寫過很多關于SharePoint 2013 安裝，這是第四篇。可能你會覺得為什么如此簡單的安裝至于花那么多精力去折騰嗎。我的答案是肯定的。知識的積累不是一蹴而就的，而是循序漸進的去學習，每一個階段都有獨立的思考，于是乎第四篇SharePoint 2013的安裝記錄就誕生了，這邊文章我想和大家分享怎樣讓SharePoint Farm的安全性得到提升。

• 利用AutoSPSourceBuilder和Autospinstaller自動安裝SharePoint Server 2013圖解教程——Part 1
• 利用AutoSPSourceBuilder和Autospinstaller自動安裝SharePoint Server 2013圖解教程——Part 2
• SharePoint 2013 Farm 安裝指南——構建一個雙層SharePoint Farm

以上是我前三篇安裝SharePoint 2013的博文。我敢肯定的是上述三篇文章都是我親自實踐過的，而且安裝步驟都是我邊執行便記錄，所以Step By Step絕對是行的通的。

還有我想聲明一點是，第四篇安裝記錄是對前三篇的提升，只是完善了一些沒有考慮到的問題。并不是完全詳細的步驟（比如加域，加入入站規則等）。詳細步驟請查看之前博文。

SharePoint 2013 Farm拓撲用于生產環境主要有二層和三層拓撲，詳情見MSDN

http://technet.microsoft.com/zh-cn/library/ee805948(v=office.15).aspx

三層拓撲圖

?

• 可將 Web 服務器添加到 Web 層。這些服務器可以配置為傳統 Web 服務器以處理用戶請求，也可以配置為承載專用查詢組件或其他服務組件。
• 可將場服務器添加到應用層，并將這些服務器配置為專用服務器，用于承載SharePoint 管理中心網站，或承載服務器場中需要專用資源或與 Web 層隔離的其他服務（例如爬網組件、查詢組件和配置文件頁）。
• 可將數據庫服務器添加到數據庫層，以實現獨立實例、數據庫鏡像或故障轉移群集。如果要配置服務器場使之具有高可用性，則在數據庫層需要數據庫鏡像或故障轉移群集。

雙層拓撲圖

?

雙層拓撲圖屬于中型架構（適用于10000人以下的企業）。比起單層的拓撲結構，它的好處是將DB和Web進行了分離，也就是說Web Role和Application Role在同一臺服務器上，DB在另一臺服務器上，屬于中型Farm。

簡單了解了SharePoint 2013的拓撲后（詳細拓撲見文章后附件），接下來就是本文的重點，一個經常被忽視的問題，即SharePoint的安全策略（你是否還是一個Domain\Administrator帳號到處用？）。

中等級別的安全策略

中等級別的安全策略是安裝SharePoint最佳實踐之一.通過賦予每個賬戶較低的權限，你能有效限制黑客獲取賬戶后對系統的攻擊損壞。同時也是遵守安裝SharePoint 2013最低權限（least-privilege）契約。具體細節詳見如下

Sql Server Installation

Name

Description

Local Rights

Domain Rights

SQL_Admin	SQL Server Administrator。用來安裝SQL Server。	SQL Server服務器本地管理員(Local Administrator)	域用戶（Domain User）
SQL_Services	SQL Server services: MSSQLSERVER 和SQLSERVERAGENT的Services Account	無	域用戶

SQL_Admin:這是SQL Server Administrator,它需要賦予本地管理員的權限去安裝SQL Server。

SQL_Services:這個賬號不需要任何本地權限，只需要能運行SQL Server Agent 和 Database Engine windows services。

SharePoint 2013 Installation

Name

Description

Local Rights

Domain Rights

SP_Farm	此SharePoint Farm Service Account用來執行如下任務： -配置和管理服務器場 -是 SharePoint Central Administration的應用程序池標識賬戶。 -運行Microsoft SharePoint Foundation Workflow Timer Service.	需要在Sql Server（安裝的實例）添加此登陸名，并授予SecurityAdmin 和DB_Creator權限	域用戶
SP_Admin	此SharePoint Farm Service Account用來執行如下任務： -安裝 -SharePoint 產品配置向導（SharePoint Product Configuration Wizard）	1.所有SharePoint Server上賦予本地管理員權限。2.需要在Sql Server（安裝的實例）添加此登陸名，并授予SecurityAdmin 和DB_Creator權限	域用戶
SP_Pool	此賬戶用來運行Web Application Pool	無	域用戶
SP_Services	此賬戶用來運行 Service Application Pool	無	域用戶

SP_Admin?是一個域賬戶用來安裝和配置SharePoint 2013。并且此賬戶用于運行SharePoint Product Configuration Wizard(SharePoint產品配置向導)。而且SP Admin賬戶是SharePoint Installation唯一一個賬戶需要本地管理員權限。為了配置SPAdmin有最小的權限，同樣需要為SQL SERVER 實例添加此登陸賬戶，并為其分配 securityadmin和 dbcreator角色。

SP_Farm?是一個域賬戶用來運行SharePoint Timer Service。是Central Administrator Web Application的應用程序池標識，用來連接訪問SharePoint內容數據庫。SP_Farm不需要本地管理員。SharePoint 配置向導會自動授予此賬戶在SQL Server最小的權限（securityadmin 和dbcreator角色）

SP_Pool? 是一個域賬戶被用來標識應用程序池。比如你創建了一個WebApplication并為它創建了一個Pool，你可以選擇此賬戶。

SP_Services?是一個域賬戶被用來運行Service Applications Pools。比如你創建了Managed Metadata Server Application（托管元數據應用程序）并為它創建了一個Pool。那么你可以選擇此賬戶。

少年，來實現吧

下面是一些操作界面，我不會Step By Step去演示（你可以翻閱我之前的安裝指南），我只會說明需要在哪兒去實現這些操作。

• 怎樣建立SharePoint Domain Service Account

進入域服務器-à編輯用戶和計算機-à加入如下賬戶

?

• 怎樣將某個賬戶加入本地Administrator管理組

Windows Server 2012/Windows Server 2008在開始菜單搜索"Edit local users and groups（編輯本地用戶和組）"

?

• 怎樣加入用戶至本地Administrator組

?

• 怎樣安裝SQL Server

使用上面已經加入本地Administrators組的SQL_Admin登錄DB Server，安裝SQL Server

?

選擇要安裝的功能

?

指定賬戶運行SQL Server Service

?

指定SQL Server Administrator

?

• 怎樣賦予SharePoint Admin帳號具有DB_Creator和SecurityAdmin角色

?

?

• 怎樣設置數據庫服務器最大并行度（Max Degree of Parallelism）

?

詳情參見：http://technet.microsoft.com/zh-cn/library/ms189094.aspx

SharePoint 2013 安裝注意事項

• 怎樣指定帳號去管理SharePoint Farm和配置Content DB

?

• 怎樣在SharePoint中注冊Managed Accounts

?

在運行場配置向導中，使用已經注冊過的Service Account去運行Service Application Pool

?

默認第一次運行場配置向導會創建WebApplication-80。我發現這個WebApplication的創建并沒有讓我們自己去選擇一個Service Account。而是默認使用了和Service Application Pool相同的帳號，你可以在如下界面進行更改：SharePont 2013管理中心-à安全-à配置服務帳號

?

點擊每個Service Account即可看到SharePoint服務器場中具體使用情況

?

?總結

SharePoint的安裝確實很簡單，但若要考慮最佳實踐以及在不同拓撲下的實施，這確實是一件需要細細捉摸的事。希望這篇文章能幫助到你。 附：SharePoint 2013 Topology Model

本文參與騰訊云自媒體分享計劃，歡迎正在閱讀的你也加入，一起分享。

發表于?2018-01-11

總結

以上是生活随笔為你收集整理的SharePoint 2013 Farm 安装指南——Least Privilege的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。