Microsoft Dynamics CRM 的安全性考量
發行︰ 2016年11月
適用於: Dynamics CRM 2015
Microsoft Dynamics 365 是以有助於部署更加安全的方式而設計。 本節提供 Microsoft Dynamics 365 應用程式的資訊和最佳作法。其他資訊:Microsoft Dynamics CRM 的安全性概念
本主題內容
我應該選取何種服務帳戶?
Microsoft Dynamics CRM 安裝程式與服務所需的最低權限
Microsoft Dynamics CRM 安裝檔案
我應該選取何種服務帳戶?
當您指定一個身分以執行 Microsoft Dynamics 365 服務時,您可以選擇網域使用者帳戶或是網路服務帳戶。
如果服務使用網路服務,存取例如檔案共用存取網域資源,或將用來存取其他電腦的連結伺服器連線,您可以使用最低權限的網域帳戶。 許多伺服器對伺服器的活動只能用網域使用者帳戶執行,這可提供最安全的選項。 此帳戶應該請網域系統管理員在您的環境中預先設置。
注意
當您設定服務使用網域帳戶時,您可以獨立管理應用程式的權限,但是必須手動管理密碼,或建立一個解決方案來管理這些密碼。 許多伺服器應用程式使用這項策略強化安全性,但是這項策略需要其他的管理,也更加複雜。 在這些部署中,服務系統管理員在維護工作花費的時間量,例如管理服務密碼並為主要名稱 (SPN) 服務 (Kerberos 驗證需要)。 另外,這些維護工作會破壞服務。
網路服務帳戶是一個具有比網域使用者群組有更多存取資源和物件權限的固定帳戶。 使用電腦帳戶認證的 (格式為 <domain_name>\<computer_name>$) 以網路服務帳戶存取網路資源 的服務。 帳戶實際名稱是 NT AUTHORITY \ NETWORK SERVICE。
Microsoft Dynamics CRM 安裝程式與服務所需的最低權限
Microsoft Dynamics 365 的設計可讓其功能在不同的身分識別下執行。 將網域使用者帳戶指定為僅授與必要權限來允許特定功能運作,如此您可以確保系統的安全和降低盜用的可能性。
本主題說明 Microsoft Dynamics 365 服務與功能的使用者帳戶所需的最低權限。
Microsoft Dynamics CRM Server 安裝程式
用以執行 Microsoft Dynamics CRM Server 安裝程式 (包括資料庫建立) 的使用者帳戶,需要下列最低權限:
屬於 Active Directory「網域使用者」群組的成員。 根據預設,Active Directory 使用者和電腦會新增使用者至網域使用者群組。
位於執行安裝程式之本機電腦,屬於「系統管理員」群組成員。
具有本機 Program Files 資料夾的讀取與寫入權限。
用以儲存 Microsoft Dynamics 365 資料庫 SQL Server 執行個體所在之本機電腦的「系統管理員」群組成員。
用以儲存 Microsoft Dynamics 365 資料庫 SQL Server 執行個體的 sysadmin 成員資格。
擁有組織單位和安全性群組建立權限,並將成員資格新增至 Active Directory 中的這些群組權限。 或者,當已經建立安全性群組時,您可以使用安裝程式 XML 設定檔來安裝 Microsoft Dynamics CRM Server。 如需詳細資訊,請參閱《安裝指南》中的使用命令提示字元安裝 Microsoft Dynamics CRM 伺服器。
如果將 Microsoft SQL Server Reporting Services 安裝在不同的伺服器,您必須在根層級下為安裝使用者帳戶新增「內容管理員」角色。 您也必須在網站層級新增系統管理員角色以安裝使用者帳戶。
Microsoft Dynamics CRM服務與 IIS 應用程式集區身分識別權限
此區段列舉了網域使用者帳戶使用服務以及 IIS 使用應用程式集區 Microsoft Dynamics 365 時所需的最小權限。
重要
-
Microsoft Dynamics 365 服務與應用程式集區 (CRMAppPool) 身分識別帳戶不可設定為 Microsoft Dynamics 365 使用者。 這樣做可能會對所有的 Microsoft Dynamics 365 使用者造成應用程式的驗證問題與非預期行為。其他資訊:當 CRMAppPool 使用者帳戶是 CRM 使用者時,CRM 會發生問題
-
受管理的服務帳戶 (群組管理服務帳戶 gMSA,或單一受管理服務帳戶) 與虛擬帳戶 (NT Service\,<SERVICENAME>) 不支援執行 Microsoft Dynamics 365 服務。
下列小節將說明每個服務或應用程式集區身分需要網域使用者帳戶權限:
Microsoft Dynamics CRM 沙箱處理服務。
Microsoft Dynamics CRM Asynchronous Processing Service 與 Microsoft Dynamics CRM Asynchronous Processing Service (維護) 服務
Microsoft Dynamics CRM 監視服務
Microsoft Dynamics CRMVSS 寫入器服務
部署 Web 服務 (CRMDeploymentServiceAppPool 應用程式集區身分識別)
應用程式服務 (CRMAppPool IIS 應用程式集區身分識別)
Microsoft Dynamics CRM 沙箱處理服務。
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 [以服務方式登入] 權限。
Trace 的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics CRM\Trace 下,以及本機電腦上的使用者帳戶 %AppData% 資料夾下。
Windows 登錄中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 子機碼的讀取權限。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。若要為 [沙箱處理服務] 帳戶設定 SPN,請在執行服務的電腦上,於命令提示字元執行下列命令。
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Microsoft Dynamics CRM Asynchronous Processing Service 與 Microsoft Dynamics CRM Asynchronous Processing Service (維護) 服務
網域使用者成員資格。
PrivUserGroup 和 SQLAccessGroup 成員資格。 根據預設,在 Microsoft Dynamics CRM Server 安裝程式 期間,會建立這些群組以及給予適當的成員資格。
內建本機群組效能記錄使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 [以服務方式登入] 權限。
下列資料夾的讀取與寫入權限。
Trace 資料夾。 預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶 %AppData% 資料夾下。
CustomizationImport 資料夾。 預設位於 \Program Files\Microsoft Dynamics CRM\ 下。 當您使用 Microsoft Dynamics CRM SDK時,這是解決方案匯入的必要項目。
所有存取權限,除了 Windows 登錄 的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 子機碼的完整控制權和寫入 DAC 之外。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。若要為 [非同步服務] 帳戶設定 SPN,請在執行服務的電腦上,於命令提示字元執行下列命令。
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics CRM 監視服務
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 Logon as service 權限。
如果 Microsoft Dynamics CRM 監視服務是隨 前端伺服器 伺服器角色一起安裝,在執行服務的電腦上需要本機系統管理員群組成員資格,才能監控網站和應用程式集區。其他資訊:可用的個別伺服器角色
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 的讀取權限
SQLAccessGroup 成員資格。 根據預設,此群組會在 Microsoft Dynamics CRM Server 安裝程式 期間建立,並給予適當的成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
Microsoft Dynamics CRMVSS 寫入器服務
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 Logon as service 權限。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 的讀取權限
PrivUserGroup 和 SQLAccessGroup 成員資格。 根據預設,在 Microsoft Dynamics CRM Server 安裝程式 期間,會建立這些群組以及給予適當的成員資格。
部署 Web 服務 (CRMDeploymentServiceAppPool 應用程式集區身分識別)
網域使用者成員資格。
必須在「本機安全性原則」中授與該帳戶 Logon as service 權限。
在執行 SQL Server 的電腦上需要本機系統管理員群組成員資格來執行組織資料庫作業 (例如建立新組織或匯入組織)。
執行 部署 Web 服務 所在電腦的本機管理員群組成員資格。
用於設定與組織資料庫的 SQL Server 執行個體 Sysadmin 權限。
Trace 和 CRMWeb 資料夾的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶 %AppData% 資料夾下。
所有存取權限,除了 Windows 登錄 的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 子機碼的完整控制權和寫入 DAC 之外。
PrivUserGroup 和 SQLAccessGroup 成員資格。 根據預設,在 Microsoft Dynamics CRM Server 安裝程式 期間,會建立這些群組以及給予適當的成員資格。
CRM_WPG 群組成員資格。 這個群組用於 IIS 工作者處理序。 執行 Microsoft Dynamics CRM Server 安裝程式期間會建立群組並新增成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
應用程式服務 (CRMAppPool IIS 應用程式集區身分識別)
網域使用者群組成員資格。
內建本機群組效能記錄使用者成員資格。
Trace 和 CRMWeb 資料夾的資料夾讀取與寫入權限,預設位於 \Program Files\Microsoft Dynamics CRM\ 下,以及本機電腦上的使用者帳戶 %AppData% 資料夾下。
所有存取權限,除了 Windows 登錄 的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService 子機碼的完整控制權和寫入 DAC 之外。
CRM_WPG 群組成員資格。 這個群組用於 IIS 工作者處理序。 執行 Microsoft Dynamics CRM Server 安裝程式期間會建立群組並新增成員資格。
服務帳戶可能需要用以存取與其關聯網站之 URL 的 SPN。
在核心模式驗證與 SPN 下執行的 IIS 應用程式集區身分識別
根據預設,IIS 網站會設定成使用核心模式驗證。 當您使用核心模式驗證執行 Microsoft Dynamics 365 網站時,您可能不需要為 CRMAppPool 身分識別設定其他服務主體名稱 (SPN)。
若要判斷您的 IIS 部署是否需要 SPN,請參閱 Kerberos 驗證與 IIS 7.0/7.5 搭配使用的服務主體名稱 (SPN) 檢查清單。
Microsoft Dynamics CRM 安裝檔案
如果您計劃從網路位置 (如網路共用) 安裝 Microsoft Dynamics 365,則必須確認該資料夾已套用正確的權限,資料夾最好位於安裝檔案所在的 NTFS 磁碟區。 例如,只允許網域系統管理員群組的成員擁有該資料夾的權限。 此作法可降低安裝檔案受攻擊而導致洩露或變更的風險。 如需如何在 Windows 作業系統的檔案和資料夾設定權限的詳細資訊,請參閱 Windows 說明。
另請參閱
規劃您的 Microsoft Dynamics CRM 2015 部署
Microsoft Dynamics CRM 安全性最佳作法
Microsoft Dynamics CRM 內部部署管理最佳做法
Microsoft Dynamics CRM 的網路連接埠
Microsoft Dynamics CRM 伺服器角色
© 2016 Microsoft Corporation. 著作權所有,並保留一切權利。 著作權