Windows-Konten für eine sichere, verteilte BizTalk Server-Bereitstellung
Vollständige Informationen zur Systemarchitektur für BizTalk Server-Bereitstellung finden Sie unter Beispiel BizTalk Server Architekturen.
Dieser Abschnitt bietet Empfehlungen zum Erstellen von Windows-Gruppen und -Konten in einer verteilten BizTalk Server-Umgebung. Die Gruppen- und Kontonamen sind Vorschläge, die auf der jeweiligen Funktion der Gruppen und Konten basieren. Sie können die Namen dieser Gruppen und Konten frei wählen. Weitere Informationen zu verteilten BizTalk Server-Architekturen finden Sie unter Große verteilte Architektur.
Windows-Gruppen für eine sichere, verteilte BizTalk Server-Bereitstellung
Die folgende Liste beschreibt die empfohlenen Windows-Gruppen, die vom Domänenadministrator auf dem Domänencontroller auf Datenebene erstellt werden sollten.
SSO-Administratoren
SSO-Partneradministratoren
BizTalk Server-Administratoren
BizTalk Server-Operatoren
Vollständige Informationen zu den Windows-Gruppen, die BizTalk Server verwendet, finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
Über die voranstehenden Domänengruppen hinaus werden in der folgenden Tabelle zusätzliche Gruppen aufgeführt, die für die sichere Bereitstellung spezifisch sind und vom Domänenadministrator auf dem Domänencontroller auf Datenebene erstellt werden sollten.
| Gruppenname (Vorschlag) | Zweck |
|---|---|
| Benutzer von BizTalk-Verarbeitungshosts 1 | Gruppe für die Hostinstanzen eines bestimmten In-Process-Hosts, der von Ihnen für die Verarbeitung von Nachrichten verwendet wird. Erstellen Sie eine Gruppe für jeden In-Process-Host, der von Ihnen für die Verarbeitung von Nachrichten in Ihrer BizTalk Server-Umgebung verwendet wird. |
| Benutzer von BizTalk-Sendehosts 1 | Gruppe für die Hostinstanzen eines bestimmten In-Process-Hosts, der von Ihnen für das Senden von Nachrichten verwendet wird. Erstellen Sie eine Gruppe für jeden In-Process-Host, der von Ihnen für das Senden von Nachrichten in Ihrer BizTalk Server-Umgebung verwendet wird. |
| Benutzer von BizTalk-Empfangshosts 1 | Gruppe für die Hostinstanzen eines bestimmten In-Process-Hosts, der von Ihnen für das Empfangen von Nachrichten verwendet wird. Erstellen Sie eine Gruppe für jeden In-Process-Host, der von Ihnen für das Empfangen von Nachrichten in Ihrer BizTalk Server-Umgebung verwendet wird. |
| Benutzer des BizTalk-Überwachungshosts | Gruppe für den BizTalk-Host, der von Ihnen für die Überwachung bestimmt wird. |
| BizTalk-SOAP-Benutzer | Gruppe für die Hostinstanzen des isolierten Hosts, der von Ihnen für den SOAP-Adapter verwendet wird. |
| BizTalk-HTTP-Benutzer | Gruppe für die Hostinstanzen der isolierten Hosts, die von Ihnen für den HTTP-Adapter verwendet werden. |
Der Domänenadministrator muss die folgenden Gruppen auf dem Domänencontroller der Dienstschnittstellen-Domäne erstellen:
- Benutzer des BizTalk BAM-Portals
Windows-Benutzer- und -Dienstkonten für eine sichere, verteilte BizTalk Server-Bereitstellung
Die folgende Tabelle listet die empfohlenen Konten auf, die vom Domänenadministrator auf dem Domänencontroller der Datendomäne erstellt werden sollten. Der Domänenadministrator muss sicherstellen, dass die Konten Mitglieder der jeweils angegebenen Gruppen sind.
Vollständige Informationen zu den benutzerkonten, die BizTalk Server verwendet, finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.
| Kontoname (Beispiel) | Typ | Mitglied der Gruppe |
|---|---|---|
| SSO-Administrator | User | SSO-Administratoren |
| SSO-Dienst | Dienst | SSO-Administratoren |
| Geheimer SSO-Hauptschlüssel | Dienst | SSO-Administratoren |
| BizTalk-Administrator | User | BizTalk-Administratoren SSO-Partneradministratoren |
| BizTalk-Operator | User | BizTalk-Operatoren |
| BizTalk-Verarbeitung 1 | Dienst | Benutzer von BizTalk-Verarbeitungshosts 1 |
| BizTalk Processing 2 Hinweis: Sie können mehrere Konten für jeden Verarbeitungshost in Ihrer Umgebung erstellen. | Dienst | Benutzer von BizTalk-Verarbeitungshosts 1 |
| BizTalk-Nachverfolgung | Dienst | Benutzer des BizTalk-Überwachungshosts |
| SOAP-Adapter | Dienst | BizTalk-SOAP-Benutzer |
| HTTP-Adapter | Dienst | BizTalk-HTTP-Benutzer |
| Aktualisierungsdienst für die Regel-Engine | Dienst | |
| Installation | User | SSO-Administratoren (nur zum Konfigurieren des master Geheimnisservers) lokale Administratoren SQL Server-Rolle „sysadmin“ OLAP-Administratoren |
| BAM-Anwendungspool | Dienst | IIS_WPG |
| BAM-Verwaltung | Dienst | IIS_WPG |
| BAM-Benachrichtigung | Dienst | SQLServer2005NotificationServicesUser$<ComputerName> |
Die folgende Tabelle listet die empfohlenen Konten auf, die vom Domänenadministrator auf dem Domänencontroller der Unternehmensdomäne erstellt werden sollten.
| Kontoname | Typ |
|---|---|
| SharePoint-Administrator | User |
| Anmeldeinformationen für SharePoint-Website | User |
Weitere Informationen
Große verteilte Architektur
Minimal erforderliche Benutzerrechte
Windows-Gruppen- und -Benutzerkonten in BizTalk Server
BizTalk Server-Beispielarchitekturen