Zugriffssteuerung für Gruppen und Dienstkonten
Jede BizTalk-Hostinstanz wird unter einem Dienstkonto ausgeführt, das von einem Benutzer erstellt wurde. Wenn Sie die Hostinstanz auf einem Computer erstellen, müssen Sie die Dienstkonten und die zugehörigen Kennwörter bereitstellen. BizTalk Server stellt dann sicher, dass die Konten die Benutzerrechte haben, die zum Ausführen ihrer Aufträge mindestens erforderlich sind. Dazu fügt BizTalk Server jedes dieser Dienstkonten einer lokalen oder domänenweiten Windows-Gruppe hinzu, die wiederum das jeweilige Konto der SQL Server-Datenbankrolle hinzufügt, die speziell für diesen Host gilt.
Diese Vorgehensweise bietet folgende Vorteile:
Sie können jeder Hostinstanz ein unterschiedliches Dienstkonto zuordnen. Dadurch ist es möglich, die Kennwörter für jede Hostinstanz zu ändern, ohne die Server in den Offlinemodus zu schalten. Sie können rollierende Kennwortänderungen vornehmen, ohne den Dienst zu unterbrechen.
Hinweis
Es ist nicht möglich, dasselbe Dienstkonto sowohl für Hosts zu verwenden, denen über Authentifizierung vertraut wird, als auch für Hosts, denen nicht über Authentifizierung vertraut wird.
Wenn Sie der lokalen oder Domänengruppe auf Microsoft SQL Server™-Ebene Ressourcenbenutzerrechte erteilen, können Sie Dienstkonten hinzufügen oder entfernen, ohne die Benutzerrechte ändern zu müssen, die in SQL Server erteilt sind. Dadurch verringern sich Ihr Verwaltungsaufwand und Ihre Gesamtbetriebskosten.
Damit sichergestellt ist, dass die Konten die Benutzerrechte haben, die zum Ausführen ihrer Aufträge mindestens erforderlich sind, sind die SQL Server-Datenbankrollen, die BizTalk Server für die Dienstkonten erstellt, nicht für alle BizTalk Server-Datenbanken identisch. Für die Verwaltungs- und die Nachverfolgungsdatenbank benötigen alle Dienstkonten einer Hostinstanz Zugriff auf dieselben SQL Server-Objekte. Daher hat BizTalk Server eine SQL Server-Datenbankrolle mit dem Namen BTS_Host_User erstellt. BizTalk fügt alle Windows-Gruppen, die für BizTalk-Hosts erstellt wurden, dieser SQL Server-Datenbankrolle hinzu.
In Bezug auf die MessageBox-Datenbank hat jeder Host einige Ressourcen, die speziell für ihn vorgesehen sind. BizTalk Server erstellt eine SQL Server Datenbankrolle pro Host mit dem Namen BTS_<hostname>_User und fügt die Windows-Gruppe für jeden Host der jeweiligen SQL Server Datenbankrolle hinzu, um den Zugriff auf eine Hostressourcen durch einen anderen Host zu blockieren.
Konten, die nicht von BizTalk Server unterstützt werden
Folgende integrierte Windows-Konten werden von BizTalk Server nicht unterstützt:
NT_AUTHORITY\NetworkService
LocalSystem
NT_AUTHORITY\LocalService
Weitere Informationen
Zugriffssteuerung für Administratorrollen
Minimal erforderliche Benutzerrechte
Windows-Gruppen- und -Benutzerkonten in BizTalk Server
Zugriffssteuerung und Datensicherheit