GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Cuentas de Servicio para SharePoint 2013


Una de las primeras cosas que tenemos que hacer antes de realizar una Instalación y Configuración de SharePoint 2013, es solicitar (o crear nosotros mismos, sí es que tenemos posibilidad de ello), todas las cuentas de servicio que vamos a necesitar para poder realizar nuestra Instalación de SharePoint 2013. Si bien, la identificación de las cuentas de servicio a utilizar, es una cuestión de diseño que puede requerir un profundo análisis previo, en el presente artículo vamos incluir una propuesta genérica que puede utilizarse como punto de partida.

Cuentas para Instalar y Crear la Granja de SharePoint 2013

Lo primero, comentar que esta recomendación es válida, tanto para SharePoint 2013, como para versiones previas del producto como SharePoint 2010 y SharePoint 2007.

Para poder realizar la instalación de SharePoint en cada uno de los servidores (excepto de SQL Server, que es otro tema), tanto de los pre-requisitos como del resto del software (ej: SharePoint, Language Packs, Service Packs, Cumulative Updates, etc.), así como para crear la Granja de SharePoint, es decir, ejecutar el Asistente de Configuración o el psconfig.exe, necesitaremos disponer de las siguientes cuentas (recomendablemente). De hecho, sino tenemos claro el resto de cuentas, podemos ir pidiendo estas cuentas y empezar la instalación y configuración de la Granja, mientras continuamos pensando en el resto de cuentas que vamos a utilizar (el mundo de la Consultoría, no da para perder el tiempo ;-).

  • Setup user account (ej: GUILLESQL\sp_setup). También podemos llamarla la cuenta de Instalación/Configuración. Esta es la cuenta que se utilizará para realizar la instalación y configuración de Granja de SharePoint.  Debe ser Administrador Local de todos los servidores SharePoint 2013, y además debe ser miembro de los roles securityadmin y dbcreator en SQL Server. Adicionalmente, es recomendable que sea miembro del rol db_owner en la base de datos MODEL, para que pueda heredar estos permisos en las futuras bases de datos nuevas que se creen en la Instancia SQL.
  • Server farm account or database access account (ej: GUILLESQL\sp_farm). También podemos llamarla la cuenta de servicio de la Granja. Es la cuenta que especificaremos al crear la Granja (utilizando el Asistente de Configuración, el psconfig.exe, o PowerShell), la cual, levantará los Servicios y Web Services básicos de SharePoint (de ahí lo de Farm Account). También es conocida como Database Access Account, porque al crear la Granja, esta cuenta se utilizará como cuenta de servicio que será empleada para acceder a la Base de Datos de Configuración, etc.

Quería dejar claro que la cuenta de Instalación/Configuración, no debe ser utilizada por ningún servicio. Es sólo para nosotros, sólo para que nos logemos en las máquinas de SharePoint, para llevar a cabo tareas de Instalación y Configuración de SharePoint. Al no ser utilizada por ningún servicio, no habrá problema si algún día algún técnico introduce mal la contraseña y bloqueamos la password (no generaremos ninguna indisponibilidad, ya que ningún servicio depende de ella), y además si en un futuro deseamos cambiarla la contraseña de esta cuenta, no tendremos ningún inconveniente. En muchos clientes, esta cuenta la utilizan para muchas cosas más, incluso es la misma que la cuenta de servicio de la granja y de otras Aplicaciones, y cuando alguna persona ha abandonado el departamento (por poner un ejemplo entre muchos) y quieren cambiar su contraseña, se encuentran con todo el pastel. Adicionalmente, yo tengo la (mala o buena) costumbre, de conceder permisos de control total a esta cuenta en todas las Aplicaciones Web utilizando Policies, de tal modo, que al estar logados con la cuenta de Instalación/Configuración para realizar dichas tareas, no tener problemas de permisos sobre los Sites, y que la administración resulte más cómoda. Es manía.

Cuentas de Servicio necesarias para configurar la Granja de SharePoint

Una vez que hemos realizado la Instalación de SharePoint, necesitaremos tener el resto de cuentas de servicio, para poder continuar con el resto de la configuración de nuestra Granja. Este dependerá entre otras cosas de qué servicios deseemos levantar en la Granja, así como también, de ciertas configuraciones adicionales que pueda haber relacionadas con dichos servicios. Otro factor importante, es cuanto pijo somos, es decir, muchos servicios en SharePoint requieren de un App Pool, por lo tanto, podemos utilizar un App Pool independiente para cada Servicio, o bien compartir un mismo App Pool entre varios servicios. Claro está, que lo suyo es que cada App Pool tenga su propia cuenta de servicio, con los permisos mínimos necesarios. Si nos ponemos pijos, nos ponemos pijos.

Personalmente, me parece una tontería plantearse una estrategia de permisos tan cuidada, si en el grupo de Administradores del Dominio de nuestra empresa está metida hasta la señora (o el señor) de la limpieza. Puede resultar bastante laborioso mantener un entorno así con el paso del tiempo. Si estamos en una empresa en la que todas las cosas se hacen así de bien, hagámoslo. Sino, vale la pena buscar un punto intermedio, más simple, y que también nos proporcione una infraestructura robusta y segura.

En términos generales, mi recomendación de Cuentas de Servicio para una Instalación de SharePoint 2013 típica, es la siguiente:

  • Services (ej: GUILLESQL\sp_services). Una única cuenta de servicio, para utilizar para todos los App Pool utilizados por los servicios de nuestra Granja, es decir, esta cuenta NO la utilizaremos para los App Pool correspondientes a nuestros Sitios Web (Web Applications).
  • Search (ej: GUILLESQL\sp_search). Una cuenta de servicio para los Servicios de Búsqueda de SharePoint.
  • Crawl (ej: GUILLESQL\sp_crawl). Una cuenta de servicio para la Indexación (Crawling) de contenidos. Esta NO es una Cuenta Gestionada (Managed Account) por SharePoint.
  • User Profiles (ej: GUILLESQL\sp_profiles). Una cuenta de servicio para la importación de perfiles, que típicamente realizaremos importando desde Directorio Activo. Necesitaremos conceder permisos de Replicate Directory Changes sobre Directorio Activo a este cuenta.
  • Claims to Windows Token Service - c2WTS (ej: GUILLESQL\sp_c2wts). Una cuenta de servicio para el servicio C2WTS. Como alternativa, podríamos utilizar la cuenta de servicio de la Granja (Farm Accont). Honestamente, no tengo muy claro hasta qué punto vale la pena tener una cuenta de servicio dedicada sólo para C2WTS. En cualquier caso, es importante revisar los permisos que debemos conceder a esta cuenta (ver Claims to Windows Token Service - C2WTS).
  • Web Applications. Para mi es bastante importante tener una cuenta de servicio dedicada para cada Web Application (es decir, para los App Pool que dan servicio a las Aplicaciones Web de SharePoint, en consecuencia, a los Sitios Web). Si quieres algo más simple, al menos plantéate tener una cuenta de servicio sólo para los Web Applications, aunque sea compartida entre todos los Web Applications que tengas.

Antes de acabar, quería añadir algunos artículos para quien desee ampliar más información:

Ahora que ya tenemos nuestras Cuentas de Servicio, podemos proceder a instalar los binarios (Pre-Requisitos, SharePoint, Language Packs, Service Packs, etc) sobre cada servidor, crear la Granja de SharePoint 2013 (por ejemplo con psconfig.exe), y levantar los Servicios y Aplicaciones de SharePoint 2013 (por ejemplo con PowerShell) que deseemos ofrecer desde nuestra Granja.

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Copyright © 2007 GuilleSQL, todos los derechos reservados.