Planeje as tarefas administrativas em um ambiente com menos privilégios (SharePoint Foundation 2010)
Aplica-se a: SharePoint Foundation 2010
Tópico modificado em: 2016-11-30
Esse artigo descreve como configurar e manter um farm do Microsoft SharePoint Foundation 2010 usando administração menos privilegiada.
Visão geral
O conceito de administração menos privilegiada atribui aos usuários as permissões mínimas exigidas para que eles realizem as tarefas autorizadas. O objetivo da administração menos privilegiada é configurar e ajudar a manter um controle seguro de um ambiente. O resultado é que o acesso a cada serviço é concedido apenas aos recursos absolutamente necessários. A implementação da administração menos privilegiada pode resultar no aumento dos custos operacionais, porque recursos adicionais podem ser exigidos para manter este nível de administração. Além disso, a capacidade de resolver problemas de segurança também pode ser reduzida.
Security Note |
---|
As organizações implementam a administração menos privilegiada para adquirir uma segurança melhor do que a normalmente recomendada. Apenas uma pequena porcentagem de organizações exige esse nível elevado de segurança por causa dos custos dos recursos para manter a administração menos privilegiada. No entanto, algumas implantações que podem exigir esse nível elevado de segurança incluem as agências governamentais, organizações de segurança e organizações no setor de serviços financeiros. A implementação de um ambiente menos privilegiado não deve ser confundida com as melhores práticas. Nesse ambiente, os administradores implementam as melhores práticas combinadas a níveis elevados e adicionais de segurança. |
Ambiente menos privilegiado para contas e serviços
Para se planejar para a administração menos privilegiada, você deve considerar várias contas, funções e serviços. Alguns se aplicam ao SQL Server e outros ao Produtos do SharePoint 2010. Como os administradores bloqueiam contas e serviços adicionais, os custos operacionais diários provavelmente irão aumentar.
Funções do Microsoft SQL Server
Em um ambiente de administração menos privilegiada, recomendamos que você remova as seguintes duas funções no nível de servidor do SQL Server das contas que não sejam do serviço do SharePoint, mas que são usadas para a administração do SharePoint:
dbcreator- Membros da função do servidor fixo dbcreator podem criar, alterar, descartar e restaurar qualquer banco de dados.
securityadmin- Membros da função do servidor fixo securityadmin gerenciam os logins e suas propriedades. Eles podem CONCEDER, RECUSAR e REVOGAR as permissões no nível do serviço. Eles podem fazer o mesmo com as permissões no nível do banco de dados se tiverem acesso a um banco de dados. Além disso, podem redefinir as senhas para logins no SQL Server.
Security Note A capacidade de conceder acesso ao mecanismo de banco de dados e configurar as permissões do usuário permite que o administrador de segurança atribua a maioria das permissões do servidor. A função securityadmin deve ser tratada como igual à função sysadmin.
Para obter informações adicionais sobre as funções no nível do servidor do SQL Server, consulte Server Level Roles (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x416)
A remoção de uma ou mais dessas funções do SQL Server pode fazer com que mensagens de erro "Inesperado" sejam exibidas no site da Administração Central. Além disso, você pode receber a seguinte mensagem no arquivo de log do Serviço de Log Unificado (ULS):
System.Data.SqlClient.SqlException… <tipo de operação> permissão negada no banco de dados <banco de dados>. Tabela <table>
Depois que uma mensagem de erro é exibida, o usuário pode não conseguir executar uma das tarefas a seguir:
Restaurar um backup de um farm devido à incapacidade de gravar no banco de dados
Fornecer uma instância de serviço ou aplicativo da Web
Configurar contas gerenciadas
Alterar contas gerenciadas para aplicativos da Web
Qualquer banco de dados, conta gerenciada ou operação de serviços que exija o uso do site da Administração Central
Em certas situações, os administradores do banco de dados (DBAs) podem querer operar independentemente dos administradores do SharePoint, e criar e gerenciar todos os bancos de dados. Para obter informações sobre como os DBAs criam e gerenciam todos os bancos de dados, consulte Implantar usando bancos de dados criados por um DBA (SharePoint Foundation 2010).
Funções e serviços do SharePoint Foundation 2010
Em geral, a capacidade de criar novos bancos de dados deve ser removida das contas de serviço do SharePoint. Nenhuma conta de serviço do SharePoint deve ter a função sysadmin na instância do Microsoft SQL Server e nem ser um Administrador local no servidor que executa o Microsoft SQL Server.
No entanto, você pode bloquear vários outros serviços e contas do SharePoint Foundation 2010:
Função do SharePoint_Shell_Access
Quando esta função do Microsoft SQL Server é removida, a capacidade de gravar entradas no banco de dados de configuração e conteúdo é removida. Para obter informações adicionais sobre essa função, consulte Add-SPShellAdmin.
Serviço do SharePoint Timer (SPTimerV4)
Por padrão, esse serviço é instalado e mantém as informações do cache de configuração. Se o tipo de serviço for configurado como desativado, o seguinte comportamento pode ocorrer:
Nenhum trabalho de timer será executado
As regras do analisador de saúde não serão executadas
A manutenção e configuração do farm serão obsoletas
Serviço de administração do SharePoint (SPAdminV4)
Este serviço executa alterações automatizadas que exigem a permissão do administrador local no servidor. Quando o serviço não está executando, você deve processar as alterações administrativas manualmente no nível do servidor. Se o tipo de serviço for configurado como desativado, o seguinte comportamento pode ocorrer:
Trabalhos de timer administrativos não serão executados
Arquivos de configuração da web não serão atualizados
Grupos de segurança e locais não serão atualizados
Valores de registro e chaves não serão gravados
Pode ser impossível iniciar ou reiniciar os serviços
Pode ser impossível concluir o provisionamento de serviços
Serviço do SPUserCodeV4
Este serviço permite que um administrador de coleta do site carregue soluções em área restrita para a galeria de Soluções. Para obter informações adicionais sobre as soluções em área restrita, consulte Visão geral de soluções de área restrita (SharePoint Foundation 2010).
Para obter mais serviços de informações, consulte O serviçoi de Administração do SharePoint está desabilitado.
Dependendo dos requisitos de negócio de uma organização, se algum serviço ou função do SharePoint Foundation 2010 for implementado, o comportamento dos seguintes recursos pode ocorrer:
Backup e restauração
A capacidade de executar uma restauração a partir de um backup pode falhar se as permissões do banco de dados foram removidas.
Upgrade
O processo de atualização começa corretamente, mas falha porque você não tem permissões adequadas para os bancos de dados. Se a sua organização já estiver em um ambiente menos privilegiado, a solução é migrar para um ambiente de melhores práticas para concluir a atualização e depois voltar a um ambiente com menos privilégios.
Update
A capacidade de aplicar uma atualização de um software a um farm terá sucesso para o esquema do banco de dados de configuração, mas irá falhar no banco de dados de conteúdo e serviços.
Requisitos adicionais para considerar
Além das considerações anteriores, talvez você tenha que considerar mais operações. A lista seguinte não está completa. Use os itens seletivamente por sua própria conta:
Configurar conta do administrador do usuário- Essa conta é usada para configurar cada servidor em um farm. A conta deve ser um membro do grupo de Administradores em cada servidor no farm do Microsoft SharePoint Server 2010 farm. Para obter informações adicionais sobre essa conta, consulte Contas administrativas
Conta do pool de aplicativos do Meu Site- Essa é a conta em que o pool de aplicativos do Meu Site é executado. Para configurar essa conta, você precisa ser um membro do grupo de Administradores de Farms.
Grupo do usuário interno- Remover o grupo de segurança do usuário interno ou alterar as permissões podem ter consequências inesperadas.
Permissões de grupo- Por padrão, o grupo do SharePoint WSS_ADMIN_WPG tem acesso de leitura e gravação aos recursos locais. Os seguintes locais de sistema de arquivo do WSS_ADMIN_WPG, %WINDIR%\System32\drivers\etc\HOSTS e %WINDIR%\Tasks são necessários para que o Microsoft SharePoint Foundation funcione corretamente. Se outros serviços ou aplicativos estiverem executando em um servidor, você pode considerar como eles acessam os locais das pastas Tarefas e HOST. Para obter informações adicionais sobre as configurações da conta, consulte Permissões de conta e configurações de segurança (SharePoint Server 2010)
Alterar a permissão de um serviço- Uma alteração na permissão de um serviço pode ter consequencias imprevistas. Por exemplo, se a chave de registro a seguir, HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters, tiver um valor de 0, os serviços do Host do Código do Usuário seriam desativados, o que faria as soluções em área restrita deixarem de funcionar. Para obter informações adicionais sobre o não funcionamento do serviço do Código do Usuário, consulte O serviço do Host do Código do Usuário do SharePoint 2010 deixa de funcionar (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x416)