擁有限制存取權限的應用程式佈署方案
2018年4月2日
ID 89869
該佈署方案適用於您組織中的安全政策在您的帳戶下不能執行所有應用程式的安裝操作,並且限制對 SQL server 或 Active Directory 存取的情況。範例,您組織中的資料庫由一個能夠完整存取 SQL 伺服器的其他專家管理時,此情況可能發生。
帳戶群組的名稱在單個 Active Directory 網域林中必須唯一。
若要準備安裝存取 SQL server 或者 Active Directory 授權的界限集:
- 請確保用於佈署應用程式的帳戶包含在佈署應用程式的 Microsoft Exchange Server 上的本機“管理員”群組中。如果不是,將帳戶包含在該群組中。
- 在 Active Directory 建立以下容器:
CN=KasperskyLab,CN=Services,CN=Configuration,DC=domain,DC=domain
- 設定用於應用程式安裝的帳戶對此容器和其所有子物件的完全存取。
- 建立 Kse Watchdog Service 帳戶群組。群組的類型是“通用的”。將啟動應用程式服務的帳戶包含至該群組中。如果此時本機系統帳戶正在被使用,也應將此帳戶包含至安裝了應用程式的電腦中的 Kse Watchdog Service 群組中。
- 將 Kse Watchdog Service 群組新增到佈署應用程式的 Microsoft Exchange Server 上的本機“管理員”群組中。
如果您以前刪除了預設授予管理員群組的 Debug Programs 權限,請將此權限授予 Kse Watchdog Service 群組。
- 為 Kse Watchdog Service 群組提供從儲存了 Microsoft Exchange 設定資料的 Active Directory 容器中讀取資料的權利:
CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain
- (僅適用於 Microsoft Exchange 2013 和 Microsoft Exchange 2016 伺服器)。為 Kse Watchdog Services 群組提供 ms-Exch-Store-Admin 權利。為此,請在 Exchange Management Shell 主控台中執行以下指令:
Add-ADPermission -Identity "<包含 Microsoft Exchange 的容器路徑>" -User "<domain name>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
範例:
Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
- (適用於 Microsoft Exchange 2013 / 2016 Server)。為 Kse Watchdog Service 群組提供在不同名稱(模式)下執行的權限。為此,請在 Exchange Management Shell 主控台中執行以下指令:
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
- 如果您想要在 Microsoft Exchange 2010 server 上為選定信箱使用自訂掃描,請授權 Kse Watchdog Service 群組在其他名稱 (impersonation) 下執行的權限。為此,請在 Exchange Management Shell 主控台中執行以下指令:
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
- 建立以下帳戶群組:Kse 管理員、 Kse 資安管理員、Kse AV 資安管理員和 Kse AV 操作員。可以在任意公司網域中建立這些群組。群組的類型是“通用的”。
- 在整個群組中執行 Active Directory 資料的複製。
- 為公司中執行相應職責的使用者帳戶分配適當的使用者角色。要做到這一點,在 Active Directory 中新增使用者帳戶到以下帳戶群組:
- 將管理員帳戶新增在 Kse 管理員群組中。
- 將資安管理員帳戶新增在 Kse 資安管理員群組中。
- 將病毒防護資安管理員帳戶新增在 Kse AV 資安管理員群組中。
- 將病毒防護安全操作員帳戶新增在 Kse AV 操作員群組中。
- 確保應用程式資料庫的建立。您可以自己執行此操作,也可以將其委託給授權專家。
- 建立 SQL server 上下列 Active Directory 群組的帳戶:Kse Administrators,Kse AV Security Officers 和 Kse Watchdog Service。
- 確保為帳戶的 Kse Watchdog Service 群組分配了關於應用程式資料庫的 db_owner 角色。
- 確保用於準備資料庫的帳戶在應用程式資料庫等級分配了 db_owner 角色,在 SQL Server 等級分配了 VIEW ANY DEFINITION 權限。
如果您不為帳戶授權 VIEW ANY DEFINITION 權限,當應用程式檢查使用者存取應用程式資料庫的角色和權限時,螢幕上會出現提示 ALTER ANY LOGIN 權限的訊息。安裝精靈需要 ALTER ANY LOGIN 權限建立 SQL Server 使用者,為這些使用者分配角色和授權使用資料庫。
- 如果您計畫使用卡巴斯基安全管理中心管理應用程式,請將您正在安裝 Kaspersky Security 的所有電腦帳戶新增到 Active Directory 的 KSE Administrators 群組中。
如果您尚未將正在其上安裝 Kaspersky Security 的所有電腦使用者帳戶新增到 Active Directory 的 KSE 管理員群組中,螢幕上將會顯示一條資訊,包含關於如何確保使用卡巴斯基安全管理中心管理應用程式的資訊。
- 請確保在使用者安裝該程式的帳戶下執行應用程式安裝精靈和應用程式設定精靈的步驟。
- 在整個群組中執行 Active Directory 資料的複製。這對於儲存在 Active Directory 中的應用程式設定可供您組織中其他 Microsoft Exchange Server 上的應用程式的後續安裝是必要的。
如果應用程式是與設定了 AlwaysOn 技術的 SQL 資料庫一起安裝或工作,則您必須同步所有屬於資料庫映像群組的伺服器之間的權限。