文档章节

SharePoint 2013 Farm 安装指南——Least Privilege

 木宛城主
发布于 2015/03/02 19:39
字数 1794
阅读 3
收藏 0
点赞 0
评论 0

写过很多关于SharePoint 2013 安装,这是第四篇。可能你会觉得为什么如此简单的安装至于花那么多精力去折腾吗。我的答案是肯定的。知识的积累不是一蹴而就的,而是循序渐进的去学习,每一个阶段都有独立的思考,于是乎第四篇SharePoint 2013的安装记录就诞生了,这边文章我想和大家分享怎样让SharePoint Farm的安全性得到提升

以上是我前三篇安装SharePoint 2013的博文。我敢肯定的是上述三篇文章都是我亲自实践过的,而且安装步骤都是我边执行便记录,所以Step By Step绝对是行的通的。

还有我想声明一点是,第四篇安装记录是对前三篇的提升,只是完善了一些没有考虑到的问题。并不是完全详细的步骤(比如加域,加入入站规则等)。详细步骤请查看之前博文。

SharePoint 2013 Farm拓扑用于生产环境主要有二层和三层拓扑,详情见MSDN

http://technet.microsoft.com/zh-cn/library/ee805948(v=office.15).aspx

三层拓扑图

  • 可将 Web 服务器添加到 Web 层。这些服务器可以配置为传统 Web 服务器以处理用户请求,也可以配置为承载专用查询组件或其他服务组件。
  • 可将场服务器添加到应用层,并将这些服务器配置为专用服务器,用于承载SharePoint 管理中心网站,或承载服务器场中需要专用资源或与 Web 层隔离的其他服务(例如爬网组件、查询组件和配置文件页)。
  • 可将数据库服务器添加到数据库层,以实现独立实例、数据库镜像或故障转移群集。如果要配置服务器场使之具有高可用性,则在数据库层需要数据库镜像或故障转移群集。

 

双层拓扑图

双层拓扑图属于中型架构(适用于10000人以下的企业)。比起单层的拓扑结构,它的好处是将DBWeb进行了分离,也就是说Web RoleApplication Role在同一台服务器上,DB在另一台服务器上,属于中型Farm

简单了解了SharePoint 2013的拓扑后(详细拓扑见文章后附件),接下来就是本文的重点,一个经常被忽视的问题,即SharePoint的安全策略(你是否还是一个Domain\Administrator帐号到处用?)。

中等级别的安全策略

中等级别的安全策略是安装SharePoint最佳实践之一.通过赋予每个账户较低的权限,你能有效限制黑客获取账户后对系统的攻击损坏。同时也是遵守安装SharePoint 2013最低权限(least-privilege)契约。具体细节详见如下

 

Sql Server Installation

Name

Description

Local Rights

Domain Rights

SQL_Admin

SQL Server Administrator。用来安装SQL Server

SQL Server服务器本地管理员(Local Administrator)

域用户(Domain User

SQL_Services

SQL Server services: MSSQLSERVER SQLSERVERAGENTServices Account

域用户

SQL_Admin:这是SQL Server Administrator,它需要赋予本地管理员的权限去安装SQL Server

SQL_Services:这个账号不需要任何本地权限,只需要能运行SQL Server Agent Database Engine windows services

SharePoint 2013 Installation

Name

Description

Local Rights

Domain Rights

SP_Farm

SharePoint Farm Service Account用来执行如下任务:

-配置和管理服务器场
-是 SharePoint Central Administration的应用程序池标识账户。
-运行Microsoft SharePoint Foundation Workflow Timer Service.

需要在Sql Server(安装的实例)添加此登陆名,并授予SecurityAdmin DB_Creator权限

域用户

SP_Admin

SharePoint Farm Service Account用来执行如下任务:

-安装

-SharePoint 产品配置向导(SharePoint Product Configuration Wizard)

1.所有SharePoint Server上赋予本地管理员权限。2.需要在Sql Server(安装的实例)添加此登陆名,并授予SecurityAdmin DB_Creator权限

域用户

SP_Pool

此账户用来运行Web Application Pool

域用户

SP_Services

此账户用来运行 Service Application Pool

域用户

SP_Admin 是一个域账户用来安装和配置SharePoint 2013。并且此账户用于运行SharePoint Product Configuration Wizard(SharePoint产品配置向导)。而且SP Admin账户是SharePoint Installation唯一一个账户需要本地管理员权限。为了配置SPAdmin有最小的权限,同样需要为SQL SERVER 实例添加此登陆账户,并为其分配 securityadmin dbcreator角色。

SP_Farm 是一个域账户用来运行SharePoint Timer Service。是Central Administrator Web Application的应用程序池标识,用来连接访问SharePoint内容数据库。SP_Farm不需要本地管理员。SharePoint 配置向导会自动授予此账户在SQL Server最小的权限(securityadmin dbcreator角色)

 

SP_Pool  是一个域账户被用来标识应用程序池。比如你创建了一个WebApplication并为它创建了一个Pool,你可以选择此账户。

SP_Services 是一个域账户被用来运行Service Applications Pools。比如你创建了Managed Metadata Server Application(托管元数据应用程序)并为它创建了一个Pool。那么你可以选择此账户。

少年,来实现吧

下面是一些操作界面,我不会Step By Step去演示(你可以翻阅我之前的安装指南),我只会说明需要在哪儿去实现这些操作。

  • 怎样建立SharePoint Domain Service Account

进入域服务器-à编辑用户和计算机-à加入如下账户

 

  • 怎样将某个账户加入本地Administrator管理组

Windows Server 2012/Windows Server 2008在开始菜单搜索"Edit local users and groups(编辑本地用户和组)"

  • 怎样加入用户至本地Administrator

  • 怎样安装SQL Server

使用上面已经加入本地Administrators组的SQL_Admin登录DB Server,安装SQL Server

选择要安装的功能

指定账户运行SQL Server Service

指定SQL Server Administrator

  • 怎样赋予SharePoint Admin帐号具有DB_CreatorSecurityAdmin角色

 

  • 怎样设置数据库服务器最大并行度(Max Degree of Parallelism

详情参见:http://technet.microsoft.com/zh-cn/library/ms189094.aspx

SharePoint 2013 安装注意事项

  • 怎样指定帐号去管理SharePoint Farm和配置Content DB

  • 怎样在SharePoint中注册Managed Accounts

在运行场配置向导中,使用已经注册过的Service Account去运行Service Application Pool

 

默认第一次运行场配置向导会创建WebApplication-80。我发现这个WebApplication的创建并没有让我们自己去选择一个Service Account。而是默认使用了和Service Application Pool相同的帐号,你可以在如下界面进行更改:SharePont 2013管理中心-à安全-à配置服务帐号

点击每个Service Account即可看到SharePoint服务器场中具体使用情况

 

 总结

SharePoint的安装确实很简单,但若要考虑最佳实践以及在不同拓扑下的实施,这确实是一件需要细细捉摸的事。希望这篇文章能帮助到你。

附:SharePoint 2013 Topology Model

 

 

© 著作权归作者所有

共有 人打赏支持
粉丝 2
博文 222
码字总数 199010
作品 0
黄浦
SharePoint Server 2013安装与配置

最近在学习SharePoint解决方案的迁移,在这个过程中需要首先建立SharePoint Server,总体来说配置还是比较简单的,拿出来跟大家稍微分享一下 首先我们的实验环境是这样的,两台DC,两台Share...

mxy00000 ⋅ 2015/10/13 ⋅ 0

SharePoint 2013 企业搜索架构示例

博客地址:http://blog.csdn.net/FoxDave 本文参考自微软官方的Chart,我们来看一下企业中对于不同规模SharePoint搜索的场的架构是什么样的。 对于搜索场的规模,我们用爬网的Item的数量...

justinliu927 ⋅ 2015/05/21 ⋅ 0

企业内部IT一体化系列之三:WEB平台 SharePoint部署

由于System Center Service Manager 2012 R2悲剧的依然不支持SharePoint2013,所有我们的自助门户平台还是只能搭建在SharePoint2010上。关于SharePoint 2013的部署,可以参考我的另一个Share...

kneight ⋅ 2014/07/28 ⋅ 0

用编程方式获得Search Analytics Report Data in SharePotint 2013

在SharePoint2010中可以通过Microsoft.Office.Server.WebAnalytics.Reporting.AnalyticsReportFunction类获得Web 分析报告,但是在SharePoint 2013中Web Analytics Service Application被并入......

hxyhxl ⋅ 2014/09/28 ⋅ 0

存在数据库的情况下,重新安装与配置WSS2.0

Windows SharePoint Services被认为是Windows Server™ 2003操作系统官方部分的一个附加产品。WSS提供了一个架构来创建协作式的Web站点,从而使得公司在团队、部门以及大的组织之间,可以方便...

技术小胖子 ⋅ 2017/11/07 ⋅ 0

独立模式安装sharepoint 2013,配置向导报错解决方案

本文转自:http://blog.sina.com.cn/s/blog_6a8dae300101h11f.html 使用独立模式安装Sharepoint Server 2013,允许配置向导到第8步创建示例数据时,出错了! Exception: System.ArgumentExce...

yuxye ⋅ 2016/02/19 ⋅ 0

SharePoint2013问题与解决(一)——图表web部件默认不支持

SharePoint2013正式版已经出来好几个月了。总体来说,SharePoint 2013在界面上做了很大的变化,并且设计方式上也做了很大的变化。功能上也做了很大的更改,其中最大的更改莫过于提出了app的概...

lhan ⋅ 2013/01/09 ⋅ 1

sharepoint 工作流文章

三个工作流配置文章 SharePoint Designer 2010 部署工作流实例 http://wenku.baidu.com/link?url=go4wGc9CFD5mtSmMiGKkmLjk1JOkpZxI2-tt8nWXSknxModuRL-z-ATMOVeOF9swhver05YEJTl8EtnX3tYB8j......

yuxye ⋅ 2016/02/22 ⋅ 0

安装SharePoint2010出现“Could not find stored procedure ‘sp_dboption’.”的解决方法

要使用sharepoint开发一个项目,下载sharepoint server 2010并安装,我的开发环境是win 7(x64),因此需要进行特定的设置才可以安装,可以参考 将Sharepoint Server 2010部署到WINDOWS 7,而更...

嗯哼9925 ⋅ 2017/12/21 ⋅ 0

在iPad上使用Office 365

Office 365对目前的移动设备的支持可谓广泛,移动电话方面,Windows Phone、iPhone、android、BlackBerry、Symbian等都得到了支持。平板电脑方面,目前只支持Windows 8平板和Windows RT设备以...

loveunicom ⋅ 2013/06/29 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

中标麒麟(龙芯版)7.0优盘安装

########################################## 制作U盘安装盘: 1.准备U盘: PMON环境下U盘必须格式化成ext3; 昆仑固件环境下可以格式化成ext3,ext4 2.把整个镜像 xxx.iso 复制到U盘下面 3....

gugudu ⋅ 10分钟前 ⋅ 0

老司机写的大数据建模五步走

本文将尝试来梳理一下数据建模的步骤,以及每一步需要做的工作。 01 第一步:选择模型或自定义模式 这是建模的第一步,我们需要基于业务问题,来决定可以选择哪些可用的模型。 比如,如果要预...

gulf ⋅ 19分钟前 ⋅ 0

PacificA 一致性协议解读

PacificA 的 paper 在 08 年左右发出来的,比 Raft 早了 6,7 年。 在 PacificA 论文中,他们强调该算法使用范围是 LAN (Local Area Network),讲白了就是对跨机房不友好。 不管是 ZAB,Raf...

黑客画家 ⋅ 21分钟前 ⋅ 0

盘符图标个性化

设置自己的专属盘符图标 准备ico格式的图片文件一个,在根目录下创建autorun.inf文件 文件内容 [Autorun]icon=logo.ico 重新启动或者插拔U盘即可看到结果...

阿豪boy ⋅ 21分钟前 ⋅ 0

Windows下QQ聊天记录中图片的默认存放位置

Windows下QQ聊天记录中图片的默认存放位置在设置中是没有说明的。 实测位置在:D:\Documents\Tencent Files\974101467\Image 其中: “974101467”为对应的QQ号; “C2C”为个人之间的聊天图...

临江仙卜算子 ⋅ 28分钟前 ⋅ 0

GC 的三种基本实现方式

参考资料《代码的未来》(作者: [日] 松本行弘)。 由于并非本人原著(我只是个“搬运工“),SO 未经本人允许请尽情转载。 另外个人像说明一下这里所说的GC指泛指垃圾回收机制,而单指Jav...

xixingzhe ⋅ 29分钟前 ⋅ 0

Android双击退出

/** * 菜单、返回键响应 */ @Override public boolean onKeyDown(int keyCode, KeyEvent event) { // TODO Auto-generated method stub if(keyCode......

王先森oO ⋅ 33分钟前 ⋅ 0

idea 整合 vue 启动

刚学习Vue 搭建了一个项目 只能命令启动 Idea里面不会启动 尝试了一下修改启动的配置 如下: 1.首先你要保证你的package.json没有修改过 具体原因没有看 因为我改了这个name的值 就没办法启动...

事儿爹 ⋅ 38分钟前 ⋅ 0

redis在windows环境的后台运行方法

在后台运行,首先需要安装redis服务,命令为 redis-server.exe --service-install redis.windows.conf --loglevel verbose 启动,命令为 redis-server --service-start 停止,命令为 redis-...

程序羊 ⋅ 42分钟前 ⋅ 0

比特币现金开发者提出新的交易订单规则

本周,四位比特币现金的四位开发者和研究员:Joannes Vermorel(Lokad),AmaurySéchet(比特币ABC),Shammah Chancellor(比特币ABC)和Tomas van der Wansem(Bitcrust)共同发表了一篇关...

lpy411 ⋅ 45分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部