Un compte de service est un simple compte utilisateur créé dans l’annuaire Active Directory servant à exécuter les services créés lors de l’installation de logiciels serveur comme SQL Server et SharePoint Foundation. Cette méthode permet :
- De limiter les droits de ces comptes aux seuls besoins nécessaires au contexte d’exécution des services
- De créer des audits de compte afin de vérifier leur activité
Pour installer convenablement les différents produits d’une ferme SharePoint, vous devez créer certains comptes de services, comme la plupart des produits serveur. L’exemple fourni ci-dessous est purement indicatif car d’autres scénarios et conventions de nomenclature sont envisageables.
Type de compte |
Nom du compte |
Services SQL |
svc_Sqlsvc |
Compte d’installation SQL Server |
svc_Sqlinstall |
Compte d’exécution du pool IIS du site d’administration centrale et des services système SharePoint |
svc_Spfarm |
Compte d’exécution du pool IIS de l’application web du site de l’intranet |
svc_SpContentPool |
Compte d’exécution du service de recherche |
svc_SpSearch |
Service contrôleur d’hôte de recherche |
svc_SpSearchHost |
Compte d’accès au contenu pour l’index |
svc_SpIndex |
Compte d’exécution de l’application de service d’émission de jeton de sécurité |
svc_SpSectoken |
Compte d’exécution de l’application de service BDC |
svc_SpBdc |
Compte d’exécution du service de code en mode bac à sable |
svc_SpSandboxsvc |
Compte d’exécution du service d’émission de jetons de revendications vers Windows |
svc_Spclaimssvc |
Compte d’exécution du service cache distribué |
svc_Spcachesvc |
Vous choisirez ici d’utiliser le même compte pour tous les services SQL Server. Mais dans des environnements plus conséquents, il est de bonne pratique de créer un compte par service et par instance.
Le compte d’accès au contenu pour le service de recherche est un compte du domaine AD ayant au minimum un accès en lecture au contenu du portail. Le compte d’exécution du service de code en mode bac à sable qui sert à démarrer le service SharePoint User Code Host doit être inclus dans le groupe local Utilisateurs de l’analyseur de performance du serveur SharePoint. En effet, ce compte doit avoir accès à certains compteurs de performance, sans quoi le service ne pourra pas démarrer et des messages d’erreur avec l’ID 7031 dans le journal des événements système apparaîtront périodiquement lors de la tentative de démarrage du service (en mode automatique).
Reste à utiliser un compte de service supplémentaire lors de l’exécution de l’installation de SQL Server. Ce compte peut être un compte d’administrateur local de la machine dans un environnement simple mais des droits particuliers lui seront attribués dans SQL Server (une connexion sera créée sur le serveur SQL et cette connexion se verra affecter les rôles dbcreator et securityadmin). La bonne pratique veut qu’un compte de service dédié soit utilisé (il doit être ajouté dans le groupe des administrateurs locaux du serveur SharePoint).
Ces comptes seront de préférence créés dans une unité organisationnelle distincte de l’annuaire. Les comptes de service auront deux caractéristiques particulières. Lors de leur création, via la console AD Utilisateurs et Ordinateurs, veillez à cocher les cases L’utilisateur ne peut pas changer de mot de passe et Le mot de passe n’expire jamais.
Les comptes de service SharePoint ne nécessitent pas que ces deux options soient activées lors de leur création car le produit comporte une fonctionnalité appelée Comptes gérés. Le principe est la déclaration de ces comptes de service dans SharePoint qui peut alors gérer pour l’administrateur le changement de mot de passe selon une planification personnalisée. Le tout est réalisé via le site web d’administration centrale de la batterie :
- Enregistrement des comptes de service que SharePoint doit gérer.
- Activation de la génération planifiée de nouveaux mots de passe.
- Affectation de chaque compte à un service, un pool d’applications web.
Joris