Richtlinien zum Implementieren von Active Directory-Berechtigungen auf BizTalk-Installationen mit mehreren Servern
In diesem Thema werden Richtlinien zum Erstellen von Active Directory-Organisationseinheiten beschrieben, die aus den Benutzerkonten und Gruppen bestehen, die Sie in einer Microsoft BizTalk Server-Installation verwenden.
Die hier erstellten Konten benötigen innerhalb der Domäne keine Berechtigungen, die über diejenigen für normale Benutzer hinausgehen. Erhöhte Berechtigungen werden unter Umständen für die Domänenkonten innerhalb der Vertrauensgrenze benötigt, die Folgendes umfasst:
BizTalk Server
Microsoft SharePoint Services (auf dem BizTalk Server Server)
Microsoft SQL Server
Externe Datenbank 1
Externe Datenbank 2
Externe Datenbank N
Einem Domänenkonto müssen möglicherweise Rechte zur Ausführung bestimmter Aktionen auf den Systemen erteilt werden, auf denen externe Datenbanken gehostet werden. Eventuell muss ein Konto auch Dateien in einen Dateiablageordner schreiben und benötigt Schreibzugriff für diesen Ordner.
Verwenden Sie die Active Directory-Benutzer und -Computer-Konsole, um Domänenbenutzer- und Gruppenkonten zu erstellen und zu verwalten. Klicken Sie auf Start, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer, um die Active Directory-Benutzer und -Computer Konsole zu starten.
Konto für die BizTalk Server-Installation und -Konfiguration
In der Entwicklungsumgebung erfordern das BizTalk Server-Installationsprogramm und der BizTalk Server-Konfigurations-Assistent die Verwendung eines Kontos mit Administratorrechten auf den BizTalk Server- und SQL Server-Systemen. Nach Setup und Konfiguration können die Rechte widerrufen oder das Konto deaktiviert werden. Das Konto muss außerdem verschiedenen BizTalk-Gruppen angehören, die in den folgenden Abschnitten erläutert werden.
Hinweis
SSO-Komponenten können nur konfiguriert werden, wenn das für die Installation verwendete Konto derselben Active Directory-Gesamtstruktur wie dem Server angehört. Wenn Sie kein BizTalk Server Installerkonto haben, verwenden Sie ein lokales Administratorkonto für die SSO-Konfiguration. Bei dieser Vorgehensweise können während der Installation andere Probleme auftreten, beispielsweise müssen Sie sich mit unterschiedlichen Anmeldeinformationen bei Ressourcen anmelden.
BizTalk Server-Entwicklungskonten
Personen, die BizTalk Server Entwicklung durchführen, benötigen Zugriff auf Adapter, Empfangs- und Sendehandler sowie Empfangsspeicherorte. Für diesen Zugriff muss die Domänenentwicklergruppe Mitglieder der Gruppen BizTalk Server Administratoren und SSO-Partneradministratoren sein.
Hinweis
In Active Directory gelten Einschränkungen hinsichtlich der Typen von Gruppen, die fremde Domänenbenutzer enthalten können, sowie hinsichtlich der Typen von Gruppen, die in anderen Gruppen enthalten sein können. Die im Folgenden erstellten Gruppen und Konten werden in einer Umgebung mit mehreren Servern innerhalb einer Domäne getestet.
BizTalk Server-Bereitstellungskonten
Personen, die BizTalk Server Anwendungen bereitstellen, müssen Administratoren auf den lokalen Systemen sein und benötigen möglicherweise andere Berechtigungen in der Umgebung. Zu diesem Zweck wird in diesem Thema auf ein BizTalk Server-Bereitstellungskonto verwiesen.
Für diesen Zugriff muss die Domänenbereitstellungsgruppe Mitglieder der Gruppen BizTalk Server Administratoren und SSO-Partneradministratoren sein.
Hinweis
SSO-Komponenten können nur konfiguriert werden, wenn das für die Installation verwendete Konto derselben Active Directory-Gesamtstruktur wie dem Server angehört. Wenn Sie über kein BizTalk Server-Bereitstellungskonto verfügen, verwenden Sie für die SSO-Konfiguration ein lokales Administratorkonto. Bei dieser Vorgehensweise können während der Installation andere Probleme auftreten, beispielsweise müssen Sie sich mit unterschiedlichen Anmeldeinformationen bei Ressourcen anmelden.
BizTalk Server-Unterstützungskonten
Personen, die BizTalk Server Anwendungen unterstützen, müssen Administratoren auf den lokalen Systemen sein. Zu diesem Zweck wird in diesem Thema auf ein BizTalk-Unterstützungskonto verwiesen.
Für diesen Zugriff muss die Domänenunterstützungsgruppe Mitglieder der Gruppe BizTalk Server Administratoren sein.
SQL Server-Dienstkonten
Der Dienst, der den SQL Server instance ausführt, muss zur gleichen Active Directory-Domäne gehören wie die Konten, die BizTalk Server Komponenten installieren, entwickeln und bereitstellen.
Verwenden Sie SQLAdmin für Administrative Funktionen (interaktive Anmeldung).
Verwenden Sie SQLService , um den Dienst zu verwalten (keine interaktive Anmeldung).
Verwenden Sie SQLAccess , um auf externe Datenbanken zuzugreifen.
SQLAdmin muss Mitglied der lokalen Gruppe Administratoren auf dem SQL Server-System sein.
SQLService muss Mitglied der lokalen Administratorgruppe auf dem SQL Server-System sein und muss das Benutzerrecht Anmelden als Dienst erhalten.
SQLAccess benötigt entsprechende Rechte auf den Remote-Datenbankservern.
SQL-Konten:
| Benutzername | Vorname | Last Name | Vollständiger Name |
|---|---|---|---|
| SQLService | SQL | SQLService | SQL-Dienstkonto |
| SQLAdmin | Administrator | SQLService | SQL-Admininstratorkonto |
| SQLAccess | Access | SQLService | SQL-Zugriffskonto |
Legen Sie Kennwörter für die Konten entsprechend den Unternehmensstandards fest.
Wichtig
Ändern Sie auf dem Computer, auf dem SQL Server ausgeführt wird, die Startparameter für die Dienste SQL Server und SQLServerAgent, um das SQLService-Konto und die Anmeldeinformationen zu verwenden.
Hinweis
Die Felder Benutzername sind Beispiele. Sie müssen die Namen möglicherweise ändern, damit keine Konflikte mit anderen Active Directory-Konten auftreten.
Windows SharePoint Services-Konto
Die Windows SharePoint Services Konten müssen vor der Installation SharePoint Services erstellt werden.
Empfehlungen und Hinweise zum SharePoint Services Konto:
Verwenden Sie das SharePoint-Admin-Konto (SPAdmin) für Verwaltungsfunktionen, den SharePoint-Timerdienst und den gesamten SharePoint Services Zugriff.
SPAdmin ist der Sitebesitzer und benötigt einen E-Mail-Alias.
SPAdmin muss Mitglied der lokalen Administratorgruppe auf dem lokalen BizTalk Server Computer sein (Windows SharePoint Services Setup dies tut).
SPAdmin muss über die Rollen "Sicherheitsadministrator" und "Datenbankersteller" auf dem SQL Server Computer verfügen (Windows SharePoint Services Setup dies tut).
SharePoint-Konten:
| Benutzername | Vorname | Last Name | Vollständiger Name |
|---|---|---|---|
| SPAdmin | Administrator | SPService | SharePoint-Admin-Konto |
Legen Sie Kennwörter für Konten entsprechend den Unternehmensstandards fest, und sorgen Sie dafür, dass Sie diese Kennwörter während der Konfiguration abrufen können. Informationen zu Problemen im Zusammenhang mit generierten Kennwörtern finden Sie im Abschnitt Kennwörter dieses Themas.
Hinweis
Dieses Feld Benutzername ist ein Beispiel. Sie müssen diesen Namen möglicherweise ändern, um andere Active Directory-Konten zu schützen.
Wichtig
Vergewissern Sie sich nach der Installation Windows SharePoint Services auf dem Computer, auf dem BizTalk Server ausgeführt wird, dass die Startparameter für den SharePoint-Zeitgeberdienst das SPAdmin-Konto und die Anmeldeinformationen verwenden.
BizTalk-Gruppen und -Benutzer
BizTalk Server Gruppen und Benutzer müssen vor dem Ausführen des BizTalk Server-Konfigurations-Assistenten erstellt werden. Bei einer Einzelsysteminstallation verwendet BizTalk Server lokale Gruppen und Konten, die während der Konfiguration erstellt werden. Wenn jedoch separate BizTalk Server Hosts bereitgestellt werden oder BizTalk Server und SQL Server auf zwei verschiedenen Computern installiert sind, müssen Sie Domänenbenutzer- und Gruppenkonten verwenden.
Hinweis
Der BizTalk Server-Konfigurations-Assistent kann keine Domänenkonten erstellen.
Empfehlungen und Hinweise zu BizTalk Server Dienst- und Benutzerkonten:
Erstellen Sie eine Organisationseinheit für BizTalk Server. Alle Konten und Gruppen gehören dieser Organisationseinheit an.
Verwenden Sie aussagekräftige vollständige Namen. Anhand der Namen in der folgenden Tabelle sollte der Installer die richtigen Gruppen/Konten/Benutzer bei der Konfiguration auswählen können.
Vor- und Nachname sind optional und werden hier nur aus Gründen der Konsistenz angegeben.
Die Unterscheidungsmerkmale BTService und BTUser beziehen sich auf Dienstkonten (Automaten) und generische/freigegebene benutzer.
Erstellen Sie Domänenkonten, und füllen Sie sie über ein ADSI-Skript, mit dem Benutzer- und Gruppenkonten für vorgelagerte Umgebungen erstellt werden.
BizTalk-Dienstkonten
| Benutzername | Vorname | Last Name | Vollständiger Name |
|---|---|---|---|
| BTService | BTS | BTService | BizTalk Service-Konto |
| BTServiceHost | Host | BTService | BizTalk-Hostinstanzkonto |
| BTServiceHostIso | HostIso | BTService | Instanzkonto isolierter BizTalk-Hosts |
| SSOService | SSO | BTService | Dienst für Einmaliges Anmelden (SSO) für Unternehmen |
| BTServiceREU | REU | BTService | Aktualisierungsdienst für die Regel-Engine |
Legen Sie Benutzernamen entsprechend den Unternehmens- und Umgebungsstandards fest (z. B. devBTService, alphaBTService). Legen Sie Kennwörter für Konten entsprechend den Unternehmensstandards fest, und sorgen Sie dafür, dass Sie sie in den einzelnen Konfigurationsschritten abrufen können. Informationen zu Problemen im Zusammenhang mit generierten Kennwörtern finden Sie im Abschnitt Überlegungen zur Entwicklung von Kennwörtern.
Das Installationsprogramm wird feststellen, dass die Dienstkonten ziemlich präzise sind, mit einer nahezu 1:1-Zuordnung zu den von BizTalk Server erstellten Diensten. Aufgrund dieser Granularität kann die unternehmenseigene IT-Sicherheitsabteilung den Zugriff je nach Bedarf überwachen oder einschränken. Die Granularität wird zwar empfohlen, es bleibt jedoch dem System-Designer und der Sicherheitsabteilung des Unternehmens überlassen festzulegen, ob sie in der Unternehmensumgebung benötigt wird.
Die Dienstkonten in der vorherigen Gruppe sind nur für den automatischen Zugriff vorgesehen, nicht für die interaktive Anmeldung von Benutzern.
So legen Sie die richtigen Kontenoptionen fest
Klicken Sie in der Active Directory-Benutzer und -Computer Konsole, um die Domäne zu erweitern, und klicken Sie dann, um den Container Benutzer zu erweitern.
Klicken Sie mit der rechten Maustaste auf das Konto, und wählen Sie dann Eigenschaften aus, um das Dialogfeld Eigenschaften für das Konto anzuzeigen.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Konto.
Aktivieren die folgenden Optionen:
Der Benutzer kann das Kennwort nicht ändern (die Unternehmenssicherheit ändert die Kennwörter im Batch).
Kennwort läuft nie ab
Klicken Sie auf die Schaltfläche Anmelden unter, um das Dialogfeld Anmeldearbeitsstationen anzuzeigen.
Klicken Sie auf die Option Die folgenden Computer, fügen Sie jeden Computer hinzu, auf dem BizTalk Server und SQL Server ausgeführt wird, und klicken Sie dann auf OK.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Remotesteuerung, und deaktivieren Sie dann die Option Remotesteuerung aktivieren.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Terminaldiensteprofil.
Klicken Sie, um die Option zum Verweigern dieser Benutzerberechtigungen für die Anmeldung bei einem beliebigen Terminalserver zu aktivieren.
Klicken Sie auf OK , um das Dialogfeld Eigenschaften für das Konto zu schließen.
Wiederholen Sie die Schritte 3 bis 10 für jedes Dienstkonto.
BizTalk-Benutzerkonten
| Benutzername | Vorname | Last Name | Vollständiger Name |
|---|---|---|---|
| BTUserAdmin | Administrator | BTUser | BizTalk-Benutzerkonto für die Verwaltung |
| BTUserDeploy | Bereitstellen | BTUser | BizTalk-Benutzerkonto für die Bereitstellung |
| BTUserHostInstance | HostInstance | BTUser | BizTalk-Hostinstanzkonto |
| BTUserHostIsolated | IsolatedlHost | BTUser | Instanzkonto isolierter BizTalk-Hosts |
| BTUserInstall | Installieren | BTUser | BizTalk-Benutzerkonto für die Installation |
| BTUserSupport | Support | BTUser | BizTalk-Konto für den Unterstützungszugriff |
Führen Sie die folgenden Schritte aus, um die entsprechenden Kontooptionen festzulegen.
Klicken Sie in der Active Directory-Benutzer und -Computer Konsole, um die Domäne zu erweitern, und klicken Sie dann, um den Container Benutzer zu erweitern.
Klicken Sie mit der rechten Maustaste auf das Konto, und wählen Sie dann Eigenschaften aus, um das Dialogfeld Eigenschaften für das Konto anzuzeigen.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Konto.
Aktivieren die folgenden Optionen:
Der Benutzer kann das Kennwort nicht ändern (die Unternehmenssicherheit ändert die Kennwörter im Batch).
Kennwort läuft nie ab
Klicken Sie auf die Schaltfläche Anmelden unter, um das Dialogfeld Anmeldearbeitsstationen anzuzeigen.
Klicken Sie auf die Option Die folgenden Computer, fügen Sie jeden Computer hinzu, auf dem BizTalk Server und SQL Server ausgeführt wird, und klicken Sie dann auf OK.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Remotesteuerung, und aktivieren Sie dann die Option Remotesteuerung aktivieren.
Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Terminaldiensteprofil.
Klicken Sie, um die Option zum Verweigern dieser Benutzerberechtigungen für die Anmeldung bei einem beliebigen Terminalserver zu deaktivieren.
Klicken Sie auf OK , um das Dialogfeld Eigenschaften für das Konto zu schließen.
Wiederholen Sie die Schritte 3 bis 10 für jedes Benutzerkonto.
Hinweis
Jedes dieser Konten kann deaktiviert werden, wenn die Rollen, die durch sie bereitgestellt werden sollen, wirklichen Benutzern zugewiesen werden. In den frühen Phasen von Version 1 und 2 wird davon ausgegangen, dass diese Konten in der Entwicklungs-, der Alphatest- und der Betatestumgebung verwendet werden.
BizTalk-Gruppenkonten
| Gruppenname | Gruppentyp | Mitglieder |
|---|---|---|
| BizTalk-Anwendungsbenutzer | Global oder universell | – BTServiceHost – BTUserHostInstance |
| BizTalk-Entwicklungsbenutzer | Global oder universell | (lokale Domänenkonten von Entwicklungsbenutzern) Hinweis: Als bewährte Methode sollten Sie die Gruppe BizTalk-Entwicklungsbenutzer nicht in Up-Line-Umgebungen aktivieren. |
| BizTalk-Bereitstellungsbenutzer | Global oder universell | (lokale Domänenkonten von Bereitstellungsbenutzern) |
| BizTalk-Hostbenutzer | Global oder universell | BTUserHostInstance |
| Benutzer isolierter BizTalk-Hosts | Global oder universell | - BTServiceHostIso – BTUserHostInstance |
| BizTalk Server-Administratoren | Global oder universell | – BTUserAdmin – BTUserInstall – BizTalk-Entwicklungsbenutzer – BizTalk-Bereitstellungsbenutzer |
| BizTalk-Unterstützungsbenutzer | Global oder universell | BTUserSupport (lokale Domänenkonten von Unterstützungsbenutzern) |
| SSO-Administratoren | Global oder universell | – SSOService – BTUserInstall – Lokaler Administrator |
| SSO-Partneradministratoren | Global oder universell | – BizTalk-Entwicklungsbenutzer – BizTalk-Bereitstellungsbenutzer - BTServiceHostIso - <Konsolenbenutzer> |
| Windows SharePoint Services-Administratoren | Global oder universell | – SPAdmin – BTUserInstall – BTUserDeploy – BizTalk-Entwicklungsbenutzer – BizTalk-Bereitstellungsbenutzer |
Empfehlungen und Hinweise zu Domänengruppen:
Erstellen Sie die Gruppen, und fügen Sie Mitglieder hinzu, bevor Sie BizTalk Server installieren.
Domänengruppen können globale oder universelle Gruppen sein.
Verwenden Sie <DomainName>\<UserName> , wenn Sie Domänenkontoinformationen im Konfigurations-Assistenten angeben.
Gruppen und Benutzer-/Dienstkonten müssen zu der Domäne gehören, in die der BizTalk Server Computers gehört (der Konfigurations-Assistent überprüft dies und zeigt keine Konten oder Gruppen an, die Konten aus anderen Domänen enthalten).
BizTalk Server benötigt Domänenkonten für alle Clusterszenarien.
Bei der Installation BizTalk Server muss der Konsolenbenutzer Mitglied der folgenden Gruppen sein:
BizTalk Server-Administratoren
SSO-Administratoren (nur zum Konfigurieren des Servers für den geheimen Hauptschlüssel)
Windows-Administrator
SQL Server Administrator
OLAP-Administrator
Das Konto BTUserInstall sollte für die Installation und Konfiguration verwendet werden und nach der Konfiguration deaktiviert werden.
Damit Nachrichtenereignisse und Dienst-instance Nachverfolgen von Orchestrierungen an den Debugger angefügt werden können, muss der Entwickler der Gruppe BizTalk Server Administratoren angehören, wie oben im Abschnitt BizTalk-Entwicklungskonten beschrieben.
Konten für lokale Administratoren
Bestätigen Sie, oder fügen Sie die folgenden Konten und Gruppen der Gruppe Lokale Administratoren auf dem SQL Server Computer hinzu:
Domäne\BTUserInstall (nach der Konfiguration deaktivieren)
Domäne\BTUserDeploy (im Produktionssystem nach der Bereitstellung deaktivieren)
Domäne\SPAdmin
Domäne\SQLAdmin
Domäne\SQLService
Domänen\BizTalk-Entwicklungsbenutzer (in Up line-Umgebungen weggelassen)
Domäne\BizTalk-Bereistellungsbenutzer (in Entwicklungsumgebungen nicht verwenden)
Bestätigen Sie, oder fügen Sie die folgenden Konten und Gruppen der Gruppe Lokale Administratoren auf dem BizTalk Server Computer hinzu:
Domäne\BTUserInstall (nach der Konfiguration deaktivieren)
Domäne\BTUserDeploy (im Produktionssystem nach der Bereitstellung deaktivieren)
Domäne\BTUserSupport
Domäne\SPAdmin
Domäne\BizTalk-Entwicklungsbenutzer (in nachgelagerten Umgebungen nicht verwenden)
Domäne\BizTalk-Bereistellungsbenutzer (in Entwicklungsumgebungen nicht verwenden)
SQL Server-Administratorkonten
Setupprogramme nehmen Eingaben vom Installer an und weisen Benutzern und Gruppen SQL-Rollen zu:
- Während SharePoint Services Einrichtung werden dem SPAdmin-Konto die Rechte Sicherheitsadministrator und Datenbankersteller auf dem SQL Server Computer gewährt. Diese Rechte können entfernt werden, wenn das SPAdmin-Konto Mitglied der Gruppe der lokalen Administratoren ist.
E-Mail-Konto
SharePoint Services sendet E-Mails basierend auf bestimmten Systemereignissen. Setup fordert bei der Konfiguration zur Angabe einer E-Mail-Adresse auf. Erstellen Sie E-Mail-Aliase für diesen Zweck, und überwachen Sie sie während der Installation und Komponententests. In der Produktionsumgebung muss ein Systemadministrator, der das System überwacht, auf dieses Konto zugreifen können.
Das von SharePoint Services verwendete E-Mail-Konto ist das WSS-Administrator-E-Mail-Konto.
Überlegungen zu Kennwörtern für die Entwicklung
Für Entwicklungs- und Testumgebungen können Kontenkennwörter über einen Standard festgelegt und verteilt werden. Standards für Installer können variieren. In diesem Thema wird folgende Vorlage verwendet: die Dienstkomponente wird mit groß geschriebenen Anfangsbuchstaben abgekürzt, darauf folgt eine Abkürzung in Kleinbuchstaben für den Rest des Kontos (Dienst oder Benutzer). Bei Dienstkonten wird in diesem Thema 'Serv' verwendet, bei Benutzerkonten 'User'.
Beispiel:
Windows SharePoint Services Kennwörter des Diensts (SharePoint) und des Administratorkontos (SPAdmin): "SPServ".
BizTalk Service-Kontokennwörter: "BTServ".
BizTalk-Benutzerkontenkennwörter: "BTUser".
In manchen IT-Umgebungen müssen Kennwörter nicht-alphanumerische und/oder numerische Zeichen enthalten. In diesem Szenario können Sie "s" durch ein Dollarzeichen ($) und "a" durch ein 'at'-Zeichen (@) ersetzen. Diese Symbole sind Beispiele. Entwickeln Sie ein Muster, das sich in Ihrer Situation für freigegebene Konten mit halböffentlichen Kennwörtern am besten eignet.
Beispiele für verteilbare Kennwörter, die in der Entwicklungsumgebung verwendet werden können, sind folgende:
BT$erv99 BizTalk-Dienstkonten
BTU$er99 BizTalk-Benutzerkonten
SP$erv99 WSS-Dienstkonto (SPAdmin)
SQL$erv99 SQL-Dienst/Access/Admin-Konto
Hinweis
Diese Empfehlungen gelten nur für Entwicklungsumgebungen und freigegebene Umgebungen. Die Verwendung unternehmenseigener Kennwortrichtlinien bleibt hiervon unberührt. Fragen Sie den Netzwerkadministrator nach den Kennwortanforderungen.
Hinweis
Wenn die Kennwortrichtlinie des Unternehmens generierte Kennwörter umfasst, denken Sie daran, dass einige Zeichen und Zeichenkombinationen in XML für spezielle Zwecke vorgesehen sind. Wenn diese Zeichen in unzulässiger Weise verwendet werden, können XML-Konfigurationsdateien bei der Konfiguration nicht geöffnet werden. Zu diesen Symbolen gehören "&", "<", ">", ein- und doppeltes Anführungszeichen und können andere symbole enthalten. Testen Sie die XML-Konfigurationsdatei, bevor Sie eine dateibasierte Konfiguration ausführen. Sie können die Datei zuverlässig auf die richtige XML-Formatierung testen, wenn Sie das Dokument mit den darin eingebetteten generierten Kennwörtern in Internet Explorer (oder einem XML-Editor) öffnen.
Weitere Informationen zur Bereitstellung sicherer Kennwörter in Up-Line-Umgebungen (einschließlich der Methode zum Testen einer BizTalk Server Konfigurationsdatei) finden Sie unter Konfigurieren BizTalk Server.