Cuentas para instalar SharePoint


A continuación les presento mi sugerencia de cuentas a utilizar en una instalación de SharePoint en producción. No estoy usando la filosofía de cuentas con menor privilegio, pero si algo racional que no cree riesgos innecesarios.

Si quisieran crear más cuentas (yo sugieron 10) para tener una seguridad más fina, en lugar de usar una cuenta para todos los servicios (spservices) y una cuenta para todos los application pools (spwebapp), pueden crear una cuenta para cada servicio y para cada application pool que ejecuten.

Cuenta

Descripción

Requerimientos

sqladmin

Esta cuenta se usa para ejecutar los siguientes servicios de SQL Server:

  • MSSQLSERVER
  • SQLSERVERAGENT
  • Puede ser una cuenta local o de dominio

spfarm

Se conoce como Database Access Account y se utilizar para:

  • Configurar y administrar la granja
  • Identidad del application pool de la Administración Central de SharePoint
  • Ejecutar el servicio de temporización de SharePoint Foundation
  • Cuenta de dominio

SharePoint se encarga de agregarle los permisos necesarios en el momento de instalación.

spadmin

Esta es la cuenta administradora de SharePoint. Se utiliza para ejecutar lo siguiente:

  • Instalación de prerrequisitos de SharePoint
  • Instalación de SharePoint
  • Asistente de configuración de los productos SharePoint
  • Cuenta de dominio
  • Miembro del grupo de Administradores en cada servidor donde se instalará SharePoint
  • Permisos de ingresar (login) en el servidor de SQL
  • Miembro de los siguientes roles de seguridad del servidor de SQL:
    • securityadmin
    • dbcreator

Si se ejecutan comandos de PowerShell sobre alguna base de datos de SharePoint, esta cuenta debe tener el rol db_owner para esa base de datos.

spservices

Cuenta para ejecutar los servicios de las aplicaciones de servicio de SharePoint

  • Cuenta de dominio

Si se instala Office Web Application se le debe dar permisos de acceso a las bases de datos de contenido.

spwebapp

Cuenta para ejecutar los application pool de las aplicaciones de servicio de SharePoint

  • Cuenta de dominio

spsearch

Cuenta para ejecutar el servicio de búsqueda

  • Cuenta de dominio

spcontent

Cuenta para rastrear el contenido

  • Cuenta de dominio

spuserprofile

Cuenta usada por el servicio de sincronización de perfiles (FIM) para acceder el directorio activo

  • Cuenta de dominio
  • Permisos de “Replicating Directory Changes” en el AD

Si el dominio es versión Windows 2003 o anterior, esta cuenta debe ser miembro del grupo “Pre-Windows 2000”.

spsuperuser

Cuenta de caché

  • Cuenta de dominio
  • Web application Policy Full Control
  • Web application super account setting

spsuperreader

Cuenta de caché

  • Cuenta de dominio
  • Web application Policy Full read
  • Web application super reader account setting

 

Mas información:

http://technet.microsoft.com/en-us/library/ee721049.aspx
http://www.harbar.net/articles/sp2010ups.aspx
http://www.sharepointchick.com/archive/2010/10/06/resolving-the-super-user-account-utilized-by-the-cache-is.aspx

Anuncios

6 comentarios (+¿añadir los tuyos?)

  1. nando
    Ene 23, 2012 @ 23:12:52

    HI, interesante la informacion

    Crees que me puedas ayudar con un error que muestra cuando ejecuto realizar backup:

    Error del objeto SharePoint_Config en el evento OnBackup….

    Como asigno atributos a la cuenta que realiza la proceso de backup o cual sería el problema?¿

    saludos cordiales

    Responder

  2. Jimcesse
    Jul 16, 2012 @ 18:30:44

    Hola Vielka

    Que pasa con las cuentas de dominio, cuando la contraseña expiren !? o se deben crear para que eso no pase !?

    Saludos,

    Responder

  3. H3CtOr
    Ene 12, 2015 @ 12:33:44

    Hola Vielka.

    Tengo el siguiente problema, el servicio de sincronizacion de perfiles de usuario esta configurado en la cuenta SpProfileSync, la que esta operativa, pero al quitar del grupo administradores la cuenta SpFarm, el servicio de sincronizacion se detiene. para volver iniciarlo debo agregar la cuenta SpFarm al grupo Administradores y se inicia sin problemas. como puedo quitar la cuenta SpFarm del grupo administradores y que el servicio de perfiles de usuario no se detenga?.

    Responder

  4. Vielka R.
    Ene 12, 2015 @ 15:22:51

    Hola, en realidad te recomiendo dejar el SpFarm dentro del grupo de administradores.

    Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: