规划最小特权环境中的管理任务 (SharePoint Foundation 2010)
适用于: SharePoint Foundation 2010
上一次修改主题: 2016-11-30
本文介绍如何使用最小特权管理来配置和维护 Microsoft SharePoint Foundation 2010 场。
概述
最小特权管理的概念为用户分配完成授权任务所需的最少权限。最小特权管理的目标是配置并帮助保持环境的安全控制。这样一来,只会向每个服务授予对绝对必需的资源的访问权限。实施最小特权管理可能导致运营成本增加,因为可能需要额外资源来维持此管理级别。而且,解决安全问题的能力也可能降低。
.gif "安全注释") Security Note |
|---|
| 组织实施最小特权管理的目的是实现比通常建议的级别更高的安全性。只有少数组织需要这种更高的安全级别,原因是维护最小特权管理会产生资源开销。但是,某些部署可能需要这种更高的安全级别,包括政府机构、安全组织和金融服务行业的组织。不应将实施最小特权环境与最佳实践混淆。在最小特权环境中,管理员会实施最佳实践,同时还会执行更高级别的安全措施。 |
帐户和服务的最小特权环境
要规划最小特权管理,您必须考虑多个帐户、角色和服务。有些适用于 SQL Server,有些则适用于 SharePoint 2010 产品。当管理员锁定其他帐户和服务时,日常运营成本可能会增加。
Microsoft SQL Server 角色
在最小特权管理环境中,我们建议您从不是 SharePoint 服务帐户但却用于 SharePoint 管理的帐户中移除以下两个 SQL Server 服务器级别角色:
dbcreator- dbcreator 固定服务器角色的成员可以创建、改变、删除和还原任何数据库。
securityadmin- securityadmin 固定服务器角色的成员管理登录名及其属性。他们可以授予、拒绝和撤销服务器级别的权限,如果有权访问数据库,他们还可以授予、拒绝和撤销数据库级别的权限。另外,他们还可以重置 SQL Server 登录名的密码。
Security Note授予对数据库引擎的访问权限以及配置用户权限的能力使安全管理员能够分配大多数服务器权限。应将 securityadmin 角色视为与 sysadmin 角色相同。
有关 SQL Server 服务器级别角色的其他信息,请参阅服务器级别角色 (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0x804)
删除其中一个或多个 SQL Server 角色可能导致管理中心网站上出现“意外”错误消息。另外,您还可能在统一日志记录服务 (ULS) 日志文件中收到以下消息:
System.Data.SqlClient.SqlException… 在数据库 <数据库> 中拒绝了 <操作类型> 权限。表 <表>
除了可能显示的错误消息,用户还可能无法执行以下任何任务:
还原场备份(由于无法写入数据库)
设置服务实例或 Web 应用程序
配置管理帐户
更改 Web 应用程序的管理帐户
任何数据库、管理帐户或需要使用管理中心网站的服务操作
在特定情形下,数据库管理员 (DBA) 可能需要独立于 SharePoint 管理员进行操作以及创建和管理所有数据库。有关 DBA 如何创建和管理所有数据库的信息,请参阅使用 DBA 创建的数据库进行部署 (SharePoint Foundation 2010)。
SharePoint Foundation 2010 角色和服务
通常,应从 SharePoint 服务帐户移除创建新数据库的功能。任何 SharePoint 服务帐户都不应具有 Microsoft SQL Server 实例上的 sysadmin 角色,且任何 SharePoint 服务帐户都不应是运行 Microsoft SQL Server 的服务器上的本地管理员。
但是,您可以锁定多个其他 SharePoint Foundation 2010 服务和帐户:
SharePoint_Shell_Access 角色
移除此 Microsoft SQL Server 角色后,即移除了向配置和内容数据库写入项的功能。有关此角色的其他信息,请参阅 Add-SPShellAdmin。
SharePoint 定时服务 (SPTimerV4)
默认情况下已安装该服务,它负责维护配置缓存信息。如果服务类型设置为禁用,则可能出现以下行为:
任何计时器作业都不会运行
运行状况分析器规则不会运行
维护和场配置将过期
SharePoint 管理服务 (SPAdminV4)
该服务执行需要服务器上的本地管理员权限的自动化更改。如果该服务未运行,您必须手动处理服务器级别的管理更改。如果服务类型设置为禁用,则可能出现以下行为:
管理计时器作业不会运行
Web 配置文件不会更新
安全和本地组不会更新
注册表值和注册表项不写入
服务可能无法启动或重新启动
服务设置可能无法完成
SPUserCodeV4 服务
该服务允许网站集管理员将沙盒解决方案上载到解决方案库。有关沙盒解决方案的其他信息,请参阅沙盒解决方案概述 (SharePoint Foundation 2010)。
有关服务的详细信息,请参阅 SharePoint 管理服务已禁用。
根据组织的业务要求,如果实施了任何 SharePoint Foundation 2010 服务或角色,可能会出现以下功能行为:
备份和还原
如果已移除数据库权限,从备份执行还原的功能可能失败。
Upgrade
升级过程将正确开始,但随后失败,因为您没有适当的数据库权限。如果贵组织已处于最小特权环境中,则解决方法是移到最佳实践环境来完成升级,然后迁移回最小特权环境。
更新
将软件更新应用到服务器场的功能对配置数据库架构成功,但在内容数据库和服务上失败。
要考虑的其他要求
除上述注意事项外,您可能还必须考虑更多操作。以下列表并不完整。请根据您自己的判断选择使用各项:
设置用户管理员帐户 - 此帐户用于设置服务器场中的每台服务器。此帐户必须是 Microsoft SharePoint Server 2010 场中每台服务器上的 Administrators 组的成员。有关此帐户的其他信息,请参阅管理帐户
“我的网站”宿主应用程序池帐户 - 这是“我的网站”应用程序池运行时使用的帐户。要配置此帐户,您需要是 Farms Administrators 组的成员。
内置用户组 - 移除内置用户安全组或更改权限可能产生无法预知的结果。
组权限 - 默认情况下,WSS_ADMIN_WPG SharePoint 组具有对本地资源的读写访问权限。需要以下 WSS_ADMIN_WPG 文件系统位置Microsoft SharePoint Foundation 才能正常运行:%WINDIR%\System32\drivers\etc\HOSTS 和 %WINDIR%\Tasks。如果其他服务或应用程序在服务器上运行,您可能需要考虑它们如何访问 Tasks 或 HOSTS 文件夹位置。有关帐户设置的其他信息,请参阅帐户权限和安全设置 (SharePoint Server 2010)
更改服务的权限 - 更改服务权限可能产生无法预知的结果。例如,如果注册表项 HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters 的值为 0,则会禁用用户代码主机服务,这会导致沙盒解决方案停止工作。有关用户代码服务无法运行的其他信息,请参阅 SharePoint 2010 用户代码主机服务无法启动(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0x804)(该链接可能指向英文页面)