SharePoint 2013 Farm 安装指南——Least Privilege

zzl001

　　写过很多关于SharePoint 2013 安装，这是第四篇。可能你会觉得为什么如此简单的安装至于花那么多精力去折腾吗。我的答案是肯定的。知识的积累不是一蹴而就的，而是循序渐进的去学习，每一个阶段都有独立的思考，于是乎第四篇SharePoint 2013的安装记录就诞生了，这边文章我想和大家分享怎样让SharePoint Farm的安全性得到提升。

• 
  利用AutoSPSourceBuilder和Autospinstaller自动安装SharePoint Server 2013图解教程——Part 1
  
• 
  利用AutoSPSourceBuilder和Autospinstaller自动安装SharePoint Server 2013图解教程——Part 2
  
• 
  SharePoint 2013 Farm 安装指南——构建一个双层SharePoint Farm
  

　　以上是我前三篇安装SharePoint 2013的博文。我敢肯定的是上述三篇文章都是我亲自实践过的，而且安装步骤都是我边执行便记录，所以Step By Step绝对是行的通的。
　　还有我想声明一点是，第四篇安装记录是对前三篇的提升，只是完善了一些没有考虑到的问题。并不是完全详细的步骤（比如加域，加入入站规则等）。详细步骤请查看之前博文。
　　SharePoint 2013 Farm拓扑用于生产环境主要有二层和三层拓扑，详情见MSDN
　　http://technet.microsoft.com/zh-cn/library/ee805948(v=office.15).aspx
三层拓扑图

• 可将 Web 服务器添加到 Web 层。这些服务器可以配置为传统 Web 服务器以处理用户请求，也可以配置为承载专用查询组件或其他服务组件。
  
• 可将场服务器添加到应用层，并将这些服务器配置为专用服务器，用于承载SharePoint 管理中心网站，或承载服务器场中需要专用资源或与 Web 层隔离的其他服务（例如爬网组件、查询组件和配置文件页）。
  
• 可将数据库服务器添加到数据库层，以实现独立实例、数据库镜像或故障转移群集。如果要配置服务器场使之具有高可用性，则在数据库层需要数据库镜像或故障转移群集。
  

　　
双层拓扑图

　　双层拓扑图属于中型架构（适用于10000人以下的企业）。比起单层的拓扑结构，它的好处是将DB和Web进行了分离，也就是说Web Role和Application Role在同一台服务器上，DB在另一台服务器上，属于中型Farm。
　　简单了解了SharePoint 2013的拓扑后（详细拓扑见文章后附件），接下来就是本文的重点，一个经常被忽视的问题，即SharePoint的安全策略（你是否还是一个Domain\Administrator帐号到处用？）。
中等级别的安全策略

　　中等级别的安全策略是安装SharePoint最佳实践之一.通过赋予每个账户较低的权限，你能有效限制黑客获取账户后对系统的攻击损坏。同时也是遵守安装SharePoint 2013最低权限（least-privilege）契约。具体细节详见如下

　　
　　Sql Server Installation

Name	Description	Local Rights	Domain Rights
SQL_Admin	SQL Server Administrator。用来安装SQL Server。	SQL Server服务器本地管理员(Local Administrator)	域用户（Domain User）
SQL_Services	SQL Server services: MSSQLSERVER 和SQLSERVERAGENT的Services Account	无	域用户

　　SQL_Admin:这是SQL Server Administrator,它需要赋予本地管理员的权限去安装SQL Server。
　　SQL_Services:这个账号不需要任何本地权限，只需要能运行SQL Server Agent 和 Database Engine windows services。
　　SharePoint 2013 Installation

Name	Description	Local Rights	Domain Rights
SP_Farm	此SharePoint Farm Service Account用来执行如下任务： -配置和管理服务器场 -是 SharePoint Central Administration的应用程序池标识账户。 -运行Microsoft SharePoint Foundation Workflow Timer Service.	需要在Sql Server（安装的实例）添加此登陆名，并授予SecurityAdmin 和DB_Creator权限	域用户
SP_Admin	此SharePoint Farm Service Account用来执行如下任务： 　　-安装 　　-SharePoint 产品配置向导（SharePoint Product Configuration Wizard）	1.所有SharePoint Server上赋予本地管理员权限。2.需要在Sql Server（安装的实例）添加此登陆名，并授予SecurityAdmin 和DB_Creator权限	域用户
SP_Pool	此账户用来运行Web Application Pool	无	域用户
SP_Services	此账户用来运行 Service Application Pool	无	域用户

　　SP_Admin 是一个域账户用来安装和配置SharePoint 2013。并且此账户用于运行SharePoint Product Configuration Wizard(SharePoint产品配置向导)。而且SP Admin账户是SharePoint Installation唯一一个账户需要本地管理员权限。为了配置SPAdmin有最小的权限，同样需要为SQL SERVER 实例添加此登陆账户，并为其分配 securityadmin和 dbcreator角色。
　　SP_Farm 是一个域账户用来运行SharePoint Timer Service。是Central Administrator Web Application的应用程序池标识，用来连接访问SharePoint内容数据库。SP_Farm不需要本地管理员。SharePoint 配置向导会自动授予此账户在SQL Server最小的权限（securityadmin 和dbcreator角色）
　　
　　SP_Pool 是一个域账户被用来标识应用程序池。比如你创建了一个WebApplication并为它创建了一个Pool，你可以选择此账户。
　　SP_Services 是一个域账户被用来运行Service Applications Pools。比如你创建了Managed Metadata Server Application（托管元数据应用程序）并为它创建了一个Pool。那么你可以选择此账户。
少年，来实现吧
　　下面是一些操作界面，我不会Step By Step去演示（你可以翻阅我之前的安装指南），我只会说明需要在哪儿去实现这些操作。

• 怎样建立SharePoint Domain Service Account
  

　　进入域服务器-à编辑用户和计算机-à加入如下账户
　　

• 怎样将某个账户加入本地Administrator管理组
  

　　Windows Server 2012/Windows Server 2008在开始菜单搜索"Edit local users and groups（编辑本地用户和组）"

• 怎样加入用户至本地Administrator组
  

• 怎样安装SQL Server
  

　　使用上面已经加入本地Administrators组的SQL_Admin登录DB Server，安装SQL Server

　　选择要安装的功能

　　指定账户运行SQL Server Service

　　指定SQL Server Administrator

• 怎样赋予SharePoint Admin帐号具有DB_Creator和SecurityAdmin角色
  

　　

• 怎样设置数据库服务器最大并行度（Max Degree of Parallelism）
  

　　详情参见：http://technet.microsoft.com/zh-cn/library/ms189094.aspx
SharePoint 2013 安装注意事项

• 怎样指定帐号去管理SharePoint Farm和配置Content DB
  

• 怎样在SharePoint中注册Managed Accounts
  

　　在运行场配置向导中，使用已经注册过的Service Account去运行Service Application Pool

　　

　　默认第一次运行场配置向导会创建WebApplication-80。我发现这个WebApplication的创建并没有让我们自己去选择一个Service Account。而是默认使用了和Service Application Pool相同的帐号，你可以在如下界面进行更改：SharePont 2013管理中心-à安全-à配置服务帐号

　　点击每个Service Account即可看到SharePoint服务器场中具体使用情况

　　
总结

　　SharePoint的安装确实很简单，但若要考虑最佳实践以及在不同拓扑下的实施，这确实是一件需要细细捉摸的事。希望这篇文章能帮助到你。
　　附：SharePoint 2013 Topology Model