Sicherheitsüberlegungen zu Microsoft Dynamics 365
Veröffentlicht: Januar 2017
Gilt für: Dynamics 365 (on-premises), Dynamics CRM 2016
Microsoft Dynamics 365 wurde so entwickelt, das es hilft, die Sicherheit Ihrer Bereitstellung zu erhöhen. Dieser Abschnitt enthält Informationen und bewährte Methoden für die Microsoft Dynamics 365-Anwendung.Weitere Informationen:Sicherheitskonzepte für Microsoft Dynamics 365
In diesem Thema
Welches Dienstkonto sollte ich auswählen?
Für Microsoft Dynamics CRM-Setup und -Dienste erforderliche Mindestberechtigungen
Microsoft Dynamics CRM-Installationsdateien
Welches Dienstkonto sollte ich auswählen?
Wenn Sie eine Identität angeben, um einen Microsoft Dynamics 365-Dienst auszuführen, können Sie entweder das Netzwerkdienstkonto oder ein Domänenbenutzerkonto auswählen.
Wenn der Dienst mit Netzwerkdiensten interagiert, greift er auf Domänenressourcen zu, wie freigegebene Dateiablagen, oder wenn er Verbindungsserver-Verbindungen zu anderen Computern verwendet, können Sie ein Domänenkonto mit minimalen Berechtigungen verwenden. Viele Server-zu-Server-Aktivitäten können mit einem Domänenbenutzerkonto ausgeführt werden und stellen und die sicherste Option zur Verfügung. Dieses Konto sollte von der Domänenverwaltung in Ihrer Umgebung vorab erstellt werden.
Hinweis
Wenn Sie einen Service konfigurieren für die Verwendung eines Domänenkonto konfigurieren, können Sie die Berechtigungen für die Verwendung isolieren, Sie müssen jedoch Kennwörter manuell veralten oder eine benutzerdefinierte oder Lösung zum Verwalten der Kennwörter erstellen. Viele Serveranwendungen verwenden diese Strategie, um die Sicherheit zu erhöhen, diese Strategie erfordert jedoch zusätzliche Komplexität und Verwaltung. In diesen Bereitstellungen wenden Serviceadministratoren beträchtliche Zeit für Wartungsaufgaben auf, wie Verwalten von Servicekennworten und Dienstprinzipalnamen (SPNs), die für die Kerberos-Authentifizierung erforderlich sind. Darüber hinaus können diese Wartungsaufgaben den Service stören.
Das Netzwerkdienstkonto ist ein integriertes Konto, das über Zugriff auf mehr Ressourcen und Objekte verfügt als Mitglieder der Domänenbeutzergruppe. Services, die als Netzwerkdienstkontozugriffs-Netzwerkressourcen ausgeführt werden, indem sie die Anmeldeinformationen des Computertkontos im Format <domain_name>\<computer_name>$ verwenden. Der tatsächliche Name des Kontos ist NT AUTHORITY\NETWORK SERVICE.
Für Microsoft Dynamics CRM-Setup und -Dienste erforderliche Mindestberechtigungen
Microsoft Dynamics 365 ist so konzipiert, dass die Funktionen unter separaten Identitäten ausgeführt werden können. Indem Sie ein Domänenbenutzerkonto angeben, das nur zum Aktivieren einer bestimmten Funktion berechtigt ist, tragen Sie zur Sicherheit des Systems bei und verringern damit die Wahrscheinlichkeit von Missbrauch.
In diesem Thema werden die vom Benutzerkonto für Microsoft Dynamics 365-Dienste und -Funktionen erforderlichen Mindestberechtigungen erläutert.
Microsoft Dynamics CRM Server 2016 Setup
Für das für die Ausführung von Microsoft Dynamics CRM Server 2016Setup verwendete Benutzerkonto, das die Erstellung der Datenbanken beinhaltet, sind die folgenden Mindestberechtigungen erforderlich:
Es muss Mitglied der Active Directory-Domänenbenutzergruppe sein. Von Active Directory-Benutzer und -Computer werden standardmäßig neue Benutzer zur Domänenbenutzergruppe hinzugefügt.
Es muss Mitglied der Administratorgruppe auf dem lokalen Computer sein, auf dem Setup ausgeführt wird.
Es muss über Lese- und Schreibberechtigungen für den lokalen Programmordner verfügen.
Es muss Mitglied der Administratorgruppe auf dem lokalen Computer sein, auf dem sich die Instanz von SQL Server befindet, die zum Speichern der Microsoft Dynamics 365-Datenbanken verwendet wird.
Es muss Mitglied von sysadmin auf der Instanz von SQL Server sein, die zum Speichern der Microsoft Dynamics 365-Datenbanken verwendet wird.
Lassen Sie sich die Berechtigung für die Erstellungen von Organisationseinheiten und Sicherheitsgruppen und zum Hinzufügen von Mitgliedschaften zu diesen Gruppen in Active Directory zuweisen. Alternativ kann eine XML-Setupkonfigurationsdatei zum Installieren von Microsoft Dynamics CRM Server 2016 verwendet werden, wenn die Sicherheitsgruppen bereits erstellt wurden. Weitere Informationen finden Sie unter Verwenden die Eingabeaufforderung zur Installation von Microsoft Dynamics Server 365.
Ist Microsoft SQL Server Reporting Services auf einem anderen Server installiert, müssen Sie die Inhalts-Manager-Rolle auf Stammebene für das zu installierende Benutzerkonto hinzufügen. Außerdem müssen Sie die Systemadministratorrolle auf websiteweiter Ebene für das zu installierende Benutzerkonto hinzufügen.
Berechtigungen für Microsoft Dynamics 365-Dienste und IIS-Anwendungspoolidentitäten
In diesem Abschnitt werden die Mindestberechtigungen aufgelistet, die Domänenbenutzerkonto für die Dienste und die IIS-Anwendungspools benötigen, die Microsoft Dynamics 365 verwendet.
Wichtig
-
In Microsoft Dynamics 365 sollten Konten für Dienst- und Anwendungspoolidentitäten (CRMAppPool) nicht für Microsoft Dynamics 365-Benutzer konfiguriert werden. Andernfalls können in der Anwendung Authentifizierungsprobleme und unerwartete Verhaltensmuster für alle Microsoft Dynamics 365-Benutzer auftreten.Weitere Informationen:Probleme in CRM, wenn das CRMAppPool-Benutzerkonto CRM-Benutzer ist
-
Verwaltete Dienstkonten (gruppenverwaltete Dienstkonten (gMSA) oder einzelnverwaltete Dienstkonten) und virtuelle Konten (NT SERVICE\,<SERVICENAME>) werden für die Ausführung von Microsoft Dynamics 365-Diensten nicht unterstützt.
Die folgenden Unterabschnitte beschreiben die Domänenbenutzerkontoberechtigungen für die einzelnen Service- oder Anwendungspoolidentitäten:
Microsoft Dynamics 365 Sandkasten-Verarbeitungsdienst
Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung und Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung (Wartung)
Microsoft Dynamics 365 Überwachungsdienst
Microsoft Dynamics 365 VSS Writer-Dienst
Bereitstellungswebdienst (CRMDeploymentServiceAppPool-Anwendungspoolidentität)
Anwendungsdienst (CRMAppPool-IIS-Anwendungspoolidentität)
Microsoft Dynamics 365 Sandkasten-Verarbeitungsdienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung Anmelden als Dienst in der lokalen Sicherheitsrichtlinie gewährt werden.
Lese- und Schreibberechtigungen für den Ordner Trace, der sich standardmäßig unter "\Programme\Microsoft Dynamics 365\Trace" befindet, sowie für die %AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.
Leseberechtigung für den Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM in der Windows-Registrierung
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt. Führen Sie an einer Eingabeaufforderung des Computers, auf dem der Dienst installiert ist, folgenden Befehl aus, um den Dienstprinzipalnamen für das Konto Sandkasten-Verarbeitungsdienst festzulegen.
SETSPN –a MSCRMSandboxService/<ComputerName> <service account>
Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung und Microsoft Dynamics 365-Dienst für die asynchrone Verarbeitung (Wartung)
Domänenbenutzer-Mitgliedschaft
PrivUserGroup und SQLAccessGroup-Mitgliedschaft. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während des Microsoft Dynamics CRM Server-Setup gewährt.
Integrierte Leistungsprotokollbenutzer-Mitgliedschaft der lokalen Gruppe.
Dem Konto sollte die Berechtigung Anmelden als Dienst in der lokalen Sicherheitsrichtlinie gewährt werden.
Lese- und Schreibberechtigung für die folgenden Ordner.
Der Trace-Ordner. Standardmäßig unter \Program Files\Microsoft Dynamics CRM\, sowie für den %AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.
Der CustomizationImport-Ordner. Standardmäßig unter \Program Files\Microsoft Dynamics CRM\. Das ist möglicherweise für den Lösungsimport erforderlich, wenn Sie das Microsoft Dynamics 365 SDK verwenden.
Alle Zugriffsberechtigungen außer "Volle Kontrolle" und "DAC schreiben" für die HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt. Führen Sie an einer Eingabeaufforderung des Computers, auf dem der Dienst installiert ist, folgenden Befehl aus, um den Dienstprinzipalnamen für das Konto Asynchroner Dienst festzulegen.
SETSPN –a MSCRMAsyncService/<ComputerName> <service account>
Microsoft Dynamics 365 Überwachungsdienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung Logon as service gewährt werden.
Wenn Microsoft Dynamics 365 Monitoring Service mit einer Front-End-Server-Serverrolle installiert wird, ist Mitgliedschaft in der lokalen Administratorengruppe auf dem Computer, auf dem der Dienst ausgeführt wird, erforderlich, um die Website und die Anwendungspools zu überwachen.Weitere Informationen:Verfügbare einzelne Serverrollen
Leseberechtigung für HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
SQLAccessGroup-Mitgliedschaft. Standardmäßig wird diese Gruppe erstellt entsprechende Mitgliedschaft wird während des Microsoft Dynamics CRM Server-Setup gewährt.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Microsoft Dynamics 365 VSS Writer-Dienst
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung Logon as service gewährt werden.
Leseberechtigung für HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM
PrivUserGroup und SQLAccessGroup-Mitgliedschaft. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während des Microsoft Dynamics CRM Server-Setup gewährt.
Bereitstellungswebdienst (CRMDeploymentServiceAppPool-Anwendungspoolidentität)
Domänenbenutzer-Mitgliedschaft
Dem Konto sollte die Berechtigung Logon as service gewährt werden.
Die Mitgliedschaft bei der lokalen Administratorengruppe auf dem Computer, auf dem SQL Server ausgeführt wird, ist zum Ausführen von Vorgängen an der Organisationsdatenbank (wie etwa Erstellen oder Importieren einer Organisation) erforderlich.
Mitglied der lokalen Administratorengruppe auf dem Computer, auf dem der Bereitstellungswebdienst ausgeführt wird
Sysadmin-Berechtigung auf der Instanz von SQL Server zur Verwendung der Konfigurations- und Organisationsdatenbanken.
Lese- und Schreibberechtigungen für die Ordner Trace und CRMWeb, die sich standardmäßig unter \Program Files\Microsoft Dynamics CRM\ befinden, sowie für den %AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.
Alle Zugriffsberechtigungen außer "Volle Kontrolle" und "DAC schreiben" für die HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.
PrivUserGroup und SQLAccessGroup-Mitgliedschaft. Standardmäßig werden diese Gruppen erstellt entsprechende Mitgliedschaft wird während des Microsoft Dynamics CRM Server-Setup gewährt.
Mitgliedschaft bei der CRM_WPG-Gruppe. Diese Gruppe wird für IIS-Arbeitsprozesse verwendet. Die Erstellung der Gruppe und das Hinzufügen der Mitgliedschaft erfolgen während der Ausführung von Microsoft Dynamics CRM Server-Setup.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Anwendungsdienst (CRMAppPool-IIS-Anwendungspoolidentität)
Domänenbenutzergruppenmitgliedschaft
Integrierte Leistungsprotokollbenutzer-Mitgliedschaft der lokalen Gruppe.
Lese- und Schreibberechtigungen für die Ordner Trace und CRMWeb, die sich standardmäßig unter \Program Files\Microsoft Dynamics CRM\ befinden, sowie für den %AppData%-Ordner des Benutzerkontos auf dem lokalen Computer.
Alle Zugriffsberechtigungen außer "Volle Kontrolle" und "DAC schreiben" für die HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSCRM- und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSCRMSandboxService-Unterschlüssel in der Windows-Registrierung.
CRM_WPG-Gruppenmitgliedschaft. Diese Gruppe wird für IIS-Arbeitsprozesse verwendet. Die Erstellung der Gruppe und das Hinzufügen der Mitgliedschaft erfolgen während der Ausführung von Microsoft Dynamics CRM Server-Setup.
Möglicherweise wird beim Zugriff des Dienstkontos auf die mit ihm verbundene Website ein Dienstprinzipalname für die URL benötigt.
Unter Kernelmodusauthentifizierung und Dienstprinzipalnamen ausgeführte IIS-Anwendungspoolidentitäten
Standardmäßig sind IIS-Websites für die Verwendung der Kernelmodusauthentifizierung konfiguriert. Bei Ausführung der Microsoft Dynamics 365-Website mithilfe der Kernelmodusauthentifizierung ist die Konfiguration zusätzlicher Dienstprinzipalnamen (SPN) für die CRMAppPool-Identitäten möglicherweise nicht erforderlich.
Ob für Ihre IIS-Bereitstellung Dienstprinzipalnamen erforderlich sind, ermitteln Sie mithilfe der Checkliste der Dienstprinzipalnamen für die Kerberos-Authentifizierung mit IIS 7.0/7.5 (möglicherweise in englischer Sprache).
Microsoft Dynamics CRM-Installationsdateien
Wenn Sie Microsoft Dynamics CRM 2016 vom Netzwerk (beispielsweise von einer Netzwerkfreigabe) installieren möchten, müssen Sie sicherstellen, dass die richtigen Berechtigungen auf den Ordner mit den Installationsdateien (vorzugsweise auf einem NTFS-Volume) angewendet werden. Beispielsweise möchten Sie möglicherweise nur Mitgliedern der Gruppe "Domänen-Admins" Berechtigungen für den Ordner gewähren. Auf diese Weise kann das Risiko von Angriffen auf die Installationsdateien verringert werden, die die Dateien möglicherweise gefährden oder ändern. Weitere Informationen zum Festlegen von Berechtigungen für Dateien und Ordner im Windows-Betriebssystem finden Sie in der Hilfe zu Windows.
Siehe auch
Planen der Bereitstellung von Microsoft Dynamics 365
Bewährte Methoden für die Sicherheit von Microsoft Dynamics 365
Bewährte Methoden für die Verwaltung für lokale Bereitstellungen von Microsoft Dynamics 365
Netzwerkports für Microsoft Dynamics 365
Microsoft Dynamics 365-Serverrollen
© 2017 Microsoft. Alle Rechte vorbehalten. Copyright