Ich habe festgestellt, dass in der SharePoint On-Premises 2013-Zentraladministration das“ BUILTIN \ Administrators „in der hinzugefügt wird Gruppe + 2 Dienstkonten „Farmadministratoren“ wie folgt: –
jetzt verstehe ich, dass die 2 Dienstkonten Farmadministratoren sein sollten, , aber brauchen wir die „BUILTIN \ Administrators“ ? Wie in unserem Fall enthalten die „BUILTIN \ Administratoren“ einige Domänenadministratoren, die nicht auf die SP-Zertifizierungsstelle zugreifen sollten. In unserem Fall enthält die Gruppe „BUILTIN \ Administrators“ die folgenden Benutzer / Gruppen: –
und die SharePoint-Dienste verwenden entweder das „lokale Konto“ oder ein Dienstkonto wie folgt: –
zweite Frage. Wenn ich jetzt über die Dienstkonten auf eine Websitesammlung zugreife, habe ich die volle Kontrolle darüber. Wenn ich jedoch mit einem Benutzer auf eine Websitesammlung zugreife, der unter „BUILTIN \ Administrators“ definiert ist, hat dieser Benutzer standardmäßig keine Berechtigung für die Websitesammlung. Was ist das Szenario hinter diesem Verhalten? Kann ich sagen, dass Farm Admin-Benutzer standardmäßig keine Berechtigung für die Websitesammlungen haben, es sei denn, sie sind als verwaltete Konten definiert?
dritte Frage. Nehmen wir jetzt an, ich entferne „BUILTIN \ Administrators“ aus der Gruppe „Farm Admin“ und später wurde mir klar, dass dies Probleme verursachte. Die Lösung hierfür besteht darin, einfach „BUILTIN \ Administrators“ wieder hinzuzufügen an die Gruppe „Farm Admins“ ??
Antwort
Das Entfernen von BUILTIN \ Administrators ist durchaus akzeptabel. Farmadministratoren haben standardmäßig keinen Zugriff auf Websites. Was Sie wahrscheinlich sehen, sind Berechtigungen, die für die Benutzerrichtlinie der Webanwendung erteilt wurden, damit die Farmadministratoren auf alle Websitesammlungen zugreifen können.
Und ja, Sie können die Gruppe einfach wieder zur Gruppe der Farmadministratoren hinzufügen.
Kommentare
- Vielen Dank für Ihre Antwort. Jetzt kann ich sagen, dass sogar ich einige Dienste wie " SP-Ablaufverfolgungsdienst " & " SP VSS-Writer " & " SP-Verwaltung " wird unter " Lokales System " Konto, dann muss ich dieses " Lokales System " Konto in der Farm Admin SP-Gruppe?
- Das ist richtig. Und diese Dienste sollten nicht vom lokalen System geändert werden.
- also lokales System sollte nicht Teil des Farmadministrator " Gruppe?
- Nein, es sollte nicht ' t.