Pianificare l'amministrazione con privilegi minimi in SharePoint Server
SI APPLICA A:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Il concetto di amministrazione con privilegi minimi prevede di assegnare agli utenti le autorizzazioni minime necessarie per consentire il completamento delle attività autorizzate. L'amministrazione con privilegi minimi si pone come obiettivo la configurazione e la gestione del controllo sicuro di un ambiente. Il risultato è che a ogni account con cui viene eseguito un servizio viene concesso l'accesso solo alle risorse necessarie.
Microsoft consiglia di distribuire SharePoint Server con un'amministrazione con privilegi minimi. L'implementazione di un'amministrazione con privilegi minimi può comportare un aumento dei costi operativi, in quanto potrebbero essere necessarie altre risorse per mantenere questo livello di amministrazione. Inoltre, la possibilità di risolvere i problemi di sicurezza diventa più complessa.
Introduzione
Le organizzazioni implementano l'amministrazione con privilegi minimi per ottenere una sicurezza superiore rispetto a quanto in genere consigliato. Solo una piccola percentuale di organizzazioni richiede questo livello di sicurezza aumentato a causa dei costi delle risorse legati alla gestione dell'amministrazione con privilegi minimi. Un livello elevato di sicurezza di questo tipo può essere necessario ad esempio in enti governativi, organizzazioni per la sicurezza e organizzazioni del settore dei servizi finanziari. L'implementazione di un ambiente con privilegi minimi non deve essere confusa con le procedure consigliate. In un ambiente con privilegi minimi, gli amministratori implementano le procedure consigliate insieme ad altri livelli elevati di sicurezza.
Ambiente con privilegi minimi per account e servizi
Per pianificare l'amministrazione con privilegi minimi è necessario prendere in considerazione alcuni account, ruoli e servizi. Alcuni sono applicabili a SQL Server e alcuni a SharePoint Server. Poiché gli amministratori bloccano altri account e servizi, è probabile che i costi operativi giornalieri aumentino.
Ruoli SQL Server
In un ambiente SharePoint Server, i due ruoli a livello di server di SQL Server seguenti possono essere concessi a diversi account. In un ambiente SharePoint Server con privilegi minimi, è consigliabile concedere questi privilegi solo all'account in cui viene eseguito il Servizio timer flussi di lavoro Microsoft SharePoint Foundation. In genere il servizio timer viene eseguito nell'account della server farm. Per le operazioni quotidiane, è consigliabile rimuovere i due ruoli a livello di server di SQL Server seguenti da tutti gli altri account usati per l'amministrazione di SharePoint:
Dbcreator I membri del ruolo predefinito del server dbcreator possono creare, modificare, eliminare e ripristinare qualsiasi database.
Securityadmin I membri del ruolo predefinito del server securityadmin gestiscono gli accessi e le rispettive proprietà. Possono concedere, rifiutare e revocare le autorizzazioni a livello di server. Se dispongono di accesso a un database, possono inoltre concedere, rifiutare e revocare le autorizzazioni a livello di database. Possono inoltre reimpostare le password per gli accessi di SQL Server.
Nota
La capacità di concedere accesso al motore di database e configurare le autorizzazioni utente consente al ruolo securityadmin di assegnare la maggior parte delle autorizzazioni server. Il ruolo securityadmin deve essere considerato equivalente al ruolo sysadmin.
Per altre informazioni sui ruoli a livello di server di SQL Server, vedere Ruoli a livello di server.
La rimozione di uno o più di questi ruoli di SQL Server può provocare la visualizzazione di messaggi di errore di tipo "Imprevisto" nel sito Web Amministrazione centrale web site. È anche possibile che nel file di log del Servizio di registrazione unificato venga visualizzato un messaggio simile al seguente:
System.Data.SqlClient.SqlException... <autorizzazione del tipo di> operazione negata nel database di database<>. Tabella tabella <>
Oltre alla visualizzazione di un eventuale messaggio di errore, è possibile che l'utente non sia in grado di eseguire le attività seguenti:
Ripristinare un backup di una farm a causa dell'impossibilità di scrivere in un database
Eseguire il provisioning di un'istanza del servizio o di un'applicazione Web
Configurare account gestiti
Modificare gli account gestiti per applicazioni Web
Eseguire qualsiasi azione in qualsiasi database, account gestito o servizio che richieda il sito Web Amministrazione centrale
In determinate situazioni è possibile che gli amministratori di database vogliano operare in modo indipendente rispetto agli amministratori di SharePoint Server per creare e gestire tutti i database. Ciò si verifica in genere negli ambienti IT in cui i requisiti di sicurezza e i criteri aziendali richiedono la separazione dei ruoli di amministratore. L'amministratore della farm fornisce i requisiti dei database di SharePoint Server all'amministratore di database che, a sua volta, crea i necessari database e imposta gli account di accesso necessari per la farm.
Per impostazione predefinita, l'amministratore di database dispone di accesso completo all'istanza di SQL Server, ma ha bisogno di autorizzazioni aggiuntive per accedere a SharePoint Server. In genere gli amministratori di database usano Windows PowerShell 3.0 per aggiungere, creare, spostare o rinominare i database di SharePoint, dunque devono essere membri degli account seguenti:
Ruolo predefinito del server securityadmin per l'istanza di SQL Server
Ruolo predefinito del database Db_owner per tutti i database della farm SharePoint.
Gruppo Administrators nel computer in cui eseguono i cmdlet di PowerShell.
Inoltre, l'amministratore di database potrebbe dover essere membro del ruolo SharePoint_Shell_Access per accedere al database del contenuto di SharePoint. In determinate condizioni, l'amministratore di database può voler aggiungere l'account utente Setup al ruolo db_owner.
Ruoli e servizi di SharePoint Server
In generale, è consigliabile rimuovere dagli account di servizio di SharePoint Server la capacità di creare nuovi database. Nessun account del servizio SharePoint Server deve avere il ruolo sysadmin nell'istanza di SQL Server e nessun account del servizio SharePoint Server deve essere un amministratore locale nel server che esegue SQL Server.
Per altre informazioni sugli account di SharePoint Server, vedere Informazioni su autorizzazioni e impostazioni di sicurezza degli account in SharePoint Server 2016.
Per informazioni sugli account di SharePoint Server 2013, vedere Autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2013.
L'elenco seguente contiene informazioni sul blocco di altri ruoli e servizi di SharePoint Server:
SharePoint_Shell_Access role
Quando si rimuove questo ruolo di SQL Server, si rimuovono la capacità di scrivere voci nel database di configurazione e del contenuto e la capacità di eseguire qualsiasi azione usando Microsoft PowerShell. Per altre informazioni su questo ruolo, vedere Add-SPShellAdmin.
Servizio Timer di SharePoint (SPTimerV4)
È consigliabile non limitare le autorizzazioni predefinite concesse all'account con cui viene eseguito il servizio e non disabilitare mai questo account. Usare invece un account utente sicuro, per il quale la password non è ampiamente nota, e lasciare il servizio in esecuzione. Per impostazione predefinita, questo servizio viene installato quando si installa SharePoint Server e gestisce le informazioni della cache di configurazione. Se si imposta il tipo di servizio su disabilitato, potrebbe verificarsi il comportamento seguente:
I processi timer non vengono eseguiti
Le regole dell'analizzatore dell'integrità non vengono eseguite
La manutenzione e la configurazione della farm non sono aggiornate
SharePoint Administration service (SPAdminV4)
Questo servizio esegue modifiche automatizzate per cui è necessaria l'autorizzazione di amministratore locale nel server. Quando il servizio non è in esecuzione, è necessario elaborare manualmente le modifiche amministrative a livello di server. È consigliabile non limitare le autorizzazioni predefinite concesse all'account con cui viene eseguito il servizio e non disabilitare mai questo account. Usare invece un account utente sicuro, per il quale la password non è ampiamente nota, e lasciare il servizio in esecuzione. Se si imposta il tipo di servizio su disabilitato, potrebbe verificarsi il comportamento seguente:
I processi timer amministrativi non vengono eseguiti
I file di configurazione Web non vengono aggiornati
I gruppi di sicurezza e locali non vengono aggiornati
I valori e le chiavi del Registro di sistema non vengono scritti
Può risultare impossibile avviare o riavviare i servizi
Può risultare impossibile completare il provisioning dei servizi
SPUserCodeV4 Service
Questo servizio consente a un amministratore della raccolta siti di caricare la soluzione in modalità sandbox nella raccolta soluzioni. Se non si usa la modalità sandbox, è possibile disabilitare il servizio.
Attestazioni per il servizio token Windows (C2WTS)
Per impostazione predefinita, questo servizio è disabilitato. Il servizio C2WTS può essere necessario per una distribuzione con Excel Services, PerformancePoint Services o i servizi condivisi di SharePoint che devono essere convertiti tra token di sicurezza di SharePoint e identità basate su Windows. Ad esempio, si usa questo servizio quando si configura la delega vincolata Kerberos per l'accesso alle origini dati esterne. Per altre informazioni su C2WTS, vedere Pianificare l'autenticazione Kerberos in SharePoint Server.
In alcuni casi potrebbero verificarsi ulteriori problemi nelle funzionalità seguenti:
Backup and restore
Se le autorizzazioni database sono state rimosse, è possibile che il ripristino da un backup abbia esito negativo.
Aggiornamento
Il processo di aggiornamento viene avviato correttamente, ma ha esito negativo se non si dispone delle autorizzazioni appropriate per i database. Se l'organizzazione usa già un ambiente con privilegi minimi, per risolvere il problema si può passare a un ambiente basato sulle procedure consigliate per completare l'aggiornamento e quindi tornare a un ambiente con privilegi minimi.
Aggiorna
La possibilità di applicare un aggiornamento software a una farm ha esito positivo per lo schema del database di configurazione, ma ha esito negativo nel database del contenuto e nei servizi.
Altri fattori da considerare per un ambiente con privilegi minimi
Oltre alle considerazioni precedenti, potrebbe essere necessario prendere in considerazione operazioni aggiuntive. L'elenco seguente non è completo. Usare gli elementi in modo selettivo in base alla necessità:
Account utente Setup L'account deve essere membro del gruppo Administrators in ogni server della farm di SharePoint Server. Per altre informazioni su questo account, vedere Account amministrativi e di servizio della distribuzione iniziale in SharePoint Server.
Quando si compila una nuova farm di SharePoint e la build basata ha un'unità di sicurezza di ottobre 2022 o un nuovo slipstream nel processo di compilazione, si usa il modello di sicurezza con privilegi minimi. Dopo aver completato psconfig nel primo server della farm, prima di eseguire la configurazione guidata della farm o il provisioning di altri componenti, è necessario eseguire i comandi seguenti per garantire l'accesso ai database di SharePoint:
Get-SPDatabase | %{$_.GrantOwnerAccessToDatabaseAccount()}Account di sincronizzazione : per SharePoint Server, questo account viene usato per connettersi al servizio directory. È consigliabile non limitare le autorizzazioni predefinite concesse all'account con cui viene eseguito il servizio e non disabilitare mai questo account. Usare invece un account utente sicuro, per il quale la password non è ampiamente nota, e lasciare il servizio in esecuzione. Questo account richiede anche l'autorizzazione Replica modifiche directory per Servizi di dominio Active Directory, che consente all'account di leggere gli oggetti di Active Directory Domain Services e di individuare gli oggetti di Active Directory Domain Services modificati nel dominio. L'autorizzazione Concedi modifiche alla directory replica non consente a un account di creare, modificare o eliminare oggetti di Active Directory Domain Services.
Account del pool di applicazioni dell'host Sito personale Account usato per l'esecuzione del pool di applicazioni Sito personale. Per configurare questo account è necessario essere membri del gruppo Amministratori farm. È possibile limitare i privilegi di questo account.
Gruppo utenti predefinito La rimozione del gruppo di sicurezza utenti predefinito o la modifica delle autorizzazioni potrebbero avere conseguenze impreviste. È consigliabile non limitare i privilegi ad account o gruppi predefiniti.
Autorizzazioni gruppi Per impostazione predefinita, il gruppo WSS_ADMIN_WPG di SharePoint dispone di accesso in lettura e scrittura alle risorse locali. Per il corretto funzionamento di SharePoint Server, sono necessari i WSS_ADMIN_WPG percorsi del file system %WINDIR%\System32\drivers\etc\Hosts e %WINDIR%\Tasks seguenti. Se altri servizi o applicazioni sono in esecuzione in un server, è consigliabile valutare il modo in cui accedono ai percorsi delle cartelle Tasks o Hosts. Per altre informazioni sulle impostazioni degli account di SharePoint Server, vedere Informazioni su autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2016.
Per informazioni sugli account in SharePoint Server 2013, vedere Informazioni su autorizzazioni e impostazioni di sicurezza per gli account in SharePoint Server 2013.
Modifica delle autorizzazioni di un servizio La modifica delle autorizzazioni di un servizio potrebbe avere conseguenze impreviste. Ad esempio, se la chiave del Registro di sistema HKLM\System\CurrentControlSet\Services\PerfProc\Performance\Disable Performance Counters ha valore pari a 0, il servizio User Code Host verrà disabilitato, provocando l'interruzione del funzionamento delle soluzioni in modalità sandbox.
Vedere anche
Ulteriori risorse
Configurazione con privilegi minimi per Gestione flusso di lavoro con SharePoint 2013