PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen

Problem

PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen

PowerPivot: MidTier process account should have ‚Full Read‘ permission on all associated SPWebApplications

Details

Folgende oder ähnliche Meldungen werden im Health Analyzer bzw. Integritätsanalyse angezeigt:

  • PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‚ für alle zugeordneten SPWebApplications besitzen
  • PowerPivot: MidTier process account should have ‚Full Read‚ permission on all associated SPWebApplications

Integritätsanalyse / Health Analyzer Eintrag

Folgende Meldung wird im Health Analyzer bzw. Integritätsanalyse (zu finden unter „Überwachung/Probleme und Lösungen überprüfen“ auf der Seite „Probleme und Lösungen überprüfen„) aufgelistet:

Titel PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen.
Schweregrad 1 – Fehler
Kategorie Konfiguration
Erläuterung Das MidTier-Prozesskonto sollte die Berechtigung „Alles lesen“ für alle zugeordneten SPWebApplications besitzen.
Lösung Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen. Weitere Informationen über diese Regel finden Sie unter ‚http://go.microsoft.com/fwlink/?LinkID=314064‘.
Dienste, die Fehler aufweisen MidTierService

Fix

PowerPivot sollte in einem eigenen Anwendungspool unter eigener Identität (Dienstkonto) laufen.

Informationen holen

Mit folgenden Zeilen kann man herausfinden, unter welchem Account die PowerPivot Dienstanwendung momentan läuft. PowerPivot-Dienstanwendung sollte unter eigener, nicht unter gemeinsamer Domain-Kennung laufen.

# Account der PowerPivot Dienstanwendung

$sa = Get-PowerPivotServiceApplication
$sa.ApplicationPool | Select ProcessAccountName

Hiermit kann man alle AppPools der Dienstanwendungen und deren Dienstkonten auflisten. Hier sollte im Idealfall das PowerPivot-Konto auftachen.

# IIS AppPools der Dienstanwendungen und deren Dienstkonten auflisten

Get-SPServiceApplicationPool

Alle Vorhandene „Verwaltete Konten“ bzw. Managed Accounts“ auflisten. Hier sollte der Account für PowerPivot auftauchen. Ist es nicht der Fall muss dieser später (s. Lösung) erzeugt werden.

# Alle Vorhandene "Verwaltete Konten" bzw. Managed Accounts" auflisten

Get-SPManagedAccount  | ft * -auto

Verwaltetes Konto einrichten

  1. Domänen-Account für PowerPivot erstellen
  2. Das vorher erstellte Domänen-Konto verwenden um ein neues verwaltetes Konto (managed Account) für PowerPivot zu erstellen:
    entweder in der ZA-GUI unter  ZA > Sicherheit > Verwaltete Konten konfigurieren
    oder Per PS:

    # Neuen Managed Account (verwaltetes Konto) erstellen

$cred = Get-Credential
New-SPManagedAccount -Credential $cred

Das Dienstanwendungskonto ändern

  1. ZA > Anwendungsverwaltung > Dienstanwendungen verwalten
  2. PowerPivot Service Application bzw. PowerPivot Dienstanwendung markieren und im Menü Band Eigenschaften wählen.
    Dienstanwendungen verwalten - Erstellen, Neu, Verbinden, Vorgänge, Löschen, Verwalten, Administratoren, Eigenschaften, Freigabe, Veröffentlichen, Berechtigungen - Menü Buttons - SharePoint 2013
  3. Im Fenster „PowerPivot-Dienstanwendung bearbeiten“ folgendes auswählen:
    1. Neuen Anwendungspool erstellen und Anwendungspoolnamen vergeben.
    2. „Wählen Sie ein Sicherheitskonto für diesen Anwendungspool aus“ – „Konfigurierbar
      1. Im Auswahlmenü (unter „Konfigurierbar“) das verwaltete Konto auswählen, welches wir vorher (im Schritt „Verwaltetes Konto einrichten“) erstellt haben.
    3. Mit OK bestätigen.
    4. Wenn die Meldung „Dies sollte nicht lange dauern“ verschwunden ist, und die Meldung „Die Dienstanwendung wurde erfolgreich aktualisiert.“ angezeigt wird, dann findet man im IIS-Manager oder in der PS: Get-SPServiceApplicationPool den neuen Anwendungspool der unter der gewählten Identität (Kennung) läuft.

Berechtigungen auf die Webanwendungen sicherstellen

  1. ZA > Webanwendungen verwalten
  2. Webanwendung markieren.
  3. Im Menü Band Benutzerrichtlinie anklicken
    Webanwendungen verwalten - Benutzerrichtlinie Button - SharePoint 2013
  4. Sicherstellen, dass die Kennung für das erstellte verwaltete Konto in der Auflistung mit den Berechtigungen „Alles lesen“ auftaucht.
  5. Ansonsten auf „Benutzer hinzufügen“ in demselben Fenster (Richtlinie für Webanwendung) klicken
    1. Das Konto, das wir als verwaltetes Konto eingerichtet haben für (Alle Zonen) eintragen und Berechtigungen auf „Alles lesen – Verfügt über vollständigen schreibgeschützten Zugriff
      Webanwendungen verwalten - Benutzerrichtlinie - Benutzer hinzufügen - Alle Zonen - Alles lesen - SharePoint 2013
  6. Alle Schritte ab Nr.2 für alle Webanwendungen wiederholen.

Sicherstellen, dass ein Eintrag im SecureStore vorhanden ist

  1. ZA > Dienstanwendungen verwalten > Secure Store Service (Zeile markieren) > Verwalten klicken.
    Dienstanwendungen verwalten - Verwalten Button - SharePoint 2013
  2. Es muss eine Zielanwendung „PowerPivotUnattendedAccount“ o. Ä. existieren.

Links

  1. The White Pages: The Health Analyzer and PowerPivot for SharePoint
  2. msdn.microsoft.com: Health Rules Reference (PowerPivot for SharePoint)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert