Planifier des comptes d'administration et de service dans SharePoint Server
S’APPLIQUE À :
2013
2016
2019
Subscription Edition
SharePoint in Microsoft 365
Pour installer SharePoint Server, vous devez avoir des comptes d’administration et de service appropriés sur les serveurs exécutant SharePoint Server et SQL Server. Après l'installation, vous devez avoir des comptes d'administration et de services appropriés pour modifier et mettre à jour l'environnement. Les comptes requis pour effectuer des groupes de tâches ne sont pas nécessairement les mêmes. Cet article décrit les comptes dont vous avez besoin après l’installation pour un environnement à serveur unique et un environnement de batterie de serveurs.
Important
N’utilisez pas de noms de comptes de service qui contiennent le symbole $ à l’exception de l’utilisation d’un compte de service géré de groupe pour SQL Server.
Important
SharePoint services gérés ne gèrent pas les comptes de service gérés Active Directory ou les comptes de service gérés de groupe.
Utilisez cet article avec les comptes d’administration et de service de déploiement initial dans SharePoint Server.
L'article Comptes d'administration et de service requis pour le déploiement initial décrit le compte spécifique et les autorisations que vous devez octroyer avant d'exécuter le programme d'installation.
Cet article ne décrit pas les conditions requises pour l’utilisation du service Banque d’données sécurisé dans SharePoint Server. Pour plus d'informations, voir Planifier le service Banque d'informations sécurisé dans SharePoint Server.
En savoir plus sur SharePoint rôle d’administrateur principal dans Microsoft 365.
À propos des comptes d’administration et de service
Cette section répertorie et décrit les comptes pour lesquels vous devez planifier la gestion des serveurs exécutant SQL Server ou SharePoint Server. Les comptes sont regroupés en fonction de leur portée.
Une fois l’installation terminée et les comptes configurés, vérifiez que vous n’utilisez pas le compte de système local pour effectuer des tâches d’administration ou parcourir les sites.
Comptes au niveau des batteries de serveurs
Le tableau suivant décrit les comptes utilisés pour configurer SQL Server base de données et installer SharePoint Server.
| Account | Objectif | Configuration requise |
|---|---|---|
| Compte de service SQL Server | Le compte de service SQL Server utilisé pour exécuter SQL Server. Il s’agit du compte pour les services SQL Server suivants : MSSQLSERVER SQLSERVERAGENT Si vous n’utilisez pas l’instance SQL Server par défaut, dans la console Windows Services, ces services s’afficheront comme indiqués ci-après : MSSQL<InstanceName> SQLAgent<InstanceName> |
Utilisez un compte d’utilisateur de domaine ou, de préférence, un compte de service géré de groupe. Si vous souhaitez effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour cette ressource doivent être octroyées au compte approprié. Si vous utilisez un compte d’utilisateur de domaine ou un compte de service géré de groupe pour le compte de service SQL Server, accordez des autorisations à ce compte d’utilisateur de domaine. Toutefois, si vous utilisez le service réseau ou le compte système local, accordez des autorisations sur la ressource externe au compte d’ordinateur ( <domain_name> \<SQL_hostname > ). Le nom de l'instance est arbitraire et a été créé lors de l'installation de SQL Server. |
| Compte d’utilisateur administrateur de batterie de serveurs | Le compte d’utilisateur administrateur de batterie de serveurs est un compte identifiable de manière unique attribué à un administrateur SharePoint de batterie. Il est utilisé pour exécuter : Installation Assistant Configuration des produits SharePoint |
Compte d'utilisateur de domaine Membre du groupe Administrateurs sur chaque serveur SharePoint de la batterie de serveurs. Membre du rôle SQL Server suivant (facultatif) : rôle serveur fixe sysadmin. Si vous exécutez Windows PowerShell des cmdlets qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données ou du rôle serveur fixe sysadmin sur SQL. |
| Compte de service de batterie de serveurs | Le compte de service de batterie de serveurs est utilisé pour effectuer les tâches suivantes : Agir comme identité du pool d’applications pour le site web Administration centrale de SharePoint Exécuter le service Minuteur de flux de travail Microsoft SharePoint Foundation |
Compte utilisateur de domaine. Des autorisations supplémentaires sont automatiquement accordées pour le compte de batterie de serveurs sur les serveurs Web et les serveurs d’applications qui sont joints à une batterie de serveurs. Le compte de la batterie de serveurs est automatiquement ajouté en tant que connexion SQL Server sur l’ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants : * Rôle serveur fixe dbcreator * rôle serveur fixe securityadmin * db_owner base de données fixe pour toutes les SharePoint de données de la batterie de serveurs Ce compte ne doit pas être utilisé de manière interactive par un administrateur. Modifier le compte de service de la batterie de serveurs devra redémarrer le serveur IIS à l’aide de la iisreset.exe commande. |
Comptes d’applications de service
Le tableau suivant décrit les comptes utilisés pour installer et configurer une application de service.
Pour plus d'informations sur les points de terminaison d'applications de service, voir Utilisation des points de terminaison de service.
Notes
Excel Services service de synchronisation de profil utilisateur s’appliquent uniquement SharePoint 2013.
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Point de terminaison d'application de service | Exécuter SharePoint Services instances et Windows Services | Compte d’utilisateur de domaine |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Services d'accès | X | |
| Service Business Data Connectivity | X | X |
| Service Banque d’informations sécurisé | X | |
| Service de collecte de données relatives à l'utilisation et à l'état | X | |
| Service de profil utilisateur | X | |
| Service Graphiques Visio | X | |
| Word Automation Services | X | |
| Excel Services | X | |
| Service de métadonnées gérées | X | |
| Service PerformancePoint | X | |
| Service de recherche | X |
Notes
Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Sauf exigences d’isolation particulières, ce pool d’applications peut être utilisé pour héberger plusieurs points de terminaison d’application de service. Pour Excel Services, service de métadonnées gérées, service PerformancePoint et service de recherche, vous devez être un compte d’utilisateur de domaine. Par Excel Services est également disponible uniquement dans SharePoint Server 2013.
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Service d'émission de jeton de sécurité | X | |
| Service de détection d'applications et d'équilibrage de charge | X | X |
Notes
Ce compte sert d’identité au pool d’applications de points de terminaison d’application de service. Ce compte doit être le compte de service de batterie de serveurs et l SharePoint configuration des produits SharePoint crée automatiquement le pool d’applications.
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Service automatisé | S/O | Utilisé pour exécuter des fonctions au nom de l’utilisateur ou du service | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Excel Services | X | |
| Service PerformancePoint | X | |
| Service Graphiques Visio | X |
Notes
Excel Services utilisée avec des workbooks pour actualiser les données. Il est requis lorsque les connexions de classeur spécifient la valeur « Aucune » pour l'authentification, ou lorsque des informations d'identification qui ne sont pas des informations d'identification Windows sont utilisées pour actualiser des données. Le service PerformancePoint est utilisé pour l’authentification auprès de sources de données. Visio service est utilisé avec les documents pour actualiser les données. Elle est requise lors de la connexion à des sources de données externes à SharePoint Server, telles que SQL Server.
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Accès au contenu par défaut | Recherche | Analyser du contenu | Accès en lecture au contenu en cours d’analyse |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Recherche SharePoint Server | X |
Notes
Compte par défaut pour l’analyse de contenu. Un administrateur d’application de service de recherche peut créer des règles d’analyse pour spécifier d’autres comptes pour analyser un contenu spécifique. Doit disposer d’un accès en lecture au contenu analysé. Des autorisations de lecture totale doivent être octroyées explicitement au contenu situé en dehors de la batterie de serveurs locale. Des autorisations de lecture totale sont configurées automatiquement pour les bases de données de contenu dans la batterie de serveurs locale. Nécessite la gestion du journal d’audit et de sécurité directement dans la stratégie utilisateur locale Windows serveurs de fichiers configurés pour l’analyse.
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Service de recherche | Recherche | Exécuter les services Windows search | Être un compte d’utilisateur de domaine |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Recherche SharePoint Server | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Administrateur de batterie de serveurs | Service de synchronisation de profil utilisateur | Exécute les services Forefront Identity Manager | Compte d’administrateur de batterie de serveurs ; Administrateur local sur lequel le service de synchronisation de profil utilisateur est démarré |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Service de synchronisation de profil utilisateur | X | S/O |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Connexion de synchronisation | Service de profil utilisateur | Connecter magasins d’identités d’utilisateurs | Répliquer les changements de répertoire (Active Directory), accéder en lecture (autres répertoires) |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Service de profil utilisateur | X | S/O |
Notes
Autorisations Réplication des changements de répertoire sur la partition de configuration des domaines synchronisés si le nom NetBIOS et le nom de domaine complet ne correspondent pas.
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Service Gestion des applications | S/O | Utilisé pour installer SharePoint des modules | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Gestion des applications | X | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Service de conversion PowerPoint | PowerPoint Conversion Services | Convertir PowerPoint fichiers en d’autres formats de fichiers | Rôle d’administrateur de batterie (SharePoint Server 2013 uniquement) |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Service de conversion PowerPoint | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Service de traduction automatique | Service de traduction automatique | Effectuer des traductions automatiques | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Service de traduction automatique | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Access Services 2013 | Services d'accès | Interagir avec les bases de données Access 2013 dans un navigateur | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Access Services dans SharePoint Server 2013 | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Gestion du travail | Service Gestion du travail | Fournit l’agrégation de tâches entre SharePoint, Exchange et Project Server. | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Gestion du travail | X |
| Compte | Service | Objectif | Configuration requise |
|---|---|---|---|
| Cache distribué | Service Windows AppFabric | Exécute des opérations de cache distribué | S/O |
| Nom de service | Dans SharePoint Server | Dans SharePoint Foundation |
|---|---|---|
| Cache distribué | X | X |
Notes
Certaines des fonctionnalités qui utilisent le service de cache distribué sont les news, l’authentification, l’accès OneNote client, le trimming de sécurité et améliore les performances de chargement de page. Au moins un serveur de cache distribué est requis dans la batterie de serveurs.
SharePoint Web Applications
Un seul compte doit être utilisé pour toutes les applications Web, nommées compte de pool d’applications Web. Cette condition permet à l’administrateur d’utiliser un pool d’applications IIS unique pour toutes les applications Web, ce qui augmente les performances et réduit l’utilisation de la mémoire sur le serveur.
| Account | Objectif |
|---|---|
| Identité de pool d'applications | Compte d'utilisateur que les processus de travail qui servent le pool d'applications utilisent comme identité de processus. Ce compte est utilisé pour accéder aux bases de données de contenu associées aux applications web qui résident dans le pool d'applications. |
Conditions requises standard pour un serveur unique
Si vous déployez sur un seul serveur, les exigences de compte sont considérablement réduites. Dans un environnement d'évaluation, vous pouvez utiliser un seul compte pour toutes les utilisations de compte. Dans un environnement de production, assurez-vous que les comptes que vous créez disposent des autorisations appropriées pour leur utilisation.
Pour obtenir la liste des autorisations de compte pour les environnements à serveur unique,voir Comptes d’administration et de service de déploiement initial dans SharePoint Server .
Configuration requise pour une batterie de serveurs
Si vous effectuez un déploiement sur plusieurs serveurs, utilisez les exigences standard de la batterie de serveurs pour vous assurer que les comptes ont les autorisations appropriées pour effectuer leurs processus sur plusieurs ordinateurs. La configuration standard requise pour une batterie de serveurs détaille la configuration minimale nécessaire pour opérer dans un environnement de batterie de serveurs.
Pour obtenir la liste des exigences standard pour les environnements de batterie de serveurs, voir celles énumérées dans la section Référence technique : configuration de compte requise par scénario de cet article.
Pour certains comptes, des autorisations supplémentaires ou l’accès aux bases de données sont configurés lorsque vous exécutez l’Assistant Configuration. Ces privilèges supplémentaires sont indiqués dans l’outil de planification des comptes. Une des exigences que les administrateurs de base de données doivent connaître constitue l'ajout du rôle de base de données WSS_Content_Application_Pools. L’Assistant Configuration ajoute ce rôle aux bases de données suivantes :
base de données SharePoint_Config (base de données de configuration) ;
SharePoint_Admin de contenu
Les membres du rôle de base de données WSS_Content_Application_Pools disposent de l'autorisation d'exécution sur un sous-ensemble des procédures stockées pour la base de données. Ils disposent, en outre, de l'autorisation de sélection sur la table de versions (dbo.Versions) de la base de données SharePoint_AdminContent.
Pour les autres bases de données, l'outil de planification des comptes indique que l'accès en lecture à partir de ces bases de données est configuré automatiquement. Dans certains cas, un accès limité en écriture à une base de données est aussi configuré automatiquement. Pour fournir cet accès, des autorisations pour les procédures stockées sont configurées.
Référence technique : configuration de compte requise par scénario
Cette section énumère les configurations de compte requises par scénario :
Conditions requises standard pour un serveur unique
Important
Nous ne recommandons pas cette configuration dans un environnement de production.
Comptes au niveau des batteries de serveurs
| Compte | Configuration requise |
|---|---|
| Service SQL Server | Compte de système local (défaut) |
| Compte d’utilisateur administrateur de batterie de serveurs | Membre du groupe Administrateurs sur l’ordinateur local. |
| Service de batterie de serveurs | Service réseau (par défaut) Aucune configuration manuelle n’est nécessaire. |
Comptes d’applications de service
Important
Les comptes de ce tableau ne s'appliquent qu'à SharePoint Server.
| Compte | Configuration requise |
|---|---|
| Service de recherche SharePoint Server | Par défaut, ce compte constitue le compte de système local. Si vous souhaitez analyser du contenu distant en modifiant le compte d’accès au contenu par défaut ou à l’aide de règles d’analyse, modifiez ce compte en utilisateur de domaine 1. Dans le cas contraire, vous ne pouvez pas remplacer le compte d'accès au contenu par défaut par un compte d'utilisateur de domaine ou ajouter des règles d'analyse pour analyser ce contenu. Cette restriction sert à prévenir l'élévation de privilège pour tout autre processus constituant le compte de système local. |
| Accès au contenu par défaut | Aucune configuration manuelle n'est requise si ce compte n'analyse que du contenu de batterie locale. Si vous souhaitez analyser du contenu distant à l’aide de règles d’analyse, modifiez ce compte en utilisateur de domaine 1 et appliquez les conditions requises répertoriées pour une batterie de serveurs. |
| Accès au contenu | Configuration requise identique à celle du compte d'accès au contenu par défaut. |
| Compte de synchronisation des profils | Configuration requise identique à celle de la batterie de serveurs. |
| Service automatisé Excel Services | Doit être un compte d'utilisateur de domaine. |
Comptes d’identité de pool d’applications supplémentaires
| Compte | Configuration requise |
|---|---|
| Identité de pool d'applications | Aucune configuration manuelle n'est requise. Le compte du service réseau est utilisé pour le site Web par défaut créé lors de l’installation et de la configuration. |
Configuration standard requise pour une batterie de serveurs
Comptes au niveau des batteries de serveurs
| Account | Objectif | Configuration requise |
|---|---|---|
| Compte de service SQL Server |
Le compte de service SQL Server utilisé pour exécuter SQL Server. Il s’agit du compte pour les services SQL Server suivants : MSSQLSERVER SQLSERVERAGENT Si vous n’utilisez pas l’instance SQL Server par défaut, dans la console Windows Services, ces services s’afficheront comme : MSSQL<InstanceName> SQLAgent<InstanceName> |
Utilisez un compte d’utilisateur de domaine ou, de préférence, un compte de service géré de groupe. Si vous souhaitez effectuer une sauvegarde ou une restauration à partir d'une ressource externe, des autorisations pour cette ressource doivent être octroyées au compte approprié. Si vous utilisez un compte d’utilisateur de domaine ou un compte de service géré de groupe pour le compte de service SQL Server, accordez des autorisations à ce compte d’utilisateur de domaine. Toutefois, si vous utilisez le service réseau ou le compte système local, accordez des autorisations sur la ressource externe au compte d’ordinateur ( <domain_name> \<SQL_hostname > ). Le nom de l'instance est arbitraire et a été créé lors de l'installation de SQL Server. |
| Compte d’utilisateur administrateur de batterie de serveurs |
Le compte d’utilisateur administrateur de batterie de serveurs est un compte identifiable de manière unique attribué à un administrateur SharePoint de batterie. Il est utilisé pour exécuter : Installation Assistant Configuration des produits SharePoint |
Compte d'utilisateur de domaine Membre du groupe Administrateurs sur chaque serveur SharePoint de la batterie de serveurs. Membre du rôle SQL Server suivant (facultatif) : rôle serveur fixe sysadmin. Si vous exécutez Windows PowerShell des cmdlets qui affectent une base de données, ce compte doit être membre du rôle de base de données fixe db_owner pour la base de données ou du rôle serveur fixe sysadmin sur SQL. |
| Compte de service de batterie de serveurs |
Le compte de service de batterie de serveurs est utilisé pour effectuer les tâches suivantes : Agir comme identité du pool d’applications pour le site web Administration centrale de SharePoint Exécuter le service Minuteur de flux de travail Microsoft SharePoint Foundation |
Compte utilisateur de domaine. Des autorisations supplémentaires sont automatiquement accordées pour le compte de batterie de serveurs sur les serveurs Web et les serveurs d’applications qui sont joints à une batterie de serveurs. Le compte de la batterie de serveurs est automatiquement ajouté en tant que connexion SQL Server sur l’ordinateur qui exécute SQL Server et ajouté aux rôles de sécurité SQL Server suivants : * Rôle serveur fixe dbcreator * rôle serveur fixe securityadmin * db_owner de base de données fixe pour toutes les bases SharePoint de données de la batterie de serveurs Ce compte ne doit pas être utilisé de manière interactive par un administrateur. Modifier le compte de service de la batterie de serveurs devra redémarrer le serveur IIS à l’aide de la iisreset.exe commande. |
Comptes de service d’applications de service
Important
Le compte de synchronisation des profils Excel Services compte de service sans surveillance s’appliquent uniquement SharePoint Server.
| Compte | Configuration requise |
|---|---|
| Compte du service de recherche SharePoint Server | Doit être un compte d'utilisateur de domaine. Ne doit pas être membre du groupe Administrateurs de batterie de serveurs. Les paramètres suivants sont automatiquement configurés : accès à la lecture à partir de la base de données de configuration, de la base de données de contenu d’administration, de la base de données d’administration de la recherche, des bases de données d’analyse. accès en contrôle total aux partitions d'index sur les serveurs de requête. |
| Compte d’accès au contenu par défaut | Doit être un compte d'utilisateur de domaine. Ne doit pas être membre du groupe Administrateurs de batterie de serveurs. Accès en lecture aux sources de contenu externes ou sécurisées que vous voulez analyser en utilisant ce compte. Pour les sites qui ne font pas partie de la batterie de serveurs, ce compte doit disposer explicitement des autorisations de lecture totale sur les applications web qui hébergent ces sites. Les configurations suivantes sont automatiquement configurées : les autorisations de lecture totale sont automatiquement accordées aux bases de données de contenu hébergées par la batterie de serveurs. |
| Compte d'accès au contenu | Accès en lecture aux sources de contenu externes ou sécurisées auxquelles la configuration de ce compte autorise l'accès. Pour les sites web qui ne font pas partie de la batterie de serveurs, ce compte doit disposer explicitement d'autorisations de lecture totale sur les applications web qui hébergent ces sites. |
| Compte de synchronisation des profils | Accès en lecture au service d'annuaire. Le compte doit avoir l’autorisation Répliquer les modifications dans Active Directory. Autorisation des services de personnalisation Gérer les profils utilisateurs. Voir les autorisations sur les entités utilisées dans les connexions d'importation du catalogue de données métiers. |
| Compte de service automatisé Excel Services | Doit être un compte d'utilisateur de domaine. |
Comptes d’identité de pool d’applications supplémentaires
| Compte | Configuration requise |
|---|---|
| Identité de pool d'applications | Aucune configuration manuelle n'est requise. Les configurations suivantes sont automatiquement configurées : appartenance au rôle SP_DATA_ACCESS pour les bases de données de contenu et les bases de données de recherche associées à l’application web. appartenance à des rôles de pool d'applications spécifiques pour les bases de données de configuration et SharePoint_AdminContent. Des autorisations supplémentaires pour ce compte sur les serveurs web frontaux et les serveurs d’applications sont automatiquement accordées. |