Сценарий развертывания программы с ограниченным набором прав доступа

Этот сценарий развертывания подходит вам, если политика безопасности вашей организации не позволяет выполнить все действия по установке программы от имени вашей учетной записи и ограничивает права доступа к SQL-серверу или к Active Directory. Например, если администрирование баз данных в организации осуществляется другим специалистом, имеющим полный доступ к SQL-серверу.

Имена групп учетных записей должны оставаться уникальными в рамках леса Active Directory.

Чтобы подготовиться к установке с ограниченным набором прав доступа к SQL-серверу или Active Directory, выполните следующие действия:

  1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы. Если не включена, включите учетную запись в эту группу.
  2. Создайте в Active Directory следующий контейнер:

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=domain,DC=domain

  3. Настройте полный доступ к этому контейнеру, а также ко всем его дочерним объектам для учетной записи, предназначенной для установки программы.
  4. Создайте группу учетных записей Kse Watchdog Service. Тип группы – «Универсальная». Включите в нее учетную запись, предназначенную для работы службы программы. Если в качестве этой учетной записи используется Local System, включите в группу Kse Watchdog Service также учетную запись компьютера, на котором выполняется установка.
  5. Добавьте группу Kse Watchdog Service в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

    Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право группе Kse Watchdog Service.

  6. Предоставьте группе Kse Watchdog Service права на чтение данных из контейнера Active Directory, содержащего данные конфигурации Microsoft Exchange:

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain

  7. (Применимо только для серверов Microsoft Exchange 2013 и Microsoft Exchange 2016). Предоставьте группе Kse Watchdog Services право ms-Exch-Store-Admin. Для этого выполните в консоли Exchange Management Shell следующую команду:

    Add-ADPermission -Identity "<путь к контейнеру с конфигурацией Microsoft Exchange>" -User "<имя домена>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Например:

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. (Применимо для серверов Microsoft Exchange 2013 / 2016). Предоставьте группе Kse Watchdog Service право на запуск под другим именем (impersonation). Для этого выполните в консоли Exchange Management Shell следующую команду:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Если вы хотите использовать проверку по требованию выбранных почтовых ящиков на серверах Microsoft Exchange 2010, предоставьте группе Kse Watchdog Service право на запуск под другим именем (impersonation). Для этого выполните в консоли Exchange Management Shell следующую команду:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  10. Создайте следующие группы учетных записей: Kse Administrators, Kse Security Officers, Kse AV Security Officers, Kse AV Operators. Эти группы могут быть созданы в любом домене организации. Тип групп – "Универсальная".
  11. Выполните репликацию данных Active Directory во всей организации.
  12. Обеспечьте назначение учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
    • Учетные записи администраторов – в группу Kse Administrators.
    • Учетные записи специалистов по информационной безопасности – в группу Kse Security Officers.
    • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
    • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.
  13. Обеспечьте создание базы данных программы. Выполните это действие самостоятельно или делегируйте его выполнение уполномоченному специалисту.
  14. Создайте на SQL-сервере учетные записи для следующих групп Active Directory: Kse Administrators, Kse AV Security Officers, Kse Watchdog Service.
  15. Обеспечьте назначение группе учетных записей Kse Watchdog Service роли db_owner на уровне базы данных программы.
  16. Обеспечьте предоставление учетной записи, предназначенной для подготовки базы данных, роли db_owner на уровне базы данных программы и права VIEW ANY DEFINITION на уровне SQL-сервера.

    Если вы не предоставили этой учетной записи право VIEW ANY DEFINITION, при проверке мастером установки ролей и прав пользователей на базу данных программы на экране появляется сообщение с запросом права ALTER ANY LOGIN. Право ALTER ANY LOGIN требуется мастеру установки, чтобы создать пользователей SQL-сервера, присвоить этим пользователям роли и выдать им права на использование базы данных.

  17. Если вы планируете управлять программой с помощью Kaspersky Security Center, добавьте учетные записи всех компьютеров, на которые вы устанавливаете Kaspersky Security, в группу KSE Administrators в Active Directory.

    Если вы не добавили учетные записи всех компьютеров, на которых вы устанавливаете Kaspersky Security в группу KSE Administrators в Active Directory, на экране появляется сообщение с информацией о том, как обеспечить возможность управления программой с помощью Kaspersky Security Center.

  18. Обеспечьте запуск и выполнение шагов мастера установки программы и мастера настройки программы от имени учетной записи, предназначенной для установки программы.
  19. Выполните репликацию данных Active Directory во всей организации. Это действие необходимо, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn необходимо синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.

В начало