在最低權限環境中規劃管理工作 (SharePoint Server 2010)
適用版本: SharePoint Foundation 2010, SharePoint Server 2010
上次修改主題的時間: 2016-11-30
本文說明如何使用最低權限管理來設定及維護 Microsoft SharePoint Server 2010 伺服器陣列。
概觀
最低權限管理的概念是指派使用者完成授權工作所需的最低權限。最低權限管理的目標在於設定及協助維護環境的安全控制。結果是每個服務只會取得絕對必要之資源的存取權。實作最低權限管理會導致作業成本增加,因為維護此層級的管理可能需要其他資源。此外,疑難排解安全性問題的能力也會減低。
.gif "安全性提示") Security Note |
|---|
| 組織實作最低權限管理,是為了達成比一般所建議者更好的安全性。由於維護最低權限管理的資源成本,只有一小部分的組織需要此增強的安全性層級。但是,某些部署可能需要此增強的安全性層級,包括政府機構、安全性組織及金融服務業的組織。最低權限環境的實作不應與最佳作法混淆。在最低權限環境中,管理員會實作最佳作法,以及執行進一步增強的安全性層級。 |
帳戶和服務的最低權限環境
若要規劃最低權限管理,您必須考量數個帳戶、角色及服務。其中一些適用於 SQL Server,而另一些則適用於 SharePoint 2010 產品。當管理員鎖定其他帳戶和服務時,日常作業成本可能會增加。
Microsoft SQL Server 角色
在最低權限管理環境中,建議您從不屬於 SharePoint 服務帳戶但用於 SharePoint 管理的帳戶中,移除下列兩個 SQL Server 伺服器層級角色:
dbcreator- dbcreator 固定伺服器角色的成員可以建立、更改、卸除及還原任何資料庫。
securityadmin- securityadmin 固定伺服器角色的成員可以管理登入及其屬性。此角色可以 「授與」、「拒絕」 及「撤銷」伺服器層級權限,也可以「授與」、「拒絕」及「撤銷」 資料庫層級權限 (如果具有資料庫存取權)。此外,此角色可以重設 SQL Server 登入的密碼。
Security Note授與資料庫引擎的存取權及設定使用者權限的功能,讓安全性管理員可以指派大多數伺服器權限。securityadmin 角色應視為等同於 sysadmin 角色。
如需 SQL Server 伺服器層級角色的其他資訊,請參閱伺服器層級角色 (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x404)
移除一或多個 SQL Server 角色可能會導致管理中心網站上顯示「未預期」錯誤訊息。此外,您可能會在統一登入服務 (ULS) 記錄檔中收到下列訊息:
System.Data.SqlClient.SqlException… 於資料庫 <資料庫> 中,<作業類型> 的權限遭拒。Table <資料表>
除了顯示錯誤訊息之外,使用者還可能無法執行下列任何工作:
由於無法寫入資料庫,已還原伺服器陣列備份
佈建服務執行個體或 Web 應用程式
設定受管理帳戶
變更 Web 應用程式的受管理帳戶
任何需要使用管理中心網站的資料庫、受管理帳戶或服務作業
在特定情況下,資料庫管理員 (DBA) 可能需要與 SharePoint 管理員分開作業,以及建立及管理所有資料庫。如需 DBA 如何建立及管理所有資料庫的相關資訊,請參閱<使用 DBA 建立的資料庫進行部署 (SharePoint Server 2010)>。
SharePoint Server 2010 角色和服務
一般應從 SharePoint 服務帳戶中移除建立新資料庫的功能。SharePoint 服務帳戶不應包含 Microsoft SQL Server 執行個體上的 sysadmin 角色,且不應是執行 Microsoft SQL Server 之伺服器上的本機管理員。
但是,您可以鎖定下列幾個 SharePoint Server 2010 服務與帳戶:
SharePoint_Shell_Access 角色
移除此 Microsoft SQL Server 角色時,會一併移除將項目寫入設定和內容資料庫的功能。如需此角色的其他資訊,請參閱<Add-SPShellAdmin>。
SharePoint 計時器服務 (SPTimerV4)
根據預設,此服務已安裝並可以維護設定快取資訊。如果服務類型設為已停用,則可能會發生下列行為:
不會執行計時器工作
不會執行狀況分析規則
維護和伺服器陣列設定會過期
SharePoint 管理服務 (SPAdminV4)
此服務執行需要伺服器上之本機管理員權限的自動化變更。當服務未執行時,您必須手動處理伺服器層級管理變更。如果服務類型設為已停用,則可能會發生下列行為:
不會執行管理計時器工作
不會更新 Web 設定檔案
不會更新安全性和本機群組
不會寫入登錄值和機碼
可能無法啟動或重新啟動服務
可能無法完成服務的佈建
SPUserCodeV4 服務
此服務可讓網站集合管理員將沙箱化解決方案上傳至解決方案庫。如需沙箱化解決方案的其他資訊,請參閱<沙箱化解決方案概觀 (SharePoint Server 2010)>。
對 Windows Token 服務的宣告 (C2WTS)
預設會停用此服務。存取外部資料來源的部署可能需要 C2WTS 服務。如需 C2WTS 的詳細資訊,請參閱<Excel Services 的身分識別委派 (SharePoint Server 2010)>、<Business Connectivity Services 的身分識別委派 (SharePoint Server 2010)>、<SQL Server Reporting Service 的身分識別委派 (SharePoint Server 2010)>及<如何重設對 Windows Token 服務的宣告帳戶 (SharePoint Server 2010)>。
如需更多資訊服務,請參閱<已停用 SharePoint 管理服務>。
根據組織的業務需求,如果實作任何 SharePoint Server 2010 服務或角色,則可能會發生針對下列功能的行為:
備份與還原
如果移除了資料庫權限,執行從備份還原的功能可能會失敗。
升級
升級程序會正確啟動,但由於您沒有適當的資料庫權限,因此會失敗。如果您的組織已在最低權限環境中,解決方法是移至最佳作法環境完成升級,然後再移回最低權限環境。
更新
將軟體更新套用至伺服器陣列的功能可以在設定資料庫的結構描述中成功執行,但是無法在內容資料庫和服務上執行。
其他需要考量的需求
除了前述考量之外,您可能還需要考量其他作業。下列清單並不完整。請自行選擇使用下列項目:
安裝程式使用者管理員帳戶 - 此帳戶可用來設定伺服器陣列中的每部伺服器,必須是 Microsoft SharePoint Server 2010 伺服器陣列中每部伺服器上的管理員群組成員。如需此帳戶的其他資訊,請參閱<管理帳戶>
同步處理帳戶 - 此帳戶可用來連線至目錄服務。如需其他資訊,請參閱使用者設定檔屬性和設定檔同步處理規劃工作表 (可能為英文網頁) (https://go.microsoft.com/fwlink/?LinkID=225640&clcid=0x404) (可能為英文網頁)
使用者設定檔複製引擎- 此工具是 SharePoint Administrator Toolkit (SPAT) 的一部分,可讓 User Profile Service 應用程式的管理員在 User Profile Service 應用程式之間複寫使用者設定檔和社交資料。使用者設定檔或社交資料的範例包括社交標記、記事及評等。如需使用者設定檔複製引擎工具的其他資訊,請參閱<使用者設定檔複製引擎概觀 (SharePoint Server 2010)>
我的網站主機應用程式集區帳戶 - 這是執行「我的網站」應用程式集區的帳戶。若要設定此帳戶,您必須是伺服器陣列管理員群組的成員。
內建使用者群組 - 移除內建使用者安全性群組或變更權限可能會有未預期的後果。
群組權限 - WSS_ADMIN_WPG SharePoint 群組預設具有本機資源的讀取及寫入權限。Microsoft SharePoint Server 需要下列 WSS_ADMIN_WPG 檔案系統位置才能正常運作:%WINDIR%\System32\drivers\etc\HOSTS 和 %WINDIR%\Tasks。如果伺服器上執行其他服務或應用程式,您可以考慮這些服務或應用程式如何存取 Tasks 或 HOSTS 資料夾位置。如需帳戶設定的其他資訊,請參閱<帳戶權限與安全性設定 (SharePoint Server 2010)>
變更服務的權限 - 變更服務的權限可能會有未預期的後果。例如,如果登錄機碼 HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters 的值為 0,則會停用 User Code Host 服務,而導致沙箱化解決方案停止運作。如需 User Code Host 服務未運作的其他資訊,請參閱 SharePoint 2010 User Code Host 服務無法啟動 (可能為英文網頁) (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x404) (可能為英文網頁)