Del via

Overvejelser om sikkerhed i Microsoft Dynamics 365

  • Artikel

 

Udgivet: januar 2017

Gælder for: Dynamics 365 (on-premises), Dynamics CRM 2016

Microsoft Dynamics 365 er designet på en måde hjælper med at gøre udrulningen sikrere. Dette afsnit indeholder oplysninger og bedste praksis for Microsoft Dynamics 365-programmet.Flere oplysninger:Sikkerhedsbegreber for Microsoft Dynamics 365

Dette emne indeholder

Hvilken type tjenestekonto skal jeg vælge?

Minimumtilladelser, der kræves for installation af samt tjenester til Microsoft Dynamics CRM

Microsoft Dynamics CRM-installationsfiler

Hvilken type tjenestekonto skal jeg vælge?

Når du angiver en identitet til at køre en Microsoft Dynamics 365-service, kan du enten vælge en domænebrugerkonto eller netværkstjenestekontoen.

Hvis tjenesten interagerer med netværkstjenester, får adgang til domæneressourcer som filshares, eller hvis den bruger tilknyttede serverforbindelser til andre computere, kan du bruge en domænekonto med minimale rettigheder. Mange server til server-aktiviteter kan kun udføres med en domænebrugerkonto og kan give den mest sikre indstilling. Denne konto skal være oprettet på forhånd af domæneadministratoren i miljøet.

Bemærk

Når du konfigurerer en tjeneste til at bruge en domænekonto, kan du køre rettighederne til programmet, men du skal manuelt administrere adgangskoder eller oprette en brugerdefineret løsning for at administrere disse adgangskoder. Mange serverprogrammer bruger denne strategi for at forbedre sikkerheden, men denne strategi kræver yderligere kompleksitet og administration. I disse installationer bruger serviceadministratorer en betragtelig mængde tid på vedligeholdelsesopgaver som håndtering af adgangskoder og servicekontonavne (SPN), som kræves til Kerberos-godkendelse. Endvidere kan disse vedligeholdelsesopgaver afbryde tjenesten.

Netværkstjenestekontoen er en indbygget konto, der har adgang til flere ressourcer og objekter end medlemmer af gruppen Domænebrugere. Tjenester, der kører som netværkstjenestekontoen, får adgang til ressourcer ved hjælp af legitimationsoplysningerne i computerkontoen i formatet <domæne_navn>\<computer_navn>$. Det faktiske navn på kontoen er NT AUTHORITY\NETWORK SERVICE.

Minimumtilladelser, der kræves for installation af samt tjenester til Microsoft Dynamics CRM

Microsoft Dynamics 365 er udviklet, så dets funktioner kan køre under separate identiteter. Ved at angive en domænebrugerkonto, der kun er tildelt de nødvendige tilladelser for at få en bestemt funktion til at fungere, kan du beskytte systemet og reducere risikoen for udnyttelse.

I dette emne beskrives de minimumtilladelser, der kræves af brugerkontoen for Microsoft Dynamics 365-tjenester og -funktioner.

Microsoft Dynamics CRM Server 2016 Installation

Den brugerkonto, der bruges til at køre Microsoft Dynamics CRM Server 2016Installation, som omfatter oprettelse af databaser, kræver følgende minimumtilladelser:

  • Medlemskab af gruppen af Active Directory-domænebrugere. Der føjes som standard nye brugere til gruppen af domænebrugere i Active Directory-brugere og -computere.

  • Bliv medlem af gruppen Administratorer på den lokale computer, hvor installationsprogrammet kører.

  • Læse- og skrivetilladelse til mappen med lokale programfiler.

  • Medlemskab af administratorgruppen på den lokale computer, hvor den forekomst af SQL Server, der bruges til at gemme Microsoft Dynamics 365-databaserne, er placeret.

  • Har sysadmin-medlemskab på den forekomst af SQL Server, der bruges til at gemme Microsoft Dynamics 365-databaser.

  • Have tilladelse til at oprette og tilføje medlemskab af afdeling og sikkerhedsgruppe for disse grupper i Active Directory. Du kan også bruge en Setup XML-konfigurationsfil til at installere Microsoft Dynamics CRM Server 2016, når der allerede er oprettet sikkerhedsgrupper. Du kan finde flere oplysninger under Bruge kommandoprompten til installation af Microsoft Dynamics Server 365.

  • Hvis Microsoft SQL Server Reporting Services er installeret på en anden server, skal du tilføje rollen som indholdsbestyrer på rodniveauet for den brugerkonto, der udfører installationen. Du skal også tilføje rollen som Rollen Systemadministrator på niveauet for hele webstedet for den brugerkonto, der udfører installationen.

Tilladelser til Microsoft Dynamics 365-tjenester og IIS-programgruppens identitet

I dette afsnit vises en liste over de minimumtilladelser, som domænebrugerkonti kræver for de tjenester og de IIS-programgrupper, som bruger Microsoft Dynamics 365.

Vigtigt

  • Identitetskonti for Microsoft Dynamics 365-tjenester og -programgrupper (CRMAppPool) må ikke konfigureres som en Microsoft Dynamics 365-bruger. Hvis du gør det, kan det medføre godkendelsesproblemer og en uventet funktionsmåde i programmet for alle brugere af Microsoft Dynamics 365.Flere oplysninger:Problemer i CRM, når CRMAppPool-brugerkontoen er en CRM-bruger

  • Administrerede tjenestekonti (gruppeadministrerede tjenestekonti (gMSA) eller enkeltadministrerede tjenestekonti) og virtuelle konti (NT SERVICE\,<tjenestenavn>) er ikke understøttet med hensyn til kørsel af Microsoft Dynamics 365-tjenester.

I de efterfølgende underafsnit beskrives domænebrugerkontoens tilladelser, som kræves for hver tjenestes eller programgruppes identitet:

Microsoft Dynamics 365-tjenesten Sandkassebehandling

Microsoft Dynamics 365-tjenesten til asynkron behandling og Microsoft Dynamics 365-tjenesten til asynkron behandling (vedligeholdelse)

Microsoft Dynamics 365 Overvågningstjeneste

Tjenesten Microsoft Dynamics 365 VSS Writer

Installationswebtjeneste (CRMDeploymentServiceAppPool-programgruppens identitet)

Programtjeneste (CRMAppPool IIS-programgruppens identitet)

Microsoft Dynamics 365-tjenesten Sandkassebehandling

  • Medlemskab af Domænebrugere.

  • Kontoen skal tildeles tilladelsen Log på som tjeneste i Lokal sikkerhedspolitik.

  • Tilladelse til at læse og skrive i Trace, der som standard findes under \Programmer\Microsoft Dynamics 365\Trace, og brugerkontoens %AppData%-mapper på den lokale computer.

  • Læsetilladelse til undernøglen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM i Windows-registreringsdatabase.

  • Tjenestekontoen skal måske bruge et SPN til den URL-adresse, der bruges til at få adgang til det websted, som er knyttet til den. Hvis du vil angive SPN'et for Tjeneste til sandkassebehandling-kontoen , skal du køre følgende kommando ved en kommandoprompt på den computer, hvor tjenesten kører.

    SETSPN –a MSCRMSandboxService/<ComputerName> <service account>

Microsoft Dynamics 365-tjenesten til asynkron behandling og Microsoft Dynamics 365-tjenesten til asynkron behandling (vedligeholdelse)

  • Medlemskab af Domænebrugere.

  • PrivUserGroup og SQLAccessGroup medlemskab. Som standard oprettes disse grupper, og relevant medlemskab tildeles under Microsoft Dynamics CRM Server Installation.

  • Indbygget medlemskab af brugere af ydelseslog for lokale grupper.

  • Kontoen skal tildeles tilladelsen Log på som tjeneste i Lokal sikkerhedspolitik.

  • Læse- og skrivetilladelse i følgende mapper.

    • Mappen Trace. Findes som standard under \Program Files\Microsoft Dynamics CRM\ og brugerkontoens %AppData%-mappe på den lokale computer.

    • Mappen CustomizationImport. Findes som standard under \Program Files\Microsoft Dynamics CRM\. Dette kan være nødvendigt for at importere en løsning, når du bruger Microsoft Dynamics 365-SDK.

  • Alle adgangstilladelser undtagen fuld kontrol og Skriv DAC til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM og HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-undernøgler i Windows-registreringsdatabase.

  • Tjenestekontoen skal måske bruge et SPN til den URL-adresse, der bruges til at få adgang til det websted, som er knyttet til den. Hvis du vil angive SPN'et for Asynkron tjeneste-kontoen , skal du køre følgende kommando ved en kommandoprompt på den computer, hvor tjenesten kører.

    SETSPN –a MSCRMAsyncService/<ComputerName> <service account>

Microsoft Dynamics 365 Overvågningstjeneste

  • Medlemskab af Domænebrugere.

  • Kontoen skal tildeles tilladelsen Logon as service i den lokale sikkerhedspolitik.

  • Hvis Microsoft Dynamics 365-overvågningstjenesten er installeret med en Front end-server-serverrolle, kræves medlemskab af den lokale administratorgruppe på den computer, hvor tjenesten kører, til at overvåge webstedet og programgrupper.Flere oplysninger:Tilgængelige individuelle serverroller

  • Læsetilladelse til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • SQLAccessGroup medlemskab. Som standard oprettes denne gruppe, og relevant medlemskab tildeles under Microsoft Dynamics CRM Server Installation.

  • Tjenestekontoen skal måske bruge et SPN til den URL-adresse, der bruges til at få adgang til det websted, som er knyttet til den.

Tjenesten Microsoft Dynamics 365 VSS Writer

  • Medlemskab af Domænebrugere.

  • Kontoen skal tildeles tilladelsen Logon as service i den lokale sikkerhedspolitik.

  • Læsetilladelse til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM

  • PrivUserGroup og SQLAccessGroup medlemskab. Som standard oprettes disse grupper, og relevant medlemskab tildeles under Microsoft Dynamics CRM Server Installation.

Installationswebtjeneste (CRMDeploymentServiceAppPool-programgruppens identitet)

  • Medlemskab af Domænebrugere.

  • Kontoen skal tildeles tilladelsen Logon as service i den lokale sikkerhedspolitik.

  • Medlemskab af lokal administratorgruppe på computeren, hvor SQL Server kører, kræves for at udføre organisationsdatabasehandlinger (f.eks. oprette en ny eller importere organisation).

  • Medlemskab af den lokale administratorgruppe på den computer, hvor Installationswebtjeneste kører.

  • Sysadmin-tilladelse til den forekomst af SQL Server, der skal bruges til konfigurations- og organisationsdatabaser.

  • Tilladelse til at læse og skrive i mapperne Trace og CRMWeb, der som standard findes under \Program Files\Microsoft Dynamics CRM\ og brugerkontoens %AppData%-mappe på den lokale computer.

  • Alle adgangstilladelser undtagen fuld kontrol og Skriv DAC til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM og HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-undernøgler i Windows-registreringsdatabase.

  • PrivUserGroup og SQLAccessGroup medlemskab. Som standard oprettes disse grupper, og relevant medlemskab tildeles under Microsoft Dynamics CRM Server Installation.

  • Medlemskab af gruppen CRM_WPG. Denne gruppe bruges til IIS-arbejdsprocesser. Gruppen oprettes, og medlemskabet tilføjes under kørsel af Microsoft Dynamics CRM Server Installation.

  • Tjenestekontoen skal måske bruge et SPN til den URL-adresse, der bruges til at få adgang til det websted, som er knyttet til den.

Programtjeneste (CRMAppPool IIS-programgruppens identitet)

  • Medlemskab af domænebrugergruppe.

  • Indbygget medlemskab af brugere af ydelseslog for lokale grupper.

  • Tilladelse til at læse og skrive i mapperne Trace og CRMWeb, der som standard findes under \Program Files\Microsoft Dynamics CRM\ og brugerkontoens %AppData%-mappe på den lokale computer.

  • Alle adgangstilladelser undtagen fuld kontrol og Skriv DAC til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM og HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-undernøgler i Windows-registreringsdatabase.

  • Medlemskab af gruppen CRM_WPG. Denne gruppe bruges til IIS-arbejdsprocesser. Gruppen oprettes, og medlemskabet tilføjes under kørsel af Microsoft Dynamics CRM Server Installation.

  • Tjenestekontoen skal måske bruge et SPN til den URL-adresse, der bruges til at få adgang til det websted, som er knyttet til den.

IIS-programgruppe-id'et, der kører under godkendelse i kernetilstand og SPN'er

Som standard er IIS-websteder konfigureret til at bruge godkendelse i kernetilstand. Når du kører Microsoft Dynamics 365-webstedet ved hjælp af godkendelse i kernetilstand, er det måske ikke nødvendigt at konfigurere flere hovednavne for tjenester for CRMAppPool-id'erne.

Du kan se, om din installation af IIS kræver SPN'er, under Service Principal Name (SPN) checklist for Kerberos authentication with IIS 7.0/7.5.

Microsoft Dynamics CRM-installationsfiler

Hvis du har planer om at installere Microsoft Dynamics CRM 2016 fra en placering på netværket, f.eks. et netværksshare, skal du sikre dig, at de rette tilladelser gælder for mappen og helst på en NTFS-diskenhed, hvor installationsfilerne findes. Det kan f.eks. være nødvendigt kun at give medlemmer af gruppen Domæneadministratorer tilladelse til mappen. Denne fremgangsmåde kan reducere risikoen for angreb på installationsfiler, der kan beskadige eller ændre dem. Du kan finde flere oplysninger om, hvordan du angiver tilladelser til filer og mapper i Windows-operativsystemet, i Windows Hjælp.

Se også

Planlægning af udrulning af Microsoft Dynamics 365
Bedste praksis for Microsoft Dynamics 365-sikkerhed
Administration af bedste praksis for lokale installationer af Microsoft Dynamics 365
Netværksporte til Microsoft Dynamics 365
Microsoft Dynamics 365-serverroller

© 2017 Microsoft. Alle rettigheder forbeholdes. Ophavsret