系統管理角色的存取控制
使用者開啟任何需要存取資料庫或 Windows 資源的 BizTalk Server 工具時,工具的互動式使用者必須擁有正確的 SQL Server 和 Windows 使用者權限,才能執行工具支援的各種工作。
不只一項 BizTalk Server 工具會存取 BizTalk Server 資料庫。 因此,BizTalk Server 必須將每個資料庫中的某個存取層級授與 BizTalk Server 系統管理員。 再者,基於安全考量,BizTalk Server 系統管理員只需具備足以執行其工作的權限,而不宜有過多的授權。 使用「SQL Server 資料庫」角色時,BizTalk Server 即可符合上述兩項需求。 在任何時候透過安裝或 BizTalk Server 管理主控台建立 BizTalk Server 資料庫,BizTalk Server 都會自動替該資料庫中的這兩個系統管理角色建立「SQL Server 資料庫」角色。 BizTalk Server 會將系統管理員對 SQL Server 物件 (資料表、檢視、預存程序等) 所需的最低使用者權限,授與每個角色和任何指派給角色的 SQL Server 登入,以便對該資料庫執行管理工作。
注意
必須讓 BizTalk 系統管理員擁有更大權限才能執行的管理工作中,有一部分是透過 SQL Server 角色所授與,如建立主控件執行個體。 如需這些額外許可權的詳細資訊,請參閱 最低安全性使用者權限。
在BizTalk Server中,有兩個系統管理角色:BizTalk Server系統管理員和BizTalk Server操作員。 BizTalk Server 系統管理員是具有組態和追蹤資料存取權的高權限角色。 BizTalk Server 操作員則是低權限角色,僅具有用來監控和疑難排解動作的存取權。 BizTalk Server 操作員群組:
是權限較低的系統管理角色,無法存取訊息資料。
允許成員監控 BizTalk Server 錯誤;查詢擱置的訊息\執行個體;檢視組態。
禁止成員變更 BizTalk Server 組態。 例如,BizTalk Server 操作員不得變更傳送埠、接收位置、連接埠篩選器,或部署新成品。
當您第一次安裝產品時,BizTalk Server會建立預設BizTalk Server系統管理員角色。 雖然您可以選擇不同的名稱,但是 BizTalk Server 預設會將它命名為「BizTalk Server 系統管理員」。
同樣的,BizTalk Server 會在每個資料庫中為每個主控件的使用者群組建立「SQL Server 資料庫」角色,並將使用者群組執行該主控件工作所需的最低使用者權限授與這個角色。 您必須將「BizTalk Server 系統管理員」新增到「單一登入分支機構系統管理員群組」。 如需企業單一登入的詳細資訊,請參閱 使用 SSO。
警告
BizTalk 系統管理員必須確定自己可以信任即將部署於系統之組件的來源。 如果所部署的組件中包含無法取信於您的程式碼,則可能會讓 BizTalk 環境遭受潛在攻擊的威脅。 當 BizTalk 引擎叫用自訂程式碼元件時,BizTalk Server 並不會對這些元件所能執行的動作強加任何限制。