拥有限制访问权限集的应用程序部署方案
该部署方案适用于您组织中的安全策略在您的账户下不能执行所有应用程序的安装操作,并且限制对 SQL server 或 Active Directory 访问的情况。例如,您组织中的数据库由一个能够完整访问 SQL server 的其他专家管理时,此情况可能发生。
若要准备安装访问 SQL server 或者活动目录许可的界限集:
- 请确保用于部署应用程序的账户包含在部署应用程序的 Microsoft Exchange 服务器上的本地“管理员”组中。如果不是,将账户包含在该组中。
- 在 Active Directory 创建以下容器:
CN=KasperskyLab,CN=Services,CN=Configuration,DC=domain,DC=domain
- 配置用于应用程序安装的账户对此容器和其所有子对象的完全访问。
- 创建 Kse Watchdog Service 账户组。组的类型是“通用的”。将启动应用程序服务的账户包含至该组中。如果此时本地系统账户正在被使用,也应将此账户包含至安装了应用程序的计算机中的 Kse Watchdog Service 组中。
- 将 Kse Watchdog Service 组添加到部署应用程序的 Microsoft Exchange 服务器上的本地“管理员”组中。
如果您以前删除了默认授予管理员组的 Debug Programs 权限,请将此权限授予 Kse Watchdog Service 组。
- 为 Kse Watchdog Service 组提供从存储了 Microsoft Exchange 配置数据的 Active Directory 容器中读取数据的权利:
CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain
- (仅适用于 Microsoft Exchange 2013 和 Microsoft Exchange 2016 服务器)。为 Kse Watchdog Services 组提供 ms-Exch-Store-Admin 权利。为此,请在 Exchange Management Shell 控制台中运行以下命令:
Add-ADPermission -Identity "<包含 Microsoft Exchange 的容器路径>" -User "<domain name>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
例如:
Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
- (适用于 Microsoft Exchange 2013 / 2016 Server)。为 Kse Watchdog Service 组提供在不同名称(模式)下运行的权限。为此,请在 Exchange Management Shell 控制台中运行以下命令:
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
- 如果您想要在 Microsoft Exchange 2010 server 上为选定邮箱使用按需扫描,请授权 Kse Watchdog Service 组在其他名称(impersonation)下运行的权限。为此,请在 Exchange Management Shell 控制台中运行以下命令:
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
- 创建以下账户组: Kse 管理员、 Kse 安全人员、Kse AV 安全人员和 Kse AV 操作员。可以在任意公司域中创建这些组。组的类型是“通用的”。
- 在整个组中执行 Active Directory 数据的复制。
- 为公司中执行相应职责的用户账户分配适当的用户角色。要做到这一点,在 Active Directory 中添加用户账户到以下账户组:
- 将管理员账户添加在 Kse 管理员组中。
- 将安全人员账户添加在 Kse 安全人员组中。
- 将反病毒安全人员账户添加在 Kse AV 安全人员组中。
- 将反病毒安全操作员账户添加在 Kse AV 操作员组中。
- 确保应用程序数据库的创建。您可以自己执行此操作,也可以将其委托给授权专家。
- 创建 SQL server 上下列活动目录组的账户:Kse Administrators, Kse AV Security Officers, 和 Kse Watchdog Service。
- 确保为账户的 Kse Watchdog Service 组分配了关于应用程序数据库的 db_owner 角色。
- 确保用于准备数据库的账户在应用程序数据库级别分配了 db_owner 角色,在 SQL Server 级别分配了 VIEW ANY DEFINITION 权限。
如果您不为账户授权 VIEW ANY DEFINITION 权限,当应用程序检查用户访问应用程序数据库的角色和权限时,屏幕上会出现提示 ALTER ANY LOGIN 权限的消息。安装向导需要 ALTER ANY LOGIN 权限创建 SQL Server 用户,为这些用户分配角色和授权使用数据库。
- 如果您计划使用 Kaspersky Security Center 管理应用程序,请将您正在安装 Kaspersky Security 的所有计算机账户添加到 Active Directory 的 KSE Administrators 组中。
如果您尚未将正在其上安装 Kaspersky Security 的所有计算机用户账户添加到 Active Directory 的 KSE 管理员组中,屏幕上将会显示一条信息,包含关于如何确保使用 Kaspersky Security Center 管理应用程序的信息。
- 请确保在用户安装该程序的账户下执行应用程序安装向导和应用程序配置向导的步骤。
- 在整个组中执行 Active Directory 数据的复制。这对于保存在 Active Directory 中的应用程序设置可供您组织中其他 Microsoft Exchange 服务器上的应用程序的后续安装是必要的。
如果应用程序是与配置了 AlwaysOn 技术的 SQL 数据库一起安装或工作,则您必须同步所有属于数据库镜像组的服务器之间的权限。
页面顶部