Planear tareas administrativas en entornos con privilegios mínimos (SharePoint Foundation 2010)

Artículo
02/06/2017

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo se describe cómo configurar y mantener una granja de Microsoft SharePoint Foundation 2010 mediante administración con privilegios mínimos.

Introducción

Mediante la administración con privilegios mínimos, se asignan a los usuarios los permisos necesarios para que puedan completar tareas autorizadas. El objetivo de la administración con privilegios mínimos es configurar y ayudar a mantener un control seguro del entorno. Con esto, se concede acceso en cada servicio únicamente a aquellos recursos que resultan absolutamente necesarios. Al implementar una administración con privilegios mínimos se pueden incrementar los costes operativos porque es posible que se necesiten recursos adicionales para sostener este nivel de administración. Por otra parte, la capacidad para solucionar problemas de seguridad puede verse reducida.

Security Note
Las organizaciones implementan la administración con privilegios mínimos para lograr una seguridad mejor de la que se recomienda normalmente. Solamente un pequeño porcentaje de las organizaciones requiere este nivel más alto de protección debido al coste en recursos a la hora de mantener la administración con privilegios mínimos. No obstante, entre las implementaciones que necesitarían este nivel mayor de seguridad, se incluyen las instituciones gubernamentales, las organizaciones de seguridad y las organizaciones en el ámbito de los servicios financieros. La implementación de un entorno con privilegios mínimos no debe confundirse con los procedimientos recomendados. En un entorno con privilegios mínimos, los administradores implementan los procedimientos recomendados junto con niveles más altos de seguridad adicionales.

Las organizaciones implementan la administración con privilegios mínimos para lograr una seguridad mejor de la que se recomienda normalmente. Solamente un pequeño porcentaje de las organizaciones requiere este nivel más alto de protección debido al coste en recursos a la hora de mantener la administración con privilegios mínimos. No obstante, entre las implementaciones que necesitarían este nivel mayor de seguridad, se incluyen las instituciones gubernamentales, las organizaciones de seguridad y las organizaciones en el ámbito de los servicios financieros. La implementación de un entorno con privilegios mínimos no debe confundirse con los procedimientos recomendados. En un entorno con privilegios mínimos, los administradores implementan los procedimientos recomendados junto con niveles más altos de seguridad adicionales.

Entorno con privilegios mínimos para cuentas y servicios

Para planear una administración con privilegios mínimos, se deben considerar diversas cuentas, roles y servicios. Algunos se refieren a SQL Server y otros a Productos de SharePoint 2010. Dado que los administradores bloquean cuentas y servicios adicionales, los costes operativos diarios probablemente aumentarán.

Roles de Microsoft SQL Server

En entornos de administración con privilegios mínimos, se recomienda que quite los dos roles siguientes a nivel de servidor de SQL Server en las cuentas que no sean cuentas de servicio de SharePoint, pero que se utilicen para administración de SharePoint:

dbcreator: los miembros del rol de servidor fijo dbcreator pueden crear, modificar, quitar y restaurar cualquier base de datos.

securityadmin: los miembros del rol de servidor fijo securityadmin administran los inicios de sesión y sus propiedades. Pueden OTORGAR, DENEGAR y REVOCAR permisos a nivel de servidor. Asimismo, pueden OTORGAR, DENEGAR y REVOCAR permisos a nivel de base de datos si disponen de acceso a una base de datos. Por otra parte, pueden restablecer contraseñas para los inicios de sesión de SQL Server.

Security Note
La capacidad para otorgar acceso al motor de base de datos y para configurar permisos de usuario hace posible que el administrador de seguridad asigne la mayoría de permisos de servidor. El rol securityadmin se debe tratar igual que el rol sysadmin.

Para obtener información adicional sobre los roles a nivel de servidor de SQL Server, vea Roles a nivel de servidor (https://go.microsoft.com/fwlink/?LinkId=213450&clcid=0xC0A)

Si se quitan uno o más de estos roles de SQL Server, se pueden generar mensajes de error "Inesperado" que se mostrarán en el sitio web de Administración central. Además, se podría recibir el mensaje siguiente en el archivo de registro de Servicio de creación de registros unificado (ULS):

System.Data.SqlClient.SqlException… <operation type> permiso denegado en base de datos <database>. Tabla <table>

Si aparece un mensaje de error, es posible que el usuario no pueda llevar a cabo alguna de las tareas siguientes:

Restaurar una copia de seguridad de una granja por la imposibilidad de escribir en una base de datos
Aprovisionar una instancia de servicio o aplicación web
Configurar cuentas administradas
Cambiar cuentas administradas para aplicaciones web
Cualquier operación con bases de datos, cuentas administradas o servicios que requieran el uso del sitio web de Administración central

En determinadas situaciones, es posible que los administradores de bases de datos (DBA) deseen actuar de forma independiente de los administradores de SharePoint y crear y administrar todas las bases de datos. Para obtener información sobre cómo los DBA crean y administran todas las bases de datos, vea Implementación mediante bases de datos creadas con DBA (SharePoint Foundation 2010).

Roles y servicios de SharePoint Foundation 2010

En general, la capacidad para crear bases de datos nuevas debería quitarse de las cuentas de servicio de SharePoint. No debería haber cuentas de servicio de SharePoint con el rol sysadmin en la instancia Microsoft SQL Server y no debería haber cuentas de servicio de SharePoint que fueran un Administrador local en el servidor que ejecute Microsoft SQL Server.

Sin embargo, podría bloquear otros servicios y cuentas de SharePoint Foundation 2010:

Rol SharePoint_Shell_Access

Cuando se quita este rol de Microsoft SQL Server, se quita la capacidad para escribir entradas en la base de datos de configuración y de contenido. Para obtener información sobre este rol, vea Add-SPShellAdmin.
Servicio de temporizador de SharePoint (SPTimerV4)

De forma predeterminada, este servicio se instala y conserva la información sobre la configuración almacenada en memoria caché. Si el tipo de servicio se establece en deshabilitado, se puede producir el comportamiento siguiente:
- No se ejecutarán trabajos del temporizador
- No se ejecutarán las reglas del analizador de mantenimiento
- Vencerá la configuración de mantenimiento y de la granja
Servicio de administración de SharePoint (SPAdminV4)

Este servicio realiza cambios automatizados que requieren permisos de administrador local en el servidor. Cuando el servicio no se está ejecutando, se deben procesar manualmente los cambios administrativos a nivel de servidor. Si el tipo de servicio se establece en deshabilitado, se puede producir el comportamiento siguiente:
- No se ejecutarán los trabajos del temporizador administrativos
- No se actualizarán los archivos de configuración
- No se actualizarán los grupos de seguridad y locales
- No se escribirán los valores y claves del Registro
- Es posible que no se puedan iniciar o reiniciar los servicios
- Es posible que no se pueda completar el aprovisionamiento de los servicios
Servicio SPUserCodeV4

Con este servicio un administrador de colecciones de sitios puede cargar soluciones de espacio aislado en la galería de soluciones. Para obtener información adicional sobre las soluciones de espacio aislado, vea Introducción a las soluciones de espacio aislado (SharePoint Foundation 2010).

Para obtener más información sobre los servicios, vea El servicio de administración de SharePoint está deshabilitado.

En función de los requisitos empresariales de la organización, si se han implementado servicios o roles de SharePoint Foundation 2010, se puede producir este comportamiento en las siguientes características:

Copia de seguridad y restauración

La capacidad para realizar una restauración a partir de una copia de seguridad puede no desarrollarse correctamente si no se han quitado los permisos de la base de datos.
Mejora

El proceso de mejora se iniciará correctamente, pero causará un error porque no se dispone de los permisos adecuados para las bases de datos. Si la organización ya se encuentra en un entorno de privilegios mínimos, la solución alternativa es trasladarse a un entorno que incorpore procedimientos recomendados para completar la mejora y, posteriormente, regresar al entorno con privilegios mínimos.
Actualización

La capacidad para aplicar una actualización de software a una granja se realizará correctamente para el esquema de la base de datos de configuración, pero no será así en la base de datos de contenido y en los servicios.

Requisitos adicionales a tener en cuenta

Además de las consideraciones anteriores, debe tener en cuenta otras operaciones. La lista a continuación no es exhaustiva. Use los elementos de forma selectiva según su propio criterio:

Cuenta de administrador de usuarios del programa de instalación: esta cuenta se usa para configurar cada servidor de una granja. Es preciso que la cuenta sea miembro del grupo Administradores en cada servidor de la granja de Microsoft SharePoint Server 2010. Para obtener más información sobre esta cuenta, vea Cuentas administrativas
Cuenta de grupo de aplicaciones host de Mi sitio: es la cuenta en la que se ejecuta el grupo de aplicaciones de Mi sitio. Para configurar esta cuenta, se debe ser miembro del grupo de administradores de la granja.
Grupo de usuarios integrado: si se quita el grupo de seguridad de usuarios integrado o se cambian los permisos, puede haber consecuencias imprevistas.
Permisos de grupo: de forma predeterminada, el grupo de SharePoint WSS_ADMIN_WPG dispone de acceso de lectura y escritura a los recursos locales. Las ubicaciones del sistema de archivos WSS_ADMIN_WPG, %WINDIR%\System32\drivers\etc\HOSTS y %WINDIR%\Tasks, resultan necesarias para que Microsoft SharePoint Foundation funcione de forma adecuada. Si se ejecutan otros servicios o aplicaciones en el servidor, habrá que considerar la forma en que tienen acceso a las ubicaciones de las carpetas Tasks o HOSTS. Para obtener información adicional sobre la configuración de la cuenta, vea Permisos de cuenta y configuración de seguridad (SharePoint Server 2010)
Cambiar permisos en un servicio: si se cambian los permisos de un servicio, puede haber consecuencias imprevistas. Por ejemplo, si la clave del Registro HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters tiene valor 0, el servicio de host de código de usuario se podría deshabilitar, lo cual provocaría que las soluciones de espacio aislado dejaran de funcionar. Para obtener más información sobre un servicio de código de usuario que no funciona, vea El servicio de host de código de usuario de SharePoint 2010 no se inicia (https://go.microsoft.com/fwlink/?LinkId=225642&clcid=0xC0A)