Bewährte Methoden für die Verwaltung für lokale Bereitstellungen von Microsoft Dynamics 365
Veröffentlicht: Januar 2017
Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016
Indem Sie einige Verwaltungsregeln befolgen, können Sie die Sicherheit der lokalen Microsoft Dynamics 365-Bereitstellung beträchtlich erhöhen.
In der Regel müssen Dynamics 365-Benutzer über keine Administratorberechtigungen für die Domäne verfügen. Daher sollten alle Dynamics 365-Benutzerkonten auf die Mitgliedschaft "Domänenbenutzer" beschränkt sein. Entsprechend dem Prinzip, nur so viele Berechtigungen wie unbedingt erforderlich zu vergeben, sollte jeder Benutzer des Dynamics 365-Systems nur über minimale Rechte verfügen. Dies beginnt auf Domänenebene. Ein Domänenbenutzerkonto muss erstellt und für die Ausführung von Dynamics 365 verwendet werden. Domänenadministratorkonten sollten nie verwendet werden, um Dynamics 365 auszuführen.
Weisen Sie die Rolle des Microsoft Dynamics 365Bereitstellungsadministrator und des Systemadministrators nur einer beschränkten Anzahl von Personen zu, die für Regeländerungen verantwortlich ist. Andere Benutzer, die Administratoren von SQL Server, Microsoft Exchange Server oder Active Directory sind, müssen keine Mitglieder der Dynamics 365-Benutzergruppe sein.
Stellen Sie sicher, dass mindestens zwei oder drei vertrauenswürdigen Personen die Rolle Bereitstellungsadministrator zugewiesen wurde. Hierdurch wird eine Systemsperrung verhindert, wenn der primäre Bereitstellungsadministrator nicht verfügbar ist.
In einigen Organisationen ist es üblich, Kennwörter system- und domänenübergreifend wiederzuverwenden. Beispielsweise erstellt ein Administrator, der für zwei Domänen verantwortlich ist; möglicherweise in beiden Domänen ein Domänenadministratorkonto, wobei für jedes Konto dasselbe Kennwort verwendet wird. Vielleicht werden sogar auf Domänencomputern lokale Administratorkennwörter festgelegt, die in der ganzen Domäne gleich sind. In einem solchen Fall kann die Gefährdung eines einzelnen Kontos oder Computers dazu führen, dass die gesamte Domäne gefährdet wird. Kennwörter sollten niemals auf diese Weise wiederverwendet werden.
Es ist ferner üblich, Domänenadministratorkonten als Dienstkonten für allgemeine Dienste zu verwenden, beispielsweise Sicherungssysteme. Die Verwendung von Domänenadministratorkonten als Dienstkonten stellt jedoch ein Sicherheitsrisiko dar. Das Kennwort kann leicht von allen Benutzern mit Administratorrechten auf dem betreffenden Computer abgerufen werden. In solch einem Fall kann die gesamte Domäne gefährdet werden. Dienstkonten sollten niemals Domänenadministratorkonten und hinsichtlich ihrer Berechtigungen so weit wie möglich eingeschränkt sein.
Ein für die Ausführung eines Microsoft Dynamics 365-Diensts angegebenes Domänenbenutzerkonto darf nicht auch als Dynamics 365-Benutzer konfiguriert werden. Dies kann zu unerwartetem Verhalten der Anwendung führen.
Siehe auch
Sicherheitsüberlegungen zu Microsoft Dynamics 365
Bewährte Methoden für die Sicherheit von Microsoft Dynamics 365
Netzwerkports für Microsoft Dynamics 365
Sicherheitskonzepte für Microsoft Dynamics 365
© 2017 Microsoft. Alle Rechte vorbehalten. Copyright