Pianificare attività amministrative in un ambiente con privilegi minimi (SharePoint Server 2010)
Si applica a: SharePoint Foundation 2010, SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
Questo articolo illustra come configurare e gestire una farm di Microsoft SharePoint Server 2010 utilizzando l'amministrazione con privilegi minimi.
Panoramica
Il concetto di amministrazione con privilegi minimi prevede l'assegnazione agli utenti delle autorizzazioni minime necessarie per consentire agli utenti di completare attività autorizzate. L'amministrazione con privilegi minimi si pone come obiettivo la configurazione e l'agevolazione del mantenimento di un controllo sicuro di un ambiente. A ogni servizio viene pertanto concesso l'accesso solo alle risorse assolutamente necessarie. L'implementazione dell'amministrazione con privilegi minimi può provocare un incremento dei costi operativi, poiché è possibile che per la gestione di questo livello di amministrazione siano necessarie risorse aggiuntive. È inoltre possibile che la capacità di risolvere problemi di sicurezza risulti diminuita.
.gif "Nota sulla sicurezza") Security Note |
|---|
| Le organizzazioni implementano l'amministrazione con privilegi minimi per ottenere una sicurezza superiore rispetto a quanto in genere consigliato. Tale livello elevato di sicurezza è necessario solo per una percentuale minima di organizzazioni, a causa del costo in termini di risorse necessari per la gestione dell'amministrazione con privilegi minimi. Alcune distribuzioni che potrebbero necessitare di tale livello elevato di sicurezza includono tuttavia enti governativi, organizzazioni per la sicurezza e organizzazioni del settore di servizi finanziari. È necessario non confondere l'implementazione di un ambiente con privilegi minimi e le procedure consigliate. In un ambiente con privilegi minimi gli amministratori implementano le procedure consigliate insieme a livelli elevati aggiuntivi di sicurezza. |
Ambiente con privilegi minimi per account e servizi
Per pianificare l'amministrazione con privilegi minimi, è necessario tenere in considerazione alcuni account, ruoli e servizi. Alcuni sono applicabili a SQL Server e alcuni a Prodotti SharePoint 2010. Il blocco di account e servizi aggiuntivi da parte degli amministratori possono tuttavia comportare l'incremento dei costi operativi giornalieri.
Ruoli di Microsoft SQL Server
In un ambiente di amministrazione con privilegi minimi è consigliabile rimuovere i due ruoli seguenti a livello di server di SQL Server da account che non sono account di servizio di SharePoint ma vengono utilizzati per l'amministrazione di SharePoint:
dbcreator I membri del ruolo predefinito del server dbcreator possono creare, modificare, rilasciare e ripristinare qualsiasi database.
securityadmin I membri del ruolo predefinito del server securityadmin gestiscono gli accessi e le rispettive proprietà. Possono CONCEDERE, RIFIUTARE e REVOCARE le autorizzazioni a livello di server. Se dispongono di accesso a un database, possono inoltre CONCEDERE, RIFIUTARE e REVOCARE autorizzazioni a livello di database. Possono inoltre reimpostare le password per accessi di SQL Server.
Security NoteLa capacità di concedere accesso al Motore di database e configurare le autorizzazioni utente consente all'amministratore di sicurezza di assegnare la maggior parte delle autorizzazioni server. Il ruolo securityadmin deve essere gestito in modo analogo al ruolo sysadmin.
Per ulteriori informazioni sui ruolo a livello di server di SQL Server, vedere Ruoli a livello di server (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x410)
La rimozione di uno o più ruoli di SQL Server può provocare messaggi di errore di tipo “Imprevisto”, visualizzati nel sito Web Amministrazione centrale. È inoltre possibile che venga visualizzato un messaggio analogo al seguente nel file di registro del Servizio di registrazione unificato:
System.Data.SqlClient.SqlException… Autorizzazione <tipo di operazione> negata nel database <database>. Tabella <tabella>
Oltre alla visualizzazione di un eventuale messaggio di errore, è possibile che l'utente non sia in grado di eseguire le attività seguenti:
Ripristinare un backup di una farm a causa dell'impossibilità di scrivere in un database
Eseguire il provisioning di un'istanza del servizio o di un'applicazione Web
Configurare gli account gestiti
Modificare gli account gestiti per applicazioni Web
Qualsiasi database, account gestito o operazione di servizio che necessita dell'utilizzo del sito Web Amministrazione centrale
In determinate situazione, è possibile che gli amministratori di database desiderino operare in modo indipendente rispetto agli amministratori di SharePoint per creare e gestire tutti i database. Per informazioni su come tutti i database vengono creati e gestiti dagli amministratori di database, vedere Eseguire la distribuzione utilizzando database creati da amministratori di database (SharePoint Server 2010).
Ruoli e servizi di SharePoint Server 2010
In generale, è consigliabile rimuovere dagli account di servizio di SharePoint la capacità di creare nuovi database. Nessun account di servizio di SharePoint dovrebbe disporre del ruolo sysadmin nell'istanza di Microsoft SQL Server e nessun account di servizio di SharePoint deve essere un amministratore locale sul server che esegue Microsoft SQL Server.
È tuttavia possibile bloccare alcuni altri servizi e account di SharePoint Server 2010:
Ruolo SharePoint_Shell_Access
Quando questo ruolo di Microsoft SQL Server viene rimosso, la capacità di scrivere voci nel database di configurazione e del contenuto viene rimosso. Per ulteriori informazioni su questo ruolo, vedere Add-SPShellAdmin.
Servizio Timer di SharePoint (SPTimerV4)
Per impostazione predefinita, questo servizio viene installato e gestisce le informazioni della cache di configurazione. Se il tipo di servizio è impostato su disabilitato, è possibile che si verifichi il comportamento seguente:
Non verrà eseguito alcun processo timer
Le regole dell'analizzatore dell'integrità non verranno eseguite
La manutenzione e la configurazione della farm non saranno aggiornate
Servizio Amministrazione SharePoint (SPAdminV4)
Questo servizio esegue modifiche automatizzate che necessitano dell'autorizzazione di amministratore locale nel server. Quando il servizio non è in esecuzione, è necessario elaborare manualmente modifiche amministrative a livello di server. Se il tipo di servizio è impostato su disabilitato, è possibile che si verifichi il comportamento seguente:
I processi timer amministrativi non verranno eseguiti
I file di configurazione Web non verranno aggiornati
I gruppi di sicurezza e locali non verranno aggiornati
I valori e le chiavi del Registro di sistema non verranno scritti
È possibile che non si sia in grado di avviare o riavviare i servizi
È possibile che non il provisioning dei servizi non possa essere completato
Servizio SPUserCodeV4
Questo servizio consente a un amministratore di raccolte siti di caricare soluzioni in modalità sandbox nella raccolta soluzioni. Per ulteriori informazioni sulle soluzioni in modalità sandbox, vedere Panoramica delle soluzioni in modalità sandbox (SharePoint Server 2010).
Attestazioni per il Servizio token Windows (C2WTS)
Per impostazione predefinita, questo servizio è disabilitato. È possibile che il servizio C2WTS sia necessario per la distribuzione in cui si esegue l'accesso a origini dati esterni. Per ulteriori informazioni su C2WTS, vedere Delega dell'identità per Excel Services (SharePoint Server 2010), Delega dell'identità per Servizi di integrazione applicativa (SharePoint Server 2010), Delega dell'identità per SQL Server Reporting Services (SharePoint Server 2010) e Come reimpostare l'account di Attestazioni per il servizio token Windows (SharePoint Server 2010).
Per ulteriori informazioni sui servizi, vedere Servizio Amministrazione SharePoint disabilitato.
In base ai requisiti aziendali di un'organizzazione, se vengono implementati eventuali servizi o ruoli di SharePoint Server 2010, è possibile che si verifichi il comportamento seguente per le caratteristiche seguenti:
Backup e ripristino
Se le autorizzazioni database sono state rimosse, è possibile che un ripristino da un backup abbia esito negativo.
Aggiornamento
Il processo di aggiornamento verrà avviato correttamente, ma avrà esito negativo, poiché non si dispone di autorizzazioni appropriate per i database. Se l'organizzazione utilizza già un ambiente con privilegi minimi, per risolvere il problema è possibile passare a un ambiente basato sulle procedure consigliate per completare l'aggiornamento e quindi tornare a un ambiente con privilegi minimi.
Aggiornamento
L'applicazione di un aggiornamento software a una farm avrà esito positivo per lo schema del database di configurazione, ma avrà esito negativo per il database del contenuto e i servizi.
Requisiti aggiuntivi da prendere in considerazione
Oltre alle considerazioni precedenti, potrebbe essere necessario prendere in considerazione operazioni aggiuntive. L'elenco seguente non è completo. Utilizzare gli elementi in modo selettivo in base alla necessità:
Configurare un account di amministratore utenti Questo account viene utilizzato per configurare ogni server in una farm e deve essere membro del gruppo Administrators in ogni server nella farm di Microsoft SharePoint Server 2010. Per ulteriori informazioni su questo account, vedere Account amministrativi
Account di sincronizzazione Questo account viene utilizzato per connettersi al servizio directory. Per ulteriori informazioni, vedere la pagina relativa aifogli di lavoro per la pianificazione della sincronizzazione delle proprietà del profilo utente e del profilo (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Motore per la replica dei profili utente (UPRE, User Profile Replication Engine) Questo strumento fa parte del toolkit di amministrazione di SharePoint e consente all'amministratore di un'applicazione del Servizio profili utente di replicare i profili utente e i dati relativi al social networking tra applicazioni del Servizio profili utente. Esempi di profili utente o dati di social networking includono tag di social networking, note e valutazioni. Per ulteriori informazioni sullo strumento del motore per la replica dei profili utente, vedere User Profile Replication Engine overview (SharePoint Server 2010)
Account del pool di applicazioni host di Sito personale Account utilizzato per l'esecuzione del pool di applicazioni di Sito personale. Per configurare questo account, è necessario essere membri del gruppo Amministratori farm.
Gruppo utenti predefinito La rimozione del gruppo di sicurezza utenti predefinito o la modifica delle autorizzazioni potrebbe avere conseguenze impreviste.
Autorizzazioni gruppi Per impostazione predefinita, il gruppo WSS_ADMIN_WPG di SharePoint dispone di accesso in lettura e scrittura alle risorse locali. I percorsi di file system WSS_ADMIN_WPG seguenti, %WINDIR%\System32\drivers\etc\HOSTS e %WINDIR%\Tasks sono necessari per il corretto funzionamento di Microsoft SharePoint Server. Se altri servizi o applicazioni sono in esecuzione su un server, è consigliabile valutare il modo in cui accedono ai percorsi delle cartelle Tasks o HOSTS. Per ulteriori informazioni sulle impostazioni degli account, vedere Autorizzazioni e impostazioni di sicurezza per gli account (SharePoint Server 2010)
Modificare l'autorizzazione di un servizio Una modifica di un'autorizzazione di un servizio potrebbe avere conseguenze impreviste. Ad esempio, se la chiave seguente del Registro di sistema, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, ha valore pari a 0, il servizio User Code Host verrà disabilitato, provocando l'interruzione del funzionamento delle soluzioni in modalità sandbox. Per ulteriori informazioni sul mancato funzionamento del servizio User Code, vedere Impossibile avviare il servizio SharePoint 2010 User Code Host (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)