Server nach diesem Konto. Dieses Konto wird als Dienstkonto für die folgenden SQL Server-Dienste verwendet: MSSQLSERVER SQLSERVERAGENT Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste wie folgt angezeigt: MSSQL$Instanzname SQLAgent$Instanzname
Setup-Benutzerkonto	Das Benutzerkonto, das verwendet wird für die Ausführung von: Setup auf den einzelnen Servercomputern Konfigurations-Assistent für SharePoint-Produkte und -Technologien Psconfig-Befehlszeilentool Stsadm-Befehlszeilentool
Serverfarm-Konto	Dieses Konto wird auch als Datenbankzugriffskonto bezeichnet. Es dient als: Anwendungspoolidentität der Website für die SharePoint-Zentraladministration. Prozesskonto für den Windows SharePoint Services-Timerdienst.

SQL Server-Dienstkonto

SQL Server fragt im Rahmen des Setups von SQL Server nach diesem Konto. Dieses Konto wird als Dienstkonto für die folgenden SQL Server-Dienste verwendet:

MSSQLSERVER
SQLSERVERAGENT

Wenn Sie nicht die Standardinstanz verwenden, werden diese Dienste wie folgt angezeigt:

MSSQL$*Instanzname*
SQLAgent$*Instanzname*

Setup-Benutzerkonto

Das Benutzerkonto, das verwendet wird für die Ausführung von:

Setup auf den einzelnen Servercomputern
Konfigurations-Assistent für SharePoint-Produkte und -Technologien
Psconfig-Befehlszeilentool
Stsadm-Befehlszeilentool

Serverfarm-Konto

Dieses Konto wird auch als Datenbankzugriffskonto bezeichnet.

Es dient als:

Anwendungspoolidentität der Website für die SharePoint-Zentraladministration.
Prozesskonto für den Windows SharePoint Services-Timerdienst.

SSP-Konten

In der folgenden Tabelle werden die Konten beschrieben, mit deren Hilfe SSPs eingerichtet und konfiguriert werden. Planen Sie für die einzelnen SSPs, die Sie implementieren möchten, jeweils einen Satz SSP-Konten.

Konto	Zweck
SSP-Anwendungspoolkonto	Anwendungspoolkonto der SSP-Verwaltungswebsite. Dieses Konto wird zum Ausführen des Anwendungspools für die Webanwendung verwendet, von der die SSP-Verwaltungswebsite gehostet wird.
SSP-Dienstkonto	Dieses Konto wird von Folgendem verwendet: SSP-Webdiensten zur Kommunikation zwischen Servern Anwendungspoolidentität des Anwendungspools, der dem virtuellen Verzeichnis eines bestimmten SSPs zugeordnet ist
Office SharePoint Server-Suchdienstkonto	Dieses Konto wird als Dienstkonto für den Office SharePoint Server-Suchdienst verwendet. Es existiert nur eine Instanz dieses Diensts, und diese wird von allen SSPs verwendet, um Inhaltsindexdateien in den Indexspeicherort auf Indexservern zu schreiben und um den durchsuchbaren Index an alle Abfrageserver in einer Microsoft Office SharePoint Server 2007-Serverfarm zu verteilen.
Standardkonto für den Inhaltszugriff	Das Standardkonto, das innerhalb eines bestimmten SSPs zum Crawling von Inhalt verwendet wird, sofern keine andere Authentifizierungsmethode durch eine Crawlregel für eine URL oder für ein URL-Muster angegeben ist.
Inhaltszugriffskonto	Dabei handelt es sich um ein spezielles Konto, das für den Zugriff auf eine Inhaltsquelle konfiguriert ist. Dieses Konto ist optional, und es wird beim Erstellen einer neuen Crawlregel angegeben. Für Inhaltsquellen, die sich außerhalb von Microsoft Office SharePoint Server 2007 befinden (z. B. eine Dateifreigabe) ist beispielsweise unter Umständen ein anderes Zugriffskonto erforderlich.
Standardzugriffskonto für das Importieren von Profilen	Verwendung: Herstellen einer Verbindung mit einem Verzeichnisdienst (z. B. dem Active Directory-Verzeichnisdienst), einem LDAP-Verzeichnis (Lightweight Directory Access Protocol), einer Geschäftsdatenkatalog-Anwendung oder mit einer anderen Verzeichnisquelle. Importieren von Profildaten aus einem Verzeichnisdienst. Falls kein Konto angegeben ist, wird das Standardkonto für den Inhaltszugriff verwendet. Wenn das Standardkonto für den Inhaltszugriff keinen Lesezugriff auf das Verzeichnis bzw. die Verzeichnisse hat, aus dem bzw. denen Sie Daten importieren möchten, planen Sie die Verwendung eines anderen Kontos. Pro Verzeichnisverbindung können Sie ein Konto planen.
Unbeaufsichtigtes Excel Services-Dienstkonto	Das Konto, das von den Diensten für Excel-Berechnungen zum Herstellen einer Verbindung mit externen Datenquellen verwendet wird, für die zur Authentifizierung ein Nicht-Windows-Benutzername und -Kennwort erforderlich sind. Wenn dieses Konto nicht konfiguriert ist, versucht Excel Services nicht, eine Verbindung mit diesen Datenquellentypen herzustellen. Obwohl für das Herstellen einer Verbindung mit Nicht-Windows-Datenquellen die Kontoanmeldeinformationen verwendet werden, muss das Konto Mitglied der Domäne sein, damit es von den Diensten für Excel-Berechnungen verwendet wird.

Windows SharePoint Services-Suchkonten

In der folgenden Tabelle werden die Konten beschrieben, mit deren Hilfe die Windows SharePoint Services-Suche eingerichtet und konfiguriert wird. In Microsoft Office SharePoint Server 2007 wird dieser Dienst als Dienst für die Suche in der Windows SharePoint Services-Hilfe bezeichnet, da anhand dieses Diensts die Suchfunktionen für die Hilfe bereitgestellt werden. Planen Sie diese Konten bei der Installation von Microsoft Office SharePoint Server 2007 nur dann mit ein, wenn Sie den Dienst für die Suche von Hilfeinhalt implementieren möchten.

Konto	Zweck
Windows SharePoint Services-Suchdienstkonto	Dieses Konto wird als Dienstkonto für den Dienst "Suche in der Windows SharePoint Services-Hilfe" verwendet. In einer Serverfarm existiert nur eine Instanz dieses Diensts, und diese wird verwendet, um Inhaltsindexdateien in den Indexspeicherort auf Indexservern zu schreiben und um den durchsuchbaren Index an alle Abfrageserver in einer Microsoft Office SharePoint Server 2007-Serverfarm zu verteilen.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Wird von der Anwendungsserverrolle für die Windows SharePoint Services-Suche zum websiteübergreifenden Crawlen von Inhalt verwendet.

Windows SharePoint Services-Suchdienstkonto

Dieses Konto wird als Dienstkonto für den Dienst "Suche in der Windows SharePoint Services-Hilfe" verwendet. In einer Serverfarm existiert nur eine Instanz dieses Diensts, und diese wird verwendet, um Inhaltsindexdateien in den Indexspeicherort auf Indexservern zu schreiben und um den durchsuchbaren Index an alle Abfrageserver in einer Microsoft Office SharePoint Server 2007-Serverfarm zu verteilen.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Wird von der Anwendungsserverrolle für die Windows SharePoint Services-Suche zum websiteübergreifenden Crawlen von Inhalt verwendet.

Zusätzliche Anwendungspool-Identitätskonten

Wenn Sie zusätzliche Anwendungspools zum Hosten von Websites erstellen, planen Sie zusätzliche Anwendungspool-Identitätskonten ein. In der folgenden Tabelle wird das Anwendungspool-Identitätskonto beschrieben. Planen Sie für jeden zu implementierenden Anwendungspool ein Anwendungspoolkonto ein.

Konto	Zweck
Anwendungspoolidentität	Dies ist das Benutzerkonto, das von den Arbeitsprozessen zur Verarbeitung des Anwendungspools als Prozessidentität verwendet wird. Mithilfe dieses Kontos erfolgt der Zugriff auf Inhaltsdatenbanken, die den Webanwendungen innerhalb des Anwendungspools zugeordnet sind.

Einzelserver-Standardanforderungen

Wenn Sie eine Bereitstellung auf einem einzelnen Servercomputer vornehmen, werden die Kontoanforderungen erheblich reduziert. In einer Bewertungsumgebung können Sie für alle Kontozwecke ein einzelnes Konto verwenden. Stellen Sie in einer Produktionsumgebung sicher, dass die von Ihnen erstellten Konten über die entsprechenden Berechtigungen für den jeweiligen Zweck verfügen.

Eine Liste mit den Kontoberechtigungen für Einzelserverumgebungen finden Sie im Planungstool Office SharePoint Server-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407), oder schlagen Sie unter den Anforderungen nach, die im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt sind.

Serverfarmanforderungen

Wenn Sie eine Bereitstellung auf mehreren Servercomputern vornehmen, stellen Sie mithilfe der Serverfarm-Standardanforderungen sicher, dass die Konten über die entsprechenden Berechtigungen zum Ausführen der jeweiligen Prozesse für mehrere Computer verfügen. In den Serverfarm-Standardanforderungen wird die notwendige Mindestkonfiguration für eine Ausführung in einer Serverfarmumgebung detailliert beschrieben. Für eine sicherere Umgebung sollten Sie anhand von Domänenbenutzerkonten die Verwendung der Verwaltungsanforderungen mit den geringsten Rechten in Erwägung ziehen.

Eine Liste mit den Standardanforderungen für Serverfarmumgebungen finden Sie im Planungstool Office SharePoint Server-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407), oder schlagen Sie unter den Anforderungen nach, die im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt sind.

Für einige Konten werden bei der Setup-Ausführung zusätzliche Berechtigungen oder der Zugriff auf Datenbanken konfiguriert. Auf diese wird im Kontenplanungstool hingewiesen. Ein wichtiger Konfigurationsschritt für Datenbankadministratoren besteht im Hinzufügen der WSS_Content_Application_Pools-Datenbankrolle. Diese Rolle wird beim Setup den folgenden Datenbanken hinzugefügt:

SharePoint_Config-Datenbank (Konfigurationsdatenbank)
SharePoint_AdminContent-Datenbank

Den Mitgliedern der WSS_Content_Application_Pools-Datenbankrolle wird für eine Teilmenge der gespeicherten Prozeduren für die Datenbank die Berechtigung zum Ausführen erteilt. Zudem wird den Mitgliedern dieser Rolle für die Tabelle Versionen (dbo.Versions) in der SharePoint_AdminContent-Datenbank die Berechtigung zum Auswählen erteilt.

Für andere Datenbanken gibt das Planungstool an, dass der Zugriff zum Lesen aus diesen Datenbanken automatisch konfiguriert wird. In einigen Fällen wird auch automatisch ein begrenzter Zugriff zum Schreiben in eine Datenbank konfiguriert. Für die Bereitstellung dieses Zugriffs werden Berechtigungen für gespeicherte Prozeduren konfiguriert. Für die SharePoint_Config-Datenbank wird beispielsweise der Zugriff auf die folgenden gespeicherten Prozeduren automatisch konfiguriert:

proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten

Das Prinzip der geringsten Rechte ist eine empfohlene Sicherheitsmethode, bei der die einzelnen Dienste oder Benutzer nur die minimalen Berechtigungen erhalten, die sie zum Ausführen der Aufgaben benötigen, für die sie autorisiert sind. Demnach wird jedem Dienst nur Zugriff auf die Ressourcen gewährt, die für den jeweiligen Zweck benötigt werden. Die Mindestanforderungen zum Erreichen dieses Entwurfsziels umfassen Folgendes:

Für verschiedene Dienste und Prozesse werden gesonderte Konten verwendet.
Für die Ausführung der Dienste oder Prozesse werden grundsätzlich keine Berechtigungen eines lokalen Administrators verwendet.

Durch die Verwendung gesonderter Dienstkonten für die einzelnen Dienste und durch die Beschränkung der den einzelnen Konten zugewiesenen Berechtigungen reduzieren Sie die Möglichkeiten einer Gefährdung Ihrer Umgebung durch nicht autorisierte Benutzer oder Prozesse.

Das Prinzip der geringsten Rechte für Domänenbenutzerkonten ist die empfohlene Konfiguration für die meisten Umgebungen.

Eine Liste der Anforderungen für das Prinzip der geringsten Rechte für Domänenbenutzerkonten finden Sie im Planungstool Office SharePoint Server-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407), oder schlagen Sie unter den Anforderungen nach, die im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt sind.

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung

In Umgebungen, in denen die SQL-Authentifizierung Voraussetzung ist, können Sie das Prinzip das Prinzip der geringsten Rechte anwenden. In diesem Szenario gilt Folgendes:

Für jede erstellte Datenbank wird die SQL-Authentifizierung verwendet.
Alle anderen Verwaltungs- und Dienstkonten werden als Domänenbenutzerkonten erstellt.

Setup und Konfiguration

Für die Verwendung der SQL-Authentifizierung sind zusätzliche Setup- und Konfigurationsschritte erforderlich:

Alle Datenbankkonten müssen als SQL Server-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellt werden. Die Erstellung dieser Konten muss vor dem Erstellen von Datenbanken erfolgen, einschließlich der Konfigurationsdatenbank und der AdminContent-Datenbank.
Für die Erstellung der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank müssen Sie das Psconfig-Befehlszeilentool verwenden. Die Erstellung dieser Datenbanken mithilfe des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien ist nicht möglich. Wenn Sie eine Farm erstellen oder einer Farm einen Computer hinzufügen möchten, geben Sie die SQL Server-Anmeldung an, die Sie für diese Datenbanken als dbusername und dbpassword erstellt haben. Der Zugriff auf beide Datenbanken erfolgt mithilfe derselben SQL Server-Anmeldung.
Sie können in der Zentraladministration zusätzliche Inhaltsdatenbanken erstellen, indem Sie die Option SQL-Authentifizierung auswählen. Sie müssen jedoch zunächst die SQL Server-Anmeldekonten in SQL Server 2000 Enterprise Manager oder SQL Server 2005 Management Studio erstellen.
Sichern Sie die gesamte Kommunikation mit den Datenbankservern mithilfe von SSL (Secure Sockets Layer) oder IPsec (Internet Protocol Security).

Bei der Verwendung der SQL-Authentifizierung gilt Folgendes:

Die SQL Server-Anmeldekonten werden in der Registrierung der Webserver und der Anwendungsserver verschlüsselt.
Das Serverfarmkonto wird nicht für den Zugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank verwendet. Stattdessen werden die entsprechenden SQL Server-Anmeldekonten verwendet.

Erstellen von Dienst- und Verwaltungskonten

Eine Liste der Anforderungen für das Prinzip der geringsten Rechte für die SQL-Authentifizierung finden Sie im Planungstool Office SharePoint Server-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407), oder schlagen Sie unter den Anforderungen nach, die im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt sind.

Erstellen von SQL Server-Anmeldungen

Erstellen Sie vor der Erstellung von Datenbanken für jede der Datenbanken SQL Server-Anmeldungen. Für die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank werden zwei Anmeldungen erstellt. Erstellen Sie für jede Inhaltsdatenbank jeweils eine Anmeldung.

In der nachstehend angeführten Tabelle werden die zu erstellenden Anmeldungen aufgeführt. In der Spalte Anmeldung wird das Konto aufgeführt, das für die SQL Server-Anmeldung angegeben oder erstellt wird. Für die erste Anmeldung müssen Sie das Setup-Benutzerkonto eingeben. Für alle anderen Anmeldungen erstellen Sie ein neues SQL Server-Anmeldekonto. Für diese Anmeldungen wird in der Spalte Anmeldung jeweils ein Beispielkontoname angegeben.

Anmeldung	Datenbank	SQL-Rechte
Setup-Benutzerkonto	Konfigurations- und SharePoint AdminContent-Datenbanken	Geben Sie bei der Erstellung der Anmeldung die Windows-Authentifizierung an.
<ConfigAdminDBAcc>	Konfigurations- und SharePoint AdminContent-Datenbanken	Geben Sie bei der Erstellung der Anmeldung die SQL-Authentifizierung an. Weisen Sie die dbcreator-Serverrolle zu.
<SSP_DB_Acc>	SSP-Datenbank	Geben Sie bei der Erstellung der Anmeldung die SQL-Authentifizierung an. Weisen Sie die dbcreator-Serverrolle zu. Weisen Sie die securityadmin-Serverrolle zu.
<SSPSearchDB_Acc>	SSP-Suchdatenbank	Geben Sie bei der Erstellung der Anmeldung die SQL-Authentifizierung an. Weisen Sie die dbcreator-Serverrolle zu. Weisen Sie die securityadmin-Serverrolle zu.
<WSSSearch_DB_Acc>	WSS-Suchdatenbank	Geben Sie bei der Erstellung der Anmeldung die SQL-Authentifizierung an. Weisen Sie die dbcreator-Serverrolle zu.
<Content_DB_Acc1>	Inhaltsdatenbanken	Geben Sie bei der Erstellung der Anmeldung die SQL-Authentifizierung an. Weisen Sie die dbcreator-Serverrolle zu.

Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken

In Umgebungen mit Datenbanken, die bereits durch einen Datenbankadministrator erstellt wurden, können Sie das Prinzip der geringsten Rechte anwenden. In diesem Szenario gilt Folgendes:

Verwaltungs- und Dienstkonten werden als Domänenbenutzerkonten erstellt.
Für die Konten, mit deren Hilfe die Datenbanken konfiguriert werden, werden SQL Server-Anmeldungen erstellt.
Datenbanken werden durch einen Datenbankadministrator erstellt.

Weitere Informationen zum Bereitstellen von Microsoft Office SharePoint Server 2007 mithilfe bereits erstellter, leerer Datenbanken finden Sie unter Bereitstellung mithilfe von Datenbanken, die von Datenbankadminstratoren erstellt wurden (Office SharePoint Server).

Erstellen von Dienst- und Verwaltungskonten

Eine Liste der Anforderungen für das Prinzip der geringsten Rechte für das Herstellen einer Verbindung mit vorhandenen, leeren Datenbanken finden Sie im Planungstool Office SharePoint Server-Sicherheitskontoanforderungen (https://go.microsoft.com/fwlink/?linkid=92883&clcid=0x407), oder schlagen Sie unter den Anforderungen nach, die im Abschnitt Technische Referenz: Kontoanforderungen nach Szenario dieses Artikels aufgeführt sind.

Erstellen von SQL Server-Anmeldungen

Erstellen Sie vor der Erstellung von Datenbanken für jedes der Konten, mit dessen Hilfe auf die Datenbanken zugegriffen wird, SQL Server-Anmeldungen. Im Kontenplanungstool werden die speziellen Berechtigungen, die für die einzelnen Konten konfiguriert werden, detailliert beschrieben. Anweisungen zum Erstellen und Erteilen von Berechtigungen für Datenbanken finden Sie unter Bereitstellung mithilfe von Datenbanken, die von Datenbankadminstratoren erstellt wurden (Office SharePoint Server).

In der nachstehend angeführten Tabelle werden die zu erstellenden Anmeldungen aufgeführt. In der Spalte Datenbank wird angegeben, welche Datenbanken mit Berechtigungen für die einzelnen Anmeldekonten konfiguriert sind. Geben Sie bei der Erstellung der Anmeldung für jede Anmeldung die Windows-Authentifizierung an.

Anmeldung	Datenbank
Setup-Benutzerkonto (für das Psconfig-Befehlszeilentool als Benutzer ausführen)	Alle Datenbanken
Serverfarmkonto (Office SharePoint Server-Datenbankzugriffskonto)	SSP-Datenbank SSP-Suchdatenbank
SSP-Dienstkonto	Konfigurationsdatenbank SharePoint AdminContent-Datenbank Inhaltsdatenbank für die Verwaltungswebsite der freigegebenen Dienste SSP-Datenbank SSP-Suchdatenbank Inhaltsdatenbank für die Webanwendung von Meine Websites Alle zusätzlichen Inhaltsdatenbanken
Office SharePoint Server-Suchkonto	Konfigurationsdatenbank SharePoint AdminContent-Datenbank SSP-Datenbank SSP-Suchdatenbank
Standardkonto für den Inhaltszugriff	Konfigurationsdatenbank SharePoint AdminContent-Datenbank
SSP-Anwendungspoolkonto (Identität)	Inhaltsdatenbank für die Webanwendung zur SSP-Verwaltung
Anwendungspoolidentität für den Websiteanwendungspool von Meine Websites	Inhaltsdatenbank für die Webanwendung von Meine Websites
Windows SharePoint Services-Suchdienstkonto	SSP-Datenbank SSP-Suchdatenbank WSS-Suchdatenbank Konfigurationsdatenbank SharePoint AdminContent-Datenbank
Anwendungspoolidentität für weitere Inhaltsdatenbanken	SSP-Datenbank SSP-Suchdatenbank Dem Anwendungspool zugeordnete Inhaltsdatenbanken

Technische Referenz: Kontoanforderungen nach Szenario

In diesem Abschnitt werden die Kontoanforderungen nach Szenario aufgeführt:

Einzelserver-Standardanforderungen
Serverfarm-Standardanforderungen
Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten
Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung
Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken

Einzelserver-Standardanforderungen

Konten auf Serverfarmebene

Konto	Anforderungen
SQL Server-Dienstkonto	Lokales Systemkonto (Standard)
Setup-Benutzerkonto	Mitglied der Gruppe Administratoren auf dem lokalen Computer
Serverfarm-Konto	Netzwerkdienst (Standard) Es ist keine manuelle Konfiguration erforderlich.

SQL Server-Dienstkonto

Lokales Systemkonto (Standard)

Setup-Benutzerkonto

Mitglied der Gruppe Administratoren auf dem lokalen Computer

Serverfarm-Konto

Netzwerkdienst (Standard)

Es ist keine manuelle Konfiguration erforderlich.

SSP-Konten

Konto	Anforderungen
SSP-Anwendungspoolkonto	Es ist keine manuelle Konfiguration erforderlich.
SSP-Dienstkonto	Es ist keine manuelle Konfiguration erforderlich. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.
Office SharePoint Server-Suchdienstkonto	Dieses Konto wird standardmäßig als lokales Systemkonto ausgeführt. Wenn Sie Remoteinhalt mithilfe einer Änderung des Standardkontos für den Inhaltszugriff oder mithilfe von Crawlregeln crawlen möchten, ändern Sie dieses Konto in ein Domänenbenutzerkonto. Wenn Sie dieses Konto nicht in ein Domänenbenutzerkonto ändern, können Sie das Standardkonto für den Inhaltszugriff nicht ändern, und Sie können zum Crawlen dieses Inhalts keine Crawlregeln hinzufügen. Diese Einschränkung dient der Verhinderung von Rechteerweiterungen für alle anderen Prozesse, die unter dem lokalen Systemkonto ausgeführt werden.
Standardkonto für den Inhaltszugriff	Wenn dieses Konto ausschließlich für das Crawling lokalen Farminhalts verwendet wird, ist keine manuelle Konfiguration erforderlich. Wenn Sie Remoteinhalt mithilfe von Crawlregeln crawlen möchten, ändern Sie dieses Konto in ein Domänenbenutzerkonto, und wenden Sie die für eine Serverfarm aufgeführten Anforderungen an.
Inhaltszugriffskonto	Identisch mit den Anforderungen für das zuvor angeführte SSP-Standardkonto für den Inhaltszugriff.
Profilimport-Standardzugriffskonto	Es gelten dieselben Anforderungen wie für eine Serverfarm.
Unbeaufsichtigtes Excel Services-Dienstkonto	Muss ein Domänenbenutzerkonto sein.

Windows SharePoint Services-Suchkonten

Konto	Anforderungen
Windows SharePoint Services-Suchdienstkonto	Dieses Konto wird standardmäßig als lokales Systemkonto ausgeführt.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Windows SharePoint Services-Suchdienstkonto

Dieses Konto wird standardmäßig als lokales Systemkonto ausgeführt.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Darf kein Mitglied der Gruppe Farmadministratoren sein.

Folgendes wird automatisch konfiguriert:

Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Zusätzliche Anwendungspool-Identitätskonten

Konto	Anforderungen
Anwendungspoolidentität	Es ist keine manuelle Konfiguration erforderlich. Für die im Rahmen des Setups und der Konfiguration erstellte Standardwebsite wird das Netzwerkdienstkonto verwendet.

Anwendungspoolidentität

Es ist keine manuelle Konfiguration erforderlich.

Für die im Rahmen des Setups und der Konfiguration erstellte Standardwebsite wird das Netzwerkdienstkonto verwendet.

Serverfarm-Standardanforderungen

Konten auf Serverfarmebene

Konto	Anforderungen
SQL Server-Dienstkonto	Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto. Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto standardmäßig die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind. Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (Domänenname\SQL-Hostname$) Berechtigungen.
Setup-Benutzerkonto	Domänenbenutzerkonto. Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird. SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird. Mitglied der folgenden SQL Server-Sicherheitsrollen: Feste Serverrolle securityadmin Feste Serverrolle dbcreator Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.
Serverfarm-Konto	Domänenbenutzerkonto. Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein. Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt. Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt: Der festen Serverrolle dbcreator Der festen Serverrolle securityadmin Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

SQL Server-Dienstkonto

Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto standardmäßig die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind.

Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (*Domänenname\SQL-Hostname$*) Berechtigungen.

Setup-Benutzerkonto

Domänenbenutzerkonto.
Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird.
SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird.
Mitglied der folgenden SQL Server-Sicherheitsrollen:
- Feste Serverrolle securityadmin
- Feste Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarm-Konto

Domänenbenutzerkonto.
Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt.

Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

Der festen Serverrolle dbcreator
Der festen Serverrolle securityadmin
Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

SSP-Konten

Konto	Anforderungen
SSP-Anwendungspoolkonto	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank. Lesezugriff auf die Inhaltsdatenbank Zentraladministration. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden automatisch erteilt.
SSP-Dienstkonto	Verwenden Sie ein Domänenbenutzerkonto. Es ist keine manuelle Konfiguration erforderlich. Es werden automatisch dieselben Berechtigungen wie für das SSP-Anwendungspoolkonto erteilt. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.
Office SharePoint Server-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank, die Inhaltsdatenbank der Zentraladministration, die SSP-Datenbank und die Office Server-Suchdatenbank Vollzugriff auf den Speicherort der Indexdatei auf Indexservern sowie Vollzugriff auf den Speicherort der Suchverteilung auf Abfrageservern in einer Microsoft Office SharePoint Server 2007-Serverfarm
Standardkonto für den Inhaltszugriff	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Lesezugriff auf externe oder sichere Inhaltsquellen, die mithilfe dieses Kontos gecrawlt werden sollen. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden. Folgendes wird automatisch konfiguriert: Den durch die Serverfarm gehosteten Inhaltsdatenbanken werden automatisch die Berechtigungen Alles lesen erteilt.
Inhaltszugriffskonto	Lesezugriff auf externe oder sichere Inhaltsquellen, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.
Profilimport-Standardzugriffskonto	Lesezugriff auf den Verzeichnisdienst. Wenn für eine Active Directory-Verbindung die Option Serverseitigen inkrementellen Import aktivieren ausgewählt und die Umgebung Windows 2000 Server ist, muss das Konto in Active Directory über die Berechtigung zum Replizieren von Änderungen verfügen. Für Windows Server 2003 Active Directory-Umgebungen ist diese Berechtigung nicht erforderlich. Verwalten Sie die Personalisierungsdiensteberechtigung Benutzerprofile. Zeigen Sie Berechtigungen für Entitäten an, die in Geschäftsdatenkatalog-Importverbindungen verwendet werden.
Unbeaufsichtigtes Excel Services-Dienstkonto	Muss ein Domänenbenutzerkonto sein.

Windows SharePoint Services-Suchkonten

Konto	Anforderungen
Windows SharePoint Services-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto. Folgendes wird automatisch konfiguriert: Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Windows SharePoint Services-Suchdienstkonto

Muss ein Domänenbenutzerkonto sein.
Darf kein Mitglied der Gruppe Farmadministratoren sein.

Folgendes wird automatisch konfiguriert:

Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Zusätzliche Anwendungspool-Identitätskonten

Konto	Anforderungen
Anwendungspoolidentität	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Muss ein Domänenbenutzerkonto sein. Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

Anwendungspoolidentität

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

Muss ein Domänenbenutzerkonto sein.
Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.
Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank.
Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten

Konten auf Serverfarmebene

Konto	Serverfarm-Standardanforderungen	Geringste Rechte mit Anforderungen für Domänenbenutzerkonten
SQL Server-Dienstkonto	Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto. Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind. Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (Domänenname\SQL-Hostname$) Berechtigungen.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Setup-Benutzerkonto	Domänenbenutzerkonto. Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird. SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird. Mitglied der folgenden SQL Server-Sicherheitsrollen: Der festen Serverrolle securityadmin Der festen Serverrolle dbcreator Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Dieses Konto sollte auf dem Computer, auf dem SQL Server ausgeführt wird, KEIN Mitglied der Gruppe Administratoren sein.
Serverfarm-Konto	Domänenbenutzerkonto. Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein. Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt. Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt: Der festen Serverrolle dbcreator Der festen Serverrolle securityadmin Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird. Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich.

SQL Server-Dienstkonto

Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Setup-Benutzerkonto

Domänenbenutzerkonto.
Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird.
SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird.
Mitglied der folgenden SQL Server-Sicherheitsrollen:
- Der festen Serverrolle securityadmin
- Der festen Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
Dieses Konto sollte auf dem Computer, auf dem SQL Server ausgeführt wird, KEIN Mitglied der Gruppe Administratoren sein.

Serverfarm-Konto

Domänenbenutzerkonto.
Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt.

Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

Der festen Serverrolle dbcreator
Der festen Serverrolle securityadmin
Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird.
Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich.

SSP-Konten

Konto	Serverfarm-Standardanforderungen	Geringste Rechte mit Anforderungen für Domänenbenutzerkonten
SSP-Anwendungspoolkonto	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank. Lesezugriff auf die Inhaltsdatenbank Zentraladministration. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Verwenden Sie zur Sicherheitsisolation für jeden SSP ein separates Dienstkonto.
SSP-Dienstkonto	Verwenden Sie ein Domänenbenutzerkonto. Es ist keine manuelle Konfiguration erforderlich. Es werden automatisch dieselben Berechtigungen wie für das SSP-Anwendungspoolkonto erteilt. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Office SharePoint Server-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank, die Inhaltsdatenbank der Zentraladministration, die SSP-Datenbank und die Office Server-Suchdatenbank Vollzugriff auf den Speicherort der Indexdatei auf Indexservern sowie Vollzugriff auf den Speicherort der Suchverteilung auf Abfrageservern in einer MOSS-Serverfarm	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Standardkonto für den Inhaltszugriff	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Lesezugriff auf externe oder sichere Inhaltsquellen, die mithilfe dieses Kontos gecrawlt werden sollen. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden. Folgendes wird automatisch konfiguriert: Den durch die Serverfarm gehosteten Inhaltsdatenbanken werden automatisch die Berechtigungen Alles lesen erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Standardmäßig wird in einer Serverfarmumgebung das Office SharePoint Server-Suchdienstkonto verwendet, bis ein anderes Konto angegeben wird. Ändern Sie dieses Konto nach Abschluss des Setups und Ausführung des Konfigurations-Assistenten in ein Domänenbenutzerkonto. Erteilen Sie dem standardmäßigen Inhaltszugriffskonto keinen Zugriff auf den Verzeichnisdienst. Verwenden Sie für eine zusätzliche Sicherheit für jeden SSP ein anderes standardmäßiges Inhaltszugriffskonto.
Inhaltszugriffskonto	Lesezugriff auf externe oder sichere Inhaltsquellen, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Profilimport-Standardzugriffskonto	Lesezugriff auf den Verzeichnisdienst. Wenn für eine Active Directory-Verbindung die Option Serverseitigen inkrementellen Import aktivieren ausgewählt und die Umgebung Windows 2000 Server ist, muss das Konto in Active Directory über die Berechtigung zum Replizieren von Änderungen verfügen. Für Windows Server 2003 Active Directory-Umgebungen ist diese Berechtigung nicht erforderlich. Verwalten Sie die Personalisierungsdiensteberechtigung Benutzerprofile. Zeigen Sie Berechtigungen für Entitäten an, die in Geschäftsdatenkatalog-Importverbindungen verwendet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Dieses Konto kann mit dem standardmäßigen Inhaltszugriffskonto identisch sein. Sie können aber auch ein separates Konto verwenden. Lesezugriff auf den Verzeichnisdienst. Verwalten Sie die Personalisierungsdiensteberechtigung Benutzerprofile. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.
Unbeaufsichtigtes Excel Services-Dienstkonto	Muss ein Domänenbenutzerkonto sein.	Muss ein Domänenbenutzerkonto sein.

Windows SharePoint Services-Suchkonten

Konto	Serverfarm-Standardanforderungen	Geringste Rechte mit Anforderungen für Domänenbenutzerkonten
Windows SharePoint Services-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto. Folgendes wird automatisch konfiguriert: Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.

Windows SharePoint Services-Suchdienstkonto

Muss ein Domänenbenutzerkonto sein.
Darf kein Mitglied der Gruppe Farmadministratoren sein.

Folgendes wird automatisch konfiguriert:

Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Zusätzliche Anwendungspool-Identitätskonten

Konto	Serverfarm-Standardanforderungen	Geringste Rechte mit Anforderungen für Domänenbenutzerkonten
Anwendungspoolidentität	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.

Anwendungspoolidentität

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.
Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank.
Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto.
Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung

Konten auf Serverfarmebene

Konto	Serverfarm-Standardanforderung	Geringste Rechte mit Anforderungen für die SQL-Authentifizierung
SQL Server-Dienstkonto	Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto. Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind. Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (Domänenname\SQL-Hostname$) Berechtigungen.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Hinweis Alle Datenbankkonten müssen in Microsoft SQL Server 2000 Enterprise Manager oder in SQL Server 2005 Management Studio als SQL Server-Anmeldekonten erstellt werden. Diese Konten müssen vor der Erstellung jeglicher Inhaltsdatenbanken erstellt werden, einschließlich der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank. Erstellen Sie sowohl für die Konfigurationsdatenbank als auch für die SharePoint AdminContent-Datenbank eine SQL Server-Anmeldung.
Setup-Benutzerkonto	Domänenbenutzerkonto. Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird. SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird. Mitglied der folgenden SQL Server-Sicherheitsrollen: Der festen Serverrolle securityadmin Der festen Serverrolle dbcreator Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. SQL Server-Anmeldung auf dem SQL Server-Computer. KEIN Mitglied der folgenden SQL Server-Sicherheitsrollen: Der festen Serverrolle securityadmin Der festen Serverrolle dbcreator KEIN Mitglied der Gruppe Administratoren auf dem Computer, auf dem SQL Server ausgeführt wird. Hinweis Für die Erstellung der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank müssen Sie das Psconfig-Befehlszeilentool verwenden. Die Erstellung dieser Datenbanken mithilfe des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien ist nicht möglich. Wenn Sie eine Farm erstellen oder einer Farm einen Computer hinzufügen möchten, geben Sie die SQL Server-Anmeldung an, die Sie für diese Datenbanken als dbusername und dbpassword erstellt haben. Der Zugriff auf beide Datenbanken erfolgt mithilfe derselben SQL Server-Anmeldung. Alle anderen Inhaltsdatenbanken können in der Zentraladministration durch Auswahl der SQL-Authentifizierungsoption erstellt werden.
Serverfarm-Konto	Domänenbenutzerkonto. Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein. Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt. Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt: Der festen Serverrolle dbcreator Der festen Serverrolle securityadmin Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird. Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich.

SQL Server-Dienstkonto

Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Hinweis

Alle Datenbankkonten müssen in Microsoft SQL Server 2000 Enterprise Manager oder in SQL Server 2005 Management Studio als SQL Server-Anmeldekonten erstellt werden. Diese Konten müssen vor der Erstellung jeglicher Inhaltsdatenbanken erstellt werden, einschließlich der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank. Erstellen Sie sowohl für die Konfigurationsdatenbank als auch für die SharePoint AdminContent-Datenbank eine SQL Server-Anmeldung.

Setup-Benutzerkonto

Domänenbenutzerkonto.
Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird.
SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird.
Mitglied der folgenden SQL Server-Sicherheitsrollen:
- Der festen Serverrolle securityadmin
- Der festen Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
SQL Server-Anmeldung auf dem SQL Server-Computer.
KEIN Mitglied der folgenden SQL Server-Sicherheitsrollen:
- Der festen Serverrolle securityadmin
- Der festen Serverrolle dbcreator
KEIN Mitglied der Gruppe Administratoren auf dem Computer, auf dem SQL Server ausgeführt wird.

Hinweis

Für die Erstellung der Konfigurationsdatenbank und der SharePoint AdminContent-Datenbank müssen Sie das Psconfig-Befehlszeilentool verwenden. Die Erstellung dieser Datenbanken mithilfe des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien ist nicht möglich. Wenn Sie eine Farm erstellen oder einer Farm einen Computer hinzufügen möchten, geben Sie die SQL Server-Anmeldung an, die Sie für diese Datenbanken als dbusername und dbpassword erstellt haben. Der Zugriff auf beide Datenbanken erfolgt mithilfe derselben SQL Server-Anmeldung. Alle anderen Inhaltsdatenbanken können in der Zentraladministration durch Auswahl der SQL-Authentifizierungsoption erstellt werden.

Serverfarm-Konto

Domänenbenutzerkonto.
Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt.

Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

Der festen Serverrolle dbcreator
Der festen Serverrolle securityadmin
Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird.
KEINE SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird.
Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich.

SSP-Konten

Konto	Serverfarm-Standardanforderung	Geringste Rechte mit Anforderungen für die SQL-Authentifizierung
SSP-Anwendungspoolkonto	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank. Lesezugriff auf die Inhaltsdatenbank Zentraladministration. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der lokalen Administratorgruppe auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
SSP-Dienstkonto	Verwenden Sie ein Domänenbenutzerkonto. Es ist keine manuelle Konfiguration erforderlich. Es werden automatisch dieselben Berechtigungen wie für das SSP-Anwendungspoolkonto erteilt. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
Office SharePoint Server-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank, die Inhaltsdatenbank der Zentraladministration, die SSP-Datenbank und die Office Server-Suchdatenbank Vollzugriff auf den Speicherort der Indexdatei auf Indexservern sowie Vollzugriff auf den Speicherort der Suchverteilung auf Abfrageservern in einer Microsoft Office SharePoint Server 2007-Serverfarm	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
Standardkonto für den Inhaltszugriff	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Lesezugriff auf externe oder sichere Inhaltsquellen, die mithilfe dieses Kontos gecrawlt werden sollen. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden. Folgendes wird automatisch konfiguriert: Den durch die Serverfarm gehosteten Inhaltsdatenbanken werden automatisch die Berechtigungen Alles lesen erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung auf dem SQL Server-Host.
Inhaltszugriffskonto	Lesezugriff auf externe oder sichere Inhaltsquellen, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
Profilimport-Standardzugriffskonto	Lesezugriff auf den Verzeichnisdienst. Wenn für eine Active Directory-Verbindung die Option Serverseitigen inkrementellen Import aktivieren ausgewählt und die Umgebung Windows 2000 Server ist, muss das Konto in Active Directory über die Berechtigung zum Replizieren von Änderungen verfügen. Für Windows Server 2003 Active Directory-Umgebungen ist diese Berechtigung nicht erforderlich. Verwalten Sie die Personalisierungsdiensteberechtigung Benutzerprofile. Zeigen Sie Berechtigungen für Entitäten an, die in Geschäftsdatenkatalog-Importverbindungen verwendet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
Unbeaufsichtigtes Excel Services-Dienstkonto	Muss ein Domänenbenutzerkonto sein.	Muss ein Domänenbenutzerkonto sein.

Windows SharePoint Services-Suchkonten

Konto	Serverfarm-Standardanforderung	Geringste Rechte mit Anforderungen für die SQL-Authentifizierung
Windows SharePoint Services-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto. Folgendes wird automatisch konfiguriert: Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.

Windows SharePoint Services-Suchdienstkonto

Muss ein Domänenbenutzerkonto sein.
Darf kein Mitglied der Gruppe Farmadministratoren sein.

Folgendes wird automatisch konfiguriert:

Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird.
KEINE SQL Server-Anmeldung.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird.
KEINE SQL Server-Anmeldung.

Zusätzliche Anwendungspool-Identitätskonten

Konto	Serverfarm-Standardanforderung	Geringste Rechte mit Anforderungen für die SQL-Authentifizierung
Anwendungspoolidentität	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird. KEINE SQL Server-Anmeldung.

Anwendungspoolidentität

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.
Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank.
Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern in der Farm, einschließlich des Computers, auf dem SQL Server ausgeführt wird.
KEINE SQL Server-Anmeldung.

Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken

Konten auf Serverfarmebene

Konto	Serverfarm-Standardanforderung	Anforderungen bezüglich der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken
SQL Server-Dienstkonto	Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto. Bei Verwendung eines Domänenbenutzerkontos wird für dieses Konto die Kerberos-Authentifizierung verwendet, für die in Ihrer Netzwerkumgebung zusätzliche Konfigurationsschritte erforderlich sind. Wenn für SQL Server ein Dienstprinzipalname (Service Principal Name, SPN) verwendet wird, der ungültig ist (d. h., dieser ist nicht in der Active Directory-Verzeichnisdienstumgebung vorhanden), schlägt die Kerberos-Authentifizierung fehl. Anschließend wird NTLM verwendet. Wenn für SQL Server ein gültiger SPN verwendet wird, der jedoch keinem geeigneten Container in Active Directory zugewiesen ist, schlägt die Authentifizierung fehl. Daraufhin wird die Fehlermeldung "SSPI-Kontext kann nicht generiert werden" ausgegeben. Für die Authentifizierung wird grundsätzlich der SPN verwendet, der zuerst gefunden wird. Stellen Sie daher sicher, dass SPNs nur geeigneten Containern in Active Directory zugewiesen sind. Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (Domänenname\SQL-Hostname$) Berechtigungen.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Setup-Benutzerkonto	Domänenbenutzerkonto. Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird. SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird. Mitglied der folgenden SQL Server-Sicherheitsrollen: Der festen Serverrolle securityadmin Der festen Serverrolle dbcreator Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf dem Computer, auf dem SQL Server ausgeführt wird. Dieses Konto dient zum Konfigurieren von Datenbanken. Nachdem die einzelnen Datenbanken erstellt wurden, ändern Sie den Datenbankbesitzer (dbo oder db_owner) in das Setup-Benutzerkonto.
Serverfarm-Konto	Domänenbenutzerkonto. Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein. Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt. Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt: Der festen Serverrolle dbcreator Der festen Serverrolle securityadmin Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird. Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich. Nachdem die SSP-Datenbank (Shared Services Provider, Anbieter für gemeinsame Dienste) und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten der einzelnen Datenbanken hinzu: Benutzergruppe Feste Datenbankrolle db_owner

SQL Server-Dienstkonto

Verwenden Sie ein lokales Systemkonto oder ein Domänenbenutzerkonto.

Wenn Sie Sicherungen oder Wiederherstellungen von einer externen Ressource planen, müssen dem entsprechenden Konto Berechtigungen für die externe Ressource gewährt werden. Wenn Sie für das SQL Server-Dienstkonto ein Domänenbenutzerkonto verwenden, erteilen Sie diesem Domänenbenutzerkonto Berechtigungen. Falls Sie jedoch das Netzwerkdienstkonto oder das lokale Systemkonto verwenden, erteilen Sie der externen Ressource für das Computerkonto (Domänenname\SQL-Hostname$) Berechtigungen.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Setup-Benutzerkonto

Domänenbenutzerkonto.
Mitglied der Gruppe Administratoren auf den einzelnen Servern, auf denen Setup ausgeführt wird.
SQL Server-Anmeldung auf dem Computer, auf dem SQL Server ausgeführt wird.
Mitglied der folgenden SQL Server-Sicherheitsrollen:
- Der festen Serverrolle securityadmin
- Der festen Serverrolle dbcreator

Wenn Sie Stsadm-Befehle ausführen, die sich auf eine Datenbank auswirken, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Datenbank sein.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf dem Computer, auf dem SQL Server ausgeführt wird.

Dieses Konto dient zum Konfigurieren von Datenbanken. Nachdem die einzelnen Datenbanken erstellt wurden, ändern Sie den Datenbankbesitzer (dbo oder db_owner) in das Setup-Benutzerkonto.

Serverfarm-Konto

Domänenbenutzerkonto.
Wenn es sich bei der Serverfarm um eine untergeordnete Farm mit Webanwendungen handelt, die freigegebene Dienste einer übergeordneten Farm in Anspruch nehmen, muss dieses Konto Mitglied der festen Datenbankrolle db_owner für die Konfigurationsdatenbank der übergeordneten Farm sein.

Auf Webservern und Anwendungsservern, die mit einer Serverfarm verbunden sind, werden diesem Konto automatisch zusätzliche Berechtigungen erteilt.

Dieses Konto wird auf dem Computer, auf dem SQL Server ausgeführt wird, automatisch als SQL Server-Anmeldung hinzugefügt. Zudem wird es den folgenden SQL Server-Sicherheitsrollen hinzugefügt:

Der festen Serverrolle dbcreator
Der festen Serverrolle securityadmin
Der festen Datenbankrolle db_owner für alle Datenbanken in der Serverfarm

Hinweis Wenn Sie den Microsoft-Dienst für einmaliges Anmelden (SSO) konfigurieren, erhält das Serverfarmkonto nicht automatisch die Berechtigung db_owner für die SSO-Datenbank.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.
KEIN Mitglied der Gruppe Administratoren auf den Servern der Serverfarm, einschließlich dem Computer, auf dem SQL Server ausgeführt wird.
Für dieses Konto sind vor dem Erstellen der Konfigurationsdatenbank keine Berechtigungen für SQL Server erforderlich.

Nachdem die SSP-Datenbank (Shared Services Provider, Anbieter für gemeinsame Dienste) und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten der einzelnen Datenbanken hinzu:

Benutzergruppe
Feste Datenbankrolle db_owner

SSP-Konten

Konto	Serverfarm-Standardanforderung	Anforderungen bezüglich der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken
SSP-Anwendungspoolkonto	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf die SSP-Inhaltsdatenbank. Lese- und Schreibzugriff auf Inhaltsdatenbanken für Webanwendungen, die dem SSP zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank. Lesezugriff auf die Inhaltsdatenbank Zentraladministration. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Verwenden Sie zur Sicherheitsisolation für jeden SSP ein separates Dienstkonto.
SSP-Dienstkonto	Verwenden Sie ein Domänenbenutzerkonto. Es ist keine manuelle Konfiguration erforderlich. Es werden automatisch dieselben Berechtigungen wie für das SSP-Anwendungspoolkonto erteilt. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Nachdem die Konfigurationsdatenbank und die Inhaltsdatenbanken der Zentraladministration erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe WSS_Content_Application_Pools-Datenbankrolle Nachdem die Inhaltsdatenbank für die Website Verwaltung der gemeinsamen Dienste, die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten der einzelnen Datenbanken hinzu: Benutzergruppe db_owner-Rolle Nachdem Websites vom Typ Meine Websites erstellt wurden, fügen Sie dieses Konto folgenden Objekten für die Inhaltsdatenbank der Webanwendung von Meine Websites hinzu: Benutzergruppe db_owner-Rolle Nachdem die einzelnen Inhaltsdatenbanken erstellt wurden, fügen Sie dieses Konto folgenden Objekten hinzu: Benutzergruppe db_owner-Rolle
Office SharePoint Server-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein Darf kein Mitglied der Gruppe Farmadministratoren sein Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank, die Inhaltsdatenbank der Zentraladministration, die SSP-Datenbank und die Office Server-Suchdatenbank Vollzugriff auf den Speicherort der Indexdatei auf Indexservern sowie Vollzugriff auf den Speicherort der Suchverteilung auf Abfrageservern in einer Microsoft Office SharePoint Server 2007-Serverfarm	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Nachdem die Konfigurationsdatenbank und die Inhaltsdatenbanken der Zentraladministration erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe WSS_Content_Application_Pools-Rolle Nachdem die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe db_owner-Rolle
Standardkonto für den Inhaltszugriff	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Lesezugriff auf externe oder sichere Inhaltsquellen, die mithilfe dieses Kontos gecrawlt werden sollen. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden. Folgendes wird automatisch konfiguriert: Den durch die Serverfarm gehosteten Inhaltsdatenbanken werden automatisch die Berechtigungen Alles lesen erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Standardmäßig wird in einer Serverfarmumgebung das Office SharePoint Server-Suchdienstkonto verwendet, bis ein anderes Konto angegeben wird. Ändern Sie dieses Konto nach Abschluss des Setups und Ausführung des Konfigurations-Assistenten in ein Domänenbenutzerkonto. Erteilen Sie dem standardmäßigen Inhaltszugriffskonto keinen Zugriff auf den Verzeichnisdienst. Verwenden Sie für eine zusätzliche Sicherheit für jeden SSP ein separates standardmäßiges Inhaltszugriffskonto. Nachdem die Konfigurationsdatenbank und die Inhaltsdatenbanken der Zentraladministration erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe WSS_Content_Application_Pools-Datenbankrolle
Inhaltszugriffskonto	Lesezugriff auf externe oder sichere Inhaltsquellen, auf die gemäß Konfiguration mithilfe dieses Kontos zugegriffen werden kann. Für Websites, die nicht Teil der Serverfarm sind, müssen diesem Konto explizit die Berechtigungen Alles lesen für Webanwendungen erteilt werden, mit deren Hilfe die Websites gehostet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto.
Profilimport-Standardzugriffskonto	Lesezugriff auf den Verzeichnisdienst. Wenn für eine Active Directory-Verbindung die Option Serverseitigen inkrementellen Import aktivieren ausgewählt und die Umgebung Windows 2000 Server ist, muss das Konto in Active Directory über die Berechtigung zum Replizieren von Änderungen verfügen. Für Windows Server 2003 Active Directory-Umgebungen ist diese Berechtigung nicht erforderlich. Verwalten Sie die Personalisierungsdiensteberechtigung Benutzerprofile. Zeigen Sie Berechtigungen für Entitäten an, die in Geschäftsdatenkatalog-Importverbindungen verwendet werden.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Dieses Konto kann mit dem standardmäßigen Inhaltszugriffskonto identisch sein. Sie können aber auch ein separates Konto verwenden. Verwenden Sie ein Konto mit Lesezugriff auf den Verzeichnisdienst und die Personalisierungsdiensteberechtigung Benutzerprofile verwalten. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.
Unbeaufsichtigtes Excel Services-Dienstkonto	Muss ein Domänenbenutzerkonto sein.	Muss ein Domänenbenutzerkonto sein.

Windows SharePoint Services-Suchkonten

Konto	Serverfarm-Standardanforderung	Anforderungen bezüglich der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken
Windows SharePoint Services-Suchdienstkonto	Muss ein Domänenbenutzerkonto sein. Darf kein Mitglied der Gruppe Farmadministratoren sein. Folgendes wird automatisch konfiguriert: Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Nachdem die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe db_owner-Rolle Wenn Sie zum Starten des Windows SharePoint Services-Suchdiensts das Psconfig-Befehlszeilentool ausführen, wird die Mitgliedschaft in den folgenden Objekten automatisch konfiguriert: Benutzergruppe und db_owner-Rolle für die WSS-Suchdatenbank. Benutzergruppe in der Konfigurationsdatenbank. Benutzergruppe in der Inhaltsdatenbank Zentraladministration.
Inhaltszugriffskonto für die Windows SharePoint Services-Suche	Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto. Folgendes wird automatisch konfiguriert: Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie ein separates Domänenbenutzerkonto. Wenn Sie zum Starten des Windows SharePoint Services-Suchdiensts das Psconfig-Befehlszeilentool ausführen, wird die Mitgliedschaft in den folgenden Objekten automatisch konfiguriert: Benutzergruppe und db_owner-Rolle in der WSS-Suchdatenbank. Benutzergruppe in der Konfigurationsdatenbank. Benutzergruppe in der Inhaltsdatenbank Zentraladministration.

Windows SharePoint Services-Suchdienstkonto

Muss ein Domänenbenutzerkonto sein.
Darf kein Mitglied der Gruppe Farmadministratoren sein.

Folgendes wird automatisch konfiguriert:

Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Mitgliedschaft in der db_owner-Rolle für die Windows SharePoint Services-Suchdatenbank.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Nachdem die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu:

Benutzergruppe
db_owner-Rolle

Wenn Sie zum Starten des Windows SharePoint Services-Suchdiensts das Psconfig-Befehlszeilentool ausführen, wird die Mitgliedschaft in den folgenden Objekten automatisch konfiguriert:

Benutzergruppe und db_owner-Rolle für die WSS-Suchdatenbank.
Benutzergruppe in der Konfigurationsdatenbank.
Benutzergruppe in der Inhaltsdatenbank Zentraladministration.

Inhaltszugriffskonto für die Windows SharePoint Services-Suche

Es gelten dieselben Anforderungen wie für das Windows SharePoint Services-Suchdienstkonto.

Folgendes wird automatisch konfiguriert:

Der Webanwendung wird für die Farm die Richtlinie Alles lesen hinzugefügt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie ein separates Domänenbenutzerkonto.

Wenn Sie zum Starten des Windows SharePoint Services-Suchdiensts das Psconfig-Befehlszeilentool ausführen, wird die Mitgliedschaft in den folgenden Objekten automatisch konfiguriert:

Benutzergruppe und db_owner-Rolle in der WSS-Suchdatenbank.
Benutzergruppe in der Konfigurationsdatenbank.
Benutzergruppe in der Inhaltsdatenbank Zentraladministration.

Zusätzliche Anwendungspool-Identitätskonten

Konto	Serverfarm-Standardanforderung	Anforderungen bezüglich der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken
Anwendungspoolidentität	Es ist keine manuelle Konfiguration erforderlich. Folgendes wird automatisch konfiguriert: Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind. Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank. Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank. Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.	Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen: Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto. Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein. Nachdem die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu: Benutzergruppe db_owner-Rolle

Anwendungspoolidentität

Es ist keine manuelle Konfiguration erforderlich.

Folgendes wird automatisch konfiguriert:

Mitgliedschaft in der db_owner-Rolle für Inhaltsdatenbanken und Suchdatenbanken, die der Webanwendung zugeordnet sind.
Lesezugriff auf die Konfigurationsdatenbank und die SharePoint AdminContent-Datenbank.
Lese- und Schreibzugriff auf die zugeordnete SSP-Datenbank.
Zusätzliche Berechtigungen für Front-End-Webserver und Anwendungsserver werden für dieses Konto automatisch erteilt.

Serverfarm-Standardanforderungen mit den folgenden Ergänzungen oder Ausnahmen:

Verwenden Sie für jeden Anwendungspool ein separates Domänenbenutzerkonto.
Dieses Konto sollte auf den Computern in der Serverfarm kein Mitglied der Gruppe Administratoren sein.

Nachdem die SSP-Datenbank und die SSP-Suchdatenbank erstellt wurden, fügen Sie dieses Konto folgenden Objekten dieser Datenbanken hinzu:

Benutzergruppe
db_owner-Rolle

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Planung und Architektur für Office SharePoint Server 2007, Teil 2

Die vollständige Liste der verfügbaren Bücher finden Sie unter Bücher zum Herunterladen für Office SharePoint Server 2007.

Siehe auch

Konzepte

Planen des einmaligen Anmeldens
Planen der Sicherheitsrollen (Office SharePoint Server)

Freigeben über

Planen administrativer Konten und Planen von Dienstkonten (Office SharePoint Server)

Informationen zu administrativen Konten und zu Dienstkonten

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Einzelserver-Standardanforderungen

Serverfarmanforderungen

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung

Setup und Konfiguration

Erstellen von Dienst- und Verwaltungskonten

Erstellen von SQL Server-Anmeldungen

Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken

Erstellen von Dienst- und Verwaltungskonten

Erstellen von SQL Server-Anmeldungen

Technische Referenz: Kontoanforderungen nach Szenario

Einzelserver-Standardanforderungen

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Serverfarm-Standardanforderungen

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung von Domänenbenutzerkonten

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Anforderungen für das Prinzip der geringsten Rechte bei Verwendung der SQL-Authentifizierung

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Anforderungen für das Prinzip der geringsten Rechte beim Herstellen einer Verbindung mit bereits erstellten Datenbanken

Konten auf Serverfarmebene

SSP-Konten

Windows SharePoint Services-Suchkonten

Zusätzliche Anwendungspool-Identitätskonten

Herunterladen dieses Buchs

Siehe auch

Konzepte

Zusätzliche Ressourcen