Configurar cuenta de usuario para administrar granja SharePoint

Para efectos de ser granular y especifico en cuanto a los permisos y privilegios de aquellos que pueden realizar operaciones de administración de una granja SharePoint, normalmente hacemos uso de distintas cuentas de usuario dedicadas solo a la administración de este producto. En este post te quiero compartir los pasos para configurar de forma apropiada cuentas de administración SharePoint y así delegar a otros de una manera administrada y gestionable la administración de SharePoint.

Los pasos son:

  • Crear una nueva cuenta de directorio activo
  • Agregar la nueva cuenta como miembro al grupo de administradores locales
  • Agregar la nueva cuenta como miembro al grupo de WSS_Admin_WPG
  • Agregar la nueva cuenta a la lista de Administradores de Granja en la Herramienta Central de Administracion de SharePoint
  • Ejecutar comando PowerShell para asignar el rol de SQL Shell Access Admin sobre la bases de datos a las que la nueva cuenta puede administrar

Crear una nueva cuenta de directorio activo

Se recomienda que creemos una nueva cuenta de directorio active dedicada solo para el administrador en cuestión, esto para efecto de separar justamente las cuenta típica del empleado que realiza las operaciones de administrador de la gestión de la plataforma. Adicional, no queremos que la cuenta de usuario de uso diario de nuestro administrador sea la que tiene permisos sobre toda la granja, recordemos que el también es un usuario de SharePoint y no hay razón alguna para usar su identidad de empleado como la identidad del administrador de este servicio. Por ello, recomendamos crear una nueva cuenta y además usar una nomenclatura que claramente especifique la naturaleza de la función. Ejemplo adm.hgonzalez en donde adm. refiere que es una cuenta de administración.

Agregar la nueva cuenta como miembro al grupo de administradores locales

Otro consejo es crear un grupo de dominio y agregar este grupo de dominio al grupo de administradores locales en el servidor en cuestión, de esta forma simplemente agregamos nuestras cuentas de administradores SharePoint sobre el grupo de dominio el cual a su vez es miembro del grupo de administradores locales. Un nombre sugerido para este grupo puede ser “SharePointLocalAdmins”.

Agregar la nueva cuenta de administrador al grupo local WSS_ADMIN_WPG

También se requiere agregar nuestra nueva cuenta como miembro del grupo local WSS_ADMIN_WPG o simplemente agregar el grupo de dominio “SharePointLocalAdmins” como miembro al grupo local WSS_ADMIN_WPG.

Agregar la nueva cuenta a la lista de Administradores de Granja en la Herramienta Central de Administracion de SharePoint

Se requiere que nuestra cuenta de administrador se registre en la lista de administradores de granja de la herramienta central de Administracion SharePoint.

Ejecutar comando PowerShell para asignar el rol de SQL Shell Access Admin sobre la bases de datos a las que la nueva cuenta puede administrar

La cuenta en cuestión debe de contar con el rol SharePoint Shell Access sobre las bases de datos tanto de configuración como de contenido a fin de tener los permisos y privilegios para hacer operaciones de administración mediante PowerShell sobre esas bases de datos. Para poder asignar dicho rol usamos el comando Add-SPShellAdmin DOMINIOadm.hgonzalez otorgando permisos a la base de datos de configuración. Sin embargo, si quisiéramos otorgar privilegios para manipular otras bases de datos de SharePoint como de contenido o de configuración de aplicaciones de servicio usamos el comando Get-SPDatabase | Add-SPShellAdmin DOMAINadm.hgonzalez para otorgar dichos privilegios en todas las bases de datos de la granja.

 

Originalmente publicado en msmvps.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *