Compartir a través de

Control de acceso para grupos y cuentas de servicio

  • Artículo

Cada instancia de host de BizTalk se ejecuta bajo una cuenta de servicio creada por el usuario. Las cuentas de servicio y sus contraseñas deben proporcionarse en el momento de crear la instancia de host en un equipo. A continuación, BizTalk Server verifica que esas cuentas tienen los derechos de usuario mínimos necesarios para realizar sus tareas agregando cada una de ellas a un grupo de Windows local o de dominio que, a su vez, la agrega a la función de base de datos de SQL Server específica de ese host.

Este procedimiento ofrece las siguientes ventajas:

  • Puede darse una cuenta de servicio distinta a cada instancia de host, lo que permite cambiar las contraseñas de cada instancia de host sin desconectar servidores. Pueden realizarse actualizaciones sucesivas de contraseñas sin interrumpir el servicio.

    Nota

    No puede utilizar la misma cuenta de servicio para hosts con autenticación de confianza y para hosts sin dicha autenticación.

  • Si concede derechos de usuario de recurso al grupo local o de dominio en el nivel de Microsoft SQL Server™, puede agregar y quitar cuentas de servicio sin tener que cambiar los derechos de usuario concedidos en SQL Server, lo que le ahorrará trabajo administrativo y reducirá su costo total de propiedad.

    Con el fin de garantizar que las cuentas de servicio tienen los derechos de usuario mínimos necesarios para realizar sus tareas, las funciones de base de datos de SQL Server creadas por BizTalk Server para las cuentas de servicio no son idénticas en todas las bases de datos de BizTalk Server. Para las bases de datos de seguimiento y administración, todas las cuentas de servicio de instancia de host necesitan tener acceso a los mismos objetos de SQL Server, por lo que BizTalk Server crea una sola función de base de datos de SQL Server denominada BTS_Host_User. BizTalk agrega todos los grupos de Windows creados para hosts de BizTalk a esa función de base de datos de SQL Server.

    Para la base de datos de cuadro de mensajes, cada host tiene ciertos recursos dedicados. BizTalk Server crea un rol de base de datos de SQL Server por host, denominado BTS_<hostname>_User y agrega el grupo de Windows para cada host a su rol de base de datos de SQL Server correspondiente para bloquear el acceso de un recurso host por otro host.

Cuentas no admitidas por BizTalk Server

BizTalk Server no permite utilizar ninguna de las siguientes cuentas integradas de Windows:

  • NT_AUTHORITY\NetworkService

  • LocalSystem (Sistema local)

  • NT_AUTHORITY\LocalService

Consulte también

Control de acceso para los roles administrativos
Derechos de usuario mínimos de seguridad
Cuentas de grupos y de usuario de Windows en BizTalk Server
Control de acceso y seguridad de los datos