Derechos de usuario mínimos de seguridad
Los grupos y cuentas usados por BizTalk Server tienen los derechos de usuario mínimos necesarios para realizar la mayoría de las tareas. Por este motivo, hay ciertas tareas para las que puede necesitar más derechos de usuario que los concedidos automáticamente por BizTalk Server al grupo al que pertenece. En este tema:
Derechos de usuario para realizar tareas administrativas
Adición de la comunidad: lista de tareas
Pertenencia a grupos y roles
En la tabla siguiente se describen los derechos de usuario de seguridad mínimos que necesitará para realizar tareas en BizTalk Server.
| Tarea | Grupos o roles |
|---|---|
| Configuración | |
| Instalación | - Administradores locales |
| Configuración | - administradores de BizTalk Server - Administradores locales - rol de SQL Server sysadmin - Administradores de SSO - Administrador OLAP |
| Unirse a un grupo de BizTalk Server | - Administradores locales - administradores de BizTalk Server |
| Administración de BizTalk | |
| Crear una base de datos de cuadro de mensajes | - administradores de BizTalk Server - rol de SQL Server sysadmin |
| Crear o eliminar un host de BizTalk | - administradores de BizTalk Server - db_ddladmin SQL Server rol base de datos en las bases de datos de Cuadro de mensajes de BizTalk |
| Cambiar la propiedad Seguimiento de host para un host | - administradores de BizTalk Server - db_securityadmin SQL Server rol base de datos en la base de datos de importación principal de BAM, bases de datos de Cuadro de mensajes de BizTalk y base de datos de seguimiento de BizTalk |
| Crear (instalar), eliminar o cambiar las credenciales de una instancia de host |
|
| Iniciar o detener una instancia de host | - administradores de BizTalk Server |
| Agregar o quitar un servidor | - administradores de BizTalk Server - Administradores locales en el equipo que va a agregar o quitar. |
| Agregar o quitar un controlador de recepción | - administradores de BizTalk Server - Administradores de afiliados de SSO |
| Iniciar o detener aplicaciones, orquestaciones, puertos de envío y grupos de puertos de envío | - Operadores de BizTalk Server |
| Habilitar o deshabilitar ubicaciones de recepción | - Operadores de BizTalk Server |
| Buscar artefactos | - Operadores de BizTalk Server |
| Agregar un adaptador | - administradores de BizTalk Server - Administradores de afiliados de SSO |
| Bases de datos de copias de seguridad | - BTS_BACKUP_USERS rol para las bases de datos - sysadmin SQL Server rol en la base de datos de administración de BizTalk SQL Server hospedada. Nota: Debe configurar el servicio Agente SQL Server para que se ejecute en una cuenta de dominio o una cuenta local con un usuario asignado en cada instancia de SQL Server. |
| Configurar grupos de BizTalk con un certificado | - administradores de BizTalk Server |
| Todas las demás tareas (incluido WMI) | - administradores de BizTalk Server |
| Operaciones y seguimiento de instancias de servicio y mensajes | |
| Ver la página Concentrador de grupo, realizar consultas, guardar y cargar consultas | - Operadores de BizTalk Server |
| Ver resultados de consultas | - Operadores de BizTalk Server |
| Configuración general y configuración de seguimiento | - administradores de BizTalk Server (lectura y escritura) - Operadores de BizTalk Server (lectura) |
| Examinar un cubo de seguimiento de estado | - administradores de BizTalk Server |
| Visualización de las propiedades de los mensajes | - administradores de BizTalk Server |
| Guardar cuerpos de mensaje | - administradores de BizTalk Server |
| Uso de la consulta Buscar mensajes | - administradores de BizTalk Server |
| Uso de la compilación de consultas | - administradores de BizTalk Server |
| Usar el depurador de orquestaciones | - administradores de BizTalk Server |
| Vea el flujo de mensajes y los eventos de mensajes en la página Concentrador de grupo mediante la consola de administración de BizTalk Server. | - Operadores de BizTalk Server |
| Suspender, finalizar o reanudar instancias | - Operadores de BizTalk Server |
| Archivar o purgar mensajes de la base de datos de seguimiento | - db_owner rol en la base de datos de seguimiento de BizTalk |
| Todas las demás tareas | - administradores de BizTalk Server |
| Editor de perfiles de seguimiento | |
| Leer o escribir en la base de datos de administración de BizTalk | - administradores de BizTalk Server |
| MMC de supervisión de bus de eventos | |
| Todas las tareas | - administradores de BizTalk Server |
| Asistente para publicación de Servicio WCF de BizTalk | |
| Todas las tareas | - Administradores locales |
| Asistente para publicar servicios Web de BizTalk | |
| Todas las tareas | - Administradores locales |
| Supervisión de la actividad económica | |
| Ejecutar BM.exe | - rol de base de datos db_owner SQL Server en las bases de datos de importación principal de BAM, esquema de estrella de BAM y archivo de BAM |
| Ejecutar BM.exe si hay una base de datos de Analysis Services | - rol de base de datos db_owner SQL Server en las bases de datos de importación principal de BAM, esquema de estrella de BAM y archivo de BAM - Administradores OLAP en la base de datos de BAM Analysis Services |
| Crear una cuenta para vista de BAM | - db_owner SQL Server rol base de datos en la base de datos de importación principal de BAM - Administradores OLAP en la base de datos de BAM Analysis Services |
| Motor de reglas (reglas de publicación) | |
| Implementar o anular la implementación de directivas, manipular artefactos relacionados con la seguridad | - RE_ADMIN_USERS SQL Server rol base de datos en la base de datos del motor de reglas |
Derechos de usuario para realizar tareas administrativas
Para realizar tareas administrativas mediante la consola de administración de BizTalk Server o el Instrumental de administración de Windows (Windows Management Instrumentation, WMI), la cuenta que realiza las tareas administrativas necesita niveles diferentes de derechos de usuario según la tarea.
En la tabla siguiente se describen los derechos de usuario que la cuenta necesita para realizar las tareas, desde los derechos mínimos (nivel 1) hasta los máximos (nivel 4).
| Nivel de derechos de usuario | Derechos de usuario concedidos | Tareas |
|---|---|---|
| 0 | - Operadores de BizTalk Server | - Tareas básicas de administración y supervisión. Sin capacidad para cambiar valores de configuración. Sin acceso a las propiedades ni al contenido de los mensajes. |
| 1 | - administradores de BizTalk Server | - Todas las tareas administrativas, excepto las que requieren derechos de usuario de nivel 2 a 4 |
| 2 | - Derechos de usuario concedidos al nivel 1 - securityadmin SQL Server rol en todos los servidores SQL Server - db_securityadmin y db_accessadmin SQL Server Roles de base de datos en las bases de datos BizTalk Tracking, Motor de reglas, Administración de BizTalk, Importación principal de BAM y Cuadro de mensajes de BizTalk - db_ddladmin SQL Server rol de base de datos en todas las bases de datos de Cuadro de mensajes de BizTalk - Administradores de afiliados de SSO |
- Crear y eliminar hosts de BizTalk - Cambiar la propiedad de seguimiento de host - Agregar y eliminar servidores - Adición y eliminación de controladores de recepción - Agregar adaptadores |
| 3 | - Derechos de usuario concedidos al nivel 2 - Administradores locales en todos los equipos en tiempo de ejecución de BizTalk Server |
- Creación y eliminación de instancias de host |
| 4 | - Derechos de usuario concedidos al nivel 3 - sysadmin SQL Server rol en todos los servidores SQL Server que tienen bases de datos de Cuadro de mensajes de BizTalk |
- Crear bases de datos de cuadro de mensajes |
Adición de la comunidad: lista de tareas
Derechos mínimos de seguridad para BizTalk Server 2013 R2 (https://social.technet.microsoft.com/wiki/contents/articles/24590.minimum-security-rights-for-biztalk-server-2013-r2.aspx)
Consulte también
Access Control y seguridad de datosdiseñando las arquitecturas del sistema para BizTalk ServerBases de datos en gruposy cuentas de usuario de BizTalk Server Windows en BizTalk Server