Installation - Berechtigungen / Permissions SQL

Hallo Zusammen,

wir sind aktuell in der Planung für eine CRM 4.0 Installation. Dazu habe ich mir bereits das SDK, den Implementation Guide, sowie einige MSDN Artikel angesehen. Leider sind im Hinblick auf die benötigten Berechtigungen noch ein paar Fragen offen, auf die ich im Forum (Suchfunktion) noch keine Antwort finden konnte.

Wir würden gerne aus Sicherheitsgründen eine Installation mit minimalen Rechten durchführen (siehe auch KB-Artikel). Allerdings wird im Artikel meiner Meinung nach nicht wirklich deutlich, welche Berechtigungen der Installationsbenutzer (bzw. CRM Service Account) auf der SQL-Datenbank benötigt. In einigen anderen KB-Artikeln wird desöfteren die sysadmin-Rolle erwähnt, die jedoch einen Vollzugriff auf den Datenbankserver gleichkommen würde.

Zudem heißt es im Artikel:

When you first log on to Microsoft Dynamics CRM, and every time that a user is added to Microsoft Dynamics CRM, you must complete the following actions:
To log on, use a user account that has the necessary rights.
Manually add the users and the computers to the appropriate security groups.

Bedeutet dies, ich muss jedesmal wenn ich einen Benutzer (Endanwender) im CRM hinzufügen möchte, den Account entsprechend manuell der Sicherheitsgruppe im AD hinzufügen?

Hat jemand bereits Erfahrungen mit den benötigten Berechtigungen auf Datenbankebene? Auch über Erfahrungswerte hinsichtlich der Installation mit minimalen Berechtigungen würde ich mich freuen - gerade was die Administration im späteren Betrieb angeht (Hinzufügen von Benutzern etc.).

Noch einmal kurz zu den geplanten Komponenten (die entsprechenden Hinweise in der Linksektion habe ich mir bereits angesehen):

CRM Server: Windows Server 2008
Datenbankserver: Windows Server 2008 + SQL Server 2008

Vielen Dank im Voraus für eure Antworten und/oder Erfahrungsberichte! ;)

mfg Dennis

Zuletzt geändert von Dennis_HB am 2. Juni 2010 09:28, insgesamt 1-mal geändert.

Hallo Nennis,

erst einmal herzlich willkommen in unserem Forum.

Bedeutet dies, ich muss jedesmal wenn ich einen Benutzer (Endanwender) im CRM hinzufügen möchte, den Account entsprechend manuell der Sicherheitsgruppe im AD hinzufügen?

Das musst du nur, wenn du tatsächlich das CRM mit den minimalsten Rechten installiert, da du dann auch die Computer der Clients in den einzelnen Sicherheitsrollen benötigst.
Installierst du das CRM System mit "normalen" Rechten, hast du diese Probleme nicht, da dann die Benutzer automatisch den entsprechenden Rollen zugewiesen werden.

Hat jemand bereits Erfahrungen mit den benötigten Berechtigungen auf Datenbankebene? Auch über Erfahrungswerte hinsichtlich der Installation mit minimalen Berechtigungen würde ich mich freuen - gerade was die Administration im späteren Betrieb angeht (Hinzufügen von Benutzern etc.).

Ich persönlich bestehe sogar immer auf einer Installation mit Admin-Rechten, da es ansonsten im späteren Betrieb immer wieder zu Problemen führen kann, die dann nur mit dem MS-Support gelöst werden können. Bis jetzt konnte ich noch jeden Kunden davon überzeugen, das dies der einfachste, schnellste und vor allem stabilste Weg ist, ein CRm System zu installieren.

Hallo,

habe bisher immer nur von der Variante mit den minimalsten Rechten (die übrigens sehr schön dokumentiert ist) und der Variante das Ganze als Domain Admin zu installieren gehört. Domain Admin kommt aus den unterschiedlichsten Gründen bei uns nicht in Frage. Gibt es denn eine "normale" Variante, bei der ich nicht auf volle Berechtigungen (Domain Admin) angewiesen bin und trotzdem das CRM komfortabel administrieren kann?

Interessant wäre hier eine Auflistung der benötigten Rechte. Der Benutzer muss ja bspw. auch im AD schreiben bzw. Benutzer zu Gruppen hinzufügen können etc.?

mfg Dennis

Hallo Zusammen,

ich glaube ich habe da selbst nicht richtig in der Knowledgebase gelesen - steht im Grunde fast alles drin. Ich habe mir mal ein paar Stichpunkte aufgeschrieben, welche Berechtigungen wohl gesetzt werden müssen. Da ich diese noch nicht verifiziert habe, kann ich leider noch nicht sagen, ob das so ausreichend ist:


Installationsbenutzer (Domain Account), später Deployment Administrator:

http://support.microsoft.com/kb/946677/en-us
http://support.microsoft.com/kb/946686/en-us

Mitgliedschaft in den folgenden lokalen Gruppen des Application Servers

-> Administrators

Mitgliedschaft in den folgenden lokalen Gruppen des SQL Servers

-> Administrators

Berechtigungen für den SQL Server

-> Sysadmin Rolle

Berechtigungen für die SQL Reporting Services

-> Content Manager Role (root level)

-> System Administrator Role (site-wide)

Berechtigunen im Active Directory

-> Berechtigungen für die CRM OU im Active Directory

-> Permissions
□ Read
□ Write
-> Advanced Permissions
□ Read Permissions
□ Modify Permissions
□ Read Members
□ Write Members

Service Account (Domain Account)für den Application Pool:

http://support.microsoft.com/kb/929388/en-us

Mitgliedschaft in den folgenden Active Directory Gruppen

-> Domain Users (Standard AD Group)
-> PrivUserGroup (CRM generated Group)
-> SQLAccessGroup (CRM generated Group)

Mitgliedschaft in den folgenden lokalen Gruppen des Application Servers

-> IIS_WPG group
-> CRM_WPG group
-> Performance Log Users

Benötigte lokale Policies auf dem Application Server

-> Impersonate a client after authentication
-> Log on as a service

mfg Dennis