Ik realiseerde me dat binnen de SharePoint On-Premises 2013 Central Administration, de” BUILTIN \ Administrators “wordt toegevoegd aan de “Farm Administrators” -groep + 2 serviceaccounts als volgt: –
nu begrijp ik dat de 2 serviceaccounts Farm Admins, moeten zijn, maar hebben we de “BUILTIN \ Administrators” ? zoals in ons geval bevatten de “BUILTIN \ Administrators” enkele domeinadmin-gebruikers die geen toegang zouden moeten hebben tot de SP CA ?? in ons geval bevat de “BUILTIN \ Administrators” -groep deze gebruikers / groepen: –
en de SharePoint-services gebruiken ofwel het “Lokale account” OF een serviceaccount als volgt: –
tweede vraag. als ik nu toegang heb tot een siteverzameling met behulp van de serviceaccounts, krijg ik er volledige controle over. maar als ik toegang krijg tot een siteverzameling met een gebruiker die is gedefinieerd in “BUILTIN \ Administrators”, dan heeft deze gebruiker standaard geen toestemming voor de siteverzameling. dus wat is het scenario achter dit gedrag. kan ik zeggen dat Farm Admin-gebruikers standaard geen toestemming hebben voor de siteverzamelingen, tenzij ze zijn gedefinieerd als beheerde accounts ??
derde vraag. laten we nu zeggen dat ik de “BUILTIN \ Administrators” verwijder uit de “Farm Admin” groep, en later realiseerde ik me dat dit problemen veroorzaakte, dan is de oplossing hiervoor simpelweg het toevoegen van de “BUILTIN \ Administrators” terug aan de “Farm Admins” groep ??
Antwoord
Het verwijderen van BUILTIN \ Administrators is volkomen acceptabel. Farm Admins hebben standaard geen toegang tot sites. Wat u waarschijnlijk ziet, is dat de machtigingen die zijn verleend in het gebruikersbeleid van de webapplicatie de boerderijbeheerders toegang geven tot alle siteverzamelingen.
En ja, u kunt de groep gewoon weer toevoegen aan de groep boerderijbeheerders.
Reacties
- bedankt voor je antwoord, dus kan ik nu zeggen dat zelfs ik een aantal diensten heb zoals " SP-traceringsservice " & " SP VSS-schrijver " & " SP-beheer " uitgevoerd onder de " Lokaal systeem " account, dan hoef ik dit " Lokaal systeem " account binnen de Farm Admin SP-groep?
- Dat is correct. En die services mogen niet worden gewijzigd vanuit Local System.
- dus lokaal systeem mag geen deel uitmaken van de Farm Admin " group?
- Nee, het mag niet ' t.