Microsoft Dynamics CRM 內部部署管理最佳做法
發行︰ 2016年11月
適用於: Dynamics CRM 2015
只需依循一些簡單的管理規則,您就可以大幅提升 Microsoft Dynamics 365 內部部署的安全性。
一般而言,Dynamics 365 使用者不必擁有網域的管理權限。 因此,所有的 Dynamics 365 使用者帳戶都應該限制為「網域使用者」成員資格。 同樣地,為了遵循最低權限原則,所有使用 Dynamics 365 系統的人都應具備最小權利。 這要從網域層級開始著手。 應該建立網域使用者帳戶,並用它來執行 Dynamics 365。 絕對不要以網域系統管理員帳戶執行 Dynamics 365。
將 Microsoft Dynamics 365部署系統管理員 和系統管理員角色的數量限制在負責變更規則的少數人。 其他 SQL Server、Microsoft Exchange Server 或 Active Directory 管理員不需要是 Dynamics 365 使用者群組的成員。
請確定至少有兩位或三位受信任的人員具有部署系統管理員角色。 這可避免沒有主要部署系統管理員時發生的系統鎖定。
在某些組織中,系統和網域間重複使用密碼是常見的作法。 例如,負責兩個網域的系統管理員可能會使用相同密碼,在每個網域各建立一個網域系統管理員帳戶,甚至在整個網域的網域電腦中設定相同的本機系統管理員密碼。 在此情況下,對單一帳戶或電腦的危害可能會危及整個網域。 因此,密碼絕對不可以像這樣重複使用。
使用網域系統管理員帳戶做為常見服務 (如備份系統) 的服務帳戶也是常見的作法。 然而,使用網域系統管理員帳戶做為服務帳戶會導致安全性風險。 任何在電腦上具備系統管理權限的人都可輕易地取得密碼。 在此情況下,安全危機可能會危及整個網域。 永遠不要以網域系統管理員帳戶做為服務帳戶,而且應該盡可能限制服務帳戶的權限。
指定用以執行 Microsoft Dynamics 365 服務的網域使用者帳戶也絕不能設定為 Dynamics 365 使用者。 這可能會造成應用程式非預期的行為。
另請參閱
Microsoft Dynamics CRM 的安全性考量
Microsoft Dynamics CRM 安全性最佳作法
Microsoft Dynamics CRM 的網路連接埠
Microsoft Dynamics CRM 的安全性概念
© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權