Directrices para implementar permisos de Active Directory en instalaciones de BizTalk multiservidor
En este tema se describen las directrices para crear unidades organizativas de Active Directory, que constan de las cuentas de usuario y los grupos que se usan en una instalación de Microsoft BizTalk Server.
Las cuentas que se crean aquí no necesitan otros permisos en el dominio diferentes a los de los usuarios normales. Es posible que las cuentas de dominio necesiten privilegios elevados dentro del límite de confianza que incluye:
BizTalk Server
Microsoft SharePoint Services (en el servidor BizTalk Server)
Microsoft SQL Server
Base de datos externa Una
Base de datos externa Dos
Base de datos externa N
Por ejemplo, es posible que una cuenta de dominio necesite derechos concedidos para realizar determinadas acciones en los sistemas que alojan bases de datos externas. En otro caso, es posible que una cuenta necesite escribir un archivo en la carpeta de destino de los archivos y que esto exija acceso de escritura a la carpeta.
Use la consola Usuarios y equipos de Active Directory para crear y administrar cuentas de grupos y usuarios de dominio. Para iniciar la consola Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
Cuenta de configuración e instalación de BizTalk Server
En el entorno de desarrollo, el programa de instalación de BizTalk Server y el Asistente para configuración de BizTalk Server requieren el uso de una cuenta con derechos administrativos en los sistemas de BizTalk Server y SQL Server. Los derechos se pueden revocar o la cuenta se puede deshabilitar cuando la instalación y configuración hayan finalizado. La cuenta también debe pertenecer a varios grupos de BizTalk, lo que se describe en las secciones siguientes.
Nota:
No podrá configurar los componentes de SSO si la cuenta usada para la instalación pertenece a un bosque de Active Directory diferente del servidor. Si no tiene una cuenta de instalador de BizTalk Server, use una cuenta de administrador local para la configuración de SSO. Esta metodología puede crear otros problemas durante la instalación, tal como la necesidad de iniciar sesión en recursos con credenciales diferentes.
Cuentas de desarrollo de BizTalk Server
Los usuarios que realizan BizTalk Server desarrollo requieren acceso a adaptadores, controladores de recepción y envío y ubicaciones de recepción. Este acceso requiere que el grupo de desarrolladores de dominio sea miembro de los grupos administradores de BizTalk Server y administradores afiliados de SSO.
Nota:
Active Directory tiene restricciones en relación a los tipos de grupos que pueden contener usuarios de dominio externos y los tipos de grupos que otros grupos pueden contener. Los grupos y las cuentas que se crean a continuación se han comprobado en un entorno multiservidor en un dominio único.
Cuentas de implementación de BizTalk Server
Los usuarios que implementan BizTalk Server aplicaciones deberán ser administradores en los sistemas locales y pueden requerir otros permisos en el entorno. En este tema se hace referencia a una cuenta de implementación de BizTalk Server para este fin.
Este acceso requiere que el grupo de implementación de dominio sea miembro de los grupos administradores de BizTalk Server y administradoresafiliados de SSO.
Nota:
No podrá configurar los componentes de SSO si la cuenta usada para la instalación pertenece a un bosque de Active Directory diferente del servidor. Si no dispone de cuenta de implementación de BizTalk Server, use una cuenta de administrador local para la configuración de SSO. Esta metodología puede crear otros problemas durante la instalación, tal como la necesidad de iniciar sesión en recursos con credenciales diferentes.
Cuentas de soporte técnico de BizTalk Server
Los usuarios que admitan BizTalk Server aplicaciones deberán ser administradores en los sistemas locales. En este tema se hace referencia a una cuenta de soporte técnico de BizTalk para este fin.
Este acceso requiere que el grupo de soporte técnico de dominio sea miembro del grupo administradores de BizTalk Server.
Cuentas de servicio de SQL Server
El servicio que ejecuta la instancia de SQL Server debe pertenecer al mismo dominio de Active Directory que las cuentas que instalan, desarrollan e implementan BizTalk Server componentes.
Use SQLAdmin para funciones administrativas (inicio de sesión interactivo).
Use SQLService para administrar el servicio (sin inicio de sesión interactivo).
Use SQLAccess para acceder a bases de datos externas.
SQLAdmin debe ser miembro del grupo administradores local en el sistema SQL Server.
SQLService debe ser miembro del grupo administradores local en el sistema SQL Server y debe concederse el derecho de usuario Iniciar sesión como servicio.
SQLAccess necesita los derechos adecuados en los servidores de base de datos remotos.
Cuentas de SQL:
| Nombre de usuario | Nombre | Last Name | Nombre completo |
|---|---|---|---|
| SQLService | SQL | SQLService | Cuenta de servicio SQL |
| SQLAdmin | Administración | SQLService | Cuenta de administrador de SQL |
| SQLAccess | Access | SQLService | Cuenta de acceso de SQL |
Defina las contraseñas de cuenta según los estándares de la compañía.
Importante
En el equipo que ejecuta SQL Server, modifique los parámetros de inicio de los servicios SQL Server y SQLServerAgent para usar la cuenta y las credenciales de SQLService.
Nota
Los campos de nombre de usuario son ejemplos, es posible que deba cambiar los nombres para evitar conflictos con otras cuentas de Active Directory.
Cuenta de Windows SharePoint Services
Las cuentas de Windows SharePoint Services deben crearse antes de instalar SharePoint Services.
Recomendaciones y notas sobre la cuenta de SharePoint Services:
Use la cuenta de Administración de SharePoint (SPAdmin) para las funciones administrativas, el servicio de temporizador de SharePoint y todo el acceso SharePoint Services.
SPAdmin es el propietario del sitio y necesitará un alias de correo electrónico.
SPAdmin debe ser miembro del grupo de administradores locales en el equipo de BizTalk Server local (Windows SharePoint Services programa de instalación lo hace).
SPAdmin debe tener los roles de administrador de seguridad y creador de bases de datos en el equipo de SQL Server (Windows SharePoint Services programa de instalación lo hace).
Cuentas de SharePoint:
| Nombre de usuario | Nombre | Last Name | Nombre completo |
|---|---|---|---|
| SPAdmin | Administración | SPService | Cuenta de administración de SharePoint |
Defina las contraseñas de cuenta según los estándares de la compañía para que pueda recuperarlas durante los pasos de configuración. Consulte la sección Contraseñas de este tema para ver los problemas relacionados con las contraseñas generadas.
Nota
Este campo de nombre de usuario es un ejemplo; es posible que necesite cambiar el nombre para proteger otras cuentas de Active Directory.
Importante
Después de instalar Windows SharePoint Services en el equipo que ejecuta BizTalk Server, confirme que los parámetros de inicio del servicio de temporizador de SharePoint usan la cuenta spAdmin y las credenciales.
Grupos y usuarios de BizTalk
BizTalk Server grupos y usuarios deben crearse antes de ejecutar el Asistente para configuración de BizTalk Server. En una instalación de un solo sistema, BizTalk Server usa grupos y cuentas locales que se crean durante la configuración. Sin embargo, si se implementan hosts de BizTalk Server independientes o si BizTalk Server y SQL Server están instalados en dos equipos diferentes, debe usar cuentas de grupo y usuario de dominio.
Nota:
El Asistente para configuración de BizTalk Server no puede crear cuentas de dominio.
Recomendaciones y notas sobre BizTalk Server servicio y cuentas de usuario:
Cree una unidad organizativa (OU) para BizTalk Server. Todas las cuentas y grupos pertenecerán a esta OU.
Sea descriptivo con los nombres completos; los nombres de las listas siguientes deben permitir al instalador seleccionar los grupos/cuentas/usuarios adecuados durante la configuración.
El primer nombre y los apellidos son opcionales; se incluyen sólo por coherencia.
El diferenciador BTService y BTUser hacen referencia a las cuentas de servicio (automatones) y a los usuarios humanos genéricos o compartidos.
Cree las cuentas de dominio y rellénelas mediante una secuencia de comandos de ADSI para la creación de cuentas de usuario y de grupo para entornos principales.
Cuentas de servicio de BizTalk
| Nombre de usuario | Nombre | Last Name | Nombre completo |
|---|---|---|---|
| BTService | BTS | BTService | Cuenta de servicio de BizTalk |
| BTServiceHost | Host | BTService | Cuenta de instancias de host de BizTalk |
| BTServiceHostIso | HostIso | BTService | Cuenta de instancia de host aislada de BizTalk |
| SSOService | SSO | BTService | Servicio de inicio de sesión único (SSO) empresarial |
| BTServiceREU | REU | BTService | Servicio de actualización de motor de reglas |
Defina los nombres de usuario según los estándares de la compañía y del entorno (por ejemplo, devBTService, alphaBTService). Establezca las contraseñas de cuenta según los estándares de la empresa y pueda recuperarlas para los pasos de configuración. Consulte la sección Consideraciones de contraseña para el desarrollo de este tema para ver los problemas relacionados con las contraseñas generadas.
El instalador observará que las cuentas de servicio son bastante granulares, con una asignación casi uno a uno a los servicios creados por BizTalk Server. La individualización permite a la seguridad de la TI corporativa realizar el seguimiento del acceso o restringirlo según sea necesario. Se recomienda seguir esta individualización, aunque siempre el diseñador del sistema y el personal de seguridad de la empresa son los que deben determinar si esto es necesario en el entorno de la empresa.
Las cuentas de servicio del grupo anterior están previstas sólo para un acceso automatizado, no para el inicio de sesión interactivo de los usuarios.
Para definir las opciones de cuenta adecuadas
En la consola Usuarios y equipos de Active Directory, haga clic para expandir el dominio y el contenedor Usuarios.
Haga clic con el botón derecho en la cuenta y seleccione Propiedades para mostrar el cuadro de diálogo Propiedades de la cuenta.
Haga clic en la pestaña Cuenta del cuadro de diálogo Propiedades .
Haga clic para activar las opciones siguientes:
El usuario no puede cambiar la contraseña (la seguridad empresarial cambiará por lotes las contraseñas).
La contraseña nunca expira
Haga clic en el botón Iniciar sesión en para mostrar el cuadro de diálogo Estaciones de trabajo de inicio de sesión.
Haga clic en la opción Los siguientes equipos, agregue cada equipo que ejecute BizTalk Server y SQL Server y, a continuación, haga clic en Aceptar.
Haga clic en la pestaña Control remoto del cuadro de diálogo Propiedades y, a continuación, haga clic para desactivar la opción Habilitar control remoto.
Haga clic en la pestaña Perfil de Terminal Services del cuadro de diálogo Propiedades .
Haga clic para activar la opción Denegar estos permisos de usuario para iniciar sesión en cualquier terminal Server.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la cuenta.
Repita los pasos del 3 al 10 para cada cuenta de servicio.
Cuentas de usuario de BizTalk
| Nombre de usuario | Nombre | Last Name | Nombre completo |
|---|---|---|---|
| BTUserAdmin | Administración | BTUser | Cuenta de usuario administrativa de BizTalk |
| BTUserDeploy | Implementar | BTUser | Cuenta de usuario de implementación de BizTalk |
| BTUserHostInstance | HostInstance | BTUser | Cuenta de instancias de host de BizTalk |
| BTUserHostIsolated | IsolatedlHost | BTUser | Cuenta de instancia de host aislada de BizTalk |
| BTUserInstall | Instalar | BTUser | Cuenta de usuario de instalación de BizTalk |
| BTUserSupport | Soporte técnico | BTUser | Cuenta de acceso de soporte técnico de BizTalk |
Para definir las opciones de cuenta apropiadas, realice los pasos siguientes
En la consola Usuarios y equipos de Active Directory, haga clic para expandir el dominio y, a continuación, haga clic para expandir el contenedor Usuarios.
Haga clic con el botón derecho en la cuenta y seleccione Propiedades para mostrar el cuadro de diálogo Propiedades de la cuenta.
Haga clic en la pestaña Cuenta del cuadro de diálogo Propiedades .
Haga clic para activar las opciones siguientes:
El usuario no puede cambiar la contraseña (la seguridad empresarial cambiará por lotes las contraseñas).
La contraseña nunca expira
Haga clic en el botón Iniciar sesión en para mostrar el cuadro de diálogo Estaciones de trabajo de inicio de sesión.
Haga clic en la opción Los siguientes equipos, agregue cada equipo que ejecute BizTalk Server y SQL Server y, a continuación, haga clic en Aceptar.
Haga clic en la pestaña Control remoto del cuadro de diálogo Propiedades y, a continuación, haga clic para activar la opción Habilitar control remoto.
Haga clic en la pestaña Perfil de Terminal Services del cuadro de diálogo Propiedades .
Haga clic para desactivar la opción Denegar estos permisos de usuario para iniciar sesión en cualquier terminal Server.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la cuenta.
Repita los pasos del 3 al 10 para cada cuenta de usuario.
Nota
Cualquiera de estas cuentas se puede deshabilitar si los roles que se van a proporcionar están asignados a usuarios reales. En las primeras etapas de la versión uno y de la versión dos, se supone que estas cuentas se usan en los entornos de desarrollo, prueba alfa y prueba beta.
Cuentas de grupo de BizTalk
| Nombre del grupo | Tipo de grupo | Miembros |
|---|---|---|
| Usuarios de aplicación de BizTalk | Global o universal | - BTServiceHost - BTUserHostInstance |
| Usuarios de desarrollo de BizTalk | Global o universal | (cuentas de dominio locales de usuarios de desarrollo) Nota: Como procedimiento recomendado, no habilite el grupo Usuarios de desarrollo de BizTalk en entornos en línea. |
| Usuarios de implementación de BizTalk | Global o universal | (cuentas de dominio local de usuarios de implementación) |
| Usuarios de host de BizTalk | Global o universal | BTUserHostInstance |
| Usuarios de hosts aislados de BizTalk | Global o universal | - BTServiceHostIso - BTUserHostInstance |
| Administradores de servidor BizTalk Server | Global o universal | - BTUserAdmin - BTUserInstall - Usuarios de desarrollo de BizTalk - Usuarios de implementación de BizTalk |
| Usuarios de soporte técnico de BizTalk | Global o universal | BTUserSupport (cuentas de dominio local de usuarios de soporte técnico) |
| Administradores de SSO | Global o universal | - SSOService - BTUserInstall - Administrador local |
| Administradores afiliados de SSO | Global o universal | - Usuarios de desarrollo de BizTalk - Usuarios de implementación de BizTalk - BTServiceHostIso - <usuario de consola> |
| Administradores de Windows SharePoint Services | Global o universal | - SPAdmin - BTUserInstall - BTUserDeploy - Usuarios de desarrollo de BizTalk - Usuarios de implementación de BizTalk |
Recomendaciones y notas acerca de los grupos de dominios:
Cree los grupos y agregue miembros antes de instalar BizTalk Server.
Los grupos de dominios pueden ser grupos globales o universales.
Use <DomainName>\<UserName> al especificar la información de la cuenta de dominio en el Asistente para configuración.
Los grupos y las cuentas de usuario o servicio deben pertenecer al dominio al que pertenece el equipo BizTalk Server (el Asistente para configuración comprueba esto y no mostrará cuentas ni grupos que contengan cuentas de otros dominios).
BizTalk Server necesita cuentas de dominio en todos los escenarios de clúster.
Al instalar BizTalk Server, el usuario de la consola debe ser miembro de los siguientes grupos:
Administradores de servidor BizTalk Server
Administradores de SSO (sólo al configurar el servidor secreto principal).
Administrador de Windows
administrador de SQL Server
Administrador de OLAP
La cuenta BTUserInstall debería usarse para la instalación y configuración y, una vez que estos procesos han finalizado, debería deshabilitarse.
Para permitir que el seguimiento de eventos y instancias de servicio de mensajes adjunte orquestaciones al depurador, el desarrollador debe pertenecer al grupo administradores de BizTalk Server, como se describió anteriormente en la sección Cuentas de desarrollo de BizTalk.
Cuentas de administrador local
Confirme o agregue las siguientes cuentas y grupos al grupo Administradores locales en el equipo SQL Server:
Dominio\BTUserInstall (deshabilitar cuando la configuración ha finalizado)
Dominio\BTUserDeploy (deshabilitar en la producción cuando la implementación ha finalizado)
Dominio\SPAdmin
Dominio\SQLAdmin
Dominio\SQLService
Dominio\Usuarios de desarrollo de BizTalk (omitir en entornos de línea ascendente)
Dominio\Usuarios de implementación de BizTalk (omitir en entornos de desarrollo)
Confirme o agregue las siguientes cuentas y grupos al grupo Administradores locales en el equipo BizTalk Server:
Dominio\BTUserInstall (deshabilitar cuando la configuración ha finalizado)
Dominio\BTUserDeploy (deshabilitar en la producción cuando la implementación ha finalizado)
Dominio\BTUserSupport
Dominio\SPAdmin
Dominio\Usuarios de desarrollo de BizTalk (omitir en entornos principales)
Dominio\Usuarios de implementación de BizTalk (omitir en entornos de desarrollo)
Cuentas de administrador de servidor SQL Server
Los programas de configuración aceptan entradas del instalador y asignan roles de SQL a usuarios y grupos:
- Durante SharePoint Services configuración, a la cuenta SPAdmin se le conceden derechos de administrador de seguridad y creador de base de datos en el equipo SQL Server. Estos derechos se pueden quitar si la cuenta SPAdmin es miembro del grupo de administradores locales.
Cuenta de correo electrónico
SharePoint Services enviará correo en función de determinados eventos del sistema. Durante el proceso de configuración, se solicita una dirección de correo electrónico. Cree alias de correo electrónico para este fin y supervíselos durante la configuración y las pruebas que realice en la unidad. En el entorno de producción, el administrador de sistema que supervise el sistema debería tener acceso a esta cuenta.
La cuenta de correo electrónico utilizada por SharePoint Services es la cuenta de correo electrónico de administrador de WSS.
Consideraciones de contraseña para el desarrollo
En los entornos de desarrollo y prueba, las contraseñas de cuenta pueden definirse por un estándar y ser distribuibles. Los estándares del instalador varían; en este tema se usa la plantilla que consiste en letras mayúsculas iniciales que abrevian el componente de servicio seguido de una abreviación en minúsculas para el resto de la cuenta (servicio o usuario). Para las cuentas de servicio, en este tema se usa “Serv” mientras que para las cuentas de usuario se usa “User”.
Por ejemplo:
Windows SharePoint Services contraseñas de cuenta de administrador y servicio (SPAdmin): "SPServ".
Contraseñas de cuenta de servicio de BizTalk: "BTServ".
Contraseñas de cuenta de usuario de BizTalk: "BTUser".
Algunos entornos de TI exigen que las contraseñas contengan caracteres no alfabéticos o numéricos. En este escenario, puede usar un signo del dólar ($) para sustituir la "s" y un signo “arroba” (@) para la "a". Los símbolos son ejemplos; desarrolle un patrón que se adecue a sus necesidades para las cuentas compartidas con contraseñas semipúblicas.
Algunas contraseñas de ejemplo que se pueden volver a distribuir en uso en el entorno de desarrollo son las siguientes:
Cuentas de servicio de BizTalk bt$erv99
Cuentas de usuario de BizTalk BTU$er99
Sp$erv99 WSS Service Account (SPAdmin)
Cuenta de SQL$erv99 SQL Service/Access/Administración
Nota:
Estas recomendaciones están dirigidas únicamente a entornos de desarrollo y compartidos, y no se recomienda o se desaconseja el uso de directivas de contraseñas corporativas. Consulte al administrador de la red para conocer los requisitos de contraseña.
Nota
Si la directiva de contraseñas corporativas incluye contraseñas generadas, tenga en cuenta que algunos símbolos y combinaciones de símbolos son caracteres de uso especial en XML. El uso inadecuado de estos caracteres impedirá que los archivos XML de configuración se puedan abrir durante el proceso de configuración. Estos símbolos incluyen "&", "<", ">", comillas simples y dobles, y pueden incluir otros. Pruebe el archivo XML de configuración antes de ejecutar la configuración basada en archivos. Puede probar de forma confiable el formato XML adecuado mediante la apertura del documento en Internet Explorer (o en un editor de XML) con las contraseñas generadas integradas en él.
Para obtener más información sobre la implementación de contraseñas seguras en entornos en línea ascendente (incluido el método para probar un archivo de configuración de BizTalk Server), vea Configurar BizTalk Server.