Поделиться через

Планирование администрирования с минимальными правами в SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Администрирование с минимальными правами состоит в назначении пользователям минимальных разрешений, необходимых для выполнения назначенных им задач. Цель администрирования с минимальными правами — настроить среду и обеспечить безопасное управление ею. В результате каждой учетной записи, в которой выполняется служба, предоставляется доступ только к необходимым ресурсам.

Корпорация Майкрософт рекомендует развернуть SharePoint Server с минимальными привилегиями администрирования. Реализация администрирования с наименьшими привилегиями может привести к увеличению эксплуатационных расходов, так как для поддержания этого уровня администрирования могут потребоваться другие ресурсы. Кроме того, возможность устранять проблемы безопасности становится более сложной.

Введение

Организации внедряют администрирование с минимальными правами, чтобы обеспечить более высокий уровень безопасности по сравнению с типичными рекомендуемыми настройками. Только небольшой процент организаций требует этого повышенного уровня безопасности из-за затрат на ресурсы, связанные с обслуживанием администрирования с наименьшими привилегиями. Например, такой уровень безопасности может потребоваться при развертываниях в таких организациях, как государственные органы, а также организации в сфере безопасности и финансовых услуг. Реализацию среды с наименьшими привилегиями не следует путать с рекомендациями. В среде с наименьшими привилегиями администраторы реализуют рекомендации вместе с другими повышенными уровнями безопасности.

Среда с минимальными правами для учетных записей и служб

Чтобы спланировать администрирование с минимальными правами, необходимо принять во внимание несколько учетных записей, ролей и служб. Некоторые применяются к SQL Server, а некоторые — к SharePoint Server. По мере того как администраторы блокируют другие учетные записи и службы, ежедневные эксплуатационные расходы, скорее всего, будут расти.

Роли SQL Server

В среде SharePoint Server нескольким учетным записям могут быть предоставлены следующие две SQL Server роли уровня сервера. В среде SharePoint Server с наименьшими привилегиями рекомендуется предоставлять эти привилегии только учетной записи, под которой выполняется служба таймера рабочих процессов Microsoft SharePoint Foundation. Как правило, служба таймера выполняется под учетной записью фермы серверов. Для повседневных операций рекомендуется удалить следующие две роли уровня сервера SQL Server из всех других учетных записей, используемых для администрирования SharePoint:

  • Dbcreator — участники с предопределенной ролью сервера dbcreator могут создавать, изменять, удалять и восстанавливать любые базы данных.

  • Securityadmin — участники с предопределенной ролью сервера securityadmin управляют учетными данными и их свойствами. Они могут ПРЕДОСТАВЛЯТЬ и ОТЗЫВАТЬ разрешения на уровне сервера, а также ОТКАЗЫВАТЬ в их предоставлении. Если эти участники имеют доступ к базе данных, они также могут ПРЕДОСТАВЛЯТЬ и ОТЗЫВАТЬ разрешения на уровне, базы данных, а также ОТКАЗЫВАТЬ в их предоставлении. Кроме того, они могут сбрасывать пароли для SQL Server имен входа.

Примечание.

Благодаря возможности предоставлять доступ к ядру СУБД и настраивать разрешения пользователей участники с ролью securityadmin могут назначать большинство разрешений на уровне сервера. Роль securityadmin следует рассматривать как аналогичную роли sysadmin.

Дополнительные сведения о SQL Server ролях уровня сервера см. в разделе Роли уровня сервера.

Если удалить одну или несколько из этих SQL Server ролей, на веб-сайте центра администрирования могут появиться сообщения об ошибке "Непредвиденные". Кроме того, в файле журнала единой службы ведения журналов (ULS) может отобразиться приведенное ниже сообщение.

System.Data.SqlClient.SqlException... <Запрещено разрешение типа> операции в базе данных>.< Таблица таблиц <>

Кроме того, что может отобразиться сообщение об ошибке, могут быть недоступны следующие задачи:

  • восстановление резервной копии фермы, так как вы не можете записывать данные в базу данных;

  • подготовка экземпляра службы или веб-приложения;

  • настройка управляемых учетных записей;

  • изменение управляемых учетных записей для веб-приложений;

  • выполнение каких-либо действий с любой базой данных, управляемой учетной записью или службой, для которых требуется веб-сайт Центр администрирования.

В некоторых ситуациях администраторам баз данных может потребоваться работать независимо от администраторов SharePoint Server, а также создавать все базы данных и управлять ими. Такая ситуация характерна для ИТ-сред, где разделение административных ролей — требование безопасности и политики компании. Администратор фермы предоставляет администратору базы данных требования к базе данных SharePoint Server, который затем создает необходимые базы данных и задает имена входа, необходимые для фермы.

По умолчанию DBA имеет полный доступ к экземпляру SQL Server, но для доступа к SharePoint Server требуются дополнительные разрешения. Администраторы баз данных обычно используют Windows PowerShell 3.0 при добавлении, создании, перемещении или переименовании баз данных SharePoint, поэтому они должны быть членами следующих учетных записей:

  • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

  • предопределенная роль базы данных Db_owner для всех баз данных на ферме SharePoint;

  • группа администраторов для компьютера, на котором выполняются командлеты PowerShell.

Кроме того, для доступа к базе данных контента SharePoint может потребоваться, чтобы администратор баз данных был участником роли SharePoint_Shell_Access. В некоторых случаях администратору базы данных может понадобиться добавить учетную запись пользователя программы установки в роль db_owner.

Роли и службы SharePoint Server

Как правило, следует удалить возможность создания баз данных из учетных записей служб SharePoint Server. Учетная запись службы SharePoint Server не должна иметь роль sysadmin на экземпляре SQL Server, а учетная запись службы SharePoint Server не должна быть локальным администратором на сервере, на котором выполняется SQL Server.

Дополнительные сведения об учетных записях SharePoint Server см. в статье Разрешения учетных записей и параметры безопасности в SharePoint Server 2016.

Сведения об учетных записях SharePoint Server 2013 см. в статье Разрешения учетных записей и параметры безопасности в SharePoint 2013.

Следующий список содержит информацию о блокировке других ролей и служб SharePoint Server:

  • SharePoint_Shell_Access role

    При удалении этой SQL Server роли вы удаляете возможность записи записей в базу данных конфигурации и содержимого, а также возможность выполнять любые задачи с помощью Microsoft PowerShell. Дополнительные сведения об этой роли см. в разделе Add-SPShellAdmin.

  • Служба таймера SharePoint (SPTimerV4)

    Рекомендуется не ограничивать разрешения по умолчанию, предоставленные учетной записи, в которой работает эта служба, и никогда не отключать эту учетную запись. Вместо этого используйте безопасную учетную запись пользователя, для которой пароль не широко известен, и оставьте службу запущенной. По умолчанию эта служба устанавливается при установке SharePoint Server и сохраняет сведения о кэше конфигурации. Отключение службы может привести к следующим проблемам:

    • не будут выполняться задания таймера;

    • не будут выполняться правила анализатора работоспособности;

    • устареет конфигурация обслуживания и фермы.

  • Служба администрирования SharePoint (SPAdminV4)

    Эта служба автоматически вносит изменения, требующие разрешения локального администратора на сервере. Если служба не запущена, необходимо вручную обработать административные изменения на уровне сервера. Рекомендуется не ограничивать разрешения по умолчанию, предоставленные учетной записи, в которой работает эта служба, и никогда не отключать эту учетную запись. Вместо этого используйте безопасную учетную запись пользователя, для которой пароль не широко известен, и оставьте службу запущенной. Отключение службы может привести к следующим проблемам:

    • не будут выполняться административные задания;

    • не будут обновляться файлы веб-конфигурации;

    • не будут обновляться группы безопасности и локальные группы;

    • не будут записываться параметры и разделы реестра;

    • службы могут не запускаться и не перезапускаться;

    • возможно, не удастся завершить подготовку служб.

  • Служба SPUserCodeV4

    Эта служба позволяет администратору семейства веб-сайтов передавать изолированное решение в коллекцию решений. Если вы не используете изолированные решения, отключите данную службу.

  • Служба "Утверждения для службы маркеров Windows" (C2WTS)

    По умолчанию эта служба отключена. Служба C2WTS может потребоваться для развертывания с службы Excel, PerformancePoint Services или общими службами SharePoint, которые должны переводиться между маркерами безопасности SharePoint и удостоверениями Windows. Например, эта служба используется для настройки ограниченного делегирования Kerberos с целью доступа к внешним источникам данных. Дополнительные сведения о службе C2WTS см. в разделе Plan for Kerberos authentication in SharePoint Server.

При определенных обстоятельствах могут возникать дополнительные проблемы с указанными ниже функциями.

  • Резервное копирование и восстановление

    Может не удаться выполнить восстановление с резервной копии, если удалены разрешения для базы данных.

  • Обновление

    Процесс обновления запускается правильно, но затем завершается сбоем, если у вас нет подходящих разрешений для баз данных. Если ваша организация уже является средой с минимальными правами, для решения этой проблемы и завершения обновления необходимо выполнить перемещение в рекомендуемую среду, а затем вернуться в среду с минимальными правами.

  • Обновление

    Возможность применения обновления программного обеспечения к ферме выполняется успешно для схемы базы данных конфигурации, но завершается сбоем в базе данных контента и службах.

Дополнительные моменты, которые следует учесть для среды с минимальными правами

Кроме приведенных выше рекомендаций, необходимо принять к сведению дополнительные операции. Ниже приведен неполный список. Выборочно используйте элементы на собственное усмотрение.

  • Setup user account — эта учетная запись используется для установки каждого сервера на ферме. Учетная запись должна быть членом группы администраторов на каждом сервере в ферме SharePoint Server. Дополнительные сведения об этой учетной записи см. в разделе Начальное развертывание административных учетных записей и учетных записей служб в SharePoint Server.

    При сборке новой фермы SharePoint и сборке на основе за октябрь 2022 года cu или новой вложенной в процесс сборки модели безопасности используется модель безопасности с наименьшими привилегиями. После завершения psconfig на первом сервере фермы перед запуском мастера настройки фермы или подготовкой других компонентов необходимо выполнить следующие команды, чтобы обеспечить доступ к базам данных SharePoint:

    Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}

  • Учетная запись синхронизации . Для SharePoint Server эта учетная запись используется для подключения к службе каталогов. Рекомендуется не ограничивать разрешения по умолчанию, предоставленные учетной записи, в которой работает эта служба, и никогда не отключать эту учетную запись. Вместо этого используйте безопасную учетную запись пользователя, для которой пароль не широко известен, и оставьте службу запущенной. Для этой учетной записи также требуется разрешение Репликация изменений каталога в AD DS, что позволяет учетной записи считывать объекты AD DS и обнаруживать объекты AD DS, которые были изменены в домене. Разрешение "Предоставить реплицировать изменения каталога" не позволяет учетной записи создавать, изменять или удалять объекты AD DS.

  • Учетная запись пула приложений узла личных сайтов . Это учетная запись, под которой выполняется пул приложений личных сайтов. Для настройки этой учетной записи необходимо быть участником группы администраторов фермы. Можно ограничить права для данной учетной записи.

  • Встроенная группа пользователей — удаление встроенной группы безопасности пользователей или изменение разрешений могут привести к непредвиденным последствиям. Рекомендуется не ограничивать привилегии для встроенных учетных записей или групп.

  • Разрешения группы . По умолчанию группа WSS_ADMIN_WPG SharePoint имеет доступ на чтение и запись к локальным ресурсам. Следующие WSS_ADMIN_WPG расположения файловой системы : %WINDIR%\System32\drivers\etc\Hosts и %WINDIR%\Tasks необходимы для правильной работы SharePoint Server. Если другие службы или приложения выполняются на сервере, вы можете рассмотреть, как они получают доступ к расположениям папок "Задачи" или "Узлы". Дополнительные сведения о параметрах учетной записи для SharePoint Server см. в статье Разрешения учетной записи и параметры безопасности в SharePoint Server 2016.

    Сведения об учетных записях в SharePoint Server 2013 см. в статье Разрешения учетных записей и параметры безопасности в SharePoint 2013.

  • Изменения разрешения для службы — может привести к непредвиденным последствиям. Например, если раздел реестра HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters имеет значение 0, будет отключена служба узла пользовательского кода, что приведет к завершению работы изолированных решений.

См. также

Другие ресурсы

Конфигурация с минимальными правами для диспетчера бизнес-правил (SharePoint 2013)