Планирование административных задач в среде с минимальными привилегиями (SharePoint Server 2010)

Статья
03/05/2017

Применимо к: SharePoint Foundation 2010, SharePoint Server 2010

Последнее изменение раздела: 2016-11-30

В этой статье описывается процесс настройки и обслуживания фермы Microsoft SharePoint Server 2010 по принципу администрирования с минимальными привилегиями.

Обзор

Принцип администрирования с минимальными привилегиями подразумевает предоставление пользователям разрешений, минимально необходимых для выполнения задач. Этот принцип применяется для настройки и обеспечения безопасного управления средой. В результате, каждой службе предоставляются права доступа только к тем ресурсам, которые абсолютно необходимы для выполнения задачи. Внедрение этого принципа может быть сопряжено с дополнительными операционными расходами на обеспечение должного уровня администрирования. Кроме того, это может привести к сокращению возможностей по устранению неполадок, связанных с системой безопасности.

Security Note
Принцип администрирования с минимальными привилегиями применяется в организациях для обеспечения уровня безопасности выше обычно рекомендуемого. Такой повышенный уровень безопасности сопряжен с дополнительными затратами ресурсов на реализацию этого принципа и, в связи с этим, применяется лишь в небольшой части организаций. Тем не менее, в некоторых развертываниях, например, в правительственных учреждениях, организациях сферы безопасности или компаниях финансового сектора, повышенный уровень безопасности является обязательным требованием. Внедрение принципа администрирования с минимальными привилегиями не следует относить к рекомендациям. В такой среде повышение уровня безопасности осуществляется в дополнение к принятым рекомендациям.

Принцип администрирования с минимальными привилегиями применяется в организациях для обеспечения уровня безопасности выше обычно рекомендуемого. Такой повышенный уровень безопасности сопряжен с дополнительными затратами ресурсов на реализацию этого принципа и, в связи с этим, применяется лишь в небольшой части организаций. Тем не менее, в некоторых развертываниях, например, в правительственных учреждениях, организациях сферы безопасности или компаниях финансового сектора, повышенный уровень безопасности является обязательным требованием. Внедрение принципа администрирования с минимальными привилегиями не следует относить к рекомендациям. В такой среде повышение уровня безопасности осуществляется в дополнение к принятым рекомендациям.

Среды с минимальными привилегиями для учетных записей и служб

При планировании администрирования с минимальными привилегиями вам следует обратить внимание на определенные учетные записи, роли и службы, одни из которых относятся к SQL Server, а другие — к Продукты SharePoint 2010. В связи с тем, что администраторы блокируют дополнительные учетные записи и службы, повседневные операционные расходы могут возрасти.

Роли Microsoft SQL Server

В среде администрирования с минимальными привилегиями рекомендуется удалить следующие две роли сервера SQL Server из учетных записей, которые не являются учетными записями служб SharePoint, но используются для администрирования SharePoint:

dbcreator — члены фиксированной роли сервера dbcreator могут создавать, изменять, удалять и восстанавливать любые базы данных.

securityadmin — члены фиксированной роли сервера securityadmin управляют именами для входа и их свойствами. Они могут ПРЕДОСТАВЛЯТЬ, ЗАПРЕЩАТЬ и ОТЗЫВАТЬ разрешения на уровне сервера и базы данных (при наличии доступа к базе данных). Кроме того, они могут сбрасывать пароли для учетных записей SQL Server.

Security Note
Благодаря возможности предоставлять доступ к ядру СУБД и настраивать разрешения пользователей, администраторы безопасности могут назначать большинство разрешений на уровне сервера. Роль securityadmin следует рассматривать как эквивалентную роли sysadmin.

Благодаря возможности предоставлять доступ к ядру СУБД и настраивать разрешения пользователей, администраторы безопасности могут назначать большинство разрешений на уровне сервера. Роль securityadmin следует рассматривать как эквивалентную роли sysadmin.

Дополнительные сведения о ролях уровня сервера в SQL Server см. в статье Роли уровня сервера (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x419)

Удаление одной или нескольких из этих ролей SQL Server может привести к отображению непредвиденных сообщений об ошибках на веб-сайте Центра администрирования. Кроме того, в файле журнала единой службы ведения журнала (ULS) может появляться следующее сообщение:

System.Data.SqlClient.SqlException… Разрешение <тип_операции> запрещено в базе данных <база_данных>. таблица <таблица>

Кроме того, пользователи могут испытывать проблемы при выполнении следующих задач:

Восстановление резервной копии в ферме из-за отсутствия прав на запись в базу данных
Подготовка экземпляра службы или веб-приложения
Настройка управляемых учетных записей
Изменение управляемых учетных записей для веб-приложений
Любые операции с базой данных, управляемой учетной записью или службами, для выполнения которой используется веб-сайт Центра администрирования

В некоторых ситуациях требуется разделить функции администраторов баз данных и администраторов SharePoint, передав первым полномочия по созданию всех баз данных и управлению ими. Дополнительные сведения о создании всех БД и управлении ими администраторами баз данных см. в разделе Развертывание с использованием баз данных, созданных администратором баз данных (SharePoint Server 2010).

Роли и службы SharePoint Server 2010

В общем случае следует запретить учетным записям служб SharePoint создание новых баз данных. Учетным записям служб SharePoint не следует назначать роль sysadmin для экземпляра Microsoft SQL Server или роль локального администратора на сервере с Microsoft SQL Server.

Тем не менее, вы можете заблокировать некоторые другие учетные записи и службы SharePoint Server 2010:

Роль SharePoint_Shell_Access

Если вы удалите эту роль Microsoft SQL Server, запрещается запись в базы данных конфигурации и контента. Дополнительные сведения об этой роли см. в разделе Add-SPShellAdmin.
Служба времени SharePoint (SPTimerV4)

По умолчанию эта служба устанавливается и обеспечивает обслуживание данных кэша конфигурации. Если вы отключили этот тип службы, возможно следующее поведение:
- Не будут выполняться задания таймера
- Не будут выполняться правила анализатор работоспособности
- Конфигурация обслуживания и фермы устареет
Служба администрирования SharePoint (SPAdminV4)

Эта служба автоматически выполняет изменения, требующие разрешений локального администратора на сервере. Если эта служба не работает, вам потребуется вручную обрабатывать любые административные изменения на уровне сервера. Если вы отключили этот тип службы, возможно следующее поведение:
- Не будут выполняться административные задания таймера
- Не будут обновляться файлы веб-конфигурации
- Не будут обновляться группы безопасности и локальные группы
- Не будут записываться значения и разделы реестра
- Возможны проблемы с запуском или перезапуском служб
- Возможны проблемы, связанные с завершением подготовки служб
Служба SPUserCodeV4

С помощью этой службы администратор семейства сайтов могут отправлять изолированные решения в каталог решений. Дополнительные сведения об изолированных решениях см. в разделе Общие сведения об изолированных решениях (SharePoint Server 2010).
Служба утверждений для службы маркеров Windows (C2WTS)

По умолчанию эта служба отключена. Она может использоваться в развертываниях с доступом к внешним источникам данным. Дополнительные сведения о службе C2WTS см. в разделах Делегирование удостоверений для служб Excel (SharePoint Server 2010), Делегирование удостоверений для служб Business Connectivity Services (SharePoint Server 2010), Делегирование удостоверений для служб отчетов SQL Server (SharePoint Server 2010) и Сброс учетной записи "Утверждения для службы маркеров Windows" (SharePoint Server 2010).

Дополнительные сведения см. в разделе Служба администрирования SharePoint отключена.

В зависимости от бизнес-требований организации, внедрение любых служб или ролей SharePoint Server 2010 может повлиять на работу следующих функций:

Резервное копирование и восстановление

Если вы удалили разрешения на базу данных, возможны проблемы при восстановлении из резервной копии.
Обновление

Процесс обновления запускается без ошибок, однако завершается сбоем, если у вас нет необходимых разрешений на базу данных. Если в вашей организации уже применяется администрирование с минимальными привилегиями, следует перейти к рекомендуемой среде, выполнить обновление, а затем вновь вернуться к среде с минимальными привилегиями.
Обновление ПО

Установка обновлений ПО поддерживается для схемы и базы данных конфигурации, однако завершается сбоем в отношении базы данных контента и служб.

Дополнительные требования

Помимо приведенных выше рекомендаций, вам следует обратить внимание на следующие операции. Этот список неполон. Вам следует самостоятельно определить операции, которые требуется выполнить:

Учетная запись администратора настройки — эта учетная запись используется для настройки всех серверов в ферме. Она должна входить в группу администраторов на каждом сервере фермы Microsoft SharePoint Server 2010. Дополнительные сведения об этой учетной записи см. в разделе Учетные записи администраторов
Учетная запись синхронизации — эта учетная запись используется для подключения к службе каталогов. Дополнительные сведения см. в статье Таблицы для планирования синхронизации свойств и профилей пользователей (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0x419) (Возможно, на английском языке)
Модуль репликации профилей пользователей — это средство входит в состав набора средств администрирования SharePoint Administrator Toolkit (SPAT). С его помощью администраторы приложения-службы профилей пользователей могут реплицировать профили пользователей и социальный контент, в том числе социальные теги, заметки и оценки, между приложениями-службами профилей пользователей. Дополнительные сведения об этом модуле см. в разделе User Profile Replication Engine overview (SharePoint Server 2010)
Учетная запись пула приложений узла личных сайтов — эта учетная запись используется для запуска пула приложений личных сайтов. Для ее настройки необходимо входить в группу администраторов фермы.
Группа встроенных пользователей — удаление этой группы безопасности или изменение ее разрешений может привести к непредсказуемым последствиям.
Разрешения групп — по умолчанию группе SharePoint WSS_ADMIN_WPG предоставляются права на чтение и запись локальных ресурсов. Расположения файловой системы для группы WSS_ADMIN_WPG (%WINDIR%\System32\drivers\etc\HOSTS и %WINDIR%\Tasks) требуются для правильной работы Microsoft SharePoint Server. Если на сервере работают другие службы или приложения, рекомендуется внимательно проверить их права доступа к папкам Tasks и HOSTS. Дополнительные сведения о параметрах учетной записи см. в разделе Параметры разрешений учетной записи и безопасности (SharePoint Server 2010)
Изменение разрешений службы — изменение разрешений службы может привести к непредсказуемым последствиям. Например, если для раздела реестра "HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters" задано значение 0, служба размещения пользовательского кода будет отключена, что повлечет за собой прекращение работы изолированных решений. Дополнительные сведения о причинах, по которым не работает служба размещения пользовательского кода, см. в статье Проблемы при запуске службы размещения пользовательского кода SharePoint 2010 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x419) (Возможно, на английском языке)