De healthcheck van een SharePoint farm, gaf aan dat de Application Pools werden uitgevoerd onder hetzelfde account, namelijk het farm administrator account. Na het aanmaken van de gewenste service accounts en de vereiste veranderingen via Central Administration krijg ik de gevreesde melding “503 Service Unavailable”.                 

Het bepalen van de oorzaak van het probleem was eigenlijk vrij rechttoe rechtaan. De aangemaakte service accounts hadden niet het recht “Log on as a service” en “Log on as batch” op de SharePoint-servers.

In Windows wordt dit verleend door middel van de Local Security Policy of Domain Security Policy en is eenvoudig te verhelpen door een aanpassing van de Group Policy en de service accounts van de juiste instellingen te voorzien.

Ga als volgt te werk:

1. Open Administrative Tools, en dan Local Security Policy..
2. Onder Security Settings, open Local Policies en selecteer User Rights Assignment.
3. Zoek Log on as a batch job.
4. Open de eigenschappen en voeg alle gebruikers die dit recht nodig hebben.
5. Zoek Log on as a service.
6. Open de eigenschappen en voeg alle gebruikers die dit recht nodig hebben.
7. Als u klaar bent, slaat u uw wijzigingen op en sluit u het Local Security Policy venster.

De wijzigingen zijn onmiddellijk van kracht. Als u wijzigingen hebt gemaakt via Domain Security Policy, op een domain controller, gebruik dan de Default Domain Policy via de Group Policy Management Snap-In.

Beter is een Domain Group Policy in plaats van Local Group Policy

Tot slot moet je een gpupdate / force uit voeren op de servers om er voor te zorgen dat de wijzigingen worden toegepast.

Als work around kun je de benodigde accounts ook toevoegen aan je lokale administrators groep, deze hebben dit recht ook.