Utilização de contas de serviço no SharePoint 2010

Neste post vou falar um pouco sobre boas práticas de utilização de conta de serviço para instalação e configuração de uma farm de SharePoint (2007 ou 2010), o conteúdo abaixo é apenas uma referência, pessoas, empresa e projetos tem necessidades diferentes. Quero apenas informar o mínimo recomendado. 

Para quem deseja se aprofundar um pouco mais no assunto, acabei de ver no Twitter um post muito interessante: Service Accounts and Managed Service Accounts in SharePoint 2010 

Abaixo a lista de serviços e sugestão de nome para o usuário, explicando o objetivo de cada um deles.

SQL Server: svc_sql

Conta utilizada para rodar o SQL Server, contas como Sistema, Serviço de Rede ou Serviço Local poderiam ser utilizadas, mas é uma boa prática executar o serviço utilizando uma conta de domínio. Se o servidor de SQL Server estiver em um servidor diferente do SharePoint, uma conta de domínio será obrigatória.

Setup do SharePoint: sp_admin

  • Adminstrador local de todas as máquinas da farm
  • SQL Server login com securityadmin e dbcreator

Conta que será utilizada para a instalação e configuração do SharePoint. Durante o processo de instalação, o SharePoint cria as bases de dados e logins no SQL Server e cria grupos no próprio servidor. A instalação e configuração do SharePoint usarão esse usuário para executar essas ações. Esse é o único usuário que precisa ser setado manualmente no SQL Server. O usuário que executará a instalação e configuração deverá logar nos servidores com esse usuário.

Conta farm: sp_farm

  • Permissão automática
  • Administrador local em todos os servidores de SharePoint da farm

Durante o processo de instalação e configuração o usuário de setup sp_admin configura essa conta como sendo a conta de farm do SharePoint, a qual é conta de serviço que representa a farm. A sp_farm é usada pelo SharePoint para configurar e gerenciar a farm. É a identidade utilizada pela Administração Central (application pool) e a identidade do serviço de timer. É fundamental que a conta sp_farm seja adicionada ao grupo de administradores local. O wizard de configuração do SharePoint fornece automaticamente as permissões necessárias para essa conta.

Aplicatico web e service application pools: sp_service

  • Permissão depende do service application

Cada aplicativo web é executado por uma pool de aplicativos no IIS. A identidade da pool é uma conta de usuário de domínio com permissão para acessar o conteúdo do banco de dados no SQL Server.

Service application, como a busca e Office Web Apps, também são aplicativos web. Dessa forma também utilizam pools de aplicativos que utilizam usuários de domínio.

As permissões dessas contas de pool de aplicativo são configuradas automaticamente ao configurar cada aplicativo web ou service application no SharePoint. Ao criar um aplicativo web na Administração Central ou via Power Shell, informar sempre esse usuário, assim como ao configurar as service applications.

Este item é o que mais pode variar em ambientes maiores ou mais complexos. Usuários para cada aplicativo web ou service application podem ser criados com nome personalizado. Por exemplo: sp_visio, sp_excel, sp_meusites para executar os serviços de Visio Services, Excel Services e Meus Sites respectivamente.

Crawler: sp_crawl

  • Permissão de leitura em todo o conteúdo indexado

A conta que irá executar a indexação do conteúdo. Conta que possui permissão de leitura em todo o conteúdo do SharePoint automaticamente. Para a indexação de outras fontes de conteúdo, como um diretório na rede, é necessário concecer acesso manualmente.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: