規劃 SharePoint Server 中的最低權限管理
**適用版本:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016
**上次修改主題的時間:**2017-08-24
**摘要:**了解如何使用最低權限管理來設定及維護 SharePoint 2013 與 SharePoint Server 2016 伺服器陣列和增強安全性。
最低權限管理的概念是將完成授權工作需要的最低權限指派給使用者。最低權限管理的目標是設定及協助維護環境的安全控制。其結果是僅將絕對必要的資源存取權限授與執行服務的每個帳戶。
我們建議您在即使實作的最低權限管理可能會導致較高,作業成本也因為可能需要的其他資源維護此層級管理的部署SharePoint Server以最低權限管理。此外,來疑難排解安全性問題的能力也可更複雜。
本文內容:
簡介
帳戶和服務的最低權限環境
簡介
組織可實作最低權限管理來獲得比一般建議更高的安全性。只有少數的組織需要此增強的安全性層級,因為維護最低權限管理必須符出大量資源成本。有某些部署可能需要此增強的安全性層級,包括政府機構、安全性組織及金融服務業組織。最低權限環境的實作不應與最佳作法混淆。在最低權限環境中,管理員將一起實作最佳作法與額外增強的安全性層級。
帳戶和服務的最低權限環境
若要規劃最低權限管理,您必須考慮數個帳戶、 角色和服務。部分套用至SQL Server及某些套用至SharePoint Server。當系統管理員封鎖其他帳戶和服務,每日,作業成本也都有可能增加。
SQL Server 角色
在SharePoint Server環境中,數個帳戶可能會授與下列兩個SQL Server伺服器層級角色。在最低權限SharePoint Server環境中,我們建議您僅授與 Microsoft SharePoint Foundation工作流程計時器服務執行於其下的帳戶下列權限。一般而言,計時器服務於伺服器陣列帳戶之下執行。日常作業,我們建議下列兩個SQL Server伺服器層級角色移除所有 SharePoint 權限管理使用其他帳戶:
Dbcreator - 可建立、改變、捨棄及還原任何資料庫的 dbcreator 固定伺服器角色的成員。
Securityadmin - 管理登入及其屬性的 securityadmin 固定伺服器的成員。他們可「授與」、「拒絕」和「撤銷」伺服器層級權限。如果他們有資料庫的存取權,也可以「授與」、「拒絕」和「撤銷」資料庫層級權限。此外,他們也能重設 SQL Server 登入的密碼。
.gif "安全性提示")
Security授與資料庫引擎存取權和設定使用者權限的能力可讓 securityadmin 指派大多數伺服器權限。您應該將 securityadmin 角色視為等同於 sysadmin 角色。
如需SQL Server伺服器層級角色的其他資訊,請參閱伺服器層級角色。
如果移除其中一或多個 SQL Server 角色,您可能會在 管理中心 網站中收到「非預期」錯誤訊息。此外,您可能會在統一登入服務 (ULS) 記錄檔中收到下列訊息:
System.Data.SqlClient.SqlException… <operation type> permission denied in database <database>. Table <table>
隨著可能顯示的錯誤訊息,您可能無法執行下列任何工作:
還原伺服器陣列的備份,因為您無法寫入至資料庫
佈建服務執行個體或 Web 應用程式
設定受管理的帳戶
變更 Web 應用程式的受管理帳戶
在需要 管理中心 網站的任何資料庫、受管理帳戶或服務上執行任何動作
在某些情況下,資料庫管理員 (Dba) 可能會想要操作分別從SharePoint Server系統管理員和建立及管理所有資料庫。這是一般安全性需求與公司原則需要系統管理員角色之區隔的 IT 環境中。伺服器陣列管理員提供SharePoint Server DBA,然後建立必要資料庫並設定登入所需的伺服器陣列之資料庫需求。
根據預設,DBA 具有完整存取權的SQL Server執行個體,但需要存取SharePoint Server的其他權限。Dba 通常會使用Windows PowerShell 3.0時所新增、 建立、 移動或重新命名 SharePoint 資料庫,讓他們必須是下列帳戶的成員:
SQL Server 執行個體上的 Securityadmin 固定伺服器角色。
SharePoint 陣列中所有資料庫上的 Db_owner 固定資料庫角色。
執行 PowerShell Cmdlet 的電腦上的管理員群組。
此外,DBA 可能必須是 SharePoint_Shell_Access 角色的成員才能存取 SharePoint 內容資料庫。在某些情況下,DBA 可能會想要將安裝程式使用者帳戶新增至 db_owner角色。
SharePoint Server角色和服務
一般而言,您應該移除能夠從SharePoint Server服務帳戶建立新的資料庫。計時器服務執行於其下 (通常是伺服器陣列帳戶) 帳戶,以外的任何SharePoint Server服務帳戶應該 sysadmin 角色SQL Server執行個體上以及沒有SharePoint Server服務帳戶應該是執行SQL Server的伺服器上的本機管理員。
如需SharePoint Server帳戶的詳細資訊,請參閱SharePoint Server 2016 中的帳戶權限及安全性設定。
在 SharePoint Server 2013 中的帳戶資訊,請參閱SharePoint 2013 中的帳戶權限及安全性設定。
下列清單提供鎖定其他SharePoint Server角色和服務的詳細資訊:
SharePoint_Shell_Access role
當您移除此 SQL Server 角色時,會移除將項目寫入設定和內容資料庫的能力,以及使用 Microsoft PowerShell 執行任何工作的能力。如需此角色的其他相關資訊,請參閱 Add-SPShellAdmin。
SharePoint Timer service (SPTimerV4)
我們建議您不限制在其下的帳戶執行此服務與您永不停用此帳戶授與的預設權限。而使用安全的使用者帳戶,其密碼不廣泛已知,並維持服務執行。根據預設,此服務已安裝當您安裝SharePoint Server及維護快取的組態資訊。如果您的服務類型設為 [停用您可能會遇到下列行為:
未執行計時器工作
未執行狀況分析器規則
維護及伺服器陣列設定將過期
SharePoint Administration service (SPAdminV4)
此服務會執行自動化變更,需要在伺服器上擁有本機管理員權限才能執行。當服務未在執行時,您必須手動處理伺服器層級管理變更。我們建議您不要限制將預設權限授與執行此服務的帳戶,也絕對不要停用此帳戶。相反地,請使用密碼未廣為人知的安全使用者帳戶,並維持執行服務。如果設定停用服務類型,您可能會遇到下列情況:
未執行管理計時器工作
未更新 Web 設定檔案
未更新安全性和本機群組
未寫入登錄值和機碼
可能無法啟動或重新啟動服務
可能無法完成服務佈建
SPUserCodeV4 Service
此服務可讓網站集合管理員將沙箱化解決方案上傳到解決方案庫。如果您未使用沙箱化解決方案,則可停用此服務。
Claims To Windows Token service (C2WTS)
預設會停用此服務。可能需要 C2WTS 服務才能部署 Excel Services、PerformancePoint Server,或必須在 SharePoint 安全性權杖與 Windows 型實體之間轉譯的 SharePoint 共用服務。例如,當您設定 Kerberos 限制委派來存取外部資料來源時可使用此服務。如需 C2WTS 的詳細資訊,請參閱規劃 SharePoint 2013 的 Kerberos 的驗證。
下列功能可能會在某些情況下遇到其他徵兆:
Backup and restore
如果您已移除資料庫權限,則可能無法從備份執行還原。
Upgrade
升級程序正確啟動,但如果您沒有資料庫的適當權限,接下來將失敗。如果您的組織已處於最低權限環境,則因應措施是移至最佳作法環境以完成升級,然後移回最低權限環境。
Update
針對設定資料庫的結構描述,將可將軟體更新套用至陣列,但無法更新內容資料庫和服務。
最低權限環境的其他考量事項
除了先前的考量以外,您可能必須考量更多操作。下列是不相容的清單。請自行決定選擇使用項目:
Setup user account此帳戶用來設定伺服器陣列中每部伺服器。帳戶必須是SharePoint Server伺服器陣列中每部伺服器上的管理員群組的成員。如需此帳戶的其他資訊,請參閱在 SharePoint Server 中初次部署管理帳戶和服務帳戶。
Synchronization account -對於SharePoint Server伺服器,此帳戶用來連線至目錄服務。我們建議您不限制在其下的帳戶執行此服務與您永不停用此帳戶授與的預設權限。而使用安全的使用者帳戶,其密碼不廣泛已知,並維持服務執行。此帳戶也需要複寫目錄變更權限可讓讀取 AD DS 物件及來探索已變更之網域中的 AD DS 物件的帳戶 AD DS。授與複寫目錄變更權限不會啟用帳戶來建立、 變更或刪除 AD DS 物件。
我的網站主機應用程式集區帳戶 - 這是執行 我的網站 應用程式集區的帳戶。若要設定此帳戶,您必須是伺服器陣列管理員群組的成員。您可以限制此帳戶的權限。
內建使用者群組 - 移除內建使用者安全性群組或變更權限可能會產生非預期的結果。我們建議您不要限制任何內建帳戶或群組的權限。
Group permissions -預設WSS_ADMIN_WPG SharePoint 群組擁有 「 讀取和寫入權限本機資源。下列WSS_ADMIN_WPG檔案系統位置、 %WINDIR%\System32\drivers\etc\Hosts和*%WINDIR%\Tasks*所需的SharePoint Server才能正常運作。如果在伺服器執行其他服務或應用程式,您可能會考慮如何存取工作或主機資料夾位置。如需SharePoint Server帳戶設定的其他資訊,請參閱SharePoint Server 2016 中的帳戶權限及安全性設定。
在 SharePoint Server 2013 中的帳戶資訊,請參閱SharePoint 2013 中的帳戶權限及安全性設定。
變更服務的權限 - 服務權限變更可能會產生非預期的結果。例如,如果下列登錄機碼 HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters 具有值 0,則將停用「使用者程式碼主機」服務,從而導致沙箱式解決方案停止運作。