SharePoint Server 2013ファームに必要なアカウントの種類と設定

アドバンスド · ソリューション株式会社 三瀧真由美


ファーム構築前に用意するパラメータでは、アカウントを以下の3種類としていました。

・セットアップアカウント
・SQL Server サービスアカウント
・サーバーファームアカウント(データベースアクセスアカウント)

ファーム構成ウィザードを実行するところまでは、このアカウントがあれば、作業ができます。
しかし、ファームが出来てから、各種設定で必要なアカウントが他にもあります。

また、この3種類のアカウントだけのままでいると、サーバーの全体管理画面上部に赤や黄色の帯で、[Health Analyzerでエラーが記録されている]というメッセージが表示されるようになります。
ちなみに、3種類のアカウントだけの設定でも、ファームの動作に支障はありません。

ただし、本番環境として運用するファームでは、アカウントを使い分けて、セキュリティを確保することがマイクロソフトの推奨です。
そのため、コンテンツの動作を検証する場合などは、検証環境でも本番環境のアカウント設計にあわせてアカウントを設定します。

 

(1)SharePoint Serverファームで必要なアカウント

このアカウントの使い分けがSharePoint Server 2013ではより複雑になっています。
というのも、technetによると、10種類以上のアカウントが必要になるからです。
technetの記事から「権限が異なる」または「専用アカウントにすることが強く推奨されている」という条件でアカウントを整理してみました。

マイクロソフト推奨のアカウント構成

No

種類

アカウント(例)

権限

1

セットアップおよび
管理ツール操作用

sp_SVAdmin

Domain Users
ローカルAdmin
SQL Server ログイン
db_owner
dbcreator
securityadmin roles

2

SQL Server サービス用

sp_SQLService

Domain Users

3

SQL Agent サービス用

sp_SQLAgent

Domain Users

4

サーバーファーム

データベースアクセス

Sp_Farm

Domain Users

db_owner
dbcreator
securityadmin roles

5

サイトをホストするアプリケーションプール用

Sp_SiteAppPool

Domain Users

6

サービスアプリケーションをホストするアプリケーションプール用

sp_ServiceAppPool

Farm Administrators

7

検索サービス専用

sp_Search

Domain Users

8

クロール用

(コンテンツソースに

アクセスする)

sp_SearchCrawl

Domain Users

コンテンツに対する読み取り権限
UserProfileでの読み取り権限

9

プロファイル同期サービス専用

sp_UserProfile

Farm Administrators
ローカルログオン
ドメインに対するディレクトリの変更のレプリケート権限

10

オブジェクト キャッシュ用スーパーユーザー

sp_SuperUser

Domain Users

Web アプリケーションへのフル コントロール アクセス権

11

オブジェクト キャッシュ用スーパーリーダー

sp_SuperReader

Domain Users

Web アプリケーションへのすべての読み取りアクセス権

12

分散オブジェクトキャッシュサービス用

sp_SpecificUser

Domain Users

 

※アカウントについての詳細な説明
SharePoint 2013 の管理アカウントとサービス アカウントを計画する
<http://technet.microsoft.com/ja-jp/library/cc263445.aspx>

 

(2)アカウントを設定する手順

ということで、SharePointファームでは、たくさんのアカウントを使い分けることになるのですが、これらのアカウントを一括で設定できる方法は残念ながらありません。
それぞれのアカウントを設定する手順を簡単にまとめてみました。
詳細な手順はtechnetを参照してください。
※後から設定を変更できないアカウントもあるため、構築前に確認しておきましょう。

 

No.1セットアップおよび管理ツール操作用 (sp_SVAdmin)

手順:[コンピュータの管理]-[システムツール]-[ローカルユーザーとグループ]-[グループ]でAdministratorsグループに追加する。
手順詳細:メンバーをローカル グループに追加する

<https://technet.microsoft.com/ja-jp/library/cc772524.aspx>


No.2 SQL Server サービス用 (sp_SQLService)

手順:SQL Serverインストール時に設定する。

 

No.3 SQL Agent サービス用 (sp_SQLAgent)

手順:SQL Serverインストール時に設定する。

 

No.4サーバーファーム(データベースアクセス)アカウント (sp_Farm)

手順:ファーム構成ウィザードの[データベースアクセスアカウント]に設定する。
※このアカウントは後から変更はできないため、インストール時に間違いなく設定するようにしましょう!


No.5 サイトをホストするアプリケーションプール用 (sp_SiteAppPool)

手順:[サーバーの全体管理]-[セキュリティ]-[サービス アカウントの構成]で該当するアプリケーションプールのアカウントを変更する。
手順詳細:アプリケーション プールまたはサービス ID によって使用されるアカウントが、ローカル コンピューターの Administrators グループに存在する (SharePoint 2013

<https://technet.microsoft.com/ja-jp/library/hh344224.aspx>

 

No.6 サービスアプリケーションをホストするアプリケーションプール用 (sp_ServiceAppPool)

手順:[サーバーの全体管理]-[セキュリティ]-[サービス アカウントの構成]で該当するアプリケーションプールのアカウントを変更する。
手順詳細:アプリケーション プールまたはサービス ID によって使用されるアカウントが、ローカル コンピューターの Administrators グループに存在する (SharePoint 2013)

<https://technet.microsoft.com/ja-jp/library/hh344224.aspx>


No.7 検索サービス専用 (sp_Search)

手順:[サーバーの全体管理]- [セキュリティ] - [サービス アカウントの構成] でSearch Serviceのアカウントを変更する。
手順詳細:SharePoint Server 2013 で Search Service アプリケーションを作成および構成する

<https://technet.microsoft.com/ja-jp/library/gg502597.aspx>

 

No.8 クロール専用 (sp_SearchCrawl)

手順:[サーバーの全体管理]-[検索管理]画面で[既定のコンテンツアクセスアカウント]を変更する。
手順詳細:SharePoint 2013 でクロールするための既定のアカウントを変更する

<https://technet.microsoft.com/ja-jp/library/dn178512.aspx>

 

No.9 プロファイル同期接続用 (sp_UserProfile)

手順1:ドメイン コントローラーで [管理ツール]-[Active Directory ユーザーとコンピューター]-[制御の委任]から[ディレクトリの変更のレプリケート] を付与する。
手順詳細:SharePoint Server 2013 でプロファイルを同期するために Active Directory ドメイン サービスのアクセス許可を付与する
     ドメインに対するディレクトリの変更のレプリケート アクセス許可を付与する

<https://technet.microsoft.com/ja-jp/library/hh296982.aspx#RDCdomain>

手順2:[サーバーの全体管理]-[プロファイル サービスの管理]-[同期]-[同期接続]-[アカウント名]で設定する。
手順詳細:SharePoint Server 2013 でユーザーとグループのプロファイルを同期する

<https://technet.microsoft.com/ja-jp/library/ee721049.aspx>

 

No.10 オブジェクト キャッシュ用スーパーユーザー (sp_SuperUser)

手順:[サーバーの全体管理]-[アプリケーション構成の管理]-[Web アプリケーションの管理]-[Web アプリケーション]-[ポリシー]-[ユーザー ポリシー]でユーザーを追加し、権限を付与する。
手順詳細:SharePoint Server 2013 でオブジェクト キャッシュのユーザー アカウントを構成する

<https://technet.microsoft.com/ja-jp/library/ff758656.aspx>

 

No.11 オブジェクト キャッシュ用スーパーリーダー (sp_SuperReader)

手順:[サーバーの全体管理]-[アプリケーション構成の管理]-[Web アプリケーションの管理]-[Web アプリケーション]-[ポリシー]-[ユーザー ポリシー]でユーザーを追加し、権限を付与する。
手順詳細:No.10のtechnet記事を参照

No.12 分散オブジェクト キャッシュ サービス用 (sp_SpecificUser)

手順:SharePoint 管理シェル コマンド プロンプトでAppFabric キャッシュ サービスのサービス アカウントとして設定する。
手順詳細:分散キャッシュ サービスを管理する (SharePoint Server 2013)
     サービスアカウントを変更する

<https://technet.microsoft.com/ja-jp/library/jj219613.aspx#changesvcacct>


(3)各種アカウントのパスワード変更

上記のアカウントは1の操作アカウントを除いて、システムが使用します。
パスワード変更後に数分のダウンタイムが発生するアカウントなどもあるため、変更作業の時間帯に注意し、パスワード変更の手順は事前に確認しておきましょう。

SharePoint Server 2013では、システムが使うアカウントのパスワードを自動で変更する機能があります。
その機能を使うことも1つの方法ですが、以下の点に注意してください。

・パスワードの自動変更はSharePoint Serverのアカウントのみが対象のため、操作アカウントやSQL Serverのアカウントは自動変更の対象外です。別の方法で変更しましょう。

・自動変更されたパスワードは通知されません。そのため、どのようなパスワードが設定されたかはわかりません。

・自動変更に失敗した場合も通知されません。

 

※アカウントのパスワード変更についてのtechnet
SharePoint 2013 でサービスと機能のアカウント パスワードを最新に保つ
<https://technet.microsoft.com/ja-jp/library/cc262502.aspx>
    

※パスワード自動変更についてのtechnet
SharePoint 2013 でパスワードの自動変更を計画する
<https://technet.microsoft.com/ja-jp/library/ff724278.aspx>

SharePoint 2013 でのパスワードの自動変更の構成
<https://technet.microsoft.com/ja-jp/library/ff724280.aspx>