拥有限制访问权限集的应用程序部署方案。
2024年7月25日
ID 89869
该部署方案适用于您组织中的安全策略在您的账户下不能执行所有应用程序的安装操作,并且限制对 SQL server 或 Active Directory 访问的情况。例如,您组织中的数据库由一个能够完整访问 SQL server 的其他专家管理时,此情况可能发生。
若要准备安装访问 SQL server 或者活动目录许可的界限集:
- 请确保用于部署应用程序的账户包含在部署应用程序的 Microsoft Exchange 服务器上的本地“管理员”组中。如果不是,将账户包含在该组中。
- 在 Active Directory 创建以下容器:
CN=KasperskyLab,CN=Services,CN=Configuration,DC=<根域>
- 配置用于应用程序安装的账户对此容器和其所有子对象的完全访问。
- 创建 Kse Watchdog Service 账户组。组的类型是“通用的”。将启动应用程序服务的账户包含至该组中。如果此时本地系统账户正在被使用,也应将此账户包含至安装了应用程序的计算机中的 Kse Watchdog Service 组中。
- 将 Kse Watchdog Service 组添加到部署应用程序的 Microsoft Exchange 服务器上的本地“管理员”组中。
如果您以前删除了默认授予管理员组的 Debug Programs 权限,请将此权限授予 Kse Watchdog Service 组。
- Kse Watchdog Service 和用于安装应用程序的账户必须被授予从以下 Active Directory 容器及其所有子对象读取 Microsoft Exchange 配置数据的权限:
CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>
- 为 Kse Watchdog Services 组提供 ms-Exch-Store-Admin 权利。为此,请在 Exchange Management Shell 控制台中运行以下命令:
Add-ADPermission -Identity "<包含 Microsoft Exchange 的容器路径>" -User "<domain name>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
例如:
Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<根域>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin
- 为 Kse Watchdog Service 组提供在不同名称(模式)下运行的权限。为此,请在 Exchange Management Shell 控制台中运行以下命令:
New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"
- 创建以下账户组:Kse Administrators、Kse AV Security Officers、Kse AV Operators。可以在任意公司域中创建这些组。组的类型是“通用的”。
- 在整个组中执行 Active Directory 数据的复制。
- 为公司中执行相应职责的用户账户分配专用的用户角色。要做到这一点,在 Active Directory 中添加用户账户到以下账户组:
- 将管理员账户添加在 Kse 管理员组中。
- 将反病毒安全人员账户添加在 Kse AV 安全人员组中。
- 将反病毒安全操作员账户添加在 Kse AV 操作员组中。
如果您计划使用 Kaspersky Security Center 管理应用程序,请将您正在安装 Kaspersky Security 的所有计算机账户添加到 Active Directory 的 KSE Administrators 组中。
如果您尚未将正在其上安装 Kaspersky Security 的所有计算机用户账户添加到 Active Directory 的 KSE 管理员组中,屏幕上将会显示一条信息,包含关于如何确保使用 Kaspersky Security Center 管理应用程序的信息。
- 确保用于安装应用程序的账户也包含在 Active Directory 的 KSE Administrators 组中。
如果应用程序已在企业局域网内至少一台计算机上安装,要在企业局域网上的其他计算机安装该应用程序,您所需的就是本地管理员账户。在这种情况下,用于安装应用程序的用户账户必须具有从以下 Active Directory 容器及其所有子对象中读取 Microsoft Exchange 配置的权限:
CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>
- 确保应用程序数据库的创建。您可以自己执行此操作,也可以将其委托给授权专家。
- 在 SQL Server 上,为以下 Active Directory 组创建账户:Kse Watchdog Service。
- 在应用程序数据库级别为 Kse Watchdog Service 账户组分配 db_owner 角色。
- 在应用程序数据库级别为用于准备数据库的账户分配 db_owner 角色,并在 SQL Server 级别为其分配 VIEW ANY DEFINITION 权限。
如果您不为账户授权 VIEW ANY DEFINITION 权限,当应用程序检查用户访问应用程序数据库的角色和权限时,屏幕上会出现提示 ALTER ANY LOGIN 权限的消息。安装向导需要 ALTER ANY LOGIN 权限创建 SQL Server 用户,为这些用户分配角色和授权使用数据库。
- 为用于准备数据库的账户授予“允许本地登录”权限。
- 为用于运行应用程序服务的账户授予“允许本地登录”权限。
- 在用于安装应用程序的账户下执行应用程序安装向导和应用程序配置向导的步骤。
- 在整个组中执行 Active Directory 数据的复制。这对于保存在 Active Directory 中的应用程序设置可供您组织中其他 Microsoft Exchange 服务器上的应用程序的后续安装是必要的。
创建 SQL 数据库时,服务器使用本地排序规则。安装应用程序时,请考虑“排序”参数,以避免在连接到数据库时出现与注册相关的行为和错误。
如果应用程序是与配置了 AlwaysOn 技术的 SQL 数据库一起安装或工作,则您必须同步所有属于数据库镜像组的服务器之间的权限。