Pianificare attività amministrative in un ambiente con privilegi minimi (SharePoint Foundation 2010)

SharePoint 2010
 

Si applica a: SharePoint Foundation 2010

Ultima modifica dell'argomento: 2016-11-30

In questo articolo viene descritto come configurare e gestire una farm di Microsoft SharePoint Foundation 2010 utilizzando l'amministrazione con privilegi minimi.

Il concetto di amministrazione con privilegi minimi prevede l'assegnazione agli utenti delle autorizzazioni minime necessarie per il completamento delle attività autorizzate. L'obiettivo dell'amministrazione con privilegi minimi è quello di configurare e mantenere un controllo sicuro dell'ambiente. Il risultato è quello di garantire a ogni servizio l'accesso solo alle risorse assolutamente necessarie. L'implementazione di un'amministrazione con privilegi minimi può comportare un aumento dei costi operativi in quanto potrebbero essere necessarie risorse aggiuntive per mantenere questo livello di amministrazione. Potrebbe inoltre risultare più complesso risolvere i problemi di sicurezza.

Nota sulla sicurezzaSecurity Note
Le organizzazioni implementano l'amministrazione con privilegi minimi per ottenere una maggiore sicurezza rispetto a quella generalmente consigliata. Solo una piccola percentuale di organizzazioni necessita di questo maggiore livello di sicurezza, in quanto i costi delle risorse per la gestione dell'amministrazione con privilegi minimi risultano maggiori. Alcune distribuzioni che, tuttavia, potrebbero richiedere questo maggiore livello di sicurezza includono gli enti governativi, le organizzazioni per la sicurezza e le organizzazioni che operano nel settore dei servizi finanziari. L'implementazione di un ambiente con privilegi minimi non deve essere confusa con le procedure consigliate. In un ambiente con privilegi minimi gli amministratori implementano le procedure consigliate insieme a livelli aggiuntivi di sicurezza.

Per pianificare l'amministrazione con privilegi minimi, è necessario prendere in considerazione diversi account, ruoli e servizi. Alcuni si applicano a SQL Server, mentre altri a Prodotti SharePoint 2010. Man mano che gli amministratori bloccano account e servizi, i costi operativi giornalieri sono destinati ad aumentare.

In un ambiente di amministrazione con privilegi minimi è consigliabile rimuovere i due ruoli a livello di server di SQL Server dagli account che non sono account del servizio di SharePoint, ma che vengono utilizzati per l'amministrazione di SharePoint:

  • dbcreator: i membri del ruolo predefinito del server dbcreator possono creare, modificare, eliminare e ripristinare qualsiasi database.

  • securityadmin: i membri del ruolo predefinito del server securityadmin gestiscono gli account di accesso e le relative proprietà. Possono CONCEDERE, NEGARE e REVOCARE autorizzazioni a livello di server. Possono inoltre CONCEDERE, NEGARE e REVOCARE autorizzazioni a livello di database, se dispongono di accesso a un database. Possono infine reimpostare le password per gli account di accesso di SQL Server.

    Nota sulla sicurezzaSecurity Note
    La possibilità di concedere l'accesso al motore di database e di configurare le autorizzazioni utente consente all'amministratore della sicurezza di assegnare la maggior parte delle autorizzazioni del server. Il ruolo securityadmin deve essere considerato equivalente al ruolo sysadmin.

Per ulteriori informazioni sui ruoli a livello di server di SQL Server, vedere Ruoli a livello di server (http://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x410)

La rimozione di uno o più di questi ruoli di SQL Server può provocare messaggi di errore "imprevisto" che vengono visualizzati nel sito Web di Amministrazione centrale. Potrebbe inoltre venire visualizzato il messaggio seguente nel file di registro ULS (Unified Logging Service, Servizio di registrazione unificato):

System.Data.SqlClient.SqlException… Autorizzazione <tipo operazione> negata nel database <database>.  Tabella <tabella>

Oltre alla visualizzazione del messaggio di errore, l'utente potrebbe non essere in grado di effettuare le operazioni seguenti:

  • Ripristinare un backup di una farm a causa dell'impossibilità di scrivere in un database

  • Effettuare il provisioning di un'istanza di un servizio o di un'applicazione Web

  • Configurare account gestiti

  • Modificare gli account gestiti per le applicazioni Web

  • Qualsiasi operazione relativa a database, account gestiti o servizi, che richiede l'utilizzo del sito Web Amministrazione centrale

In determinate situazioni, gli amministratori di database potrebbero avere la necessità di operare in modo indipendente dagli amministratori di SharePoint e di creare e gestire tutti i database. Per informazioni sulle modalità di creazione e gestione di tutti i database da parte degli amministratori di database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (SharePoint Foundation 2010).

In generale, la possibilità di creare nuovi database deve essere rimossa dagli account del servizio di SharePoint. Nessun account del servizio di SharePoint deve disporre del ruolo sysadmin nell'istanza di Microsoft SQL Server e nessun account del servizio di SharePoint deve essere un amministratore locale nel server che esegue Microsoft SQL Server.

È tuttavia possibile bloccare numerosi altri account e servizi di SharePoint Foundation 2010:

  • Ruolo SharePoint_Shell_Access

    Quando questo ruolo di Microsoft SQL Server viene rimosso, viene tolta la possibilità di scrivere voci nei database di configurazione e del contenuto. Per ulteriori informazioni su questo ruolo, vedere Add-SPShellAdmin.

  • Servizio Timer di SharePoint (SPTimerV4)

    Per impostazione predefinita, questo servizio viene installato e mantiene informazioni sulla cache di configurazione. Se il tipo di servizio viene impostato come disabilitato, può verificarsi il comportamento seguente:

    • I processi timer non vengono eseguiti

    • Le regole dell'analizzatore dell'integrità non vengono eseguite

    • La configurazione della farm e la manutenzione risultano non aggiornate

  • Servizio Amministrazione SharePoint (SPAdminV4)

    Questo servizio è in grado di eseguire modifiche automatiche che richiedono l'autorizzazione di amministratore locale nel server. Quando il servizio non è in esecuzione, è necessario elaborare manualmente le modifiche amministrative a livello di server. Se il tipo di servizio viene impostato come disabilitato, può verificarsi il comportamento seguente:

    • I processi timer amministrativi non vengono eseguiti

    • I file di configurazione Web non vengono aggiornati

    • I gruppi locali e di sicurezza non vengono aggiornati

    • Le chiavi e i valori del Registro di sistema non vengono scritti

    • Può risultare impossibile avviare o riavviare i servizi

    • Può risultare impossibile completare il provisioning dei servizi

  • Servizio SPUserCodeV4

    Questo servizio consente a un amministratore della raccolta siti di caricare soluzioni in modalità sandbox nella raccolta soluzioni. Per ulteriori informazioni sulle soluzioni in modalità sandbox, vedere Panoramica delle soluzioni in modalità sandbox (SharePoint Foundation 2010).

Per ulteriori informazioni sui servizi, vedere Servizio Amministrazione SharePoint disabilitato.

A seconda dei requisiti aziendali di un'organizzazione, se sono implementati ruoli o servizi di SharePoint Foundation 2010, potrebbe venire riscontrato il comportamento indicato per le caratteristiche seguenti:

  • Backup e ripristino

    Se le autorizzazioni per il database sono state rimosse, potrebbe risultare impossibile eseguire un ripristino da un backup.

  • Aggiornamento

    Il processo di aggiornamento verrà avviato correttamente, ma successivamente si verificherà un errore in quanto non si dispone delle autorizzazioni appropriate per i database. Se nell'organizzazione è già in uso un ambiente con privilegi minimi, la soluzione alternativa consiste nel passare a un ambiente con procedure consigliate per completare l'aggiornamento e quindi tornare all'ambiente con privilegi minimi.

  • Applicazione di aggiornamenti

    L'applicazione di un aggiornamento software a una farm ha esito positivo per lo schema del database di configurazione, ma esito negativo nei servizi e nel database del contenuto.

Oltre agli aspetti precedenti, potrebbe essere necessario prendere in considerazione ulteriori operazioni. L'elenco seguente non è esaustivo. Utilizzare in modo selettivo le voci elencate a propria discrezione:

  • Account utente Setup: questo account viene utilizzato per configurare ogni server di una farm. L'account deve essere membro del gruppo Administrators in ogni server della farm di Microsoft SharePoint Server 2010. Per ulteriori informazioni su questo account, vedere Account amministrativi.

  • Account del pool di applicazioni host dei siti personali: con questo account viene eseguito il pool di applicazioni dei siti personali. Per configurare questo account, è necessario essere membri del gruppo Amministratori farm.

  • Gruppo di utenti predefinito: se viene rimosso il gruppo di sicurezza degli utenti predefinito o se vengono modificate le autorizzazioni, potrebbero verificarsi conseguenze impreviste.

  • Autorizzazioni gruppo: per impostazione predefinita, il gruppo WSS_ADMIN_WPG di SharePoint dispone di accesso in lettura e scrittura alle risorse locali. I percorsi del file system di WSS_ADMIN_WPG seguenti, %WINDIR%\System32\drivers\etc\HOSTS e %WINDIR%\Tasks, sono necessari per il corretto funzionamento di Microsoft SharePoint Foundation. Se in un server sono in esecuzione altri servizi o applicazioni, potrebbe essere necessario prendere in considerazione come avviene l'accesso ai percorsi della cartella Tasks o HOSTS. Per ulteriori informazioni sulle impostazioni degli account, vedere Autorizzazioni e impostazioni di sicurezza per gli account (SharePoint Server 2010).

  • Modifica di autorizzazioni di un servizio: la modifica di un'autorizzazione di un servizio può avere conseguenze impreviste. Se, ad esempio la chiave del Registro di sistema seguente, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, ha un valore 0, il servizio User Code Host è disabilitato e, di conseguenza, le soluzioni in modalità sandbox smettono di funzionare. Per ulteriori informazioni sul malfunzionamento del servizio codice utente, vedere Impossibile avviare il servizio User Code Host di SharePoint 2010 (le informazioni potrebbero essere in lingua inglese) (http://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).

Mostra: