在 BizTalk 多伺服器安裝上實作 Active Directory 權限的指導方針
本主題描述建立 Active Directory 組織單位的指導方針,其中包含您在 Microsoft BizTalk Server 安裝中使用的使用者帳戶和群組。
在此建立的帳戶不需要在一般使用者的網域以外具有權限。 網域帳戶可能需要在以下信任界限內具有更高的權限:
BizTalk Server
BizTalk Server 伺服器上的 Microsoft SharePoint Services ()
Microsoft SQL Server
外部資料庫一
外部資料庫二
外部資料庫 N
例如,對於網域帳戶可能需要授與權限,以便在裝載外部資料庫的系統上執行某些動作。 在另一種情況下,帳戶可能需要將檔案寫入檔案放置資料夾,因而需要該資料夾的寫入存取。
使用 Active Directory 使用者和電腦 主控台來建立和管理網域使用者和組帳戶。 按兩下 [開始],指向 [所有程式],指向 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦] 以啟動 Active Directory 使用者和電腦 控制台。
BizTalk Server 安裝和設定帳戶
在開發環境中,BizTalk Server 安裝程式和 BizTalk Server 組態精靈需要使用具有 BizTalk Server 和 SQL Server 系統上系統管理許可權的帳戶。 在完成設定和組態之後,立即就可以叫用權限或停用帳戶。 帳戶也必須屬於幾個 BizTalk 群組,以下幾節會對這些提供說明。
注意
如果用於安裝的帳戶屬於不同伺服器的 Active Directory 樹系,您將無法設定 SSO 元件。 如果您沒有 BizTalk Server 安裝程式帳戶,請使用本機系統管理員帳戶進行 SSO 設定。 這個方法可能會在安裝期間造成其他問題,例如需要使用不同的認證登入資源。
BizTalk Server 開發帳戶
執行 BizTalk Server 開發的個人需要存取配接器、接收和傳送處理程式,以及接收位置。 此存取權需要網域開發人員群組成為 BizTalk Server 系統管理員和 SSO 分支機構系統管理員群組的成員。
注意
對於可以包含外部網域使用者的群組類型,以及可以包含在其他群組中的群組類型,Active Directory 都具有限制。 以下所建立的群組及帳戶都在單一網域上的多伺服器環境中經過測試。
BizTalk Server 部署帳戶
部署 BizTalk Server 應用程式的個人必須是本機系統上的系統管理員,而且可能需要環境中的其他許可權。 本主題會針對此目的參考 BizTalk Server 部署帳戶。
此存取權需要網域部署群組成為 BizTalk Server Administrators 和 SSO 分支機構系統管理員群組的成員。
注意
如果用於安裝的帳戶屬於不同伺服器的 Active Directory 樹系,您將無法設定 SSO 元件。 如果您沒有 BizTalk Server 部署帳戶,請使用本機系統管理員帳戶進行 SSO 設定。 這個方法可能會在安裝期間造成其他問題,例如需要使用不同的認證登入資源。
BizTalk Server 支持帳戶
支援 BizTalk Server 應用程式的個人必須是本機系統上的系統管理員。 在本主題中為此目的而參考 BizTalk 支援帳戶。
此存取權需要網域支援群組成為 BizTalk Server Administrators 群組的成員。
SQL Server 服務帳戶
執行 SQL Server 實例的服務必須屬於與安裝、開發和部署 BizTalk Server元件帳戶相同的 Active Directory 網域。
使用 SQLAdmin 進行系統管理功能, (互動式登錄) 。
使用 SQLService 來管理服務, (沒有互動式登錄) 。
使用 SQLAccess 存取外部資料庫。
SQLAdmin 必須是 SQL Server 系統上本機 Administrators 群組的成員。
SQLService 必須是 SQL Server 系統上本機 Administrators 群組的成員,而且必須被授與以服務用戶權力登入。
SQLAccess 需要遠端資料庫伺服器上的適當權限。
SQL 帳戶:
| 使用者名稱 | First Name | 姓氏 | 全名 |
|---|---|---|---|
| SQLService | SQL | SQLService | SQL 服務帳戶 |
| SQLAdmin | 管理 | SQLService | SQL 管理帳戶 |
| SQLAccess | Access | SQLService | SQL 存取帳戶 |
根據公司標準設定帳戶密碼。
重要
在執行 SQL Server 的計算機上,修改 SQL Server 和 SQLServerAgent 服務的啟動參數,以使用 SQLService 帳戶和認證。
注意
這個 [使用者名稱] 欄位是範例,您可能需要變更名稱以避免與其他 Active Directory 帳戶發生衝突。
Windows SharePoint Services 帳戶
必須先建立 Windows SharePoint Services 帳戶,才能安裝 SharePoint Services。
SharePoint Services 帳戶的建議和注意事項:
使用 SharePoint 管理員 帳戶 (SPAdmin) 進行系統管理功能、SharePoint 定時器服務和所有 SharePoint Services 存取。
SPAdmin 是網站擁有者,而且將需要電子郵件別名。
SPAdmin 必須是本機 BizTalk Server 計算機上本機系統管理員群組的成員, (Windows SharePoint Services 安裝程式會執行此) 。
SPAdmin 必須在 SQL Server 計算機上具有安全性系統管理員和資料庫建立者角色, (Windows SharePoint Services 安裝程式會執行此) 。
SharePoint 帳戶:
| 使用者名稱 | First Name | 姓氏 | 全名 |
|---|---|---|---|
| SPAdmin | 管理 | SPService | SharePoint 管理帳戶 |
根據公司標準設定帳戶密碼,而且能在進行組態步驟的期間擷取這些密碼。 Refer to the Passwords section of this topic for issues surrounding generated passwords.
注意
這個 [使用者名稱] 欄位是範例,您可能需要變更名稱以保護其他 AD 帳戶。
重要
在執行 BizTalk Server 的電腦上安裝 Windows SharePoint Services 之後,請確認 SharePoint 定時器服務的啟動參數是使用 SPAdmin 帳戶和認證。
BizTalk 群組及使用者
BizTalk Server 群組和用戶必須先建立,才能執行 BizTalk Server 設定精靈。 在單一系統安裝中,BizTalk Server 會使用組態期間建立的本地組和帳戶。 不過,如果部署了個別 BizTalk Server 主機,或是 BizTalk Server 和 SQL Server 安裝在兩部不同的計算機上,您必須使用網域使用者和組帳戶。
注意
BizTalk Server 設定精靈無法建立網域帳戶。
BizTalk Server 服務和用戶帳戶的建議和注意事項:
為 BizTalk Server 建立組織單位 (OU) 。 所有的帳戶及群組都將屬於這個 OU。
請運用完整名稱提供描述,下列清單中的名稱應該讓安裝程式能在進行組態時選取適當的群組/帳戶/使用者。
名字和姓氏是選擇性的,只因為一致性而包括。
區分器 BTService 和 BTUser 是指 (自動化) 和一般/共用人類使用者的服務帳戶。
建立網域帳戶並透過 ADSI 指令碼,為上線路環境建立使用者及群組帳戶。
BizTalk 服務帳戶
| 使用者名稱 | First Name | 姓氏 | 全名 |
|---|---|---|---|
| BTService | BTS | BTService | BizTalk 服務帳戶 |
| BTServiceHost | Host | BTService | BizTalk 主控件執行個體帳戶 |
| BTServiceHostIso | HostIso | BTService | BizTalk 外掛式主控件執行個體帳戶 |
| SSOService | SSO | BTService | 企業單一登入服務 |
| BTServiceREU | REU | BTService | 規則引擎更新服務 |
根據公司和環境標準設定使用者名稱 (例如,devBTService、alphaBTService)。 根據公司標準設定帳戶密碼,而且能在進行組態步驟時擷取這些密碼。 Refer to the Password Considerations for Development section of this topic for issues surrounding generated passwords.
安裝程式會注意到服務帳戶相當細微,且幾乎一對一對應至 BizTalk Server 所建立的服務。 這種粒度讓企業 IT 安全性能夠視需要而追蹤或限制存取。 雖然這是建議的粒度,卻必須由系統設計人員和企業安全性人員來決定在企業環境中是否有必要如此。
在上一個群組中的服務帳戶,其用途只是要進行自動存取,而非由使用者進行互動式登入。
設定適當的帳戶選項
在 Active Directory 使用者和電腦 控制台中,按兩下以展開網域,然後按兩下以展開 [使用者] 容器。
以滑鼠右鍵單擊帳戶,然後選取 [ 屬性] 以顯示帳戶的 [ 屬性 ] 對話框。
按兩下 [屬性] 對話框的 [帳戶] 索引標籤。
按一下以核取下列選項:
使用者無法變更密碼 (企業安全性會批次變更密碼) 。
密碼永不到期
按兩下 [ 登入到 ] 按鈕,以顯示 [ 登入工作站 ] 對話框。
按兩下 [下列計算機] 的選項,新增執行 BizTalk Server 並 SQL Server 的每部計算機,然後按兩下 [確定]。
按兩下 [屬性] 對話框的 [遠端控制] 索引標籤,然後按下以清除 [啟用遠端控制] 選項。
按兩下 [屬性] 對話框的 [終端機服務設定檔] 索引標籤。
按兩下即可核取 [ 拒絕此使用者登入任何終端機伺服器的許可權] 選項。
按兩下 [確定 ] 關閉帳戶的 [ 屬性 ] 對話框。
針對每個服務帳戶重複步驟 3 到 10。
BizTalk 使用者帳戶
| 使用者名稱 | First Name | 姓氏 | 全名 |
|---|---|---|---|
| BTUserAdmin | 管理 | BTUser | BizTalk 系統管理使用者帳戶 |
| BTUserDeploy | 部署 | BTUser | BizTalk 部署使用者帳戶 |
| BTUserHostInstance | HostInstance | BTUser | BizTalk 主控件執行個體帳戶 |
| BTUserHostIsolated | IsolatedlHost | BTUser | BizTalk 外掛式主控件執行個體帳戶 |
| BTUserInstall | 安裝 | BTUser | BizTalk 安裝使用者帳戶 |
| BTUserSupport | 支援 | BTUser | BizTalk 支援存取帳戶 |
遵循以下步驟設定適當的帳戶選項
在 Active Directory 使用者和電腦 控制台中,按兩下以展開網域,然後按兩下以展開 [使用者] 容器。
以滑鼠右鍵單擊帳戶,然後選取 [ 屬性] 以顯示帳戶的 [ 屬性 ] 對話框。
按兩下 [屬性] 對話框的 [帳戶] 索引標籤。
按一下以核取下列選項:
使用者無法變更密碼 (企業安全性會批次變更密碼) 。
密碼永不到期
按兩下 [ 登入到 ] 按鈕,以顯示 [ 登入工作站 ] 對話框。
按兩下 [下列計算機] 的選項,新增執行 BizTalk Server 並 SQL Server 的每部計算機,然後按兩下 [確定]。
按兩下 [屬性] 對話框的 [遠端控制] 索引標籤,然後按下以選取 [啟用遠端控制] 選項。
按兩下 [屬性] 對話框的 [終端機服務設定檔] 索引標籤。
按兩下即可清除 [ 拒絕此使用者登入任何終端機伺服器的許可權] 選項。
按兩下 [確定 ] 關閉帳戶的 [ 屬性 ] 對話框。
針對每個使用者帳戶重複步驟 3 到 10。
注意
如果這些帳戶所提供的角色都有指派給實際的使用者,便可以停用任何這些帳戶。 在第一版和第二版的早期階段,都假設會在開發、Alpha 測試和 Beta 測試的環境下使用這些帳戶。
BizTalk 群組帳戶
| 組名 | 群組類型 | 成員 |
|---|---|---|
| BizTalk 應用程式使用者 | 全域或萬用 | - BTServiceHost - BTUserHostInstance |
| BizTalk 開發使用者 | 全域或萬用 | (開發使用者的本機網域帳戶) 注意: 最佳做法是不要在在線環境中啟用 BizTalk 開發使用者群組。 |
| BizTalk 部署使用者 | 全域或萬用 | (部署使用者的本機網域帳戶) |
| BizTalk 主控件使用者 | 全域或萬用 | BTUserHostInstance |
| BizTalk 外掛式主控件使用者 | 全域或萬用 | - BTServiceHostIso - BTUserHostInstance |
| BizTalk Server 系統管理員 | 全域或萬用 | - BTUserAdmin - BTUserInstall - BizTalk 開發使用者 - BizTalk 部署使用者 |
| BizTalk 支援使用者 | 全域或萬用 | BTUserSupport (支援使用者的本機網域帳戶) |
| SSO 系統管理員 | 全域或萬用 | - SSOService - BTUserInstall - 本機系統管理員 |
| SSO 分支機構系統管理員 | 全域或萬用 | - BizTalk 開發使用者 - BizTalk 部署使用者 - BTServiceHostIso - <主控台使用者> |
| Windows SharePoint Services 系統管理員 | 全域或萬用 | - SPAdmin - BTUserInstall - BTUserDeploy - BizTalk 開發使用者 - BizTalk 部署使用者 |
關於網域群組的建議和注意事項:
在安裝 BizTalk Server 之前,先建立群組並新增成員。
網域群組可以是「全域」或「萬用」群組。
在設定精靈中指定網域帳戶資訊時,請使用 <DomainName>\<UserName> 。
群組和使用者/服務帳戶必須屬於 BizTalk Server 計算機所屬的網域, (設定精靈會檢查這一點,而不會顯示包含來自其他網域之帳戶的帳戶或群組) 。
BizTalk Server 需要網域帳戶,才能用於所有叢集實例。
安裝 BizTalk Server 時,主控台用戶必須是下列群組的成員:
BizTalk Server 系統管理員
SSO 系統管理員 (僅限設定主要密碼伺服器時)
Windows 系統管理員
SQL Server 系統管理員
OLAP 系統管理員
在進行安裝和組態時都必須使用 BTUserInstall 帳戶,而且在組態完成後,便應該要停用組態。
若要允許訊息事件和服務實例追蹤將協調流程附加至調試程式,開發人員必須屬於 BizTalk Server Administrators 群組,如 BizTalk 開發帳戶一節中所述。
本機系統管理員帳戶
確認或新增下列帳戶和群組至 SQL Server 電腦上的本機系統管理員群組:
Domain\BTUserInstall (在組態完成時停用)
Domain\BTUserDeploy (當部署完成時便會在實際執行中停用)
Domain\SPAdmin
Domain\SQLAdmin
Domain\SQLService
網域\BizTalk 開發使用者 (在上行環境中省略)
Domain\BizTalk Deployment Users (在開發環境中省略)
確認或新增下列帳戶和群組至 BizTalk Server 電腦上的本機系統管理員群組:
Domain\BTUserInstall (在組態完成時停用)
Domain\BTUserDeploy (當部署完成時便會在實際執行中停用)
Domain\BTUserSupport
Domain\SPAdmin
Domain\BizTalk Development Users (在上線路環境中省略)
Domain\BizTalk Deployment Users (在開發環境中省略)
SQL Server 系統管理員帳戶
安裝程式 (Setup Program) 會接受安裝程式 (Installer) 的輸入,並將 SQL 角色指派給使用者及群組:
- 在 SharePoint Services 設定期間,SPAdmin 帳戶會獲得 SQL Server 計算機上的安全性系統管理員和資料庫建立者許可權。 如果 SPAdmin 帳戶是「本機系統管理員」群組的成員,便可移除這些權限。
電子郵件帳戶
SharePoint Services 會根據特定系統事件傳送郵件。 在進行組態程序時,安裝程式會提示您輸入電子郵件地址。 針對此目的建立電子郵件別名,並在安裝與單元測試期間監視別名。 在實際執行環境中,這個帳戶應該都能由監視系統的系統管理員所存取。
SharePoint Services 所使用的電子郵件帳戶是 WSS 系統管理員電子郵件帳戶。
開發的密碼考量
在開發和測試環境中,都可以用一套標準設定帳戶密碼並加以散發。 安裝程式的標準都不一樣,因此本主題使用首字大寫的字母縮寫服務元件,後面接著小寫的字母縮寫帳戶其餘部分 (服務或使用者) 的範本。 對於服務帳戶,本主題使用 'Serv';對於使用者帳戶則使用 'User'。
例如:
Windows SharePoint Services (SharePoint) 服務和系統管理員帳戶 (SPAdmin) 密碼:『SPServ』。
BizTalk 服務帳戶密碼:'BTServ'。
BizTalk 使用者帳戶密碼:『BTUser』。
某些 IT 環境需要密碼包含非字母和 (或) 數字字元。 在此案例中,您可以用錢幣符號 ($) 取代 "s",並用 At 符號 (@) 取代 "a"。 這些符號只是範例,請發展最能配合自己的模式,以便使用半公開的密碼共用帳戶。
在開發環境中使用的可轉散發密碼範例為:
BT$erv99 BizTalk 服務帳戶
BTU$er99 BizTalk 用戶帳戶
SP$erv99 WSS 服務帳戶 (SPAdmin)
SQL$erv99 SQL Service/Access/管理員 帳戶
注意
這些建議僅適用於開發和共用的環境,而且既不建議也不反對使用企業密碼原則。 如需瞭解密碼需求,請洽詢您的網路管理員。
注意
如果企業密碼原則包括產生的密碼,請注意一些符號和符號組合在 XML 是具有特殊用途的字元。 不適當地使用這些字元,將會使組態 XML 檔無法在進行組態程序時開啟。 這些符號包括 「&」、“ ”< “、>單引號和雙引號,而且可能包含其他符號。 請在執行以檔案為基礎的組態之前,先行測試組態 XML 檔案。 您只要在 Internet Explorer (或 XML 編輯器) 中開啟其中內嵌產生之密碼的文件,便能可靠地測試適當的 XML 格式設定。
如需在在線環境中部署安全密碼的詳細資訊, (包括測試 BizTalk Server 配置檔) 的方法,請參閱設定 BizTalk Server。