Problem
PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen
PowerPivot: MidTier process account should have ‚Full Read‘ permission on all associated SPWebApplications
Details
Folgende oder ähnliche Meldungen werden im Health Analyzer bzw. Integritätsanalyse angezeigt:
- PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‚ für alle zugeordneten SPWebApplications besitzen
- PowerPivot: MidTier process account should have ‚Full Read‚ permission on all associated SPWebApplications
Integritätsanalyse / Health Analyzer Eintrag
Folgende Meldung wird im Health Analyzer bzw. Integritätsanalyse (zu finden unter „Überwachung/Probleme und Lösungen überprüfen“ auf der Seite „Probleme und Lösungen überprüfen„) aufgelistet:
Titel | PowerPivot: Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen. |
---|---|
Schweregrad | 1 – Fehler |
Kategorie | Konfiguration |
Erläuterung | Das MidTier-Prozesskonto sollte die Berechtigung „Alles lesen“ für alle zugeordneten SPWebApplications besitzen. |
Lösung | Das MidTier-Prozesskonto sollte die Berechtigung ‚Alles lesen‘ für alle zugeordneten SPWebApplications besitzen. Weitere Informationen über diese Regel finden Sie unter ‚http://go.microsoft.com/fwlink/?LinkID=314064‘. |
Dienste, die Fehler aufweisen | MidTierService |
Fix
PowerPivot sollte in einem eigenen Anwendungspool unter eigener Identität (Dienstkonto) laufen.
Informationen holen
Mit folgenden Zeilen kann man herausfinden, unter welchem Account die PowerPivot Dienstanwendung momentan läuft. PowerPivot-Dienstanwendung sollte unter eigener, nicht unter gemeinsamer Domain-Kennung laufen.
# Account der PowerPivot Dienstanwendung $sa = Get-PowerPivotServiceApplication $sa.ApplicationPool | Select ProcessAccountName
Hiermit kann man alle AppPools der Dienstanwendungen und deren Dienstkonten auflisten. Hier sollte im Idealfall das PowerPivot-Konto auftachen.
# IIS AppPools der Dienstanwendungen und deren Dienstkonten auflisten Get-SPServiceApplicationPool
Alle Vorhandene „Verwaltete Konten“ bzw. Managed Accounts“ auflisten. Hier sollte der Account für PowerPivot auftauchen. Ist es nicht der Fall muss dieser später (s. Lösung) erzeugt werden.
# Alle Vorhandene "Verwaltete Konten" bzw. Managed Accounts" auflisten Get-SPManagedAccount | ft * -auto
Verwaltetes Konto einrichten
- Domänen-Account für PowerPivot erstellen
- Das vorher erstellte Domänen-Konto verwenden um ein neues verwaltetes Konto (managed Account) für PowerPivot zu erstellen:
entweder in der ZA-GUI unterZA > Sicherheit > Verwaltete Konten konfigurieren
oder Per PS:# Neuen Managed Account (verwaltetes Konto) erstellen $cred = Get-Credential New-SPManagedAccount -Credential $cred
Das Dienstanwendungskonto ändern
- ZA > Anwendungsverwaltung > Dienstanwendungen verwalten
- PowerPivot Service Application bzw. PowerPivot Dienstanwendung markieren und im Menü Band Eigenschaften wählen.
- Im Fenster „PowerPivot-Dienstanwendung bearbeiten“ folgendes auswählen:
- Neuen Anwendungspool erstellen und Anwendungspoolnamen vergeben.
- „Wählen Sie ein Sicherheitskonto für diesen Anwendungspool aus“ – „Konfigurierbar“
- Im Auswahlmenü (unter „Konfigurierbar“) das verwaltete Konto auswählen, welches wir vorher (im Schritt „Verwaltetes Konto einrichten“) erstellt haben.
- Mit OK bestätigen.
- Wenn die Meldung „Dies sollte nicht lange dauern“ verschwunden ist, und die Meldung „Die Dienstanwendung wurde erfolgreich aktualisiert.“ angezeigt wird, dann findet man im IIS-Manager oder in der PS:
Get-SPServiceApplicationPool
den neuen Anwendungspool der unter der gewählten Identität (Kennung) läuft.
Berechtigungen auf die Webanwendungen sicherstellen
- ZA > Webanwendungen verwalten
- Webanwendung markieren.
- Im Menü Band Benutzerrichtlinie anklicken
- Sicherstellen, dass die Kennung für das erstellte verwaltete Konto in der Auflistung mit den Berechtigungen „Alles lesen“ auftaucht.
- Ansonsten auf „Benutzer hinzufügen“ in demselben Fenster (Richtlinie für Webanwendung) klicken
- Alle Schritte ab Nr.2 für alle Webanwendungen wiederholen.
Sicherstellen, dass ein Eintrag im SecureStore vorhanden ist
- ZA > Dienstanwendungen verwalten > Secure Store Service (Zeile markieren) > Verwalten klicken.
- Es muss eine Zielanwendung „PowerPivotUnattendedAccount“ o. Ä. existieren.