Szenario der Programminstallation mit eingeschränkten Zugriffsrechten

Dieses Installationsszenario ist für Sie geeignet, wenn die Sicherheitsrichtlinie Ihres Unternehmens es nicht gestattet, den gesamten Installationsvorgang unter Ihrem Konto auszuführen, und die Zugriffsrechte für den SQL-Server oder das Active Directory beschränkt. Dies ist beispielsweise der Fall, wenn die Verwaltung der Datenbanken im Unternehmen durch eine andere Person mit Vollzugriff auf den SQL-Server erfolgt.

Die Namen für die Benutzerkontogruppen müssen innerhalb der Gesamtstruktur des Active Directory einmalig sein.

Um die Installation mit eingeschränkten Zugriffsrechten für den SQL-Server oder Active Directory vorzubereiten, gehen Sie wie folgt vor:

  1. Vergewissern Sie sich, dass das für die Programminstallation vorgesehene Konto der lokalen Gruppe "Administratoren" auf dem Microsoft Exchange Server angehört, auf dem die Programminstallation erfolgt. Ist dies nicht der Fall, müssen Sie das Konto dieser Gruppe hinzufügen.
  2. Erstellen Sie im Active Directory den folgenden Container:

    CN=KasperskyLab,CN=Services,CN=Configuration,DC=domain,DC=domain

  3. Richten Sie für das Konto, unter dem die Programminstallation erfolgen soll, vollen Zugriff auf diesen Container und alle darin enthaltenen Unterobjekte ein.
  4. Richten Sie die Benutzerkontengruppe Kse Watchdog Service ein. Gruppentyp – "Allgemein". Fügen Sie dieser Gruppe das Konto hinzu, unter dem der Dienst des Programms laufen soll. Wird hierfür das Konto Local System verwendet, müssen Sie der Gruppe Kse Watchdog Service außerdem das Konto des Computers hinzufügen, auf dem die Installation stattfindet.
  5. Fügen Sie die Gruppe Kse Watchdog Service der lokalen Gruppe "Administratoren" auf dem Microsoft Exchange Server hinzu, auf dem die Programminstallation erfolgt.

    Wenn Sie zuvor das Debug Programs Recht, das der “Administratoren” Gruppe standardmäßig erlaubt worden ist, entfernt haben, können Sie dieses Recht der Kse Watchdog Service Gruppe gewähren.

  6. Weisen Sie der Gruppe Kse Watchdog Service Leserechte für die Daten aus dem Active Directory Container zu, der die Konfigurationsdaten für Microsoft Exchange enthält:

    CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain

  7. (Gilt nur für Microsoft Exchange 2013 Server und Microsoft Exchange 2016 Server). Weisen Sie der Gruppe Kse Watchdog Services das Recht ms-Exch-Store-Admin zu. Führen Sie hierzu in der Konsole Exchange Management Shell folgenden Befehl aus:

    Add-ADPermission -Identity "<Pfad zum Container mit der Konfiguration von Microsoft Exchange>" -User "<Domänenname>\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

    Beispiel:

    Add-ADPermission -Identity "CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=domain" -User "domain\Kse Watchdog Service" -ExtendedRights ms-Exch-Store-Admin

  8. (Anwendbar für die Microsoft Exchange 2013 / 2016 Server ). Weisen Sie der Gruppe Kse Watchdog Service das Recht zum Start unter einem anderen Namen (impersonation) zu. Führen Sie hierzu in der Konsole Exchange Management Shell folgenden Befehl aus:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  9. Wenn Sie die Untersuchung auf Befehl für ausgewählte E-Mail-Postfächer auf den Microsoft Exchange 2010 Servern verwenden möchten, weisen Sie der Gruppe Kse Watchdog Service die Berechtigung zum Start unter einem anderem Namen (impersonation) zu. Führen Sie hierzu in der Konsole Exchange Management Shell folgenden Befehl aus:

    New-ManagementRoleAssignment -Name KSE_IMPERSONATION -Role applicationImpersonation -SecurityGroup "Kse Watchdog Service"

  10. Erstellen Sie folgende Kontogruppen: Kse Administrators, Kse Security Officers, Kse AV Security Officers, Kse AV Operators. Diese Gruppen können in einer beliebigen Domäne des Unternehmens erstellt werden. Gruppentyp – "Allgemein".
  11. Replizieren Sie die Daten des Active Directory im gesamten Unternehmen.
  12. Weisen Sie Benutzerkonten, die Benutzern gehören, die in Ihrer Organisation verschiedene Verpflichtungen haben, die entsprechenden Benutzerrollen zu. Fügen Sie die Benutzerkonten zu den folgenden Active Directory-Benutzergruppen hinzu:
    • Administratorkonten zur Gruppe Kse Administrators
    • Konten der Experten für Informationssicherheit zur Gruppe Kse Security Officers
    • Konten der Experten für Antiviren-Sicherheit zur Gruppe Kse AV Security Officers
    • Konten der Operatoren für Antiviren-Sicherheit zur Gruppe Kse AV Operators
  13. Gewährleisten Sie die Erstellung der Programmdatenbank. Übernehmen Sie diesen Vorgang selbst oder delegieren Sie ihn an einen entsprechenden Spezialisten.
  14. Erstellen Sie auf dem SQL-Server Benutzerkonten für die folgenden Active Directory-Gruppen: Kse Administrators, Kse AV Security Officers, Kse Watchdog Service.
  15. Gewährleisten Sie, dass der Benutzerkontengruppe Kse Watchdog Service auf der Ebene der Programm-Datenbank die Rolle db_owner zugewiesen wird.
  16. Gewährleisten Sie, dass dem für die Vorbereitung der Datenbank vorgesehenen Benutzerkonto die Rolle db_owner auf der Programm-Datenbanken-Ebene und die Berechtigungen "VIEW ANY DEFINITION" auf der SQL-Server-Ebene zugewiesen werden.

    Wenn Sie diesem Benutzerkonto die Berechtigung "VIEW ANY DEFINITION" nicht zugewiesen haben, erscheint bei der Überprüfung der Rollen und der Berechtigungen der Benutzer für die Programm-Datenbank auf dem Bildschirm eine Anfragemeldung für die Berechtigung "ALTER ANY LOGIN". Die Berechtigung ALTER ANY LOGIN wird vom Installationsassistenten benötigt, um die Benutzer des SQL-Servers anzulegen und diesen Benutzern Rollen sowie Berechtigungen für die Nutzung der Datenbank zuzuweisen.

  17. Wenn Sie planen, das Programm mithilfe von Kaspersky Security Center zu verwalten, fügen Sie die Benutzerkonten aller Computer hinzu, auf die Sie Kaspersky Security in die Gruppe KSE Administrators in Active Directory installieren.

    Wenn Sie nicht die Benutzerkonten aller Computer, auf die Sie Kaspersky Security in die Gruppe KSE Administrators in Active Directory installieren, hinzugefügt haben, erscheint am Bildschirm die Nachricht mit den Informationen darüber, wie die Programmverwaltung mithilfe von Kaspersky Security Center gewährleistet werden kann.

  18. Gewährleisten Sie die Ausführung der Schritte des Installationsassistenten und des Konfigurationsassistenten unter dem für die Programminstallation vorgesehenen Benutzerkonto.
  19. Replizieren Sie die Daten des Active Directory im gesamten Unternehmen. Dies ist erforderlich, damit die im Active Directory gespeicherten Programmeinstellungen für nachfolgende Programminstallationen auf anderen Microsoft Exchange Servern Ihres Unternehmens verfügbar sind.

Bei der Installation oder der Ausführung des Programms unter Verwendung einer SQL-Datenbank mit eingerichteter AlwaysOn-Technologie müssen die Rechte zwischen allen Servern, die zur Gruppe der Spiegelung der Datenbanken gehören, synchronisiert werden.

Zum Anfang