寫過很多關於SharePoint 2013 安裝,這是第四篇。可能你會覺得為什么如此簡單的安裝至於花那么多精力去折騰嗎。我的答案是肯定的。知識的積累不是一蹴而就的,而是循序漸進的去學習,每一個階段都有獨立的思考,於是乎第四篇SharePoint 2013的安裝記錄就誕生了,這邊文章我想和大家分享怎樣讓SharePoint Farm的安全性得到提升。
以上是我前三篇安裝SharePoint 2013的博文。我敢肯定的是上述三篇文章都是我親自實踐過的,而且安裝步驟都是我邊執行便記錄,所以Step By Step絕對是行的通的。
還有我想聲明一點是,第四篇安裝記錄是對前三篇的提升,只是完善了一些沒有考慮到的問題。並不是完全詳細的步驟(比如加域,加入入站規則等)。詳細步驟請查看之前博文。
SharePoint 2013 Farm拓撲用於生產環境主要有二層和三層拓撲,詳情見MSDN
http://technet.microsoft.com/zh-cn/library/ee805948(v=office.15).aspx
三層拓撲圖
- 可將 Web 服務器添加到 Web 層。這些服務器可以配置為傳統 Web 服務器以處理用戶請求,也可以配置為承載專用查詢組件或其他服務組件。
- 可將場服務器添加到應用層,並將這些服務器配置為專用服務器,用於承載SharePoint 管理中心網站,或承載服務器場中需要專用資源或與 Web 層隔離的其他服務(例如爬網組件、查詢組件和配置文件頁)。
- 可將數據庫服務器添加到數據庫層,以實現獨立實例、數據庫鏡像或故障轉移群集。如果要配置服務器場使之具有高可用性,則在數據庫層需要數據庫鏡像或故障轉移群集。
雙層拓撲圖
雙層拓撲圖屬於中型架構(適用於10000人以下的企業)。比起單層的拓撲結構,它的好處是將DB和Web進行了分離,也就是說Web Role和Application Role在同一台服務器上,DB在另一台服務器上,屬於中型Farm。
簡單了解了SharePoint 2013的拓撲后(詳細拓撲見文章后附件),接下來就是本文的重點,一個經常被忽視的問題,即SharePoint的安全策略(你是否還是一個Domain\Administrator帳號到處用?)。
中等級別的安全策略
中等級別的安全策略是安裝SharePoint最佳實踐之一.通過賦予每個賬戶較低的權限,你能有效限制黑客獲取賬戶后對系統的攻擊損壞。同時也是遵守安裝SharePoint 2013最低權限(least-privilege)契約。具體細節詳見如下
Sql Server Installation
| Name |
Description |
Local Rights |
Domain Rights |
| SQL_Admin |
SQL Server Administrator。用來安裝SQL Server。 |
SQL Server服務器本地管理員(Local Administrator) |
域用戶(Domain User) |
| SQL_Services |
SQL Server services: MSSQLSERVER 和SQLSERVERAGENT的Services Account |
無 |
域用戶 |
SQL_Admin:這是SQL Server Administrator,它需要賦予本地管理員的權限去安裝SQL Server。
SQL_Services:這個賬號不需要任何本地權限,只需要能運行SQL Server Agent 和 Database Engine windows services。
SharePoint 2013 Installation
| Name |
Description |
Local Rights |
Domain Rights |
| SP_Farm |
此SharePoint Farm Service Account用來執行如下任務:
-配置和管理服務器場
-是 SharePoint Central Administration的應用程序池標識賬戶。
-運行Microsoft SharePoint Foundation Workflow Timer Service.
|
需要在Sql Server(安裝的實例)添加此登陸名,並授予SecurityAdmin 和DB_Creator權限 |
域用戶 |
| SP_Admin |
此SharePoint Farm Service Account用來執行如下任務: -安裝 -SharePoint 產品配置向導(SharePoint Product Configuration Wizard) |
1.所有SharePoint Server上賦予本地管理員權限。2.需要在Sql Server(安裝的實例)添加此登陸名,並授予SecurityAdmin 和DB_Creator權限 |
域用戶 |
| SP_Pool |
此賬戶用來運行Web Application Pool |
無 |
域用戶 |
| SP_Services |
此賬戶用來運行 Service Application Pool |
無 |
域用戶 |
SP_Admin 是一個域賬戶用來安裝和配置SharePoint 2013。並且此賬戶用於運行SharePoint Product Configuration Wizard(SharePoint產品配置向導)。而且SP Admin賬戶是SharePoint Installation唯一一個賬戶需要本地管理員權限。為了配置SPAdmin有最小的權限,同樣需要為SQL SERVER 實例添加此登陸賬戶,並為其分配 securityadmin和 dbcreator角色。
SP_Farm 是一個域賬戶用來運行SharePoint Timer Service。是Central Administrator Web Application的應用程序池標識,用來連接訪問SharePoint內容數據庫。SP_Farm不需要本地管理員。SharePoint 配置向導會自動授予此賬戶在SQL Server最小的權限(securityadmin 和dbcreator角色)
SP_Pool 是一個域賬戶被用來標識應用程序池。比如你創建了一個WebApplication並為它創建了一個Pool,你可以選擇此賬戶。
SP_Services 是一個域賬戶被用來運行Service Applications Pools。比如你創建了Managed Metadata Server Application(托管元數據應用程序)並為它創建了一個Pool。那么你可以選擇此賬戶。
少年,來實現吧
下面是一些操作界面,我不會Step By Step去演示(你可以翻閱我之前的安裝指南),我只會說明需要在哪兒去實現這些操作。
- 怎樣建立SharePoint Domain Service Account
進入域服務器-à編輯用戶和計算機-à加入如下賬戶
- 怎樣將某個賬戶加入本地Administrator管理組
Windows Server 2012/Windows Server 2008在開始菜單搜索"Edit local users and groups(編輯本地用戶和組)"
- 怎樣加入用戶至本地Administrator組
- 怎樣安裝SQL Server
使用上面已經加入本地Administrators組的SQL_Admin登錄DB Server,安裝SQL Server
選擇要安裝的功能
指定賬戶運行SQL Server Service
指定SQL Server Administrator
- 怎樣賦予SharePoint Admin帳號具有DB_Creator和SecurityAdmin角色
- 怎樣設置數據庫服務器最大並行度(Max Degree of Parallelism)
詳情參見:http://technet.microsoft.com/zh-cn/library/ms189094.aspx
SharePoint 2013 安裝注意事項
- 怎樣指定帳號去管理SharePoint Farm和配置Content DB
- 怎樣在SharePoint中注冊Managed Accounts
在運行場配置向導中,使用已經注冊過的Service Account去運行Service Application Pool
默認第一次運行場配置向導會創建WebApplication-80。我發現這個WebApplication的創建並沒有讓我們自己去選擇一個Service Account。而是默認使用了和Service Application Pool相同的帳號,你可以在如下界面進行更改:SharePont 2013管理中心-à安全-à配置服務帳號
點擊每個Service Account即可看到SharePoint服務器場中具體使用情況
總結
SharePoint的安裝確實很簡單,但若要考慮最佳實踐以及在不同拓撲下的實施,這確實是一件需要細細捉摸的事。希望這篇文章能幫助到你。