SharePoint 2010 Service Accounts

Je mehr SharePoint 2010 Farmen man installiert, desto mehr wird man sich der Wichtigkeit von Service Accounts bewusst. In diesem Beitrag möchte ich Ihnen einige Hilfestellungen zu dem Thema zur Verfügung stellen.

Alle Service Accounts für SharePoint und Windows Dienste sollten in einer eigenen OU (Organizational Unit) im AD (Active Directory) angelegt werden. Diese OU sollte von allen Domänen Richtlinien ausgenommen sein. In einer Windows 2008 Domäne können Sie dafür die vordefinierte OU "Managed Service Accounts" benutzen, in einer Windows 2003 Domäne einfach eine entsprechende OU anlegen. Alle Service Accounts sollten keine Domänen-Administratoren sein, sondern "nur" normale" Benutzer. Außer dem Benutzer "SPFarmService" sind die Service Accounts auch keine lokalen Administratoren auf den SharePoint Servern in der Farm. Weiter sollte das Passwort nie ablaufen und nicht vom Benutzer geändert werden können (never expire, user can’t change password). Folgende Accounts sollten i.d.R. alles abdecken:

image

Ein ausführlichere Aufstellung und Beschreibung der einzelnen Accounts finden Sie im Blog von Eric Harlan. Ich habe Ihnen die Aufstellung hier auch nochmal zum Download als PNG bereit gestellt. Nun fragen Sie sich sicher, warum so viel Service Accounts?! Hierzu hat Erich Harlan auch einen witzigen und informativen Beitrag geschrieben, in dem er Pro und Contra gegenüberstellt:

Why all these SharePoint service accounts?

Fazit: Auch dieser Artikel zeigt wieder, dass für eine Produktivumgebung nichts über eine ausführliche und intensive Planungsphase geht!

Ressourcen:
SharePoint 2010 Service Account Reference Guide
Administrative and service accounts required for initial deployment
Account permissions and security settings
SharePoint 2010 – Service Accounts (Bildquelle)

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s