本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

在 SharePoint 2013 中規劃最低權限管理

 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何使用最低權限管理來設定與維護 SharePoint 2013 陣列和增強安全性。

最低權限管理的概念是將完成授權工作需要的最低權限指派給使用者。最低權限管理的目標是設定及協助維護環境的安全控制。其結果是僅將絕對必要的資源存取權限授與執行服務的每個帳戶。

即使實作最低權限管理可能增加營運成本 (因為可能需要額外的資源來維護此管理層級),我們仍建議您使用最低權限管理部署 SharePoint 2013。此外,疑難排解安全性問題的能力也可能變得更複雜。

本文內容:

組織可實作最低權限管理來獲得比一般建議更高的安全性。只有少數的組織需要此增強的安全性層級,因為維護最低權限管理必須符出大量資源成本。有某些部署可能需要此增強的安全性層級,包括政府機構、安全性組織及金融服務業組織。最低權限環境的實作不應與最佳作法混淆。在最低權限環境中,管理員將一起實作最佳作法與額外增強的安全性層級。

若要規劃最低權限管理,您必須考量數個帳戶、角色和服務。其中一些帳戶、角色和服務適用於 SQL Server,部分則適用於 SharePoint 2013。當管理員鎖定其他帳戶和服務時,可能會增加日常營運成本。

在 SharePoint 2013 環境中,可能會將下列兩個 SQL Server 伺服器層級角色授與數個帳戶。在最低權限的 SharePoint 2013 環境中,我們建議您僅將這些權限授與執行 Microsoft SharePoint Foundation 工作流程計時器服務的帳戶。一般而言,計時器服務會在伺服器陣列帳戶下執行。對於日常作業,我們建議您從 SharePoint 管理所使用的所有其他帳戶中移除下列兩個 SQL Server 伺服器層級角色:

  • Dbcreator - 可建立、改變、捨棄及還原任何資料庫的 dbcreator 固定伺服器角色的成員。

  • Securityadmin - 管理登入及其屬性的 securityadmin 固定伺服器的成員。他們可「授與」、「拒絕」和「撤銷」伺服器層級權限。如果他們有資料庫的存取權,也可以「授與」、「拒絕」和「撤銷」資料庫層級權限。此外,他們也能重設 SQL Server 登入的密碼。

    安全性提示 安全性
    授與資料庫引擎存取權和設定使用者權限的能力可讓 securityadmin 指派大多數伺服器權限。您應該將 securityadmin 角色視為等同於 sysadmin 角色。

如需SQL Server伺服器層級角色的其他資訊,請參閱伺服器層級角色

如果移除其中一或多個 SQL Server 角色,您可能會在 管理中心 網站中收到「非預期」錯誤訊息。此外,您可能會在統一登入服務 (ULS) 記錄檔中收到下列訊息:

System.Data.SqlClient.SqlException… <operation type> permission denied in database <database>.  Table <table>

隨著可能顯示的錯誤訊息,您可能無法執行下列任何工作:

  • 還原伺服器陣列的備份,因為您無法寫入至資料庫

  • 佈建服務執行個體或 Web 應用程式

  • 設定受管理的帳戶

  • 變更 Web 應用程式的受管理帳戶

  • 在需要 管理中心 網站的任何資料庫、受管理帳戶或服務上執行任何動作

在特定情況下,資料庫管理員 (DBA) 可能想要獨立於 SharePoint 2013 管理員之外操作,以及建立和管理所有資料庫。在安全性需求和公司原則需要不同管理員角色的 IT 環境中,時常會發生這種情況。伺服器陣列管理員會向 DBA 提供 SharePoint 2013 資料庫需求,DBA 接著建立必要的資料庫和設定伺服器陣列所需要的登入。

依預設,DBA 已完成存取 SQL Server 執行個體,但需要其他權限才能存取 SharePoint 2013。DBA 一般會使用 Windows PowerShell 3.0 來新增、建立、移動或重新命名 SharePoint 資料庫,因此他們必須是下列帳戶的成員:

  • SQL Server 執行個體上的 Securityadmin 固定伺服器角色。

  • SharePoint 陣列中所有資料庫上的 Db_owner 固定資料庫角色。

  • 執行 Windows PowerShell Cmdlet 的電腦上的管理員群組。

此外,DBA 可能必須是 SharePoint_Shell_Access 角色的成員才能存取 SharePoint 內容資料庫。在某些情況下,DBA 可能會想要將安裝程式使用者帳戶新增至 db_owner角色。

一般而言,您應該移除從 SharePoint 2013 服務帳戶建立新資料庫的能力。除了執行計時器服務的帳戶 (一般是伺服器陣列帳戶) 之外,SharePoint 2013 服務帳戶都不應在 SQL Server 執行個體上具有 sysadmin 角色,且沒有 SharePoint 2013 服務帳戶應該成為執行 SQL Server 的伺服器上的本機管理員。

如需 SharePoint 2013 帳戶的詳細資訊,請參閱 SharePoint 2013 中的帳戶權限及安全性設定

下列清單提供鎖定其他 SharePoint 2013 角色和服務的詳細資訊:

  • SharePoint_Shell_Access 角色

    當您移除此 SQL Server 角色時,會移除將項目寫入設定和內容資料庫的能力,以及使用 Windows PowerShell 執行任何工作的能力。如需此角色的其他相關資訊,請參閱 Add-SPShellAdmin

  • SharePoint Timer Service (SPTimerV4)

    我們建議您不要限制將預設權限授與執行此服務的帳戶,也絕對不要停用此帳戶。相反地,請使用密碼未廣為人知的安全使用者帳戶,並維持執行服務。依預設,安裝 SharePoint 2013 時會安裝此服務,並維護設定快取資訊。如果設定停用服務類型,您可能會遇到下列情況:

    • 未執行計時器工作

    • 未執行狀況分析器規則

    • 維護及伺服器陣列設定將過期

  • SharePoint Administration Service (SPAdminV4)

    此服務會執行自動化變更,需要在伺服器上擁有本機管理員權限才能執行。當服務未在執行時,您必須手動處理伺服器層級管理變更。我們建議您不要限制將預設權限授與執行此服務的帳戶,也絕對不要停用此帳戶。相反地,請使用密碼未廣為人知的安全使用者帳戶,並維持執行服務。如果設定停用服務類型,您可能會遇到下列情況:

    • 未執行管理計時器工作

    • 未更新 Web 設定檔案

    • 未更新安全性和本機群組

    • 未寫入登錄值和機碼

    • 可能無法啟動或重新啟動服務

    • 可能無法完成服務佈建

  • SPUserCodeV4 服務

    此服務可讓網站集合管理員將沙箱化解決方案上傳到解決方案庫。如果您未使用沙箱化解決方案,則可停用此服務。

  • 對 Windows Token 服務的宣告 (C2WTS)

    預設會停用此服務。可能需要 C2WTS 服務才能部署 Excel Services、PerformancePoint Server,或必須在 SharePoint 安全性權杖與 Windows 型實體之間轉譯的 SharePoint 共用服務。例如,當您設定 Kerberos 限制委派來存取外部資料來源時可使用此服務。如需 C2WTS 的詳細資訊,請參閱規劃 SharePoint 2013 的 Kerberos 的驗證

下列功能可能會在某些情況下遇到其他徵兆:

  • 備份及還原

    如果您已移除資料庫權限,則可能無法從備份執行還原。

  • 升級

    升級程序正確啟動,但如果您沒有資料庫的適當權限,接下來將失敗。如果您的組織已處於最低權限環境,則因應措施是移至最佳作法環境以完成升級,然後移回最低權限環境。

  • 更新

    針對設定資料庫的結構描述,將可將軟體更新套用至陣列,但無法更新內容資料庫和服務。

除了先前的考量以外,您可能必須考量更多操作。下列是不相容的清單。請自行決定選擇使用項目:

  • 安裝程式使用者帳戶 - 此帳戶是用於設定陣列中的每一台伺服器。帳戶必須是 SharePoint 2013 陣列中每一台伺服器的管理員群組成員。如需此帳戶的其他資訊,請參閱在 SharePoint 2013 中初次部署管理帳戶和服務帳戶

  • 同步處理帳戶 - 若為 SharePoint 2013 Server,此帳戶可用於連線至目錄服務。我們建議您不要限制將預設權限授與執行此服務的帳戶,也絕對不要停用此帳戶。反之,使用密碼未廣為人知的安全使用者帳戶,並維持執行服務。此帳戶在 AD DS 上也需要擁有「複寫目錄變更」權限,才能讀取 AD DS 物件及探索網域中已變更的 AD DS 物件。「授與複寫目錄變更」權限不會允許帳戶建立、變更或刪除 AD DS 物件。如需其他資訊,請參閱 SharePoint Server 2013 的使用者設定檔屬性與設定檔同步處理規劃工作表

  • 我的網站主機應用程式集區帳戶 - 這是執行 我的網站 應用程式集區的帳戶。若要設定此帳戶,您必須是伺服器陣列管理員群組的成員。您可以限制此帳戶的權限。

  • 內建使用者群組 - 移除內建使用者安全性群組或變更權限可能會產生非預期的結果。我們建議您不要限制任何內建帳戶或群組的權限。

  • 群組權限 - WSS_ADMIN_WPG SharePoint 群組預設有本機資源的讀取和寫入存取權。需要下列 WSS_ADMIN_WPG 檔案系統位置 %WINDIR%\System32\drivers\etc\Hosts%WINDIR%\Tasks,SharePoint 2013 才能正確運作。若在伺服器上執行其他服務或應用程式,您可能會考量他們如何存取 Tasks 或 Hosts 資料夾位置。如需 SharePoint 2013 之帳戶設定的其他資訊,請參閱 SharePoint 2013 中的帳戶權限及安全性設定

  • 變更服務的權限 - 服務權限變更可能會產生非預期的結果。例如,如果下列登錄機碼 HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters 具有值 0,則將停用「使用者程式碼主機」服務,從而導致沙箱式解決方案停止運作。

https://technet.microsoft.com/zh-tw/library/cc678863.aspx
顯示: