SharePoint账号设置的"最佳实践"是:
对于相同权限的操作, 或者相同的监视一类的需求, 任何时候都使用同一个账号.
针对每一种可能的攻击面分配不同的账号.
1. 一个SharePoint的application pool被破坏, 而绝对不会影响到另一个的时候, 两个SharePoint的application pool的账号可以相同. 比如说, 一个WFE的一个web application被黑掉了, 那么不应让管理中心也被黑掉, 所以, 这两个web application应该运行在不同的app pool, 并且使用不同的identity.
2. Content access account需要对SharePoint中的内容具有只读(read only)权限. 为content access account 赋予dbowner权限或者administrator权限都会增加被攻击的风险. 不要这样做.
3. 在standlone的环境中, local accounts就够用了. 典型地就是开发环境. 当你需要完整地复制到生产环境中时, 把这台机器加入到域中, 使用恰当的域账号来配置就是个不错的主意了.
4. 不要在IIS中直接修改app pool的账号(除非这是唯一的方式). 如果存在一种SharePoint的方式的话, 最好按照这种方式来做. 另一个比较简单的规则就是:"永远不要去修改数据库".
5. 如果你要修改什么, 以domain admin的账号登录, 再修改. SharePoint通常需要修改很多东西, 需要很多权限. 用domain admin登录会省掉你的不少时间和精力, 快速地完成修改.
参考资料:
How to change service accounts and their passwords in MOSS and WSS 3.0