SharePoint Server安装过程中的帐号问题
今天收到客户求助电话,称在创建SharePoint Server服务器场中的第一个共享服务提供程序 (SSP)时,遇到问题,问题如下:[*]始终无法将创建的Web网站集,在SSP创建页面中显示出来。
我首先询问了客户MOSS的安装环境,客户的安装环境如下:
[*]操作系统:Windows Server 2003 R2
[*]MOSS版本:Microsoft SharePoint Server 2007 with SP1
[*]数据库版本:SQL Server 2005 with SP3
[*]操作系统和应用程序已经升级到最新补丁。
看来很正常。我又向客户询问了SharePoint Server的安装和配置过程,以及SQL Server配置中的几个要点,也没有发现问题。看来比较奇怪了。于是我又问了客户一句:“您创建SharePoint Server的专用账号了吗?”
“什么专用账号呀?”客户反问我,“我都是用域管理员账号安装的,已经是最大权限了。”
问题就在这里!
在微软官方的《Office SharePoint Server入门》文档第27页,明确指明安装SharePoint Server系统需要创建的专用账号有哪些,请见下表:
所需帐户
下表描述了用于配置 Microsoft SQL Server 和安装 Office SharePoint Server 2007 的帐户。有关所需帐户(包括这些帐户必需的特定权限)的详细信息,请参阅规划管理帐户和服务帐户 (Office SharePoint Server)。
帐户
用途
要求
SQL Server
服务帐户
此帐户用作以下 SQL Server 服务的服务帐户:
· · MSSQLSERVER
· · SQLSERVERAGENT
如果没有使用默认实例,这些服务将显示为:
· · MSSQL$ 实例名称
· · SQLAgent$ 实例名称
在安装 SQL Server 的过程中,SQL Server 会提示您输入此帐户。您可以选择进行以下两项操作:
· · 将其中一个内置系统帐户(Local System、Network Service 或 Local Service)分配给可配置 SQL Server 服务的登录。有关这些帐户和安全注意事项的详细信息,请参阅 SQL Server 文档中的设置 Windows 服务帐户主题 (http://go.microsoft.com/fwlink/?linkid=121664&clcid=0x804)。
· · 将域用户帐户分配给服务登录。但是,如果使用此选项,则必须执行配置 Active Directory 中的服务主体名称 (SPN) 所需的其他步骤,才能支持 SQL Server 所使用的 Kerberos 身份验证。
“安装”用户帐户
“安装”用户帐户用于运行以下各项:
· · 在每台服务器上运行安装程序
· · 运行 SharePoint 产品和技术配置向导
· · 运行 PSConfig 命令行工具
· · 运行 Stsadm 命令行工具
· · 域用户帐户
· · 运行安装程序的每台服务器上的 Administrators 组的成员
· · 运行 SQL Server 的计算机上的 SQL Server 登录
· · 以下 SQL Server 安全角色的成员:
· securityadmin 固定服务器角色
· dbcreator 固定服务器角色
如果运行从数据库读取或写入数据库的 Stsadm 命令行工具命令,则此帐户必须是该数据库的 db_owner 固定数据库角色的成员。
服务器场帐户/数据库访问帐户
服务器场帐户用于:
· · 充当 SharePoint 管理中心应用程序池的应用程序池标识。
· · 运行 Windows SharePoint Services 定时服务。
· · 域用户帐户。
· · 如果服务器场是子服务器场,并且包含使用更大服务器场的共享服务的 Web 应用程序,则此帐户必须是更大服务器场的配置数据库中 db_owner 固定数据库角色的成员。
在加入到服务器场中的 Web 服务器和应用程序服务器上,会自动为此帐户授予其他权限。
在运行 SQL Server 的计算机上,此帐户自动添加为 SQL Server 登录,而且添加到下面的 SQL Server 安全角色中:
· · dbcreator 固定服务器角色
· · securityadmin 固定服务器角色
· · db_owner 固定数据库角色(对于服务器场中的所有数据库)
在SharePoint Server创建SSP的时候,必须使用专用的服务器场帐户,而不能使用域管理员帐户,否则会因为IIS资源池权限的问题,导致Web网站集无法显示在SSP创建页面的下拉列表中。
事实上,我们在安装各种不同的业务和应用系统的时候,应该养成一个良好帐户管理的习惯:
[*]为不同的应用分别创建权限组和用户帐户;
[*]将用户帐户添加到权限组中。
而通过这样基于权限组的管理方式,我们就可以灵活地管理业务和应系统的安全权限,减少安全漏洞。
页:
[1]