IS er een risico als ik de BUILTIN \ Administrators verwijder van mijn SharePoint on-premises 2013 ' s “ Farm Administrators ” group

Ik realiseerde me dat binnen de SharePoint On-Premises 2013 Central Administration, de” BUILTIN \ Administrators “wordt toegevoegd aan de “Farm Administrators” -groep + 2 serviceaccounts als volgt: –

voer hier een afbeeldingbeschrijving in

nu begrijp ik dat de 2 serviceaccounts Farm Admins, moeten zijn, maar hebben we de “BUILTIN \ Administrators” ? zoals in ons geval bevatten de “BUILTIN \ Administrators” enkele domeinadmin-gebruikers die geen toegang zouden moeten hebben tot de SP CA ?? in ons geval bevat de “BUILTIN \ Administrators” -groep deze gebruikers / groepen: –

voer hier een afbeeldingbeschrijving in

en de SharePoint-services gebruiken ofwel het “Lokale account” OF een serviceaccount als volgt: –

voer de beschrijving van de afbeelding hier in

tweede vraag. als ik nu toegang heb tot een siteverzameling met behulp van de serviceaccounts, krijg ik er volledige controle over. maar als ik toegang krijg tot een siteverzameling met een gebruiker die is gedefinieerd in “BUILTIN \ Administrators”, dan heeft deze gebruiker standaard geen toestemming voor de siteverzameling. dus wat is het scenario achter dit gedrag. kan ik zeggen dat Farm Admin-gebruikers standaard geen toestemming hebben voor de siteverzamelingen, tenzij ze zijn gedefinieerd als beheerde accounts ??

derde vraag. laten we nu zeggen dat ik de “BUILTIN \ Administrators” verwijder uit de “Farm Admin” groep, en later realiseerde ik me dat dit problemen veroorzaakte, dan is de oplossing hiervoor simpelweg het toevoegen van de “BUILTIN \ Administrators” terug aan de “Farm Admins” groep ??

Antwoord

Het verwijderen van BUILTIN \ Administrators is volkomen acceptabel. Farm Admins hebben standaard geen toegang tot sites. Wat u waarschijnlijk ziet, is dat de machtigingen die zijn verleend in het gebruikersbeleid van de webapplicatie de boerderijbeheerders toegang geven tot alle siteverzamelingen.

En ja, u kunt de groep gewoon weer toevoegen aan de groep boerderijbeheerders.

Reacties

  • bedankt voor je antwoord, dus kan ik nu zeggen dat zelfs ik een aantal diensten heb zoals " SP-traceringsservice " & " SP VSS-schrijver " & " SP-beheer " uitgevoerd onder de " Lokaal systeem " account, dan hoef ik dit " Lokaal systeem " account binnen de Farm Admin SP-groep?
  • Dat is correct. En die services mogen niet worden gewijzigd vanuit Local System.
  • dus lokaal systeem mag geen deel uitmaken van de Farm Admin " group?
  • Nee, het mag niet ' t.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *