La gestion des comptes de service sous SharePoint

    Un compte de service est un simple compte utilisateur créé dans l’annuaire Active Directory servant à exécuter les services créés lors de l’installation de logiciels serveur comme SQL Server et SharePoint Foundation. Cette méthode permet :

    • De limiter les droits de ces comptes aux seuls besoins nécessaires au contexte d’exécution des services
    • De créer des audits de compte afin de vérifier leur activité

    Pour installer convenablement les différents produits d’une ferme SharePoint, vous devez créer certains comptes de services, comme la plupart des produits serveur.L’exemple fourni ci-dessous est purement indicatif car d’autres scénarios et conventions de nomenclature sont envisageables.

     

    Type de compte

    Nom du compte

    Services SQL

    svc_Sqlsvc

    Compte d’installation SQL Server

    svc_Sqlinstall

    Compte d’exécution du pool IIS du site d’administration centrale et des services système SharePoint

    svc_Spfarm

    Compte d’exécution du pool IIS de l’application web du site de l’intranet

    svc_SpContentPool

    Compte d’exécution du service de recherche

    svc_SpSearch

    Service contrôleur d’hôte de recherche

    svc_SpSearchHost

    Compte d’accès au contenu pour l’index

    svc_SpIndex

    Compte d’exécution de l’application de service d’émission de jeton de sécurité

    svc_SpSectoken

    Compte d’exécution de l’application de service BDC

    svc_SpBdc

    Compte d’exécution du service de code en mode bac à sable

    svc_SpSandboxsvc

    Compte d’exécution du service d’émission de jetons de revendications vers Windows

    svc_Spclaimssvc

    Compte d’exécution du service cache distribué

    svc_Spcachesvc

     

    Vous choisirez ici d’utiliser le même compte pour tous les services SQL Server. Mais dans des environnements plus conséquents, il est de bonne pratique de créer un compte par service et par instance.

    Le compte d’accès au contenu pour le service de recherche est un compte du domaine AD ayant au minimum un accès en lecture au contenu du portail. Le compte d’exécution du service de code en mode bac à sable qui sert à démarrer le service SharePoint User Code Host doit être inclus dans le groupe local Utilisateurs de l’analyseur de performance du serveur SharePoint. En effet, ce compte doit avoir accès à certains compteurs de performance, sans quoi le service ne pourra pas démarrer et des messages d’erreur avec l’ID 7031 dans le journal des événements système apparaîtront périodiquement lors de la tentative de démarrage du service (en mode automatique).

    Reste à utiliser un compte de service supplémentaire lors de l’exécution de l’installation de SQL Server. Ce compte peut être un compte d’administrateur local de la machine dans un environnement simple mais des droits particuliers lui seront attribués dans SQL Server (une connexion sera créée sur le serveur SQL et cette connexion se verra affecter les rôles dbcreator et securityadmin). La bonne pratique veut qu’un compte de service dédié soit utilisé (il doit être ajouté dans le groupe des administrateurs locaux du serveur SharePoint).

    Ces comptes seront de préférence créés dans une unité organisationnelle distincte de l’annuaire. Les comptes de service auront deux caractéristiques particulières. Lors de leur création, via la console AD Utilisateurs et Ordinateurs, veillez à cocher les cases L’utilisateur ne peut pas changer de mot de passe et Le mot de passe n’expire jamais.

    Les comptes de service SharePoint ne nécessitent pas que ces deux options soient activées lors de leur création car le produit comporte une fonctionnalité appelée Comptes gérés. Le principe est la déclaration de ces comptes de service dans SharePoint qui peut alors gérer pour l’administrateur le changement de mot de passe selon une planification personnalisée. Le tout est réalisé via le site web d’administration centrale de la batterie :

    • Enregistrement des comptes de service que SharePoint doit gérer.
    • Activation de la génération planifiée de nouveaux mots de passe.
    • Affectation de chaque compte à un service, un pool d’applications web.

     

    Joris



    Leave your comments

    Post comment as a guest

    0
    Your comments are subject to administrator's moderation.
      • No comments found

      Menu principal