Linee guida per l'implementazione di autorizzazioni di Active Directory su installazioni di BizTalk multiserver
Questo argomento descrive le linee guida per la creazione di unità organizzative di Active Directory, costituite da account utente e gruppi usati in un'installazione di Microsoft BizTalk Server.
Gli account qui creati non hanno bisogno di altre autorizzazioni nel dominio oltre a quelle di utenti ordinari. Gli account di dominio potrebbero aver bisogno di privilegi elevati entro il limite dell'area attendibile che include:
BizTalk Server
Microsoft SharePoint Services (nel server di BizTalk Server)
Microsoft SQL Server
Un database esterno
Due database esterni
Database esterno N
Può essere, ad esempio, necessario concedere a un account di dominio i diritti per eseguire determinate azioni sui sistemi che ospitano database esterni. In altri casi, un account può avere la necessità di scrivere un file in una cartella di ricezione file e avere quindi bisogno dell'accesso in scrittura alla cartella.
Usare la console Utenti e computer di Active Directory per creare e gestire account utente e gruppo di dominio. Fare clic su Start, scegliere Tutti i programmi, Strumenti di amministrazione, quindi fare clic su Utenti e computer di Active Directory per avviare la console di Utenti e computer di Active Directory.
Account di installazione e configurazione di BizTalk Server
Nell'ambiente di sviluppo, il programma di installazione BizTalk Server e la Configurazione guidata BizTalk Server richiedono l'uso di un account con diritti amministrativi per i sistemi BizTalk Server e SQL Server. È possibile revocare i diritti o disattivare l'account subito dopo il completamento dell'installazione e della configurazione. L'account deve inoltre appartenere a diversi gruppi BizTalk, descritti nelle sezioni seguenti.
Nota
Non sarà possibile configurare componenti SSO se l'account utilizzato per l'installazione appartiene a una foresta di Active Directory diversa da quella del server. Se non si dispone di un account di installazione di BizTalk Server, usare un account amministratore locale per la configurazione dell'accesso Single Sign-On. Questa metodologia può creare altri problemi durante l'installazione, rendendo ad esempio necessario l'accesso alle risorse utilizzando credenziali diverse.
Account di sviluppo BizTalk Server
Le persone che eseguono BizTalk Server sviluppo richiedono l'accesso a adapter, gestori di ricezione e invio e posizioni di ricezione. Questo accesso richiede che il gruppo di sviluppatori di dominio sia membro dei gruppi BizTalk Server Administrators e SSO Affiliate Administrators.
Nota
Active Directory prevede restrizioni in relazione ai tipi di gruppi che possono contenere utenti di dominio esterni e ai tipi di gruppi che possono essere contenuti in altri gruppi. I gruppi e gli account creati di seguito sono stati sottoposti a test in un ambiente multiserver in un singolo dominio.
Account di distribuzione BizTalk Server
I singoli utenti che distribuiscono BizTalk Server applicazioni dovranno essere amministratori nei sistemi locali e potrebbero richiedere altre autorizzazioni nell'ambiente. Nel presente argomento si fa riferimento a un account di distribuzione BizTalk Server con i requisiti richiesti.
Questo accesso richiede che il gruppo di distribuzione del dominio sia membro dei gruppi BizTalk Server Administrators e SSO Affiliate Administrators.This access requires the domain deployment group to be members of the BizTalk Server Administrators and SSO Affiliate Administrators groups.
Nota
Non sarà possibile configurare componenti SSO se l'account utilizzato per l'installazione appartiene a una foresta di Active Directory diversa da quella del server. Se non si dispone di un account di distribuzione BizTalk Server, per la configurazione SSO utilizzare un account amministratore locale. Questa metodologia può creare altri problemi durante l'installazione, rendendo ad esempio necessario l'accesso alle risorse utilizzando credenziali diverse.
Account di supporto BizTalk Server
I singoli utenti che supportano BizTalk Server applicazioni dovranno essere amministratori nei sistemi locali. Nel presente argomento si fa riferimento a un account di supporto BizTalk con i requisiti richiesti.
Questo accesso richiede che il gruppo di supporto del dominio sia membro del gruppo administrators di BizTalk Server.
Account del servizio SQL Server
Il servizio che esegue l'istanza di SQL Server deve appartenere allo stesso dominio di Active Directory degli account che installano, sviluppano e distribuiscono componenti BizTalk Server.
Usare SQLAdmin per le funzioni amministrative (accesso interattivo).
Usare SQLService per gestire il servizio (nessun accesso interattivo).
Usare SQLAccess per accedere a database esterni.
SQLAdmin deve essere membro del gruppo Administrators locale nel sistema SQL Server.
SQLService deve essere membro del gruppo Administrators locale nel sistema SQL Server e deve essere concesso il diritto utente Accesso come servizio.
SQLAccess deve disporre di diritti appropriati sui server database remoti.
Account SQL:
| Nome utente | Nome | Cognome | Nome completo |
|---|---|---|---|
| SQLService | SQL | SQLService | Account Servizio SQL |
| SQLAdmin | Admin | SQLService | Account di amministrazione SQL |
| SQLAccess | Access | SQLService | Account di accesso SQL |
Impostare le password degli account in base agli standard aziendali.
Importante
Nel computer che esegue SQL Server modificare i parametri di avvio per i servizi SQL Server e SQLServerAgent per usare l'account SQLService e le credenziali.
Nota
I campi Nome utente sono esempi; può essere necessario modificare i nomi indicati per evitare conflitti con altri account di Active Directory.
Account di Windows SharePoint Services
È necessario creare gli account Windows SharePoint Services prima di installare SharePoint Services.
Raccomandazioni e note sull'account SharePoint Services:
Utilizzare l'account di SharePoint Amministrazione (SPAdmin) per le funzioni amministrative, il servizio Timer di SharePoint e l'accesso a tutti i SharePoint Services.
SPAdmin è il proprietario del sito e deve disporre di alias di posta elettronica.
SPAdmin deve essere un membro del gruppo administrators locale nel computer locale BizTalk Server (Windows SharePoint Services programma di installazione esegue questa operazione).
SPAdmin deve avere i ruoli di amministratore della sicurezza e autore del database nel computer SQL Server (Windows SharePoint Services programma di installazione esegue questa operazione).
Account di Sharepoint:
| Nome utente | Nome | Cognome | Nome completo |
|---|---|---|---|
| SPAdmin | Admin | SPService | Account di amministrazione Sharepoint |
Impostare le password degli account in base agli standard aziendali e assicurarsi di poterle recuperare durante la procedura di configurazione. Per informazioni sui problemi relativi alle password generate, vedere la sezione Password di questo argomento.
Nota
Questo campo Nome utente è un esempio; può essere necessario modificare il nome indicato per proteggere gli altri account di Active Directory.
Importante
Dopo aver installato Windows SharePoint Services nel computer che esegue BizTalk Server, verificare che i parametri di avvio per il servizio Timer di SharePoint usino l'account SPAdmin e le credenziali.
Gruppi e utenti BizTalk
BizTalk Server è necessario creare gruppi e utenti prima di eseguire la Configurazione guidata BizTalk Server. In un'installazione a sistema singolo, BizTalk Server usa i gruppi e gli account locali creati durante la configurazione. Tuttavia, se vengono distribuiti host BizTalk Server separati o se BizTalk Server e SQL Server vengono installati in due computer diversi, è necessario usare account utente e gruppo di dominio.
Nota
La configurazione guidata BizTalk Server non può creare account di dominio.
Raccomandazioni e note su BizTalk Server account utente e servizio:
Creare un'unità organizzativa per BizTalk Server. Tutti gli account e i gruppi apparterranno a questa unità organizzativa.
Utilizzare nomi completi descrittivi; i nomi negli elenchi seguenti devono consentire a chi esegue l'installazione di selezionare i gruppi, gli account o gli utenti appropriati durante la configurazione.
Nome e cognome sono facoltativi e sono stati inclusi solo per coerenza.
Il differenziatore BTService e BTUser fa riferimento agli account di servizio (automatoni) e agli utenti umani generici/condivisi.
Creare account di dominio e inserirvi dati tramite uno script ADSI per la creazione di account utente e di gruppo per ambienti upline.
Account del servizio BizTalk
| Nome utente | Nome | Cognome | Nome completo |
|---|---|---|---|
| BTService | BTS | BTService | Account del servizio BizTalk |
| BTServiceHost | Host | BTService | Account istanza dell'host BizTalk |
| BTServiceHostIso | HostIso | BTService | Account istanza dell'host BizTalk di tipo Isolato |
| SSOService | SSO | BTService | Servizio Enterprise Single Sign-On |
| BTServiceREU | REU | BTService | Servizio di aggiornamento del Motore regole di business |
Impostare i nomi utente in base agli standard aziendali e ambientali, utilizzare, ad esempio, devBTService e alphaBTService. Impostare le password degli account in base agli standard aziendali e assicurarsi di poterle recuperare durante la procedura di configurazione. Vedere la sezione Considerazioni sulla password per lo sviluppo di questo argomento per i problemi relativi alle password generate.
Il programma di installazione noterà che gli account del servizio sono abbastanza granulari, con un mapping quasi uno-a-uno ai servizi creati da BizTalk Server. La granularità consente al sistema di sicurezza IT dell'azienda di tenere traccia dell'accesso o restringerlo in base alle necessità. La granularità è consigliata, ma è compito del progettista di sistema e del personale di protezione aziendale determinare se è necessaria nell'ambiente aziendale.
Gli account del servizio del precedente gruppo sono destinati al solo accesso automatico e non all'accesso interattivo da parte di utenti.
Per impostare le opzioni degli account appropriate
Nella console Utenti e computer di Active Directory fare clic per espandere il dominio e quindi fare clic per espandere il contenitore Utenti.
Fare clic con il pulsante destro del mouse sull'account e quindi selezionare Proprietà per visualizzare la finestra di dialogo Proprietà per l'account.
Fare clic sulla scheda Account della finestra di dialogo Proprietà .
Fare clic per selezionare le opzioni seguenti:
L'utente non può modificare la password (la sicurezza aziendale modifica le password).
Nessuna scadenza password
Fare clic sul pulsante Accedi a per visualizzare la finestra di dialogo Workstation di accesso .
Fare clic sull'opzione per I computer seguenti, aggiungere ogni computer che esegue BizTalk Server e SQL Server e quindi fare clic su OK.
Fare clic sulla scheda Controllo remoto della finestra di dialogo Proprietà e quindi fare clic per deselezionare l'opzione Abilita controllo remoto.
Fare clic sulla scheda Profilo servizi terminal della finestra di dialogo Proprietà .
Fare clic per selezionare l'opzione Nega le autorizzazioni utente per accedere a qualsiasi server terminal.
Fare clic su OK per chiudere la finestra di dialogo Proprietà per l'account.
Ripetere i passaggi da 3 a 10 per ogni account del servizio.
Account utente BizTalk
| Nome utente | Nome | Cognome | Nome completo |
|---|---|---|---|
| BTUserAdmin | Admin | BTUser | Account utente amministrativo BizTalk |
| BTUserDeploy | Distribuisci | BTUser | Account utente di distribuzione BizTalk |
| BTUserHostInstance | HostInstance | BTUser | Account istanza dell'host BizTalk |
| BTUserHostIsolated | IsolatedlHost | BTUser | Account istanza dell'host BizTalk di tipo Isolato |
| BTUserInstall | Installare | BTUser | Account utente di installazione BizTalk |
| BTUserSupport | Supporto | BTUser | Account di accesso di supporto BizTalk |
Per impostare le opzioni degli account appropriate, attenersi alla procedura seguente
Nella console Utenti e computer di Active Directory fare clic per espandere il dominio e quindi fare clic per espandere il contenitore Utenti.
Fare clic con il pulsante destro del mouse sull'account e quindi selezionare Proprietà per visualizzare la finestra di dialogo Proprietà per l'account.
Fare clic sulla scheda Account della finestra di dialogo Proprietà .
Fare clic per selezionare le opzioni seguenti:
L'utente non può modificare la password (la sicurezza aziendale modifica le password).
Nessuna scadenza password
Fare clic sul pulsante Accedi a per visualizzare la finestra di dialogo Workstation di accesso .
Fare clic sull'opzione per I computer seguenti, aggiungere ogni computer che esegue BizTalk Server e SQL Server e quindi fare clic su OK.
Fare clic sulla scheda Controllo remoto della finestra di dialogo Proprietà e quindi fare clic su per selezionare l'opzione Abilita controllo remoto.
Fare clic sulla scheda Profilo servizi terminal della finestra di dialogo Proprietà .
Fare clic per deselezionare l'opzione Nega le autorizzazioni utente per accedere a qualsiasi server terminal.
Fare clic su OK per chiudere la finestra di dialogo Proprietà per l'account.
Ripetere i passaggi da 3 a 10 per ogni account utente.
Nota
Tutti questi account possono essere disabilitati se i ruoli che devono svolgere sono assegnati a utenti effettivi. Nelle prime fasi del primo e del secondo rilascio si presuppone che questi account vengano utilizzati negli ambienti di sviluppo, per testing di versioni alfa e beta.
Account di gruppo BizTalk
| Nome gruppo | Tipo di gruppo | Members |
|---|---|---|
| Utenti applicazione BizTalk | Globale o universale | - BTServiceHost - BTUserHostInstance |
| Utenti di distribuzione BizTalk | Globale o universale | (account di dominio locale degli utenti di sviluppo) Nota: Come procedura consigliata, non abilitare il gruppo utenti di sviluppo BizTalk negli ambienti up-line. |
| Utenti di sviluppo BizTalk | Globale o universale | (account di dominio locali degli utenti di distribuzione) |
| Utenti host BizTalk | Globale o universale | BTUserHostInstance |
| Utenti host BizTalk di tipo Isolato | Globale o universale | - BTServiceHostIso - BTUserHostInstance |
| Amministratori BizTalk Server | Globale o universale | - BTUserAdmin - BTUserInstall - Utenti di sviluppo BizTalk - Utenti della distribuzione BizTalk |
| Utenti di supporto BizTalk | Globale o universale | BTUserSupport (account di dominio locali degli utenti di supporto) |
| Amministratori SSO | Globale o universale | - SSOService - BTUserInstall - Amministratore locale |
| Amministratori applicazioni protette SSO | Globale o universale | - Utenti di sviluppo BizTalk - Utenti della distribuzione BizTalk - BTServiceHostIso - <utente della console> |
| Amministratori di Windows SharePoint Services | Globale o universale | - SPAdmin - BTUserInstall - BTUserDeploy - Utenti di sviluppo BizTalk - Utenti della distribuzione BizTalk |
Consigli e note relativi ai gruppi di dominio:
Creare i gruppi e aggiungere membri prima di installare BizTalk Server.
I gruppi di dominio possono essere globali o universali.
Usare <DomainName\<UserName>> durante la specifica delle informazioni sull'account di dominio nella Configurazione guidata.
I gruppi e gli account utente/servizio devono appartenere al dominio in cui appartiene il computer BizTalk Server ( la Configurazione guidata controlla questo e non visualizzerà account o gruppi contenenti account da altri domini).
BizTalk Server richiede account di dominio per tutti gli scenari di clustering.
Quando si installa BizTalk Server, l'utente della console deve essere membro dei gruppi seguenti:
Amministratori BizTalk Server
Amministratori SSO (solo per la configurazione del server master secret)
Amministratori di Windows
SQL Server amministratore
Amministratori OLAP
L'account BTUserInstall deve essere utilizzato per l'installazione e la configurazione ed essere quindi disattivato al termine della configurazione.
Per consentire il rilevamento dell'evento e dell'istanza del servizio per collegare orchestrazioni al debugger, lo sviluppatore deve appartenere al gruppo amministratori di BizTalk Server, come descritto sopra nella sezione Account di sviluppo BizTalk.
Account amministratore locale
Confermare o aggiungere gli account e i gruppi seguenti al gruppo Amministratori locali nel computer SQL Server:
Dominio\BTUserInstall (disattivare al termine della configurazione)
Dominio\BTUserDeploy (disattivare in fase di produzione, quando la distribuzione è terminata)
Dominio\SPAdmin
Dominio\SQLAdmin
Dominio\SQLService
Dominio\Utenti di sviluppo BizTalk (omettere negli ambienti upline)
Dominio\Utenti di distribuzione BizTalk (omettere negli ambienti di sviluppo)
Confermare o aggiungere gli account e i gruppi seguenti al gruppo Amministratori locali nel computer BizTalk Server:
Dominio\BTUserInstall (disattivare al termine della configurazione)
Dominio\BTUserDeploy (disattivare in fase di produzione, quando la distribuzione è terminata)
Dominio\BTUserSupport
Dominio\SPAdmin
Dominio\Utenti di sviluppo BizTalk (omettere negli ambienti upline)
Dominio\Utenti di distribuzione BizTalk (omettere negli ambienti di sviluppo)
Account amministratore SQL Server
I programmi di installazione accettano input dall'utente che esegue l'installazione e assegnano ruoli SQL a utenti e gruppi:
- Durante l'installazione di SharePoint Services, l'account SPAdmin viene concesso l'amministratore della sicurezza e i diritti creatori di database nel computer SQL Server. Questi diritti possono essere rimossi se l'account SPAdmin fa parte del gruppo degli amministratori locali.
Account di posta elettronica
SharePoint Services invierà posta elettronica in base a determinati eventi di sistema. Durante il processo di configurazione viene richiesto di specificare un indirizzo di posta elettronica. A tale scopo, creare alias di posta elettronica e monitorarli durante l'installazione e il test dell'unità. Nell'ambiente di produzione, questo account deve essere accessibile a un amministratore di sistema che monitora il sistema.
L'account di posta elettronica usato da SharePoint Services è l'account di posta elettronica dell'amministratore WSS.
Considerazioni relative alle password per lo sviluppo
Per gli ambienti di sviluppo e test, le password degli account possono essere impostate in base a uno standard ed essere distribuibili. Gli standard possono variare; in questo argomento viene utilizzato il modello che prevede l'uso delle lettere iniziali maiuscole che abbreviano il nome del componente di servizio seguite da un'abbreviazione al minuscolo per il resto dell'account (utente o di servizio). Per gli account del servizio, in questo argomento viene utilizzato "Serv", mentre per gli account utente viene utilizzato "User".
Ad esempio:
Windows SharePoint Services (SharePoint) Service and admin account (SPAdmin) password: 'SPServ'.
Password dell'account del servizio BizTalk: "BTServ".
Password dell'account utente BizTalk: 'BTUser'.
In alcuni ambienti IT sono necessarie password contenenti caratteri non alfabetici e/o numerici. In questo scenario è possibile utilizzare il segno del dollaro ($) per la "s" e la chiocciola (@) per la "a". I simboli sono esempi; sviluppare uno schema funzionale alle proprie esigenze per gli account condivisi con password semipubbliche.
Le password ridistribuibili di esempio in uso nell'ambiente di sviluppo sono le seguenti:
Account del servizio BT$erv99 BizTalk
Account utente BTU$er99 BizTalk
Account del servizio SP$erv99 WSS (SPAdmin)
Sql$erv99 SQL Service/Access/Amministrazione Account
Nota
Questi consigli riguardano solo ambienti di sviluppo e condivisi e non scoraggiano l'uso di criteri password aziendali. Per informazioni sui requisiti delle password, rivolgersi all'amministratore di rete.
Nota
Se i criteri per le password aziendali includono password generate, tenere presente che alcuni simboli e combinazioni di simboli sono caratteri speciali di XML. L'uso inappropriato di questi caratteri impedirà l'apertura dei file XML di configurazione durante il processo di configurazione. Questi simboli includono "&", "", "<>", "", virgolette singole e doppie e possono includere altri. Verificare il file XML di configurazione prima di eseguire la configurazione basata su file. La verifica della corretta formattazione XML di questo file può essere eseguita in modo affidabile aprendo il documento in Internet Explorer (o in un editor XML) con le password generate incorporate al suo interno.
Per altre informazioni sulla distribuzione delle password sicure negli ambienti up-line (incluso il metodo per testare un file di configurazione BizTalk Server), vedere Configurare BizTalk Server.
Vedere anche
Risoluzione dei problemi relativi alle autorizzazioni di BizTalk Server