组和服务帐户的访问控制

每个 BizTalk 主机实例在用户创建的服务帐户下运行。 在计算机上创建主机实例时，必须提供服务帐户及其密码。 然后，BizTalk Server通过将每个服务帐户添加到本地或域 Windows 组，确保这些帐户具有执行其作业所需的最低用户权限，而 Windows 组又将添加到特定于该主机的 SQL Server 数据库角色。

此方法具有以下优势：

• 可以为每个主机实例提供一个不同的服务帐户，从而可以更改每个主机实例的密码，而无需使服务器脱机。 可以在不中断服务的情况下执行滚动密码更新。

  注意

  不能对受信任的身份验证主机和不受信任的身份验证的主机使用相同的服务帐户。

• 如果在 Microsoft SQL Server ™级别向本地或域组授予资源用户权限，则可以添加和减去服务帐户，而无需更改在 SQL Server 中授予的用户权限，从而减少管理负担和总拥有成本。

  为了确保服务帐户具有执行其作业所需的最低用户权限，BizTalk Server为服务帐户创建的SQL Server数据库角色在所有BizTalk Server数据库上并不相同。 对于管理和跟踪数据库，所有主机实例服务帐户都需要访问相同的SQL Server对象，因此BizTalk Server创建了名为 BTS_Host_User 的单个SQL Server数据库角色。 BizTalk 会将为 BizTalk 主机创建的所有 Windows 组添加到此SQL Server数据库角色。

  对于 MessageBox 数据库，每个主机都有一些专用于该主机的资源。 BizTalk Server为每个主机创建一个名为 BTS_hostname>_User 的SQL Server<数据库角色，并将每个主机的 Windows 组添加到其各自的SQL Server数据库角色，以阻止另一个主机访问一个主机资源。

BizTalk Server 不支持的帐户

BizTalk Server不支持使用以下任何内置 Windows 帐户：

• NT_AUTHORITY\NetworkService

• LocalSystem

• NT_AUTHORITY\LocalService

另请参阅

管理角色的访问控制
最低安全用户权限
BizTalk Server 中的 Windows 组和用户帐户
访问控制和数据安全性