Prévoir les comptes d'administration et de service (Windows SharePoint Services)
Mise à jour : 2009-04-23
Dans cet article :
À propos des comptes d'administration et de service
Conditions standard requises par un serveur unique
Conditions standard requises par la batterie de serveurs
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL
Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées
Référence technique : conditions requises par les comptes par scénario
Cet article décrit les comptes que vous devez planifier et les scénarios de déploiement qui affectent les conditions requises par les comptes.
Utilisez cet article avec l'outil de planification suivant : Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais). Cet outil de planification dresse la liste des conditions requises par chaque compte sur la base du scénario de déploiement. Les conditions requises figurent également dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Les conditions requises par les comptes détaillent les autorisations spécifiques que vous devez accorder avant d'exécuter le programme d'installation. Dans certains cas, des autorisations supplémentaires automatiquement accordées par l'exécution du programme d'installation sont indiquées dans l'outil de planification.
Cet article ne décrit pas les rôles de sécurité et les autorisations nécessaires pour administrer Windows SharePoint Services 3.0. Pour plus d'informations, voir Planifier les rôles de sécurité (Windows SharePoint Services).
À propos des comptes d'administration et de service
Cette section répertorie et décrit les comptes que vous devez planifier. Les comptes sont regroupés en fonction de leur portée. Si un compte a une portée limitée, il peut être nécessaire de planifier plusieurs comptes pour cette catégorie.
Après avoir terminé l'installation et la configuration des comptes, vérifiez que vous n'utilisez pas le compte système local pour effectuer des tâches d'administration ou pour parcourir des sites. Par exemple, n'utilisez pas le compte qui est utilisé pour exécuter le programme d'installation afin d'effectuer des tâches d'administration.
Comptes au niveau de la batterie de serveurs
Le tableau suivant décrit les comptes qui sont utilisés pour configurer le logiciel de la base de données Microsoft SQL Server et pour installer Windows SharePoint Services 3.0.
| Compte | Objectif |
|---|---|
Compte de service SQL Server |
SQL Server demande ce compte au cours de l'installation de SQL Server. Ce compte est utilisé en tant que compte de service pour les services SQL Server suivants :
Si vous n'utilisez pas l'instance par défaut, ces services seront affichés comme suit :
|
Compte d'utilisateur du programme d'installation |
Compte d'utilisateur qui est utilisé pour exécuter :
|
Compte de la batterie de serveurs |
Ce compte est également appelé compte d'accès à la base de données. Ce compte est :
|
Comptes du service Recherche Windows SharePoint Services
Le tableau suivant décrit les comptes qui sont utilisé pour installer et configurer le service Recherche Windows SharePoint Services.
| Compte | Objectif |
|---|---|
Compte du service Recherche Windows SharePoint Services |
Utilisé en tant que compte de service pour le service Recherche Windows SharePoint Services. Il existe une instance de ce service sur chaque serveur de recherche. En règle générale, une batterie de serveurs ne contient qu'un seul serveur de recherche. |
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Utilisé par le rôle serveur d'applications du service Recherche Windows SharePoint Services pour analyser du contenu entre sites. Prévoyez plusieurs comptes si la batterie de serveurs comprend plusieurs ordinateurs serveurs de recherche. Cette configuration n'est toutefois pas courante. |
Comptes d'identités de pools d'applications supplémentaires
Si vous créez des pools d'applications supplémentaires pour héberger des sites, prévoyez des comptes d'identités de pools d'applications supplémentaires. Le tableau suivant décrit le compte d'identité du pool d'applications. Prévoyez un compte de pool d'applications pour chaque application que vous prévoyez d'implémenter.
| Compte | Objectif |
|---|---|
Identité du pool d'applications |
Compte d'utilisateur que les processus de travail qui desservent le pool d'applications utilisent comme identité de processus. Ce compte est utilisé pour accéder aux bases de données de contenu associées aux applications Web qui résident dans le pool d'applications. |
Conditions standard requises par un serveur unique
Si vous effectuez un déploiement sur un seul ordinateur serveur, les conditions requises par les comptes sont considérablement réduites. Dans un environnement d'évaluation, vous pouvez utiliser un seul compte pour tous les objectifs de compte. Dans un environnement de production, assurez-vous que les comptes que vous créez disposent des autorisations appropriées à leurs objectifs.
Pour obtenir la liste des autorisations de compte pour les environnements à un seul serveur, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez les conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Conditions requises par la batterie de serveurs
Si vous effectuez un déploiement sur plusieurs ordinateurs serveurs, utilisez les conditions standard requises par la batterie de serveurs pour vous assurer que les comptes disposent des autorisations appropriées pour exécuter leurs processus sur plusieurs ordinateurs. Les conditions standard requises par la batterie de serveurs détaillent la configuration minimale qui est nécessaire pour fonctionner dans un environnement de batterie de serveurs. Pour un environnement plus sécurisé, envisagez d'utiliser les conditions requises par l'administration selon les principes des privilèges minimum à l'aide des comptes d'utilisateur de domaine.
Pour obtenir la liste des conditions standard requises par les environnements de batteries de serveurs, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez les conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Pour certains comptes, des autorisations supplémentaires ou un accès aux bases de données sont configurés lorsque vous exécutez le programme d'installation. Ceux-ci sont indiqués dans l'outil de planification des comptes. L'ajout du rôle de base de données WSS_Content_Application_Pools représente une configuration importante pour les administrateurs de base de données. Le programme d'installation ajoute ce rôle aux bases de données suivantes :
Base de données SharePoint_Config (base de données de configuration)
Base de données SharePoint_AdminContent
Les membres du rôle de base de données WSS_Content_Application_Pools bénéficient de l'autorisation d'exécution sur un sous-ensemble des procédures stockées de la base de données. Ils reçoivent également l'autorisation SELECT sur la table des versions (dbo.Versions) de la base de données SharePoint_AdminContent.
Pour les autres bases de données, l'outil de planification des comptes indique que l'accès pour lire ces bases de données est automatiquement configuré. Dans certains cas, un accès limité pour écrire dans une base de données est également automatiquement configuré. Pour assurer cet accès, des autorisations sont configurées pour les procédures stockées. Pour la base de données SharePoint_Config, par exemple, l'accès aux procédures stockées suivantes est automatiquement configuré :
proc_dropEmailEnabledList
proc_dropEmailEnabledListsByWeb
proc_dropSiteMap
proc_markForDeletionEmailEnabledList
proc_markForDeletionEmailEnabledListsBySite
proc_markForDeletionEmailEnabledListsByWeb
proc_putDistributionListToDelete
proc_putEmailEnabledList
proc_putSiteMap
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine
L'administration selon le principe des privilèges minimum est une pratique de sécurité recommandée dans laquelle chaque service ou utilisateur reçoit uniquement les privilèges minimum nécessaires pour accomplir les tâches qu'il est autorisé à effectuer. Ceci signifie que chaque service obtient l'accès uniquement aux ressources qui sont nécessaires à son objectif. Les conditions minimales requises pour atteindre cet objectif de conception sont les suivantes :
Des comptes distincts sont utilisés pour différents services et processus.
Aucun service d'exécution ou compte de processus n'est en cours d'exécution avec des autorisations d'administrateur local.
En utilisant des comptes de service séparés pour chaque service et en limitant les autorisations attribuées à chaque compte, vous réduisez la possibilité pour un utilisateur ou un processus malveillant de compromettre votre environnement.
L'administration selon le principe des privilèges minimum avec des comptes d'utilisateur de domaine représente la configuration recommandée pour la plupart des environnements.
Pour obtenir la liste des conditions requises par l'administration selon le principe des privilèges minimum avec des comptes d'utilisateur de domaine, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL
Dans des environnements dans lesquels l'authentification SQL est une condition requise, vous pouvez adopter la méthode de l'administration selon le principe des privilèges minimum. Dans ce scénario :
L'authentification SQL est utilisée pour chaque base de données créée.
Tous les autres comptes d'administration et de service sont créés en tant que comptes d'utilisateur de domaine.
Installation et configuration
L'utilisation de l'authentification SQL nécessite une installation et une configuration supplémentaires :
Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL Server dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés avant la création de toutes les bases de données, y compris la base de données de configuration et la base de données AdminContent.
Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu d’administration SharePoint. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. Pour créer une batterie ou pour joindre un ordinateur à une batterie, spécifiez la connexion SQL Server que vous avez créée pour ces bases de données en tant que dbusername et dbpassword. La même connexion SQL Server permet d’accéder aux deux bases de données.
Vous pouvez créer des bases de données de contenu supplémentaires dans l'administration centrale en sélectionnant l'option Authentification SQL. Toutefois, vous devez d'abord créer les comptes de connexion SQL Server dans SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio.
Sécurisez toutes les communications avec les serveurs de base de données à l'aide de la sécurité SSL (Secure Sockets Layer) ou du protocole IPSec (Internet Protocol security).
Lorsque l'authentification SQL est utilisée :
Les comptes de connexion SQL Server sont chiffrés dans le Registre des serveurs Web et des serveurs d'applications.
Le compte de la batterie de serveurs n'est pas utilisé pour accéder à la base de données de configuration et la base de données SharePoint_AdminContent. Ce sont les comptes de connexion SQL Server correspondants qui sont utilisés à la place.
Création de comptes de service et d'administration
Pour obtenir la liste des conditions requises par l'authentification SQL, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Création de connexions SQL Server
Avant de créer des bases de données, créez des connexions SQL Server pour chacune des bases de données. Deux connexions sont créées pour la base de données de configuration et la base de données SharePoint_AdminContent. Créez une connexion pour chaque base de données de contenu.
Le tableau suivant répertorie les connexions à créer. La colonne Connexion indique le compte qui est spécifié ou créé pour la connexion SQL Server. Pour la première connexion, entrez le compte d'utilisateur du programme d'installation. Pour toutes les autres connexions, créez un compte de connexion SQL Server. Pour ces connexions, la colonne Connexion fournit un exemple de nom de compte.
| Connexion | Base de données | Droits SQL |
|---|---|---|
Compte d'utilisateur du programme d'installation |
Base de données de configuration et base de données SharePoint_AdminContent |
Spécifier l'authentification Windows lors de la création de la connexion. |
<*ConfigAdminDBAcc*> |
Base de données de configuration et base de données SharePoint_AdminContent |
|
<*WSSSearch_DB_Acc*> |
Base de données WSS_Search |
|
<*Content_DB_Acc1*> |
Bases de données de contenu |
|
Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées
Dans des environnements dans lesquels les bases de données ont été pré-créées par un administrateur de base de données, vous pouvez adopter la méthode de l'administration selon le principe des privilèges minimum. Dans ce scénario :
Les comptes d'administration et de service sont créés en tant que comptes d'utilisateur de domaine.
Des connexions SQL Server sont créées pour les comptes utilisés pour configurer les bases de données.
Les bases de données sont créées par un administrateur de base de données.
Pour plus d'informations sur le déploiement de Windows SharePoint Services 3.0 à l'aide de bases de données vides pré-créées, voir Déployer à l'aide de bases de données créées par des administrateurs de base de données (Windows SharePoint Services).
Création de comptes de service et d'administration
Pour obtenir la liste des conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à une base de données vide existante, consultez l'outil de planification Conditions requises par les comptes de sécurité Windows SharePoint Services (en anglais (en anglais) (https://go.microsoft.com/fwlink/?linkid=92885&clcid=0x40C) (en anglais) ou affichez la liste des conditions requises répertoriées dans la section Référence technique : conditions requises par les comptes par scénario de cet article.
Création de connexions SQL Server
Avant de créer des bases de données, créez des connexions SQL Server pour chacun des comptes qui accèdent aux bases de données. L'outil de planification des comptes détaille les autorisations spécifiques qui sont configurées pour chaque compte. Pour obtenir des instructions sur la création et l'octroi d'autorisations aux bases de données, voir Déployer à l'aide de bases de données créées par des administrateurs de base de données (Windows SharePoint Services).
Le tableau suivant répertorie les connexions à créer. La colonne Base de données indique les bases de données configurées avec des autorisations pour chaque compte de connexion. Pour chaque connexion, spécifiez l'authentification Windows lors de la création de la connexion.
Connexion |
Base de données |
Compte d’utilisateur du programme d’installation (exécution en tant qu’utilisateur pour l’outil en ligne de commande Psconfig) |
Toutes les bases de données |
Compte de la batterie de serveurs (compte d'accès aux bases de données Office SharePoint Server) |
|
Compte du service Recherche Windows SharePoint Services |
|
Identité du pool d'applications pour les bases de données de contenu supplémentaires |
|
Référence technique : conditions requises par les comptes par scénario
Cette section répertorie les exigences des comptes par scénario :
Conditions standard requises par un seul serveur
Conditions standard requises par la batterie de serveurs
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL
Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées
Conditions standard requises par un seul serveur
Comptes au niveau de la batterie de serveurs
| Compte | Conditions requises |
|---|---|
Compte de service SQL Server |
Compte système local (par défaut) |
Compte d'utilisateur du programme d'installation |
Membre du groupe Administrateurs sur l'ordinateur local |
Compte de la batterie de serveurs |
Service réseau (par défaut) Aucune configuration manuelle n'est nécessaire. |
Comptes du service Recherche Windows SharePoint Services
| Compte | Conditions requises |
|---|---|
Compte du service Recherche Windows SharePoint Services |
Par défaut, ce compte s'exécute en tant que compte système local. |
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Ne doit pas être membre du groupe Administrateurs de batterie. Ce qui suit est automatiquement configuré :
|
Comptes d'identités de pools d'applications supplémentaires
| Compte | Conditions requises |
|---|---|
Identité du pool d'applications |
Aucune configuration manuelle n'est nécessaire. Le compte Service réseau est utilisé pour le site Web par défaut qui est créé au cours de l'installation et de la configuration. |
Conditions standard requises par la batterie de serveurs
Comptes au niveau de la batterie de serveurs
| Compte | Conditions requises |
|---|---|
Compte de service SQL Server |
Utiliser un compte système local ou un compte d'utilisateur de domaine. Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory. Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*). |
Compte d'utilisateur du programme d'installation |
Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données. |
Compte de la batterie de serveurs |
Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs. Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :
Remarque si vous configurez le service Microsoft d'authentification unique, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO). |
Comptes du service Recherche Windows SharePoint Services
| Compte | Conditions requises |
|---|---|
Compte du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Comptes d'identités de pools d'applications supplémentaires
| Compte | Conditions requises |
|---|---|
Identité du pool d'applications |
Aucune configuration manuelle n'est nécessaire. Ce qui suit est automatiquement configuré :
|
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de comptes d'utilisateur de domaine
Comptes au niveau de la batterie de serveurs
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum |
|---|---|---|
Compte de service SQL Server |
Utiliser un compte système local ou un compte d'utilisateur de domaine. Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory. Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*). |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Compte d'utilisateur du programme d'installation |
Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données. |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Compte de la batterie de serveurs |
Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs. Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :
Remarque Si vous configurez le service d'authentification unique Microsoft Single Sing-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO). |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Comptes du service Recherche Windows SharePoint Services
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum |
|---|---|---|
Compte du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Comptes d'identités de pools d'applications supplémentaires
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par les comptes d'utilisateur de domaine utilisant les privilèges minimum |
|---|---|---|
Identité du pool d'applications |
Aucune configuration manuelle n'est nécessaire. Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Conditions requises par l'administration selon le principe des privilèges minimum lors de l'utilisation de l'authentification SQL
Comptes au niveau de la batterie de serveurs
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'authentification SQL utilisant les privilèges minimum |
|---|---|---|
Compte de service SQL Server |
Utiliser un compte système local ou un compte d'utilisateur de domaine. Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory. Si vous prévoyez d'effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour la ressource externe doivent être accordées au compte approprié. Si vous utilisez un compte d'utilisateur de domaine pour le compte de service SQL Server, accordez des autorisations à ce compte d'utilisateur de domaine. En revanche, si vous utilisez le compte Service réseau ou le compte système local, accordez des autorisations à la ressource externe sur le compte de l'ordinateur (*nom_domaine\SQL_hostname$*). |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Notes Tous les comptes de base de données doivent être créés en tant que comptes de connexion SQL Server dans Microsoft SQL Server 2000 Enterprise Manager ou SQL Server 2005 Management Studio. Ces comptes doivent être créés avant la création de toutes les bases de données de contenu, y compris la base de données de configuration et la base de données SharePoint_AdminContent. Créez une connexion SQL Server pour la base de données de configuration comme pour la base de données SharePoint_AdminContent. |
Compte d'utilisateur du programme d'installation |
Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données. |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Notes Vous devez utiliser l’outil en ligne de commande Psconfig pour créer la base de données de configuration et la base de données de contenu d’administration SharePoint. Vous ne pouvez pas utiliser l’Assistant Configuration des produits et technologies SharePoint pour créer ces bases de données. Pour créer une batterie ou pour joindre un ordinateur à une batterie, spécifiez la connexion SQL Server que vous avez créée pour ces bases de données en tant que dbusername et dbpassword. La même connexion SQL Server permet d’accéder aux deux bases de données. Vous pouvez créer toutes les autres bases de données de contenu dans l'administration centrale en sélectionnant l’option d’authentification SQL. |
Compte de la batterie de serveurs |
Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs. Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :
Remarque Si vous configurez le service d'authentification unique Microsoft Single Sign-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO). |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Comptes du service Recherche Windows SharePoint Services
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'authentification SQL utilisant les privilèges minimum |
|---|---|---|
Compte du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Comptes d'identités de pools d'applications supplémentaires
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'authentification SQL utilisant les privilèges minimum |
|---|---|---|
Identité du pool d'applications |
Aucune configuration manuelle n'est nécessaire. Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées
Comptes au niveau de la batterie de serveurs
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées |
|---|---|---|
Compte de service SQL Server |
Utiliser un compte système local ou un compte d'utilisateur de domaine. Si un compte d'utilisateur de domaine est utilisé, ce compte fait appel à l'authentification Kerberos par défaut qui requiert une configuration supplémentaire dans votre environnement réseau. Si SQL Server utilise un nom principal de service qui n'est pas valide (c'est-à-dire, qui n'existe pas dans l'environnement de service d'annuaire Active Directory), l'authentification Kerberos échoue, et l'authentification NTLM est alors utilisée. Si SQL Server utilise un nom principal de service qui est valide, mais qui n'est pas attribué au conteneur approprié dans Active Directory, l'authentification échoue, entraînant l'affichage du message d'erreur « Impossible de générer le contexte SSPI ». L'authentification tente toujours d'utiliser le premier nom principal de service qu'elle trouve, par conséquent assurez-vous qu'aucun nom principal de service n'est attribué à des conteneurs inappropriés dans Active Directory.
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
|
Compte d'utilisateur du programme d'installation |
Si vous exécutez des commandes Stsadm qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données. |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Ce compte est utilisé pour configurer des bases de données. Une fois chaque base de données créée, modifiez le propriétaire de la base de données (dbo ou db_owner) sur le compte d'utilisateur du programme d'installation. |
Compte de la batterie de serveurs |
Des autorisations supplémentaires sont automatiquement accordées pour ce compte sur les serveurs Web et les serveurs d'applications qui sont joints à une batterie de serveurs. Ce compte est automatiquement ajouté en tant que connexion SQL Server sur l'ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants :
Remarque Si vous configurez le service d'authentification unique Microsoft Single Sign-On, le compte de batterie de serveurs n'aura pas automatiquement un accès db_owner à la base de données d'authentification unique (SSO). |
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Une fois la base de données du fournisseur de services partagés et la base de données de recherche SSP créées, ajoutez ce compte à ce qui suit pour chacune de ce bases de données :
|
Comptes du service Recherche Windows SharePoint Services
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées |
|---|---|---|
Compte du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Lors de l’exécution de l’outil en ligne de commande Psconfig pour démarrer le service de recherche Windows SharePoint Services, l’appartenance est automatiquement configurée dans :
|
Compte d'accès au contenu du service Recherche Windows SharePoint Services |
Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Lors de l’exécution de l’outil en ligne de commande Psconfig pour démarrer le service de recherche Windows SharePoint Services, l’appartenance est automatiquement configurée dans :
|
Comptes d'identités de pools d'applications supplémentaires
| Compte | Conditions standard requises par la batterie de serveurs | Conditions requises par l'administration selon le principe des privilèges minimum lors de la connexion à des bases de données pré-créées |
|---|---|---|
Identité du pool d'applications |
Aucune configuration manuelle n'est nécessaire. Ce qui suit est automatiquement configuré :
|
Conditions standard requises par la batterie de serveurs avec les ajouts ou exceptions suivants :
Une fois la base de données du fournisseur de services partagés et la base de données de recherche SSP créées, ajoutez ce compte à ce qui suit pour chacune de ce bases de données :
|
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Consultez la liste des livres disponibles à l’adresse Livres à télécharger pour Windows SharePoint Services.
Voir aussi
Concepts
Planifier les rôles de sécurité (Windows SharePoint Services)