Сценарии развертывания программы

Перед развертыванием программы необходимо подготовить следующие учетные записи:

• Учетная запись для установки программы. От имени этой учетной записи запускается мастер установки программы и мастер настройки программы.
• Учетная запись для запуска службы программы. Если SQL-сервер находится на том же компьютере, на котором выполняется установка программы, роль этой учетной записи может выполнять учетная запись Local System. В этом случае создавать специальную учетную запись для запуска службы не нужно.
• Учетная запись для подготовки базы данных. От имени этой учетной записи мастер установки программы выполняет подготовку базы данных программы на SQL-сервере. После завершения установки эта учетная запись не используется.

Для работы программы необходимо, чтобы на всех компьютерах, предназначенных для установки Сервера безопасности и Консоли управления, а также на пути передачи данных между ними был открыт сетевой порт TCP 13100. Для взаимодействия с

Вы можете выполнить развертывание программы по одному из следующих сценариев:

• Сценарий развертывания программы с полным набором прав доступа.
• Сценарий развертывания программы с ограниченным набором прав доступа.

Сценарий развертывания программы с полным набором прав доступа

Этот сценарий развертывания подходит вам, если вы обладаете достаточными полномочиями, чтобы выполнить все действия по установке самостоятельно, не привлекая других специалистов, а ваша учетная запись обладает соответствующим набором прав доступа.

Чтобы выполнить развертывание программы с полным набором прав доступа, выполните следующие действия:

1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.
2. Убедитесь, что учетная запись, предназначенная для установки программы, включена в группы "Администраторы домена" и "Администраторы предприятия". Если не включена, включите учетную запись в эти группы. Это необходимо, чтобы мастер установки программы мог создать конфигурационное хранилище и группы разграничения доступа в Active Directory.

   Если установка программы уже выполнена хотя бы на одном компьютере в сети организации, для установки программы на других компьютерах организации достаточно учетной записи локального администратора. При этом требуется предоставить учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:
   CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

3. Назначьте учетной записи, предназначенной для подготовки базы данных, роль sysadmin на SQL-сервере. Эти права необходимы для создания и настройки базы данных. Учетная запись также должна обладать правом Allow Logon Locally ("Разрешить локальный вход в систему"), выданным в локальной политике безопасности на сервере Microsoft Exchange, на котором выполняется установка программы.
4. Добавьте учетную запись, предназначенную для запуска службы, в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

   Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право учетной записи, предназначенной для запуска службы.

5. Добавьте учетную запись, предназначенную для запуска службы, в группу Organization Management. Это необходимо для получения программой конфигурационных параметров сервера Microsoft Exchange.
6. Запустите и выполните шаги мастера установки программы и мастера настройки программы.

   Если вы планируете использование протокола сетевой аутентификации Kerberos, убедитесь, что у учетной записи, предназначенной для установки программы, имеются полномочия на регистрацию SPN-записи. Если такие полномочия отсутствуют, вы можете зарегистрировать SPN вручную после установки программы.

7. Назначьте учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
   • Учетные записи администраторов – в группу Kse Administrators.
   • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
   • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.
8. Выполните репликацию данных Active Directory во всей организации. Это действие необходимо, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При создании базы данных SQL сервер использует локальные правила сопоставления. Учитывайте параметр Collation при установке программы для избежания регистрозависимого поведения и ошибок при подключении к базе данных.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn требуется синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.

Сценарий развертывания программы с ограниченным набором прав доступа

Этот сценарий развертывания подходит вам, если политика безопасности вашей организации не позволяет выполнить все действия по установке программы от имени вашей учетной записи и ограничивает права доступа к SQL-серверу или к Active Directory. Например, если администрирование баз данных в организации осуществляется другим специалистом, имеющим полный доступ к SQL-серверу.

Чтобы подготовиться к установке с ограниченным набором прав доступа к SQL-серверу или Active Directory, выполните следующие действия:

1. Убедитесь, что учетная запись, предназначенная для установки программы, включена в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы. Если не включена, включите учетную запись в эту группу.
2. Создайте в Active Directory следующий контейнер:

   CN=KasperskyLab,CN=Services,CN=Configuration,DC=<root domain>

3. Настройте полный доступ к этому контейнеру и ко всем его дочерним объектам для учетной записи, предназначенной для установки программы.
4. Создайте группу учетных записей Kse Watchdog Service. Тип группы – «Универсальная». Включите в нее учетную запись, предназначенную для работы службы программы. Если в качестве этой учетной записи используется Local System, включите в группу Kse Watchdog Service также учетную запись компьютера, на котором выполняется установка.
5. Добавьте группу Kse Watchdog Service в локальную группу "Администраторы" на сервере Microsoft Exchange, на котором выполняется установка программы.

   Если ранее вы удалили право Debug Programs, предоставляемое группе "Администраторы" по умолчанию, назначьте это право группе Kse Watchdog Service.

6. Предоставьте группе Kse Watchdog Service и учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:

   CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

7. Предоставьте группе Kse Watchdog Services право ms-Exch-Store-Admin. Для этого выполните в консоли Exchange Management Shell следующую команду:

   Add-ADPermission -Identity "<путь к контейнеру с конфигурацией Microsoft Exchange>" -User "<имя домена>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

   Например:

   Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

8. Предоставьте группе Kse Watchdog Service право на запуск под другим именем (impersonation). Для этого выполните в консоли Exchange Management Shell следующую команду:

   New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

9. Создайте следующие группы учетных записей: Kse Administrators, Kse AV Security Officers, Kse AV Operators. Эти группы могут быть созданы в любом домене организации. Тип групп – "Универсальная".
10. Выполните репликацию данных Active Directory во всей организации.
11. Назначьте учетным записям, которые принадлежат пользователям, выполняющим разные обязанности в вашей организации, соответствующие роли пользователя. Для этого включите учетные записи пользователей в следующие группы учетных записей Active Directory:
    • Учетные записи администраторов – в группу Kse Administrators.
    • Учетные записи специалистов по антивирусной безопасности – в группу Kse AV Security Officers.
    • Учетные записи операторов антивирусной безопасности – в группу Kse AV Operators.

    Если вы планируете управлять программой с помощью Kaspersky Security Center, добавьте учетные записи всех компьютеров, на которые вы устанавливаете Kaspersky Security, в группу KSE Administrators в Active Directory.

    Если вы не добавили учетные записи всех компьютеров, на которых вы устанавливаете Kaspersky Security в группу KSE Administrators в Active Directory, на экране появляется сообщение с информацией о том, как обеспечить возможность управления программой с помощью Kaspersky Security Center.

12. Убедитесь, что учетная запись, предназначенная для установки программы, также входит в группу KSE Administrators в Active Directory.

    Если установка программы уже выполнена хотя бы на одном компьютере в сети организации, для установки программы на других компьютерах организации достаточно учетной записи локального администратора. При этом требуется предоставить учетной записи, предназначенной для установки программы, права на чтение данных конфигурации Microsoft Exchange из следующего контейнера Active Directory и всех его дочерних объектов:
    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<root domain>

13. Обеспечьте создание базы данных программы. Выполните это действие самостоятельно или делегируйте его выполнение уполномоченному специалисту.
14. Создайте на SQL-сервере учетную запись для следующей группы Active Directory: Kse Watchdog Service.
15. Назначьте группе учетных записей Kse Watchdog Service роли db_owner на уровне базы данных программы.
16. Назначьте учетной записи, предназначенной для подготовки базы данных, роли db_owner на уровне базы данных программы и права VIEW ANY DEFINITION на уровне SQL-сервера.

    Если вы не предоставили этой учетной записи право VIEW ANY DEFINITION, при проверке мастером установки ролей и прав пользователей на базу данных программы на экране появляется сообщение с запросом права ALTER ANY LOGIN. Право ALTER ANY LOGIN требуется мастеру установки, чтобы создать пользователей SQL-сервера, присвоить этим пользователям роли и выдать им права на использование базы данных.

17. Предоставьте учетной записи, предназначенной для подготовки базы данных, права Allow Logon Locally ("Разрешить локальный вход в систему").
18. Предоставьте учетной записи, предназначенной для работы службы программы, права Allow Logon Locally ("Разрешить локальный вход в систему").
19. Выполните шаги мастера установки программы и мастера настройки программы от имени учетной записи, предназначенной для установки программы.

    Если вы планируете использование протокола сетевой аутентификации Kerberos, убедитесь, что у учетной записи, предназначенной для установки программы, имеются полномочия на регистрацию SPN-записи. Если такие полномочия отсутствуют, вы можете зарегистрировать SPN вручную после установки программы.

20. Выполните репликацию данных Active Directory во всей организации. Это действие требуется, чтобы параметры программы, сохраненные в Active Directory, стали доступны для последующих установок программы на другие серверы Microsoft Exchange вашей организации.

При создании базы данных SQL сервер использует локальные правила сопоставления. Учитывайте параметр Collation при установке программы для избежания регистрозависимого поведения и ошибок при подключении к базе данных.

При установке или работе программы с использованием базы SQL с настроенной технологией AlwaysOn требуется синхронизировать права между всеми серверами, входящими в группу зеркального отображения баз данных.