SharePoint 2013–unbeaufsichtigte Installation – 2


Nachdem im ersten Teil der Dokumentation die erforderliche Vorbereitung auf dem Betriebssystem des SharePoint Server 2013 durchgeführt wurden, soll im jetzigen Teil 2 die erforderlichen Schritte zur Einrichtung der Benutzeraccounts im AD dargestellt werden. Dazu werden im AD, am besten in einer eigenen OU, die Accounts angelegt. Man kann trefflich darüber diskutieren, ob man wirklich so viele Accounts benötigt oder nicht. Ich selbst versuche mich in der Nutzung der Accounts soweit einzuschränken, dass sich eine Administration noch umsetzen lässt, die Sicherheit jedoch auch noch gewährleistet ist und nicht im schlimmsten Fall, mit dem Domänenadministrator installiert wird.

Die für die Installation, die Verbindung zum AD, zum MS SQL Server, die Suche und die einzusetzenden Service Application und Application Pool Accounts sind im Vorfeld im AD anzulegen. Dazu macht es auf jeden Fall Sinn, sich eine eindeutige Namenskonvention und eine eigene OU anzulegen.

 

clip_image001[5]

 

Für folgende Benutzer sind spezielle Berechtigungen auf dem SharePoint Server bzw. im MS SQL Server einzurichten.

 

SP_ProfileSync

  • Verzeichnisänderungen replizieren

Dazu ist die MMC „Benutzer und Computer“ auf dem Domänencontroller oder dem administrativen PC mit den installierten RSAT Tools zu öffnen und zum Zweig der anzupassenden Domäne zu wechseln.

clip_image001[16]

Danach ist das Objekt <Domäne> mit der rechten Maustaste anzuklicken und im dortigen Kontextmenü die Funktion „Objektverwaltung“ aufzurufen.

Es erscheint der Assistent zum Zuweisen der Objektverwaltung.

clip_image002[16]

Im Assistent geht es zunächst „Weiter>“. Im folgenden Dialog erfolgt die Auswahl des Accounts, der bei der späteren Konfiguration des Benutzerprofildienstes im Bereich Synchronisationsverbindung genutzt werden soll, um die Benutzerprofildaten aus dem Active Directory zu synchronisieren.

clip_image003[16]

Danach geht es „Weiter>“

Im folgenden Dialogabschnitt wird die Option „Benutzerdefinierte Aufgaben zum Zuweisen erstellen“ gewählt.

clip_image004[16]

Danach geht es „Weiter>“

Im Dialog zur Auswahl des Active Directory-Objektyp wird die Option „Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekten in diesem Ordner“ gewählt.

clip_image005[16]

Danach geht es „Weiter>“

Im Dialogabschnitt Berechtigungen werden die Optionen „Allgemein“ für die anzuzeigenden Berechtigungen gewählt und in den angezeigten Berechtigungen die Berechtigung „Verzeichnisänderungen replizieren“ aktiviert.

clip_image006[16]

Danach geht es „Weiter>“

Es folget der letzte Schritt im Assistenten, die Zusammenfassung und Bestätigung der eingestellten Änderungen.

clip_image007[16]

Mit Klick auf „Fertigstellen“ wird die Änderung übernommen.

Hinweis für Domänenadministratoren: Mit dieser Änderung wird kein Sicherheitsloch in des AD gebohrt. Es handelt sich einzig um die Erlaubnis für den einzelnen Benutzer, der im AD zur Benutzerprofilsynchronisation eingesetzt werden soll, im AD nach Benutzerprofilinformationen zu suchen, diese zu Sammeln und an den Benutzerprofildienst des SharePoint Servers zu übergeben. Auch handelt es sich nur um eine lesende Berechtigung.

An dieser Stelle sei auf folgende Sonderkonstellation verwiesen:

Der Domänenname unterscheidet sich vom NetBIOS Name der Domäne. Für diesen Fall sind weitere Schritte erforderlich, die eine korrekte Synchronisation der Benutzerprofilinformationen aus dem AD ermöglichen. Der folgende Artikel beschreibt im Abschnitt

<http://blogs.msdn.com/b/russmax/archive/2010/03/20/sharepoint-2010-provisioning-user-profile-synchronization.aspx>

Permission requirements: Domain netbios name is different than the FQDN of the domain

die nötige Schritte.

Die im MSDN Blog beschriebenen Schritte der Verwendung der Powershellbefehle zur Ermittlung der ID des Benutzerprofildienstes und des Einschaltens der Verwendung von NetBIOS Names können hierbei übersprungen werden, da bei Verwendung der GUI für AutoSPInstaller dies als einzuschaltende Option vorgesehen ist.

Sp_Install

  • Mitglied in „Lokale Administratoren“ auf dem Windows Server, der als SharePoint Server installiert werden wird.

Der Benutzer sp_Install wird zur Installation der SharePoint Umgebung auf dem jeweiligen Server genutzt. Damit der Benutzer entsprechende Dienst installieren und Starten kann, ist es erforderlich, den Benutzer in die Gruppe der lokalen Administratoren aufzunehmen.

Sp_Install

Sp_Farm

  • Serverrollen auf dem MS SQL Server

Dbcreator, Securityadmin

clip_image008[16]

Diese Rollenzuweisung auf dem SQL Server werden benötigt, damit im Benutzerkontext dieser Benutzer später weitere Datenbanken und Berechtigungen auf den Datenbanken für andere Serviceaccounts angelegt werden können.

SP_AppPool01

SP_CacheSuperAdmin

SP_CacheSuperReader

SP_ExcelUser

SP_Farm

SP_Install

SP_MySiteAppPool

SP_PerfPointUser

SP_ProfileSync

SP_SearchContent

SP_SearchService

SP_Services

SP_VisioUser

  • Domänenbenutzer

Zusätzliche Rollen und Berechtigungen werden durch die Installation und spätere Verwendung vergeben

Advertisements

I am an independent IT Consultant focussing an Microsoft based technologies, mainly MS SharePoint MS Active Directory MS Office365 Training

Tagged with:
Veröffentlicht in SharePoint

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Follow IM-consult.net on WordPress.com

Um neue Beiträge per E-Mail zu erhalten, hier die E-Mail-Adresse eingeben.

Schließe dich 11 Followern an

Posts
Dezember 2012
M D M D F S S
« Nov   Mrz »
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d Bloggern gefällt das: