Kaspersky Security 9.x für Microsoft Exchange Server

Szenario der Programminstallation mit eingeschränkten Zugriffsrechten

11. Juni 2024

ID 89869

Dieses Installationsszenario ist für Sie geeignet, wenn die Sicherheitsrichtlinie Ihres Unternehmens es nicht gestattet, den gesamten Installationsvorgang unter Ihrem Konto auszuführen, und die Zugriffsrechte für den SQL-Server oder das Active Directory beschränkt. Dies ist beispielsweise der Fall, wenn die Verwaltung der Datenbanken im Unternehmen durch eine andere Person mit Vollzugriff auf den SQL-Server erfolgt.

Um die Installation mit eingeschränkten Zugriffsrechten für den SQL-Server oder Active Directory vorzubereiten, gehen Sie wie folgt vor:

  1. Vergewissern Sie sich, dass das für die Programminstallation vorgesehene Konto der lokalen Gruppe „Administratoren“ auf dem Microsoft Exchange Server angehört, auf dem die Programminstallation erfolgt. Ist dies nicht der Fall, müssen Sie das Konto dieser Gruppe hinzufügen.
  2. Erstellen Sie im Active Directory den folgenden Container:

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=<root domain>

  3. Richten Sie für das Benutzerkonto, unter dem die Programminstallation erfolgen soll, vollen Zugriff auf diesen Container und alle darin enthaltenen Unterobjekte ein.
  4. Richten Sie die Benutzerkontengruppe Kse Watchdog Service ein. Gruppentyp – "Allgemein". Fügen Sie dieser Gruppe das Konto hinzu, unter dem der Dienst des Programms laufen soll. Wird hierfür das Konto Local System verwendet, müssen Sie der Gruppe Kse Watchdog Service außerdem das Konto des Computers hinzufügen, auf dem die Installation stattfindet.
  5. Fügen Sie die Gruppe Kse Watchdog Service der lokalen Gruppe „Administratoren“ auf dem Microsoft Exchange Server hinzu, auf dem die Programminstallation erfolgt.

    Wenn Sie zuvor das Debug Programs Recht, das der „Administratoren“ Gruppe standardmäßig erlaubt worden ist, entfernt haben, können Sie dieses Recht der Kse Watchdog Service Gruppe gewähren.

  6. Weisen Sie der Gruppe Kse Watchdog Service und dem Benutzerkonto, das für die Programminstallation vorgesehen ist, Leseberechtigung auf die Konfigurationsdaten von Microsoft Exchange aus dem folgenden Active Directory-Container und dessen untergeordneten Objekten zu:

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  7. Weisen Sie der Gruppe Kse Watchdog Services das Recht ms-Exch-Store-Admin zu. Führen Sie hierzu in der Konsole Exchange Management Shell folgenden Befehl aus:

    Add-ADPermission -Identity "<Pfad zum Container mit der Konfiguration von Microsoft Exchange>" -User "<Domänenname>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Beispiel:

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. Weisen Sie der Gruppe Kse Watchdog Service das Recht zum Start unter einem anderen Namen (impersonation) zu. Führen Sie hierzu in der Konsole Exchange Management Shell folgenden Befehl aus:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Erstellen Sie folgende Kontogruppen: Kse Administrators, Kse AV Security Officers, Kse AV Operators. Diese Gruppen können in einer beliebigen Domäne des Unternehmens erstellt werden. Gruppentyp – "Allgemein".
  10. Replizieren Sie die Daten des Active Directory im gesamten Unternehmen.
  11. Weisen Sie Konten, die Benutzern gehören, die in Ihrer Organisation verschiedene Verpflichtungen haben, die entsprechenden Benutzerrollen zu. Fügen Sie die Benutzerkonten zu den folgenden Active Directory-Benutzergruppen hinzu:
    • Administratorkonten zur Gruppe Kse Administrators
    • Konten der Experten für Antiviren-Sicherheit zur Gruppe Kse AV Security Officers
    • Konten der Operatoren für Antiviren-Sicherheit zur Gruppe Kse AV Operators

    Wenn Sie planen, das Programm mithilfe von Kaspersky Security Center zu verwalten, fügen Sie die Benutzerkonten aller Computer hinzu, auf die Sie Kaspersky Security in die Gruppe KSE Administrators in Active Directory installieren.

    Wenn Sie nicht die Benutzerkonten aller Computer, auf die Sie Kaspersky Security in die Gruppe KSE Administrators in Active Directory installieren, hinzugefügt haben, erscheint am Bildschirm die Nachricht mit den Informationen darüber, wie die Programmverwaltung mithilfe von Kaspersky Security Center gewährleistet werden kann.

  12. Vergewissern Sie sich, dass das für die Programminstallation vorgesehene Benutzerkonto ferner zur Gruppe KSE Administrators in Active Directory gehört.

    Ist die Programminstallation bereits auf mindestens einem Computer im Netzwerk des Unternehmens erfolgt, genügt bei der Installation auf anderen Computern des Unternehmens das Benutzerkonto des lokalen Administrators. Dazu muss dem Benutzerkonto, das für die Programminstallation vorgesehen ist, die Leseberechtigung für die Konfigurationsdaten von Microsoft Exchange aus dem folgenden Active-Directory-Container und dessen untergeordneten Objekten gewährt werden:
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  13. Gewährleisten Sie die Erstellung der Programmdatenbank. Übernehmen Sie diesen Vorgang selbst oder delegieren Sie ihn an einen entsprechenden Spezialisten.
  14. Erstellen Sie auf dem SQL-Server ein Benutzerkonto für die folgenden Active-Directory-Gruppe: Kse Watchdog Service.
  15. Weisen Sie der Benutzerkontengruppe Kse Watchdog Service auf der Ebene der Programm-Datenbank die Rolle db_owner zu.
  16. Weisen Sie dem für die Vorbereitung der Datenbank vorgesehenen Benutzerkonto die Rolle db_owner auf Programm-Datenbanken-Ebene und die Berechtigungen "VIEW ANY DEFINITION" auf SQL-Server-Ebene zu.

    Wenn Sie diesem Benutzerkonto die Berechtigung "VIEW ANY DEFINITION" nicht zugewiesen haben, erscheint bei der Überprüfung der Rollen und der Berechtigungen der Benutzer für die Programm-Datenbank auf dem Bildschirm eine Anfragemeldung für die Berechtigung "ALTER ANY LOGIN". Die Berechtigung ALTER ANY LOGIN wird vom Installationsassistenten benötigt, um die Benutzer des SQL-Servers anzulegen und diesen Benutzern Rollen sowie Berechtigungen für die Nutzung der Datenbank zuzuweisen.

  17. Weisen Sie dem Benutzerkonto, das für die Vorbereitung der Datenbanken vorgesehen ist, die Berechtigung Allow Logon Locally („Lokale Anmeldung im System erlauben“) zu.
  18. Weisen Sie dem Benutzerkonto, unter dem der Dienst des Programms laufen soll, die Berechtigung Allow Logon Locally („Lokale Anmeldung im System erlauben“) zu.
  19. Führen Sie die Schritte des Installationsassistenten und des Konfigurationsassistenten unter dem für die Programminstallation vorgesehenen Benutzerkonto aus.

    Wenn Sie das Kerberos-Netzwerkauthentifizierungsprotokoll verwenden möchten, stellen Sie sicher, dass das zur Installation des Programms verwendete Konto über die Berechtigung zum Registrieren des SPN-Eintrags verfügt. Wenn das Konto über eine solche Berechtigung nicht verfügt, können Sie den SPN nach der Installation des Programms manuell registrieren.

  20. Replizieren Sie die Daten des Active Directory im gesamten Unternehmen. Dies ist erforderlich, damit die im Active Directory gespeicherten Programmeinstellungen für nachfolgende Programminstallationen auf anderen Microsoft Exchange Servern Ihres Unternehmens verfügbar sind.

Beim Erstellen der Datenbanken verwendet der SQL-Server die lokalen Vergleichsregeln. Berücksichtigen Sie bei der Installation des Programms den Parameter Collation zur Vermeidung von registrierungsabhängigem Verhalten und Fehlern bei der Verbindung mit der Datenbank.

Bei der Installation oder der Ausführung des Programms unter Verwendung einer SQL-Datenbank mit eingerichteter AlwaysOn-Technologie müssen die Rechte zwischen allen Servern, die zur Gruppe der Spiegelung der Datenbanken gehören, synchronisiert werden.

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.