Planear tareas administrativas en un entorno con privilegios mínimos (SharePoint Server 2010)

  • Artículo

 

Se aplica a: SharePoint Foundation 2010, SharePoint Server 2010

Última modificación del tema: 2016-11-30

En este artículo se describe cómo configurar y mantener una granja de servidores de Microsoft SharePoint Server 2010 mediante la administración con privilegios mínimos.

Introducción

El concepto de administración con privilegios mínimos asigna a los usuarios los permisos mínimos que son necesarios para que los usuarios realicen las tareas autorizadas. El objetivo de la administración con privilegios mínimos es configurar y ayudar a mantener el control seguro de un entorno. El resultado es que a cada servicio se le concede acceso solamente a los recursos que son absolutamente necesarios. La implementación de la administración con privilegios mínimos puede suponer un aumento de los costes operativos, ya que pueden ser necesarios recursos adicionales para mantener el nivel de administración. Además, la capacidad para solucionar problemas de seguridad se puede ver reducida.

Nota de seguridadSecurity Note
Las organizaciones implementan la administración con privilegios mínimos para obtener una seguridad mejor de la que se recomienda normalmente. Solo un pequeño porcentaje de las organizaciones necesitan este nivel elevado de seguridad debido a los costes de los recursos para mantener la administración con privilegios mínimos. Sin embargo, algunas implementaciones que pueden necesitar este nivel elevado de seguridad tienen que ver con agencias gubernamentales, organizaciones de seguridad y organizaciones del sector de servicios financieros. La implementación de un entorno con privilegios mínimos no debe confundirse con los procedimientos recomendados. En un entorno con privilegios mínimos, los administradores implementan procedimientos recomendados y además se usan niveles elevados de seguridad adicionales.

Entorno con privilegios mínimos para cuentas y servicios

Para planificar la administración con privilegios mínimos, debe considerar varias cuentas, roles y servicios. Algunos aplican a SQL Server y otros a Productos de SharePoint 2010. Puesto que los administradores bloquean cuentas y servicios adicionales, es probable que aumenten los costes operativos diarios.

Roles de Microsoft SQL Server

En un entorno de administración con privilegios mínimos, recomendamos que quite los dos roles de nivel servidor de SQL Server siguientes de cuentas que no son cuentas de servicio de SharePoint pero que se usan para la administración de SharePoint:

  • dbcreator- Los miembros del rol fijo de servidor dbcreator pueden crear, alterar, anular y restaurar cualquier base de datos.

  • securityadmin- Los miembros del rol fijo de servidor securityadmin administran inicios de sesión y sus propiedades. Pueden CONCEDER, DENEGAR y REVOCAR permisos de nivel de servidor. También pueden CONCEDER, DENEGAR y REVOCAR permisos de nivel de base de datos si tienen acceso a una base de datos. De manera adicional, pueden restaurar contraseñas para inicios de sesión de SQL Server.

    Nota de seguridadSecurity Note
    La capacidad para conceder acceso al Motor de base de datos y para configurar permisos de usuario permite al administrador de seguridad asignar la mayoría de permisos de servidor. El rol securityadmin se debe tratar de la misma forma que el rol sysadmin.

Para obtener información adicional sobre los roles de nivel de servidor de SQL Server, vea Roles de nivel de servidor (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0xC0A)

La eliminación de uno o más de estos roles de SQL Server puede provocar mensajes de error "inesperado" que se mostrarán en el sitio web de Administración central. Además, puede recibir el siguiente mensaje en el archivo de registro del Servicio de creación de registros unificado (ULS):

System.Data.SqlClient.SqlException… <tipo de operación> permiso denegado en base de datos <base de datos>.  Tabla <tabla>

Junto con el mensaje de error que puede aparecer, es posible que el usuario no pueda llevar a cabo cualquiera de las siguientes tareas:

  • Restaurar una copia de seguridad de una granja de servidores debido a la incapacidad de escribir en una base de datos

  • Aprovisionar una instancia de servicio o aplicación web

  • Configurar cuentas administradas

  • Cambiar cuentas administradas para aplicaciones web

  • Cualquier base de datos, cuenta administrada u operación de servicios que requiera el uso del sitio web de Administración central

En algunas situaciones, los administradores de bases de datos (DBA) querrán operar de manera independiente con respecto a los administradores de SharePoint y crear y administrar todas las bases de datos. Para obtener más información sobre cómo los administradores de bases de datos crean y administran todas las bases de datos, vea Implementación mediante bases de datos creadas con DBA (SharePoint Server 2010).

Roles y servicios de SharePoint Server 2010

En general, la capacidad de crear nuevas bases de datos se debería eliminar de las cuentas de servicio de SharePoint. Ninguna cuenta de servicio de SharePoint debería tener el rol sysadmin en la instancia de Microsoft SQL Server ni ninguna cuenta de servicio de SharePoint debería ser un administrador local en el servidor que ejecuta Microsoft SQL Server.

Sin embargo, podría bloquear otros servicios y cuentas de SharePoint Server 2010:

  • Rol SharePoint_Shell_Access

    Al eliminar este rol de Microsoft SQL Server, se elimina la capacidad de escribir entradas en la configuración y en la base de datos de contenido. Para obtener información adicional sobre este rol, vea Add-SPShellAdmin.

  • Servicio de temporizador de SharePoint (SPTimerV4)

    De manera predeterminada, este servicio se instala y mantiene la configuración de la información de caché. Si el tipo de servicio se deshabilita, se puede producir el siguiente comportamiento:

    • No se ejecutarán los trabajos del temporizador

    • No se ejecutarán reglas del analizador de mantenimiento

    • El mantenimiento y la configuración de la granja de servidores no estarán actualizados

  • Servicio de administración de SharePoint (SPAdminV4)

    Este servicio realiza cambios automatizados que necesitan el permiso de administrador local en el servidor. Cuando no se ejecuta el servicio, debe procesar manualmente cambios administrativos del nivel de servicio. Si el tipo de servicio está deshabilitado, se puede producir el siguiente comportamiento:

    • No se ejecutarán los trabajados administrativos del temporizador

    • Los archivos de configuración web no estarán actualizados

    • La seguridad y los grupos locales no estarán actualizados

    • Los valores del Registro y las claves no estarán escritos

    • Es posible que los servicios no se inicien o reinicien

    • Es posible que el aprovisionamiento de servicios no se complete

  • Servicio SPUserCodeV4

    Este servicio permite a un administrador de colección de sitios cargar soluciones de espacio aislado a la galería de soluciones. Para obtener información adicional sobre las soluciones de espacio aislado, vea Introducción a las soluciones de espacio aislado (SharePoint Server 2010).

  • Notificaciones del servicio de token de Windows (C2WTS)

    De manera predeterminada, este servicio está deshabilitado. El servicio C2WTS puede ser necesario para la implementación en la que se tiene acceso a orígenes de datos externos. Para obtener más información acerca de C2WTS, vea Delegación de identidad para Servicios de Excel (SharePoint Server 2010), Delegación de identidad para Servicios de conectividad empresarial (SharePoint Server 2010), Delegación de identidad de SQL Server Reporting Services (SharePoint Server 2010) y Procedimiento para restablecer la cuenta de notificaciones del servicio de token de Windows (SharePoint Server 2010).

Para obtener más información acerca de los servicios, vea El servicio de administración de SharePoint está deshabilitado.

Según los requisitos empresariales de una organización, si se implementan servicios o roles de SharePoint Server 2010, se puede producir el comportamiento siguiente a las características que se indican a continuación

  • Copia de seguridad y restauración

    La capacidad para restaurar a partir de una copia de seguridad puede producir un error si se eliminan permisos de una base de datos.

  • Actualización

    El proceso de actualización se iniciará correctamente pero después se producirá un error puesto que no dispone de los permisos adecuados para las bases de datos. Si su organización ya está en un entorno con privilegios mínimos, la solución alternativa es pasar a un entorno de procedimientos recomendados para completar la actualización y, a continuación, volver al entorno con privilegios mínimos.

  • Actualización

    La capacidad para aplicar una actualización de software a una granja de servidores se realizará correctamente para l esquema de la base de datos de configuración pero se producirá un error en los servicios y en la base de datos de contenido.

Requisitos adicionales a tener en cuenta

Además de las consideraciones anteriores, puede que sea necesario tener en cuenta más opciones. La siguiente lista no es una lista completa. Use de manera selectiva los elementos según su criterio:

  • Configurar la cuenta de administrador de usuarios- Esta cuenta se usa para configurar los servidores de una granja de servidores. La cuenta debe pertenecer al grupo Administradores de cada servidor de la granja de servidores de Microsoft SharePoint Server 2010. Para obtener información adicional sobre esta cuenta, vea Cuentas administrativas

  • Cuenta de sincronización- Esta cuenta se usa para conectarse con el servicio de directorio. Para obtener información adicional, vea Hojas de cálculo de planificación de las propiedades de perfil de usuario y sincronización de perfiles (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0xC0A)

  • Motor de replicación de perfiles de usuario - Esta herramienta forma parte de SharePoint Administrator Toolkit (SPAT). Permite al administrador de una aplicación Servicio de perfiles de usuario replicar perfiles de usuario y datos sociales entre aplicaciones Servicio de perfiles de usuario. Algunos ejemplos de perfiles de usuario y datos sociales incluyen etiquetas temáticas, notas y clasificaciones. Para obtener información adicional sobre la herramienta Motor de replicación de perfiles de usuario, vea Introducción al motor de replicación de perfiles de usuario (SharePoint Server 2010)

  • Cuenta del grupo de aplicaciones host de Mi sitio- Esta es la cuenta bajo la cual se ejecuta el grupo de aplicaciones de Mi sitio. Para configurar esta cuenta, debe pertenecer al grupo Administradores granjas de servidores.

  • Grupo de usuarios integrado- Eliminar el grupo de seguridad de usuarios integrado o cambiar los permisos puede tener consecuencias imprevistas.

  • Permisos de grupo- De manera predeterminada, el grupo de SharePoint WSS_ADMIN_WPG tiene acceso de lectura y escritura a recursos locales. Las siguientes ubicaciones del sistema de archivos de WSS_ADMIN_WPG, %WINDIR%\System32\drivers\etc\HOSTS y %WINDIR%\Tasks son necesarias para que Microsoft SharePoint Server funcione correctamente. Si hay otros servicios o aplicaciones ejecutándose en un servidor, es posible que quiera considerar la manera en que estos tienen acceso a las ubicaciones de las carpetas Tasks o HOSTS. Para obtener información adicional sobre la configuración de cuentas, vea Permisos de cuenta y configuración de seguridad (SharePoint Server 2010)

  • Cambiar el permiso de un servicio- El cambio de un permiso de una servicio puede tener consecuencias imprevistas. Por ejemplo, si la siguiente clave del Registro, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, tiene el valor de 0, el servicio de host de código de usuario se deshabilitaría, lo que provocaría que dejaran de funcionar las soluciones de espacio aislado. Para obtener información adicional acerca del fallo del servicio de código de usuario, vea El servicio de host de código de usuario de SharePoint 2010 produce un error al iniciarse (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0xC0A)