Erforderliche Konten vor der Installation

Vor der Einrichtung einer Devolutions Server-Instanz werden einige Konten benötigt, um die verschiedenen Dienste zu betreiben, die eine sichere Bereitstellung von Devolutions Server ermöglichen. Zunächst muss entschieden werden, ob Domänen- oder lokale SQL-Konten verwendet werden sollen. Unterstützt werden beide Varianten.

Die in diesem Leitfaden verwendeten Namen dienen nur zum besseren Verständnis. Diese Namen werde auch in anderen Dokumentationen verwendet, aber es ist nicht erforderlich, dass Sie die gleichen Namen verwenden.

Bitte wählen Sie den entsprechenden Bereich aus:

  • Domänenkonten
  • Lokale SQL-Konten oder Azure SQL-Umgebung

Domänenkonten (Integrierte Sicherheit)

Die Administrative Anmeldeinformationen benötigen Leserecht für die AD-Struktur, dies führt aber zu KEINER Änderungen in Ihrem Verzeichnis. Leider gibt es aufgrund eines durch die Struktur der Net Directory Services hervorgerufenen Nebeneffekts ein Problem, wenn dieses Konto versucht, Eigenschaften von AD-Gruppen zu lesen, die sich möglicherweise in einem geschützten Bereich Ihres Verzeichnisses befinden.Bisher besteht die Lösung darin, volle Administratorrechte für dieses Konto zu konfigurieren. Wir arbeiten aber derzeit daran, eine bessere Notfallstrategie für den Fall zu implementieren, dass der Zugriff verweigert wird. Den Text in Rot ersetzten durch: Möglicherweise sind höhere Berechtigungen erforderlich als die Zugehörigkeit zur von den Nutzern der Domain eingerichteten Active Directory-Gruppe. In den meisten Fällen sollte dies aber ausreichen.

# Name Herkunft Beschreibung Konfiguriert in...
1 VaultDBOwner AD Konto mit allen Berechtigungen auf der DB. Interaktive Windows-Sitzungen zum Installieren/Aktualisieren einer Devolutions Server-Instanz.
2 VaultDBRunner AD Am wenigsten privilegiertes Konto zur Ausführung der Webanwendung. Wird zur Verbindung mit der DB und für den Zugriff auf das Dateisystem verwendet. IIS-Anwendungspools, die einer Devolutions Server-Instanz zugeordnet sind.
3 VaultADReader AD Am wenigsten privilegiertes Konto zur Abfrage des Active Directory. Devolutions Server-Instanz-Einstellungen - Administrative Anmeldeinformationen.
4 VaultDBSchedulerService AD Am wenigsten privilegiertes Konto zur Ausführung des Scheduler Dienst. Wird für die Verbindung zur DB und zum Lesen / Schreiben aus dem Dateisystem verwendet. Windows Dienste

Lokale SQL-Konten oder Azure SQL-Umgebung

Bei lokalen Konten wird eine einzelne Verbindungszeichenfolge für drei verschiedene Bereiche des Systems verwendet. Dies wird in einer zukünftigen Version verbessert, um das Prinzip der geringsten Berechtigungen zu respektieren.

Für Azure SQL-Datenbanken werden Domänenkonten (Integrierte Sicherheit) nicht unterstützt.

# Name Herkunft Beschreibung Konfiguriert in...
1 VaultDBOwner SQL Konto mit allen Berechtigungen auf der DB. Devolutions Server Console nur für Sitzungen zur Installation/Aktualisierung.
2 VaultDBRunner SQL Am wenigsten privilegiertes Konto zur Ausführung der Webanwendung. Devolutions Server Console - Webanwendung.
3 VaultADReader AD Am wenigsten privilegiertes Konto zur Abfrage des Active Directory durch LDAP. Devolutions Server-Instanz-Einstellungen - Administrative Anmeldeinformationen.
4 VaultDBSchedulerService SQL Am wenigsten privilegiertes Konto zur Ausführung des Scheduler Dienst. Wird zum Lesen/Schreiben aus dem Dateisystem verwendet. Devolutions Server Console - Scheduler Dienst.

Der Zugriff auf die Datenbank erfolgt über eine einzelne Verbindungszeichenfolge (wie oben beschrieben.)