有关在多服务器 BizTalk 安装上实现 Active Directory 权限的指南
本主题介绍创建 Active Directory 组织单位的指南,这些单位包括你在 Microsoft BizTalk Server安装中使用的用户帐户和组。
此处创建的这些帐户不需要在域中具有超出普通用户的权限。 域帐户可能需要在包括以下项的信任边界内的提升的权限:
BizTalk Server
BizTalk Server服务器上的 Microsoft SharePoint Services ()
Microsoft SQL Server
外部数据库 1
外部数据库 2
外部数据库 N
例如,可能需要授予某个域帐户对作为外部数据库宿主的系统执行某些操作的权限。 在其他情况下,某个帐户可能需要将某一文件写入文件存放文件夹,因此要求对该文件夹具有写访问权限。
使用 Active Directory 用户和计算机 控制台创建和管理域用户和组帐户。 单击“开始”,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”启动Active Directory 用户和计算机控制台。
BizTalk Server 安装和配置帐户
在开发环境中,BizTalk Server安装程序和BizTalk Server配置向导需要使用在BizTalk Server和SQL Server系统上具有管理权限的帐户。 一旦设置和配置完成,可以立即吊销权限或禁用帐户。 帐户必须还属于若干 BizTalk 组,下面的几节中将对此予以介绍。
注意
如果用于安装的帐户与服务器不属于同一 Active Directory 目录林,您将无法配置 SSO 组件。 如果没有 BizTalk Server 安装程序帐户,请使用本地管理员帐户进行 SSO 配置。 此方法可能会在安装期间造成其他问题,例如,需要使用不同凭据登录到资源。
BizTalk Server 开发帐户
执行开发BizTalk Server的个人需要访问适配器、接收和发送处理程序以及接收位置。 此访问权限要求域开发人员组是BizTalk Server管理员和 SSO 关联管理员组的成员。
注意
Active Directory 对可以包含外来域用户的组的类型具有限制,并且对可在其他组中包含的组类型具有限制。 下面创建的组和帐户在单个域上的多服务器环境中进行了测试。
BizTalk Server 部署帐户
部署BizTalk Server应用程序的个人需要是本地系统上的管理员,并且可能需要环境中的其他权限。 本主题中为此目的而引用了 BizTalk Server 部署帐户。
此访问要求域部署组是BizTalk Server管理员和 SSO 关联管理员组的成员。
注意
如果用于安装的帐户与服务器不属于同一 Active Directory 目录林,您将无法配置 SSO 组件。 如果您不具有 BizTalk Server 部署帐户,则使用本地管理员帐户进行 SSO 配置。 此方法可能会在安装期间造成其他问题,例如,需要使用不同凭据登录到资源。
BizTalk Server 支持帐户
支持BizTalk Server应用程序的个人需要是本地系统上的管理员。 本主题中为此目的而引用了 BizTalk 支持帐户。
此访问要求域支持组是BizTalk Server管理员组的成员。
SQL Server服务帐户
运行 SQL Server 实例的服务必须与安装、开发和部署BizTalk Server组件的帐户属于同一 Active Directory 域。
将 SQLAdmin 用于管理功能 (交互式登录) 。
使用 SQLService 管理服务 (无交互式登录) 。
使用 SQLAccess 访问外部数据库。
SQLAdmin 必须是SQL Server系统上的本地管理员组的成员。
SQLService 必须是SQL Server系统上的本地管理员组的成员,并且需要授予“以服务身份登录”用户权限。
SQLAccess 需要对远程数据库服务器具有适当的权限。
SQL 帐户:
| 用户名 | 名字 | 姓氏 | 全名 |
|---|---|---|---|
| SQLService | SQL | SQLService | SQL 服务帐户 |
| SQLAdmin | 管理员 | SQLService | SQL 管理员帐户 |
| SQLAccess | Access | SQLService | SQL 访问帐户 |
根据公司标准设置帐户密码。
重要
在运行 SQL Server 的计算机上,修改 SQL Server 和 SQLServerAgent 服务的启动参数,以使用 SQLService 帐户和凭据。
注意
用户名字段是示例;您可能需要更改这些名称以避免与其他 Active Directory 帐户冲突。
Windows SharePoint Services 帐户
在安装 SharePoint Services 之前,必须创建Windows SharePoint Services帐户。
有关 SharePoint Services 帐户的建议和说明:
将 SharePoint 管理员 帐户 (SPAdmin) 用于管理功能、SharePoint 计时器服务和所有 SharePoint Services 访问权限。
SPAdmin 是站点所有者并且将需要电子邮件别名。
SPAdmin 必须是本地BizTalk Server计算机上的本地管理员组的成员, (Windows SharePoint Services 安装程序执行此操作) 。
SPAdmin 必须在SQL Server计算机上具有安全管理员和数据库创建者角色, (Windows SharePoint Services 安装程序执行此操作) 。
Sharepoint 帐户:
| 用户名 | 名字 | 姓氏 | 全名 |
|---|---|---|---|
| SPAdmin | 管理员 | SPService | SharePoint 管理员 帐户 |
根据公司标准设置帐户密码,并且能够在配置过程中检索这些密码。 有关生成的 密码 的问题,请参阅本主题的“密码”部分。
注意
此用户名字段是个示例;您可能需要更改此名称以保护其他 AD 帐户。
重要
在运行 BizTalk Server 的计算机上安装Windows SharePoint Services后,确认 SharePoint 计时器服务的启动参数使用的是 SPAdmin 帐户和凭据。
BizTalk 组和用户
BizTalk Server组和用户必须在运行BizTalk Server配置向导之前创建。 在单系统安装中,BizTalk Server使用配置期间创建的本地组和帐户。 但是,如果部署了单独的BizTalk Server主机,或者两台不同计算机上安装了BizTalk Server和SQL Server,则必须使用域用户和组帐户。
注意
BizTalk Server配置向导无法创建域帐户。
有关BizTalk Server服务和用户帐户的建议和说明:
为BizTalk Server创建组织单位 (OU) 。 所有帐户和组都将属于此 OU。
全名应该有描述性,下面列表中的名称应该使安装人员可以在配置期间选择正确的组/帐户/用户。
名字和姓氏是可选的;包括它们只是为了一致性。
区分器 BTService 和 BTUser 是指) 和通用/共享人类用户 (自动机的服务帐户。
创建域帐户并通过 ADSI 脚本填充它们,以便用于上游环境的用户和组帐户的创建。
BizTalk 服务帐户
| 用户名 | 名字 | 姓氏 | 全名 |
|---|---|---|---|
| BTService | Bts | BTService | BizTalk 服务帐户 |
| BTServiceHost | 主机 | BTService | BizTalk 主机实例帐户 |
| BTServiceHostIso | HostIso | BTService | BizTalk 独立主机实例帐户 |
| SSOService | SSO | BTService | 企业单一登录服务 |
| BTServiceREU | REU | BTService | 规则引擎更新服务 |
根据公司和环境标准设置用户名(例如 devBTService、alphaBTService)。 根据公司标准设置帐户密码,并且能够为配置步骤检索这些密码。 有关生成的密码的问题,请参阅本主题的 “开发密码注意事项 ”部分。
安装程序会注意到,服务帐户非常精细,与 BizTalk Server 创建的服务几乎一对一映射。 这一粒度允许公司 IT 安全人员根据需要跟踪或限制访问。 建议采用该粒度,但由系统设计人员和企业安全人员确定在企业环境中是否需要这一粒度。
前一组中的服务帐户旨在仅用于自动访问,而不是针对用户交互式登录。
设置适当的帐户选项
在Active Directory 用户和计算机控制台中,单击以展开域,然后单击以展开“用户”容器。
右键单击帐户,然后选择 “属性” 以显示帐户的“ 属性 ”对话框。
单击“属性”对话框的“帐户”选项卡。
单击以选中以下选项:
用户无法更改密码 (企业安全性将批量更改密码) 。
密码永不过期
单击“ 登录” 按钮以显示“ 登录工作站 ”对话框。
单击“以下计算机”选项,添加运行BizTalk Server和SQL Server的每台计算机,然后单击“确定”。
单击“属性”对话框的“远程控制”选项卡,然后单击以清除“启用远程控制”选项。
单击“属性”对话框的“终端服务配置文件”选项卡。
单击以检查“拒绝此用户登录任何终端服务器的权限”选项。
单击“ 确定 ”关闭帐户的“ 属性 ”对话框。
对每个服务帐户重复步骤 3 至 10。
BizTalk 用户帐户
| 用户名 | 名字 | 姓氏 | 全名 |
|---|---|---|---|
| BTUserAdmin | 管理员 | BTUser | BizTalk 管理用户帐户 |
| BTUserDeploy | 部署 | BTUser | BizTalk 部署用户帐户 |
| BTUserHostInstance | HostInstance | BTUser | BizTalk 主机实例帐户 |
| BTUserHostIsolated | IsolatedlHost | BTUser | BizTalk 独立主机实例帐户 |
| BTUserInstall | 安装 | BTUser | BizTalk 安装用户帐户 |
| BTUserSupport | 支持 | BTUser | BizTalk 支持访问帐户 |
若要设置适当的帐户选项,请执行以下步骤
在Active Directory 用户和计算机控制台中,单击以展开域,然后单击以展开“用户”容器。
右键单击帐户,然后选择 “属性” 以显示帐户的“ 属性 ”对话框。
单击“属性”对话框的“帐户”选项卡。
单击以选中以下选项:
用户无法更改密码 (企业安全性将批量更改密码) 。
密码永不过期
单击“ 登录” 按钮以显示“ 登录工作站 ”对话框。
单击“以下计算机”选项,添加运行BizTalk Server和SQL Server的每台计算机,然后单击“确定”。
单击“属性”对话框的“远程控制”选项卡,然后单击以检查“启用远程控制”选项。
单击“属性”对话框的“终端服务配置文件”选项卡。
单击此项可清除“ 拒绝此用户登录任何终端服务器的权限”选项。
单击“ 确定 ”关闭帐户的“ 属性 ”对话框。
对每个用户帐户重复步骤 3 至 10。
注意
如果要将提供给它们的角色分配给实际用户,则可以禁用上述任何帐户。 在版本 1 和版本 2 的初期阶段中,假定这些帐户用于开发、测试版测试和 beta 测试环境。
BizTalk 组帐户
| 组名称 | 组类型 | 成员 |
|---|---|---|
| BizTalk Application Users | 全局或通用 | - BTServiceHost - BTUserHostInstance |
| BizTalk 开发用户 | 全局或通用 | (开发用户的本地域帐户) 注意: 作为最佳做法,请勿在上行环境中启用 BizTalk 开发用户组。 |
| BizTalk 部署用户 | 全局或通用 | (部署用户的本地域帐户) |
| BizTalk 主机用户 | 全局或通用 | BTUserHostInstance |
| BizTalk Isolated Host Users | 全局或通用 | - BTServiceHostIso - BTUserHostInstance |
| BizTalk Server Administrators | 全局或通用 | - BTUserAdmin - BTUserInstall - BizTalk 开发用户 - BizTalk 部署用户 |
| BizTalk 支持用户 | 全局或通用 | BTUserSupport(支持用户的本地域帐户) |
| SSO Administrators | 全局或通用 | - SSOService - BTUserInstall - 本地管理员 |
| SSO Affiliate Administrators | 全局或通用 | - BizTalk 开发用户 - BizTalk 部署用户 - BTServiceHostIso - <控制台用户> |
| Windows SharePoint Services 管理员 | 全局或通用 | - SPAdmin - BTUserInstall - BTUserDeploy - BizTalk 开发用户 - BizTalk 部署用户 |
有关域组的建议和说明:
在安装BizTalk Server之前创建组并添加成员。
域组可以为全局组或通用组。
在配置向导中指定域帐户信息时,请使用 <DomainName>\<UserName> 。
组和用户/服务帐户必须属于BizTalk Server计算机所属的域 (配置向导对此进行检查,并且不会显示帐户或包含来自其他域) 帐户的组。
对于所有群集方案,BizTalk Server 要求使用域帐户。
安装BizTalk Server时,控制台用户必须是以下组的成员:
BizTalk Server Administrators
SSO Administrators(只在配置主密钥服务器时)
Windows 管理员
SQL Server管理员
OLAP 管理员
BTUserInstall 帐户应该用于安装和配置,并且在完成配置后应被禁用。
若要允许消息事件和服务实例跟踪将业务流程附加到调试器,开发人员需要属于 BizTalk Server 管理员组,如上述 BizTalk 开发帐户部分所述。
本地管理员帐户
确认以下帐户和组或将以下组添加到SQL Server计算机上的“本地管理员”组:
Domain\BTUserInstall(在完成配置后禁用)
Domain\BTUserDeploy(在完成部署后在生产中禁用)
Domain\SPAdmin
Domain\SQLAdmin
Domain\SQLService
域\BizTalk 开发用户在上行环境中 (省略)
域\BizTalk 部署用户(在开发环境中忽略)
确认以下帐户和组或将以下组添加到BizTalk Server计算机上的本地管理员组:
Domain\BTUserInstall(在完成配置后禁用)
Domain\BTUserDeploy(在完成部署后在生产中禁用)
Domain\BTUserSupport
Domain\SPAdmin
域\BizTalk 开发用户(在上游环境中忽略)
域\BizTalk 部署用户(在开发环境中忽略)
SQL Server 管理员帐户
安装程序接受来自安装人员的输入,并将 SQL 角色分配给用户和组:
- 在 SharePoint Services 设置期间,SPAdmin 帐户被授予SQL Server计算机上的安全管理员和数据库创建者权限。 如果 SPAdmin 帐户是本地管理员组的成员,则可以删除这些权限。
电子邮件帐户
SharePoint Services 将根据某些系统事件发送邮件。 安装程序将在配置过程中提示电子邮件地址。 为此目的创建电子邮件别名,并且在安装和单元测试期间监控此别名。 在生产环境中,此帐户应该可由监控系统的系统管理员访问。
SharePoint Services 使用的电子邮件帐户是 WSS 管理员电子邮件 帐户。
有关开发的密码注意事项
对于开发和测试环境,可按标准设置帐户密码并且帐户密码可分发。 安装人员的标准各异;本主题采用一个名字单元,它由服务组件的首字母大写缩写加上后随的帐户其余部分(服务或用户)的小写字母缩写组成。 对于服务帐户,本主题使用“Serv”;对于用户帐户,本主题使用“User”。
例如:
Windows SharePoint Services (SharePoint) 服务和管理员帐户 (SPAdmin) 密码:“SPServ”。
BizTalk 服务帐户密码:“BTServ”。
BizTalk 用户帐户密码:“BTUser”。
某些 IT 环境要求密码包含非 alpha 和/或数字字符。 在此环境下,您可以将美元符号 ($) 替换为“s”,将“at”符号 (@) 替换为“a”。 这些符号只是示例;开发最适合于您的用于具有半公共密码的共享帐户的模式。
在开发环境中使用的可重复分发的密码示例是:
BT$erv99 BizTalk 服务帐户
BTU$er99 BizTalk 用户帐户
SP$erv99 WSS 服务帐户 (SPAdmin)
SQL$erv99 SQL Service/Access/管理员 帐户
注意
这些建议只针对开发和共享环境,不建议或不鼓励用于公司密码策略。 有关密码要求,请向您的网络管理员咨询。
注意
如果公司密码策略包括生成的密码,您需要注意的是,某些符号和符号组合是对于 XML 有特殊用途的字符。 不恰当地使用这些字符将导致配置 XML 文件在配置过程中无法打开。 这些符号包括“&”、“<”、“>”、单引号和双引号,可能包含其他符号。 请在执行基于文件的配置前测试配置 XML 文件。 您可以通过在 Internet Explorer(或某一 XML 编辑器)中打开嵌入了生成的密码的文档,测试文件是否可靠地用于适当的 XML 格式。
有关在上线环境中部署安全密码的详细信息, (包括测试BizTalk Server配置文件) 的方法,请参阅配置BizTalk Server。
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈