SharePoint 2013 Farm 安装指南——Least Privilege
写过很多关于SharePoint 2013 安装,这是第四篇。可能你会觉得为什么如此简单的安装至于花那么多精力去折腾吗。我的答案是肯定的。知识的积累不是一蹴而就的,而是循序渐进的去学习,每一个阶段都有独立的思考,于是乎第四篇SharePoint 2013的安装记录就诞生了,这边文章我想和大家分享怎样让SharePoint Farm的安全性得到提升。
以上是我前三篇安装SharePoint 2013的博文。我敢肯定的是上述三篇文章都是我亲自实践过的,而且安装步骤都是我边执行便记录,所以Step By Step绝对是行的通的。
还有我想声明一点是,第四篇安装记录是对前三篇的提升,只是完善了一些没有考虑到的问题。并不是完全详细的步骤(比如加域,加入入站规则等)。详细步骤请查看之前博文。
SharePoint 2013 Farm拓扑用于生产环境主要有二层和三层拓扑,详情见MSDN
http://technet.microsoft.com/zh-cn/library/ee805948(v=office.15).aspx
三层拓扑图
- 可将 Web 服务器添加到 Web 层。这些服务器可以配置为传统 Web 服务器以处理用户请求,也可以配置为承载专用查询组件或其他服务组件。
- 可将场服务器添加到应用层,并将这些服务器配置为专用服务器,用于承载SharePoint 管理中心网站,或承载服务器场中需要专用资源或与 Web 层隔离的其他服务(例如爬网组件、查询组件和配置文件页)。
- 可将数据库服务器添加到数据库层,以实现独立实例、数据库镜像或故障转移群集。如果要配置服务器场使之具有高可用性,则在数据库层需要数据库镜像或故障转移群集。
双层拓扑图
双层拓扑图属于中型架构(适用于10000人以下的企业)。比起单层的拓扑结构,它的好处是将DB和Web进行了分离,也就是说Web Role和Application Role在同一台服务器上,DB在另一台服务器上,属于中型Farm。
简单了解了SharePoint 2013的拓扑后(详细拓扑见文章后附件),接下来就是本文的重点,一个经常被忽视的问题,即SharePoint的安全策略(你是否还是一个Domain\Administrator帐号到处用?)。
中等级别的安全策略
中等级别的安全策略是安装SharePoint最佳实践之一.通过赋予每个账户较低的权限,你能有效限制黑客获取账户后对系统的攻击损坏。同时也是遵守安装SharePoint 2013最低权限(least-privilege)契约。具体细节详见如下
Sql Server Installation
Name |
Description |
Local Rights |
Domain Rights |
SQL_Admin |
SQL Server Administrator。用来安装SQL Server。 |
SQL Server服务器本地管理员(Local Administrator) |
域用户(Domain User) |
SQL_Services |
SQL Server services: MSSQLSERVER 和SQLSERVERAGENT的Services Account |
无 |
域用户 |
SQL_Admin:这是SQL Server Administrator,它需要赋予本地管理员的权限去安装SQL Server。
SQL_Services:这个账号不需要任何本地权限,只需要能运行SQL Server Agent 和 Database Engine windows services。
SharePoint 2013 Installation
Name |
Description |
Local Rights |
Domain Rights |
SP_Farm |
此SharePoint Farm Service Account用来执行如下任务: -配置和管理服务器场
-是 SharePoint Central Administration的应用程序池标识账户。
-运行Microsoft SharePoint Foundation Workflow Timer Service.
|
需要在Sql Server(安装的实例)添加此登陆名,并授予SecurityAdmin 和DB_Creator权限 |
域用户 |
SP_Admin |
此SharePoint Farm Service Account用来执行如下任务: -安装 -SharePoint 产品配置向导(SharePoint Product Configuration Wizard) |
1.所有SharePoint Server上赋予本地管理员权限。2.需要在Sql Server(安装的实例)添加此登陆名,并授予SecurityAdmin 和DB_Creator权限 |
域用户 |
SP_Pool |
此账户用来运行Web Application Pool |
无 |
域用户 |
SP_Services |
此账户用来运行 Service Application Pool |
无 |
域用户 |
SP_Admin 是一个域账户用来安装和配置SharePoint 2013。并且此账户用于运行SharePoint Product Configuration Wizard(SharePoint产品配置向导)。而且SP Admin账户是SharePoint Installation唯一一个账户需要本地管理员权限。为了配置SPAdmin有最小的权限,同样需要为SQL SERVER 实例添加此登陆账户,并为其分配 securityadmin和 dbcreator角色。
SP_Farm 是一个域账户用来运行SharePoint Timer Service。是Central Administrator Web Application的应用程序池标识,用来连接访问SharePoint内容数据库。SP_Farm不需要本地管理员。SharePoint 配置向导会自动授予此账户在SQL Server最小的权限(securityadmin 和dbcreator角色)
SP_Pool 是一个域账户被用来标识应用程序池。比如你创建了一个WebApplication并为它创建了一个Pool,你可以选择此账户。
SP_Services 是一个域账户被用来运行Service Applications Pools。比如你创建了Managed Metadata Server Application(托管元数据应用程序)并为它创建了一个Pool。那么你可以选择此账户。
少年,来实现吧
下面是一些操作界面,我不会Step By Step去演示(你可以翻阅我之前的安装指南),我只会说明需要在哪儿去实现这些操作。
- 怎样建立SharePoint Domain Service Account
进入域服务器-à编辑用户和计算机-à加入如下账户
- 怎样将某个账户加入本地Administrator管理组
Windows Server 2012/Windows Server 2008在开始菜单搜索"Edit local users and groups(编辑本地用户和组)"
- 怎样加入用户至本地Administrator组
- 怎样安装SQL Server
使用上面已经加入本地Administrators组的SQL_Admin登录DB Server,安装SQL Server
选择要安装的功能
指定账户运行SQL Server Service
指定SQL Server Administrator
- 怎样赋予SharePoint Admin帐号具有DB_Creator和SecurityAdmin角色
- 怎样设置数据库服务器最大并行度(Max Degree of Parallelism)
详情参见:http://technet.microsoft.com/zh-cn/library/ms189094.aspx
SharePoint 2013 安装注意事项
- 怎样指定帐号去管理SharePoint Farm和配置Content DB
- 怎样在SharePoint中注册Managed Accounts
在运行场配置向导中,使用已经注册过的Service Account去运行Service Application Pool
默认第一次运行场配置向导会创建WebApplication-80。我发现这个WebApplication的创建并没有让我们自己去选择一个Service Account。而是默认使用了和Service Application Pool相同的帐号,你可以在如下界面进行更改:SharePont 2013管理中心-à安全-à配置服务帐号
点击每个Service Account即可看到SharePoint服务器场中具体使用情况
总结
SharePoint的安装确实很简单,但若要考虑最佳实践以及在不同拓扑下的实施,这确实是一件需要细细捉摸的事。希望这篇文章能帮助到你。
SharePoint 2013 Farm 安装指南——Least Privilege的更多相关文章
- SharePoint 2013 Farm 安装指南——构建一个双层SharePoint Farm
最近要对公司里的SharePoint进行升级,由于旧的系统SharePoint 2010已经有2年了,上面改动比较多,而且权限也很混乱了,所以下定决心要对其做一次升级,重新部署一台新的SharePoi ...
- 两张图看清SharePoint 2013 Farm 逻辑体系结构
前篇文章分析了SharePoint 2013 的物理拓扑结构.物理拓扑分为3层(2层),详情参见<SharePoint 2013 Farm (多层服务器)安装指南——Least Privileg ...
- 配置SharePoint 2013 Search 拓扑结构
在单台服务器上安装了 SharePoint Server 2013,并且创建了具有默认搜索拓扑的 Search Service 应用程序.在默认搜索拓扑中,所有搜索组件都位于承载管理中心的服务器上.S ...
- Integrate SharePoint 2013 with Team Foundation Server 2012
Now that SharePoint 2013 is out I want to make sure that I can integrate SharePoint 2013 with Team F ...
- SharePoint 2013 - Workflow Manager
1. Workflow Manager可以与SharePoint 安装在同一台机器上,只是不建议这么做:由于Workflow Manager 需要使用数据库,我个人将其安装在 SQL Server机器 ...
- SharePoint 2013 Backup Farm Automatically With a Powershell and Windows Task Schedule
In this post,I will show you SharePoint 2013 How to Backup Farm Automatically with a PowerShell and ...
- SharePoint 2013 创建Web Application
今天继续SharePoint 2013 的探索之旅,之前几篇文章分析了SharePoint 2013的物理拓扑结构,安装,以及逻辑体系结构.在这篇文章中,我将继续Step By Step形式演示如何在 ...
- Install and Configure SharePoint 2013 Workflow
这篇文章主要briefly introduce the Install and configure SharePoint 2013 Workflow. Microsoft 推出了新的Workflow ...
- SharePoint 2013 configure and publish infopth
This article will simply descript how to configure and publish a InfoPath step by step. Note: To con ...
随机推荐
- Discuz常见小问题-如何禁止调整宽屏模式
在界面-界面设置中,可以勾选窄屏,不允许用户自由切换
- Linux下安装配置SNMP服务
一.安装snmp服务 1.检查系统是否已经安装snmp的rpm包 以下是安装snmp服务需要的rpm包: libsensors3-2.10.6-55.el5.i386.rpm lm_sensors-2 ...
- linux2.6.30.4内核移植(3)——yaffs文件系统移植
内核源码:linux2.6.30.4 交叉编译工具:3.4.5 移植linux内核至:TQ2440 工作基础:http://www.cnblogs.com/nufangrensheng/p/36696 ...
- Linux安装和设置Samba服务器
1. 安装 安装前先关闭iptables和SELinux. Centos输入以下命令: yum install samba samba-client Ubuntu输入以下命令: apt-get ins ...
- 发现一个ReactNative大神
传送门: RN使用技巧:http://www.jianshu.com/p/2f575cc35780 RN 进阶技巧:http://www.jianshu.com/p/b877115fff1b 亮点有: ...
- 敏捷开发与Scrum
敏捷开发以用户的需求进化为核心,采用迭代.循序渐进的方法进行软件开发.在敏捷开发中,软件项目在构建初期被切分成多个子项目,各个子项目的成果都经过测试,具备可视.可集成和可运行使用的特征.换言之,就是把 ...
- Swift 中的闭包与 C 和 Objective-C中的 blocks 以及其它一些编程语言中的 lambdas 比較类似。
闭包是功能性自包括模块,能够在代码中被传递和使用. Swift 中的闭包与 C 和 Objective-C中的 blocks 以及其它一些编程语言中的 lambdas 比較相似. 闭包能够 捕获 和 ...
- Android 圆角输入框
draweable文件下建立一个名字为shape的XML文件: <shape xmlns:android="http://schemas.android.com/apk/r ...
- 使用Dockerfile文件构建基于centOS系统的nodejs镜像
实际示例: [root@node01 node]# ls dev-web dev-web.tar.gz Dockerfile node-v8.14.0-linux-x64.tar.gz package ...
- windows 7 提示缺少D3DCOMPILER_47.dll的正确解决方法
下载 KB4019990补丁 我上传一下吧. 点击下载