该部署方案适用于您组织中的安全策略在您的账户下不能执行所有应用程序的安装操作,并且限制对 SQL server 或 Active Directory 访问的情况。例如,您组织中的数据库由一个能够完整访问 SQL server 的其他专家管理时,此情况可能发生。
若要准备安装访问 SQL server 或者活动目录许可的界限集:
CN=KasperskyLab,CN=Services,CN=Configuration,DC=<根域>
如果您以前删除了默认授予管理员组的 Debug Programs 权限,请将此权限授予 Kse Watchdog Service 组。
CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>
Add-ADPermission -Identity "<包含 Microsoft Exchange 的容器路径>" -User "<domain name>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
例如:
Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
如果您计划使用 Kaspersky Security Center 管理应用程序,请将您正在安装 Kaspersky Security 的所有计算机账户添加到 Active Directory 的 KSE Administrators 组中。
如果您尚未将正在其上安装 Kaspersky Security 的所有计算机用户账户添加到 Active Directory 的 KSE 管理员组中,屏幕上将会显示一条信息,包含关于如何确保使用 Kaspersky Security Center 管理应用程序的信息。
如果应用程序已在企业局域网内至少一台计算机上安装,要在企业局域网上的其他计算机安装该应用程序,您所需的就是本地管理员账户。在这种情况下,用于安装应用程序的用户账户必须具有从以下 Active Directory 容器及其所有子对象中读取 Microsoft Exchange 配置的权限:CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
如果您不为账户授权 VIEW ANY DEFINITION 权限,当应用程序检查用户访问应用程序数据库的角色和权限时,屏幕上会出现提示 ALTER ANY LOGIN 权限的消息。安装向导需要 ALTER ANY LOGIN 权限创建 SQL Server 用户,为这些用户分配角色和授权使用数据库。
如果您计划使用 Kerberos 网络身份验证协议,请确保用于安装应用程序的账户具有注册 SPN 账户的权限。如果缺乏这样的权限,您可以在安装应用程序后手动注册一个 SPN。
创建 SQL 数据库时,服务器使用本地排序规则。安装应用程序时,请考虑“排序”参数,以避免在连接到数据库时出现与注册相关的行为和错误。
如果应用程序是与配置了 AlwaysOn 技术的 SQL 数据库一起安装或工作,则您必须同步所有属于数据库镜像组的服务器之间的权限。
页面顶部