그룹 및 서비스 계정에 대한 액세스 제어

각 BizTalk 호스트 인스턴스는 사용자가 만든 서비스 계정으로 실행됩니다. 컴퓨터에서 호스트 인스턴스를 만들 때 서비스 계정과 해당 암호를 제공해야 합니다. 그러면 BizTalk Server가 이러한 각 서비스 계정을 로컬 또는 도메인 Windows 그룹에 추가하여 해당 호스트와 관련된 SQL Server 데이터베이스 역할에 추가되게 함으로써 작업 수행에 필요한 최소 사용자 권한이 계정에 포함되도록 합니다.

이 방법에는 다음과 같은 이점이 있습니다.

• 각 호스트 인스턴스에 고유한 서비스 계정을 지정하여 서버를 오프라인 상태로 전환하지 않고도 각 호스트 인스턴스의 암호를 변경할 수 있도록 할 수 있습니다. 서비스를 중단하지 않고 롤링 암호 업데이트를 수행할 수 있습니다.

  참고

  인증을 신뢰할 수 있는 호스트와 인증을 신뢰할 수 없는 호스트에 대해 동일한 서비스 계정을 사용할 수 없습니다.

• Microsoft SQL Server™ 수준에서 로컬 또는 도메인 그룹에 리소스 사용자 권한을 부여하는 경우 SQL Server에서 부여된 사용자 권한을 변경하지 않고도 서비스 계정을 추가 및 제거할 수 있으므로 관리 부담과 총 소유 비용이 줄어듭니다.

  작업 수행에 필요한 최소 사용자 권한이 서비스 계정에 포함되도록 하기 위해 BizTalk Server가 서비스 계정에 대해 만드는 SQL Server 데이터베이스 역할은 모든 BizTalk Server 데이터베이스에서 동일하지 않습니다. 관리 및 추적 데이터베이스의 경우 모든 호스트 인스턴스 서비스 계정이 동일한 SQL Server 개체에 액세스해야 하므로 BizTalk Server가 BTS_Host_User라는 단일 SQL Server 데이터베이스 역할을 만들었습니다. BizTalk는 BizTalk 호스트에 대해 만들어진 모든 Windows 그룹을 이 SQL Server 데이터베이스 역할에 추가합니다.

  MessageBox 데이터베이스의 경우 각 호스트에 전용으로 사용되는 일부 리소스가 있습니다. BizTalk Server 호스트당 SQL Server 데이터베이스 역할(BTS_<hostname>_User)을 만들고 각 호스트에 대한 Windows 그룹을 해당 SQL Server 데이터베이스 역할에 추가하여 다른 호스트가 한 호스트 리소스에 대한 액세스를 차단합니다.

BizTalk Server에서 지원되지 않는 계정

BizTalk Server에서는 다음과 같은 기본 제공 Windows 계정을 사용할 수 없습니다.

• NT_AUTHORITY\NetworkService

• LocalSystem

• NT_AUTHORITY\LocalService

참고 항목

관리 역할에 대한 액세스 제어
최소 보안 사용자 권한
BizTalk Server의 Windows 그룹 및 사용자 계정
액세스 제어 및 데이터 보안