在多服务器 BizTalk 安装上实现 Active Directory 权限的准则

本主题介绍了创建 Active Directory 组织单位的准则,这些单位包含在 Microsoft BizTalk Server 安装中使用的用户帐户和组。

此处创建的这些帐户不需要在域中具有超出普通用户的权限。 域帐户可能需要在包括以下项的信任边界内的提升的权限:

  • BizTalk Server

  • Microsoft SharePoint Services (BizTalk Server 服务器上)

  • Microsoft SQL Server

  • 外部数据库 1

  • 外部数据库 2

  • 外部数据库 N

    例如,可能需要授予某个域帐户对作为外部数据库宿主的系统执行某些操作的权限。 在其他情况下,某个帐户可能需要将某一文件写入文件存放文件夹,因此要求对该文件夹具有写访问权限。

    使用Active Directory 用户和计算机控制台来创建和管理域用户和组帐户。 单击 "开始",指向 "所有程序",指向 "管理工具",然后单击 " Active Directory 用户和计算机" 以启动Active Directory 用户和计算机控制台。

BizTalk Server 安装和配置帐户

在开发环境中,BizTalk Server 安装程序和 BizTalk Server 配置向导要求在 BizTalk Server 和 SQL Server 系统上使用具有管理权限的帐户。 一旦设置和配置完成,可以立即吊销权限或禁用帐户。 帐户必须还属于若干 BizTalk 组,下面的几节中将对此予以介绍。

注意

如果用于安装的帐户与服务器不属于同一 Active Directory 目录林,您将无法配置 SSO 组件。 如果没有 BizTalk Server 安装程序帐户,请使用本地管理员帐户进行 SSO 配置。 此方法可能会在安装期间造成其他问题,例如,需要使用不同凭据登录到资源。

BizTalk Server 开发帐户

执行 BizTalk Server 开发的个人需要访问适配器、接收和发送处理程序以及接收位置。 此访问权限要求域开发人员组成为BizTalk Server 管理员SSO 关联管理员组的成员。

注意

Active Directory 对可以包含外来域用户的组的类型具有限制,并且对可在其他组中包含的组类型具有限制。 下面创建的组和帐户在单个域上的多服务器环境中进行了测试。

BizTalk Server 部署帐户

部署 BizTalk Server 应用程序的个人需要是本地系统上的管理员,并且可能需要环境中的其他权限。 本主题中为此目的而引用了 BizTalk Server 部署帐户。

此访问权限要求域部署组成为BizTalk Server 管理员SSO 关联管理员组的成员。

注意

如果用于安装的帐户与服务器不属于同一 Active Directory 目录林,您将无法配置 SSO 组件。 如果您不具有 BizTalk Server 部署帐户,则使用本地管理员帐户进行 SSO 配置。 此方法可能会在安装期间造成其他问题,例如,需要使用不同凭据登录到资源。

BizTalk Server 支持帐户

支持 BizTalk Server 应用程序的人员将需要是本地系统上的管理员。 本主题中为此目的而引用了 BizTalk 支持帐户。

此访问权限要求域支持组成为BizTalk Server Administrators组的成员。

SQL Server 服务帐户

运行 SQL Server 实例的服务必须与安装、开发和部署 BizTalk Server 组件相同 Active Directory 域。

  • 使用 SQLAdmin 管理功能 (交互式登录) 。

  • 使用 SQLService 管理服务 (没有交互式登录) 。

  • 使用 SQLAccess 访问外部数据库。

  • SQLAdmin 必须是 SQL Server 系统上本地管理员组的成员。

  • SQLService 必须是 SQL Server 系统上本地管理员组的成员,并且需要被授予 "作为服务登录" 用户权限。

  • SQLAccess 需要对远程数据库服务器具有适当的权限。

    SQL 帐户:

用户名 名字 姓氏 全名
SQLService SQL SQLService SQL 服务帐户
SQLAdmin 管理员 SQLService SQL 管理员帐户
SQLAccess Access SQLService SQL 访问帐户

根据公司标准设置帐户密码。

重要

在运行 SQL Server 的计算机上,修改 SQL Server 和 SQLServerAgent 服务的启动参数,以便使用 SQLService 帐户和凭据。

注意

用户名字段是示例;您可能需要更改这些名称以避免与其他 Active Directory 帐户冲突。

Windows SharePoint Services 帐户

必须先创建 Windows SharePoint Services 帐户,然后才能安装 SharePoint Services。

SharePoint Services 帐户上的推荐和说明:

  • 使用 SharePoint 管理员帐户 (SPAdmin) 管理功能,SharePoint 定时器服务和所有 SharePoint Services 访问。

  • SPAdmin 是站点所有者并且将需要电子邮件别名。

  • SPAdmin 必须是本地 BizTalk Server 计算机上本地管理员组的成员 (Windows SharePoint Services 安装程序执行此) 。

  • SPAdmin 必须具有 SQL Server 计算机上的安全管理员和数据库创建者角色 (Windows SharePoint Services 安装程序将执行此) 。

    Sharepoint 帐户:

用户名 名字 姓氏 全名
SPAdmin 管理员 SPService SharePoint 管理员帐户

根据公司标准设置帐户密码,并且能够在配置过程中检索这些密码。 有关生成的密码的问题,请参阅本主题的 密码 部分。

注意

此用户名字段是个示例;您可能需要更改此名称以保护其他 AD 帐户。

重要

在运行 BizTalk Server 的计算机上安装 Windows SharePoint Services 后,请确认 SharePoint 计时器服务的启动参数使用 SPAdmin 帐户和凭据。

BizTalk 组和用户

在运行 BizTalk Server 配置向导之前,必须创建 BizTalk Server 组和用户。 在单系统安装中,BizTalk Server 使用在配置过程中创建的本地组和帐户。 但是,如果部署了单独的 BizTalk Server 主机,或在两台不同的计算机上安装了 BizTalk Server 和 SQL Server,则必须使用域用户和组帐户。

注意

BizTalk Server 配置向导无法创建域帐户。

有关 BizTalk Server 服务和用户帐户的推荐和说明:

  • 为 BizTalk Server 创建 (OU) 的组织单位。 所有帐户和组都将属于此 OU。

  • 全名应该有描述性,下面列表中的名称应该使安装人员可以在配置期间选择正确的组/帐户/用户。

  • 名字和姓氏是可选的;包括它们只是为了一致性。

  • 区别 BTServiceBTUser 是指 (自动) 和通用/共享用户的服务帐户。

  • 创建域帐户并通过 ADSI 脚本填充它们,以便用于上游环境的用户和组帐户的创建。

    BizTalk 服务帐户

用户名 名字 姓氏 全名
BTService BTS BTService BizTalk 服务帐户
BTServiceHost 主机 BTService BizTalk 主机实例帐户
BTServiceHostIso HostIso BTService BizTalk 独立主机实例帐户
SSOService SSO BTService 企业单一登录服务
BTServiceREU REU BTService 规则引擎更新服务

根据公司和环境标准设置用户名(例如 devBTService、alphaBTService)。 根据公司标准设置帐户密码,并且能够为配置步骤检索这些密码。 有关生成的密码的问题,请参阅本主题的 " 开发的密码注意事项 " 部分。

安装程序将注意到服务帐户具有很高的粒度,与 BizTalk Server 创建的服务之间具有近乎一对一的映射。 这一粒度允许公司 IT 安全人员根据需要跟踪或限制访问。 建议采用该粒度,但由系统设计人员和企业安全人员确定在企业环境中是否需要这一粒度。

前一组中的服务帐户旨在仅用于自动访问,而不是针对用户交互式登录。

设置适当的帐户选项

  1. Active Directory 用户和计算机控制台中,单击以展开域,然后单击以展开 "用户" 容器。

  2. 右键单击该帐户,然后选择 " 属性 " 以显示该帐户的 " 属性 " 对话框。

  3. 单击 "属性" 对话框中的 "帐户" 选项卡。

  4. 单击以选中以下选项:

    • 用户无法更改密码 (企业安全性将成批更改密码) 。

    • 密码永不过期

  5. 单击 " 登录到 " 按钮以显示 " 登录工作站 " 对话框。

  6. 单击以下计算机的选项,添加运行 BizTalk Server 和 SQL Server 的每台计算机,然后单击"确定"

  7. 单击 "属性" 对话框的 "远程控制" 选项卡,然后单击以清除 "启用远程控制" 选项。

  8. 单击 "属性" 对话框的 "终端服务配置文件" 选项卡。

  9. 单击以选中 " 拒绝此用户登录到任何终端服务器" 的选项。

  10. 单击 "确定" 以关闭该帐户的 " 属性 " 对话框。

  11. 对每个服务帐户重复步骤 3 至 10。

    BizTalk 用户帐户

用户名 名字 姓氏 全名
BTUserAdmin 管理员 BTUser BizTalk 管理用户帐户
BTUserDeploy 部署 BTUser BizTalk 部署用户帐户
BTUserHostInstance HostInstance BTUser BizTalk 主机实例帐户
BTUserHostIsolated IsolatedlHost BTUser BizTalk 独立主机实例帐户
BTUserInstall 安装 BTUser BizTalk 安装用户帐户
BTUserSupport 支持 BTUser BizTalk 支持访问帐户

若要设置适当的帐户选项,请执行以下步骤

  1. Active Directory 用户和计算机控制台中,单击以展开域,然后单击以展开 "用户" 容器。

  2. 右键单击该帐户,然后选择 " 属性 " 以显示该帐户的 " 属性 " 对话框。

  3. 单击 "属性" 对话框中的 "帐户" 选项卡。

  4. 单击以选中以下选项:

    • 用户无法更改密码 (企业安全性将成批更改密码) 。

    • 密码永不过期

  5. 单击 " 登录到 " 按钮以显示 " 登录工作站 " 对话框。

  6. 单击以下计算机的选项,添加运行 BizTalk Server 和 SQL Server 的每台计算机,然后单击"确定"

  7. 单击 "属性" 对话框的 "远程控制" 选项卡,然后单击以选中 "启用远程控制" 选项。

  8. 单击 "属性" 对话框的 "终端服务配置文件" 选项卡。

  9. 单击清除 " 拒绝此用户登录到任何终端服务器" 的选项。

  10. 单击 "确定" 以关闭该帐户的 " 属性 " 对话框。

  11. 对每个用户帐户重复步骤 3 至 10。

    注意

    如果要将提供给它们的角色分配给实际用户,则可以禁用上述任何帐户。 在版本 1 和版本 2 的初期阶段中,假定这些帐户用于开发、测试版测试和 beta 测试环境。

    BizTalk 组帐户

组名 组类型 成员
BizTalk Application Users 全局或通用 - BTServiceHost
- BTUserHostInstance
BizTalk 开发用户 全局或通用 (开发用户的本地域帐户) 注意: 作为最佳方案,请不要在串联环境中启用 BizTalk 开发用户组。
BizTalk 部署用户 全局或通用 (部署用户的本地域帐户)
BizTalk 主机用户 全局或通用 BTUserHostInstance
BizTalk Isolated Host Users 全局或通用 - BTServiceHostIso
- BTUserHostInstance
BizTalk Server Administrators 全局或通用 - BTUserAdmin
- BTUserInstall
-BizTalk 开发用户
-BizTalk 部署用户
BizTalk 支持用户 全局或通用 BTUserSupport(支持用户的本地域帐户)
SSO Administrators 全局或通用 - SSOService
- BTUserInstall
-本地管理员
SSO Affiliate Administrators 全局或通用 -BizTalk 开发用户
-BizTalk 部署用户
- BTServiceHostIso
- < 控制台用户>
Windows SharePoint Services 管理员 全局或通用 -SPAdmin
- BTUserInstall
- BTUserDeploy
-BizTalk 开发用户
-BizTalk 部署用户

有关域组的建议和说明:

  • 在安装 BizTalk Server 之前创建组并添加成员。

  • 域组可以为全局组或通用组。

  • 在配置向导中指定域帐户信息时,请使用< 域名 > \ < 用户名 >

  • 组和用户/服务帐户必须属于 BizTalk Server 计算机所属的域 (配置向导将对此进行检查,而不会显示包含来自其他域) 的帐户的帐户或组。

  • 对于所有群集方案,BizTalk Server 要求使用域帐户。

  • 在安装 BizTalk Server 时,控制台用户需要是以下组的成员:

    • BizTalk Server Administrators

    • SSO Administrators(只在配置主密钥服务器时)

    • Windows 管理员

    • SQL Server 管理员

    • OLAP 管理员

      BTUserInstall 帐户应该用于安装和配置,并且在完成配置后应被禁用。

  • 若要允许消息事件和服务实例跟踪将业务流程附加到调试器,开发人员需要属于 BizTalk Server Administrators 组,如上文中的 " BizTalk 开发帐户" 一节中所述。

本地管理员帐户

确认 SQL Server 计算机上的本地管理员组中的帐户和组,或将其添加到本地管理员组:

  • Domain\BTUserInstall(在完成配置后禁用)

  • Domain\BTUserDeploy(在完成部署后在生产中禁用)

  • Domain\SPAdmin

  • Domain\SQLAdmin

  • Domain\SQLService

  • 域 \biztalk 开发用户 (在 up 行环境中省略)

  • 域\BizTalk 部署用户(在开发环境中忽略)

    确认 BizTalk Server 计算机上的本地管理员组中的帐户和组,或将其添加到本地管理员组:

  • Domain\BTUserInstall(在完成配置后禁用)

  • Domain\BTUserDeploy(在完成部署后在生产中禁用)

  • Domain\BTUserSupport

  • Domain\SPAdmin

  • 域\BizTalk 开发用户(在上游环境中忽略)

  • 域\BizTalk 部署用户(在开发环境中忽略)

SQL Server 管理员帐户

安装程序接受来自安装人员的输入,并将 SQL 角色分配给用户和组:

  • 在 SharePoint Services 安装过程中,会向 SPAdmin 帐户授予对 SQL Server 计算机的安全管理员和数据库创建者权限。 如果 SPAdmin 帐户是本地管理员组的成员,则可以删除这些权限。

电子邮件帐户

SharePoint Services 将基于某些系统事件发送邮件。 安装程序将在配置过程中提示电子邮件地址。 为此目的创建电子邮件别名,并且在安装和单元测试期间监控此别名。 在生产环境中,此帐户应该可由监控系统的系统管理员访问。

SharePoint Services 使用的电子邮件帐户是WSS 管理员电子邮件帐户。

有关开发的密码注意事项

对于开发和测试环境,可按标准设置帐户密码并且帐户密码可分发。 安装人员的标准各异;本主题采用一个名字单元,它由服务组件的首字母大写缩写加上后随的帐户其余部分(服务或用户)的小写字母缩写组成。 对于服务帐户,本主题使用“Serv”;对于用户帐户,本主题使用“User”。

例如:

  • Windows SharePoint Services (SharePoint) 服务和管理员帐户 (SPAdmin) 密码: "SPServ"。

  • BizTalk 服务帐户密码: "BTServ"。

  • BizTalk 用户帐户密码: "BTUser"。

    某些 IT 环境要求密码包含非 alpha 和/或数字字符。 在此环境下,您可以将美元符号 ($) 替换为“s”,将“at”符号 (@) 替换为“a”。 这些符号只是示例;开发最适合于您的用于具有半公共密码的共享帐户的模式。

    在开发环境中使用的可重复分发的密码示例是:

  • BT $ erv99 BizTalk 服务帐户

  • BTU $ er99 BizTalk 用户帐户

  • SP $ erv99 WSS 服务帐户 (SPAdmin)

  • SQL $erv 99 SQL 服务/访问/管理员帐户

注意

这些建议只针对开发和共享环境,不建议或不鼓励用于公司密码策略。 有关密码要求,请向您的网络管理员咨询。

注意

如果公司密码策略包括生成的密码,您需要注意的是,某些符号和符号组合是对于 XML 有特殊用途的字符。 不恰当地使用这些字符将导致配置 XML 文件在配置过程中无法打开。 这些符号包括 " & "、" < "、" > "、单引号和双引号,并且可能包括其他符号。 请在执行基于文件的配置前测试配置 XML 文件。 您可以通过在 Internet Explorer(或某一 XML 编辑器)中打开嵌入了生成的密码的文档,测试文件是否可靠地用于适当的 XML 格式。

若要详细了解如何在联机环境中部署安全密码 (包括用于测试 BizTalk Server 配置文件的方法) ,请参阅配置 BizTalk Server

另请参阅

BizTalk Server 权限疑难解答