Сценарий развертывания программы с ограниченным набором прав доступа

11 июня 2024

ID 89869

Этот сценарий развертывания подходит вам, если политика безопасности вашей организации не позволяет выполнить все действия по установке программы от имени вашей учетной записи и ограничивает права доступа к SQL-серверу или к Active Directory. Например, если администрирование баз данных в организации осуществляется другим специалистом, имеющим полный доступ к SQL-серверу.

Чтобы подготовиться к установке с ограниченным набором прав доступа к SQL-серверу или Active Directory, выполните следующие действия:

  1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы. Если не включена, включите учетную запись в эту группу.
  2. Создайте в Active Directory следующий контейнер:

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=<root domain>

  3. Настройте полный доступ к этому контейнеру и ко всем его дочерним объектам для учетной записи, предназначенной для установки программы.
  4. Создайте группу учетных записей Kse Watchdog Service. Тип группы – «Универсальная». Включите в нее учетную запись, предназначенную для работы службы программы. Если в качестве этой учетной записи используется Local System, включите в группу Kse Watchdog Service также учетную запись компьютера, на котором выполняется установка.
  5. Добавьте группу Kse Watchdog Service в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

    Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право группе Kse Watchdog Service.

  6. Предоставьте группе Kse Watchdog Service и учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  7. Предоставьте группе Kse Watchdog Services право ms-Exch-Store-Admin. Для этого выполните в консоли Exchange Management Shell следующую команду:

    Add-ADPermission -Identity "<путь к контейнеру с конфигурацией Microsoft Exchange>" -User "<имя домена>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Например:

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. Предоставьте группе Kse Watchdog Service право на запуск под другим именем (impersonation). Для этого выполните в консоли Exchange Management Shell следующую команду:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Создайте следующие группы учетных записей: Kse Administrators, Kse AV Security Officers, Kse AV Operators. Эти группы могут быть созданы в любом домене организации. Тип групп – "Универсальная".
  10. Выполните репликацию данных Active Directory во всей организации.
  11. Назначьте учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
    • Учетные записи администраторов – в группу Kse Administrators.
    • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
    • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.

    Если вы планируете управлять программой с помощью Kaspersky Security Center, добавьте учетные записи всех компьютеров, на которые вы устанавливаете Kaspersky Security, в группу KSE Administrators в Active Directory.

    Если вы не добавили учетные записи всех компьютеров, на которых вы устанавливаете Kaspersky Security в группу KSE Administrators в Active Directory, на экране появляется сообщение с информацией о том, как обеспечить возможность управления программой с помощью Kaspersky Security Center.

  12. Убедитесь, что учетная запись, предназначенная для установки программы, также входит в группу KSE Administrators в Active Directory.

    Если установка программы уже выполнена хотя бы на одном компьютере в сети организации, для установки программы на других компьютерах организации достаточно учетной записи локального администратора. При этом требуется предоставить учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

  13. Обеспечьте создание базы данных программы. Выполните это действие самостоятельно или делегируйте его выполнение уполномоченному специалисту.
  14. Создайте на SQL-сервере учетную запись для следующей группы Active Directory: Kse Watchdog Service.
  15. Назначьте группе учетных записей Kse Watchdog Service роли db_owner на уровне базы данных программы.
  16. Назначьте учетной записи, предназначенной для подготовки базы данных, роли db_owner на уровне базы данных программы и права VIEW ANY DEFINITION на уровне SQL-сервера.

    Если вы не предоставили этой учетной записи право VIEW ANY DEFINITION, при проверке мастером установки ролей и прав пользователей на базу данных программы на экране появляется сообщение с запросом права ALTER ANY LOGIN. Право ALTER ANY LOGIN требуется мастеру установки, чтобы создать пользователей SQL-сервера, присвоить этим пользователям роли и выдать им права на использование базы данных.

  17. Предоставьте учетной записи, предназначенной для подготовки базы данных, права Allow Logon Locally ("Разрешить локальный вход в систему").
  18. Предоставьте учетной записи, предназначенной для работы службы программы, права Allow Logon Locally ("Разрешить локальный вход в систему").
  19. Выполните шаги мастера установки программы и мастера настройки программы от имени учетной записи, предназначенной для установки программы.

    Если вы планируете использование протокола сетевой аутентификации Kerberos, убедитесь, что у учетной записи, предназначенной для установки программы, имеются полномочия на регистрацию SPN-записи. Если такие полномочия отсутствуют, вы можете зарегистрировать SPN вручную после установки программы.

  20. Выполните репликацию данных Active Directory во всей организации. Это действие требуется, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При создании базы данных SQL сервер использует локальные правила сопоставления. Учитывайте параметр Collation при установке программы для избежания регистрозависимого поведения и ошибок при подключении к базе данных.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn требуется синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!