最低安全用户权限
BizTalk Server 使用的组和帐户具有执行大多数任务所需的最低用户权限。 因此,对于某些任务,你需要具有的用户权限可能高于 BizTalk Server 自动授予你所在的组的权限。 本主题内容:
组和角色成员身份
下表说明了在 BizTalk Server 中执行任务需要具有的最低安全用户权限:
| 任务 | 组或角色 |
|---|---|
| 安装 | |
| 安装 | - 本地管理员 |
| 配置 | - BizTalk Server管理员 - 本地管理员 - sysadmin SQL Server 角色 - SSO 管理员 - OLAP 管理员 |
| 加入 BizTalk Server 组 | - 本地管理员 - BizTalk Server管理员 |
| BizTalk 管理 | |
| 创建 MessageBox 数据库 | - BizTalk Server管理员 - sysadmin SQL Server 角色 |
| 创建或删除 BizTalk 主机 | - BizTalk Server管理员 - db_ddladmin SQL Server BizTalk MessageBox 数据库上的数据库角色 |
| 更改主机的“主机跟踪”属性 | - BizTalk Server管理员 - db_securityadmin SQL Server BAM 主导入数据库、BizTalk MessageBox 数据库和 BizTalk 跟踪数据库上的数据库角色 |
| 创建(安装)、删除或更改主机实例的凭据 |
|
| 启动或停止主机实例 | - BizTalk Server管理员 |
| 添加或删除服务器 | - BizTalk Server管理员 - 要添加或删除的计算机上的本地管理员。 |
| 添加或删除接收处理程序 | - BizTalk Server管理员 - SSO 关联管理员 |
| 启动或停止应用程序、业务流程、发送端口和发送端口组 | - BizTalk Server 运算符 |
| 启用或禁用接收位置 | - BizTalk Server 运算符 |
| 搜索项目 | - BizTalk Server 运算符 |
| 添加适配器 | - BizTalk Server管理员 - SSO 关联管理员 |
| 备份数据库 | - 数据库BTS_BACKUP_USERS角色 - 托管 BizTalk 管理数据库的SQL Server上的 sysadmin SQL Server角色。 注意:必须将SQL Server 代理服务配置为在每个 SQL Server 实例上具有映射用户的域帐户或本地帐户下运行。 |
| 使用证书配置 BizTalk 组 | - BizTalk Server管理员 |
| 所有其他任务(包括 WMI) | - BizTalk Server管理员 |
| 操作以及消息和服务实例跟踪 | |
| 查看“组中心”页、执行查询、保存并加载查询 | - BizTalk Server 运算符 |
| 查看查询结果 | - BizTalk Server 运算符 |
| 常规配置和跟踪配置 | - BizTalk Server管理员 (读取和写入) - BizTalk Server运算符 (读取) |
| 浏览监视运行状况的多维数据集 | - BizTalk Server管理员 |
| 查看消息属性 | - BizTalk Server管理员 |
| 保存邮件正文 | - BizTalk Server管理员 |
| 使用 “查找消息” 查询 | - BizTalk Server管理员 |
| 使用 查询生成 | - BizTalk Server管理员 |
| 使用业务流程调试器 | - BizTalk Server管理员 |
| 使用 BizTalk Server 管理控制台查看“组中心”页中的消息流、消息事件。 | - BizTalk Server 运算符 |
| 挂起、终止或恢复实例 | - BizTalk Server 运算符 |
| 存档或清除跟踪数据库中的消息 | - bizTalk 跟踪数据库上的db_owner角色 |
| 所有其他任务 | - BizTalk Server管理员 |
| 跟踪配置文件编辑器 | |
| 读取或写入 BizTalk 管理数据库 | - BizTalk Server管理员 |
| 事件总线监视 MMC | |
| 所有任务 | - BizTalk Server管理员 |
| BizTalk WCF 服务发布向导 | |
| 所有任务 | - 本地管理员 |
| BizTalk Web Services 发布向导 | |
| 所有任务 | - 本地管理员 |
| 业务活动监视 | |
| 运行 BM.exe | - 在 BAM 主导入、BAM 星型架构和 BAM 存档数据库中db_owner SQL Server数据库角色 |
| 如果有 Analysis Services 数据库,请运行 BM.exe | - 在 BAM 主导入、BAM 星型架构和 BAM 存档数据库中db_owner SQL Server数据库角色 - BAM Analysis Services 数据库中的 OLAP 管理员 |
| 为 BAM 视图创建帐户 | - 在 BAM 主导入数据库中db_owner SQL Server数据库角色 - BAM Analysis Services 数据库中的 OLAP 管理员 |
| 规则引擎(发布规则) | |
| 部署/取消部署策略,处理与安全相关的项目 | - 规则引擎数据库中RE_ADMIN_USERS SQL Server数据库角色 |
用于执行管理任务的用户权限
若要使用 BizTalk Server 管理控制台或 Windows 管理规范 (WMI) 来执行管理任务,则执行管理任务所用的帐户需要具有不同级别的用户权限,具体取决于要执行的任务。
下表说明了帐户执行各任务所需的用户权限,从最低用户权限(级别 1)到最高用户权限(级别 4)。
| 用户权限的级别 | 授予的用户权限 | 任务 |
|---|---|---|
| 0 | - BizTalk Server运算符 | - 基本管理和监视任务。 无法更改配置设置。 无权访问消息属性或内容。 |
| 1 | - BizTalk Server管理员 | - 所有管理任务,需要 2-4 级用户权限的任务除外 |
| 2 | - 授予级别 1 的用户权限 - 所有 SQL Server 上的 securityadmin SQL Server 角色 - 在 BizTalk 跟踪、规则引擎、BizTalk 管理、BAM 主导入和 BizTalk MessageBox 数据库中db_securityadmin和db_accessadmin SQL Server数据库角色 - 在所有 BizTalk MessageBox 数据库上db_ddladmin SQL Server数据库角色 - SSO 关联管理员 |
- 创建和删除 BizTalk 主机 - 更改主机跟踪属性 - 添加和删除服务器 - 添加和删除接收处理程序 - 添加适配器 |
| 3 | - 授予级别 2 的用户权限 - 所有BizTalk Server运行时计算机上的本地管理员 |
- 创建和删除主机实例 |
| 4 | - 授予级别 3 的用户权限 - 在具有 BizTalk MessageBox 数据库的所有 SQL Server 上SQL Server sysadmin 角色 |
- 创建 MessageBox 数据库 |
社区补充内容 – 任务列表
BizTalk Server 2013 R2 的最低安全 (https://social.technet.microsoft.com/wiki/contents/articles/24590.minimum-security-rights-for-biztalk-server-2013-r2.aspx)
另请参阅
访问控制和数据安全为 BizTalk Server 中的BizTalk Server数据库设计系统体系结构Windows 组和BizTalk Server中的用户帐户