Verwalten der BizTalk Server-Sicherheit

Für die Verwaltung einer sicheren Microsoft BizTalk Server-Umgebung müssen Sie Konten, Zertifikate und Kennwörter verwalten.

BizTalk Server Gruppen

BizTalk Server-Administratoren verwalten die folgenden Konten und Zertifikate, um dabei zu helfen, die Sicherheit der von BizTalk Server verarbeiteten Geschäftsdokumente sicherzustellen:

• BizTalk Server Administratorengruppe: Damit Benutzer administrative Aufgaben entweder über die BizTalk-Verwaltungskonsole oder mithilfe des WMI-Anbieters (Microsoft Windows Management Instrumentation) ausführen können, müssen ihnen die entsprechenden Berechtigungen in Microsoft SQL Server und Microsoft Windows erteilt werden. Weitere Informationen zu den Berechtigungen für Verwaltungsaufgaben finden Sie unter Mindestsicherheitsbenutzerrechte.

  Informationen zum Hinzufügen von Benutzern zur Gruppe BizTalk Server Administratoren oder zum Entfernen von Benutzern aus der Gruppe BizTalk Server Administratoren finden Sie unter Verwalten der gruppe BizTalk Server-Administratoren.

  Weitere Informationen zum einmaligen Anmelden für Unternehmen finden Sie unter Verwenden des einmaligen Anmeldens.

• BizTalk Server-Operatorgruppe: Der BizTalk Server-Operator ist eine Rolle mit geringen Berechtigungen, die nur Zugriff auf Überwachungs- und Problembehandlungsaktionen hat.

  Die Mitglieder der Gruppe BizTalk Server-Operatoren können folgende Aufgaben ausführen:

  • Anzeigen von Dienststatus und Nachrichtenfluss

  • Starten und Beenden von Anwendungen

  • Starten und Beenden von Orchestrierungen

  • Starten oder Beenden von Sendeports oder Sendeportgruppen

  • Aktivieren oder Deaktivieren von Empfangsspeicherorten Die Änderungen werden erst nach dem nächsten Aktualisierungsintervall für den Cache wirksam, das standardmäßig 60 Sekunden beträgt. Dieses Aktualisierungsintervall für den Cache wird auf Ebene der BizTalk Server-Gruppe festgelegt.

  • Beenden und Fortsetzen von Dienstinstanzen

    Die Mitglieder der Gruppe BizTalk Server-Operatoren können folgende Aufgaben nicht ausführen:

  • Ändern der Konfiguration für BizTalk Server

  • Anzeigen von Nachrichtenkontexteigenschaften, die als personenbezogene Daten (Personally Identifiable Information, PII) oder Nachrichtentext klassifiziert sind.

  • Ändern der Strecke für das Nachrichtenrouting, z. B. durch Entfernen oder Hinzufügen neuer Abonnements zum aktiven System, einschließlich der Möglichkeit zum Veröffentlichen von Nachrichten im BizTalk Server-Laufzeitmodul.

  Hinweis

  • Wenn ein Benutzer, der Mitglied der Gruppe BizTalk Server-Operatoren ist, ebenfalls als lokaler Administrator auf den BizTalk Server ausführenden Computern fungiert, dann kann dieser Benutzer auf Daten zugreifen, die außerhalb des Zugriffsbereichs der Gruppe der Operatoren auf diesen Computern liegen. Weitere Informationen finden Sie unter Mindestsicherheitsbenutzerrechte.

  • Wenn Sie es einem Benutzer, der Mitglied der Gruppe der BizTalk Server-Operatoren ist, gestatten möchten, BizTalk-Remoteserver zu überwachen, dann muss dieser Benutzer auch ein Mitglied der Gruppe der lokalen Administratoren auf den Remotecomputern sein.

• BizTalk Server Gruppe Schreibgeschützte Benutzer: Dies ist eine neue Gruppe ab BizTalk Server 2020. Mitglieder dieser Gruppe können Artefakte, Dienststatus, Nachrichtenfluss und Nachverfolgungsinformationen anzeigen. Mitglieder verfügen nicht über Berechtigungen zum Ausführen von Verwaltungsvorgängen.

  Mitglieder der Gruppe BizTalk Server Schreibgeschützte Benutzer können folgendes tun:

  • Anzeigen von Benutzerartefaktinformationen

  • Anzeigen von Plattformartefakt wie Empfangsport, Empfangsstandort, Sendeport, Orchestrierung, Karten, Richtlinien, Pipelines, Host, Hostinstanzen und Adapter

  • Anzeigen von Nachrichtenfluss- und Nachrichtenereignissen Nachrichtenkontext und Nachrichteninhalt können nicht angezeigt werden.

  • Zeigen Sie allgemeine Dienstinstanzendetails und Fehlerinformationen an.

  • Anzeigen von Nachverfolgungsinformationen

  • Anzeigen von Vertragsparteien- und Vertragsinformationen.

  • Zeigen Sie die Gruppenhubseite an, führen Sie eine Abfrage aus, speichern Sie die Abfrage und laden Sie die Abfrage.

  • Kann Bindung, Richtlinien und MSI exportieren, aber nicht importieren.

  Hinweis

  Wenn ein Benutzer, der Mitglied der Gruppe BizTalk Server Schreibgeschützte Benutzer ist, auch ein lokaler Administrator auf den Computern ist, auf denen BizTalk Server ausgeführt wird, kann dieser Benutzer auf diesen Computern auf Daten zugreifen, die über die Rolle der Gruppe Operatoren hinausgehen. Weitere Informationen finden Sie unter Mindestsicherheitsbenutzerrechte.

• Hosts und Dienstkonten: Beim Erstellen eines Hosts und der zugehörigen Hostinstanzen müssen Sie die Windows-Gruppe für den Host und die Dienstkontoanmeldeinformationen für jeden Host instance angeben. Sie müssen sicherstellen, dass die Dienstkonten der Hostinstanz Mitglieder der Windows-Gruppe für den Host sind.

• Signaturzertifikate: Signaturzertifikate (Private Key-Zertifikate) werden für die BizTalk-Gruppe angegeben. Diese sind optional und können jederzeit von einem BizTalk Server-Administrator geändert werden.

  Ausführlichere Informationen zu Windows-Konten, die BizTalk Server verwenden, finden Sie unter Windows-Gruppen und Benutzerkonten in BizTalk Server.

Nächste Schritte

• Bewährte Methoden für die Verwaltung von Windows-Gruppen und -Benutzerkonten

• Bewährte Methoden für die Verwaltung von Zertifikaten

• Verwalten von Windows-Gruppen und -Benutzerkonten