Ejemplo de configuración con privilegios mínimos de PowerPivot para SharePoint 2013

  • Artículo

En este tema se describe una configuración de ejemplo de PowerPivot para SharePoint 2013 con privilegios mínimos. La configuración emplea una cuenta diferente para cada uno de los tres componentes y cada cuenta tiene el nivel mínimo de privilegios.

Resumen de cuentas

PowerPivot para SharePoint 2013 admite el uso de la cuenta de servicio de red para la cuenta de servicio de Analysis Services. La cuenta de servicio de red no es un escenario admitido con SharePoint 2010. Para obtener más información acerca de las cuentas de servicio, vea Configurar los permisos y las cuentas de servicio de Windows (https://msdn.microsoft.com/library/ms143504.aspx).

En la tabla siguiente se resumen las tres cuentas usadas en este ejemplo de configuración con privilegios mínimos.

Ámbito

Nombre

Cuenta de administrador de SharePoint

SPAdmin

Cuenta de granja de SharePoint

SPFarm

Cuenta de servicio de Analysis Services

SPsvc

La cuenta de administrador de SharePoint (SpAdmin)

SPAdmin es una cuenta de dominio que se emplea para instalar y configurar la granja. Es la cuenta empleada para ejecutar el Asistente para la configuración de SharePoint y la herramienta de configuración de PowerPivot para SharePoint 2013. SPAdmin es la única cuenta que necesita derechos de administrador local. Antes de ejecutar la herramienta de configuración de PowerPivot, conceda los privilegios de la cuenta SPAdmin a la instancia de base de datos de SQL Server donde SharePoint crea bases de datos de contenido y de configuración. Para configurar la cuenta SPAdmin en un escenario de privilegios mínimos, debe ser miembro de los roles securityadmin y dbcreator.

La cuenta de granja (SPFarm)

SPFarm es una cuenta de dominio que el servicio Temporizador de extensiones de SharePoint y la aplicación web de Administración central usan para tener acceso a la base de datos de contenido de SharePoint. No es necesario que esta cuenta sea administrador local. El Asistente para la configuración de SharePoint concede el privilegio mínimo adecuado en la base de datos back-end de SQL Server. La configuración de privilegios mínimos de SQL Server es la pertenencia a los roles securityadmin y dbcreator.

La cuenta de servicio para el servicio PowerPivot (SPsvc)

Si no se configura una nueva granja de SharePoint antes de ejecutar la herramienta de configuración de PowerPivot, esta herramienta creará lo siguiente de forma predeterminada:

  • Aplicación de servicio PowerPivot.

  • Aplicación de servicio de Excel.

  • Aplicación de almacenamiento seguro.

La herramienta de configuración de PowerPivot configura las tres aplicaciones de servicio en el grupo de aplicaciones predeterminado. Ese grupo de aplicaciones se suele configurar para que se ejecute como la cuenta SPFarm, que tiene acceso a muchos recursos que una cuenta de servicio no necesita. Para hacer que el entorno sea un entorno con privilegios mínimos, configure una nueva cuenta de dominio para que la usen el grupo de aplicaciones y la aplicación web adecuados.

Para crear una nueva cuenta de dominio SPsvc que se usará como cuenta de servicio de SharePoint:

  1. En Administración central de SharePoint, haga clic en Seguridad.

  2. Haga clic en Configurar cuentas de servicio.

  3. Haga clic en Registrar una nueva cuenta administrada.

La cuenta SPSvc no tiene privilegios de administrador local y SPsvc no tendrá ningún privilegio en la base de datos de SharePoint. Los únicos privilegios que SPsvc necesita son derechos administrativos en la instancia de PowerPivot de Analysis Services.

Para configurar el grupo de aplicaciones adecuado de manera que use la cuenta SPsvc:

  1. En Administración central de SharePoint, haga clic en Seguridad.

  2. Haga clic en Configurar cuentas de servicio.

  3. Seleccione el grupo de aplicaciones de servicio usado por la aplicación de servicio PowerPivot. Seleccione después la cuenta SPSvc.

Para conceder acceso a la aplicación web con PowerShell:

  1. Ejecute el shell de administración de SharePoint 2013 con privilegios de administrador.

  2. Ejecute el siguiente código de PowerShell:

    $webApp = Get-SPWebApplication "http://<servername>"
$webApp.GrantAccessToProcessIdentity("DOMAIN\<ServiceAccountName>")