文章编号: 946677 - 查看本文应用于的产品
Microsoft 知识库公共网站上提供了有限的 Microsoft Dynamics 内容。有关 Microsoft Dynamics 的完整内容和其他资源,请访问:

Dynamics Customers
Microsoft Dynamics CustomerSource*
Dynamics 合作伙伴
Microsoft Dynamics PartnerSource

* 要求客户拥有 Microsoft Dynamics 服务计划(如“业务就绪增强计划”或“软件保障”)。
展开全部 | 关闭全部

本文内容

简介

本文介绍了用户安装 Microsoft Dynamics CRM 4.0 必需的最低权限。

更多信息

注意
  • 本文假设已经将所有的 Microsoft Dynamics CRM 4.0 服务器角色安装在同一台计算机上。
  • 有关服务器角色的详细信息,请参见实施指南。
  • 在安装过程中,环境诊断向导会检查安装 Microsoft Dynamics CRM 的用户是否具有必需的最低权限。如果未达到必需的最低权限,则会收到错误消息。

安装选项

如果您使用必需的最低权限安装 Microsoft Dynamics CRM,将会拥有两个选项。您可以在安装过程中使用 Microsoft Dynamics CRM 服务器安装程序创建安全组。或者,使用预先创建的 Active Directory 安全组。

您还可以选择打开“自动组管理”功能或关闭“自动组管理”功能。默认情况下,自动组管理功能处于打开状态。此时,Microsoft Dynamics CRM 会自动添加相应的用户帐户和相应的计算机帐户到所需的 Microsoft Dynamics CRM 安全组。如果您关闭“自动组管理”,则 Microsoft Dynamics CRM 不会自动添加这些帐户。在这种情况下,域管理员或拥有足够权限的用户必须添加相应的用户帐户和相应的计算机帐户到所需的组。安装完成之后,以及将所有用户添加到 Microsoft Dynamics CRM 之后,必须添加以下的附加项。

安装选项 1:安装 Microsoft Dynamics CRM 时,安装程序创建 Active Directory 安全组

  1. 添加安装 Microsoft Dynamics CRM 的用户帐户,作为本地管理员组的成员。为此,请在 Microsoft Dynamics CRM 服务器和运行 Microsoft SQL Server 的计算机上完成此步骤:
    1. 以具有本地管理员权限的用户身份登录到服务器。
    2. 单击开始,指向管理工具,然后单击计算机管理
    3. 展开“系统工具”
    4. 展开“本地用户和组”
    5. 单击“组”
    6. 右键单击“管理员”,然后单击“属性”
    7. 若要添加安装 Microsoft Dynamics CRM 的用户帐户,单击“添加”
  2. 如果 SQL Server Reporting Services (SSRS) 安装在步骤 1 中添加了权限的服务器之外的服务器上,则您必须在根级别为安装的用户帐户添加内容管理员角色。并且,您还必须在站点范围级别为安装的用户帐户添加系统管理员角色。为此,请按照 Reporting Services 服务器下面这些步骤执行操作:
    1. 启动 Windows Internet Explorer,然后找到以下站点:
      http://srsserver/reports
    2. 在“属性” 选项卡上,单击“新建角色分配”
    3. 在“组或用户名”框中键入用户名(安装 Microsoft Dynamics CRM 的用户),单击以选择“内容管理员”复选框,然后单击“确定”

      注意 键入用户名时,使用以下格式:
      域名\用户名
    4. 单击“站点设置”
    5. 在“安全”下,单击“配置站点范围安全”,然后单击“新建角色分配”
    6. 在“组或用户名”文本框中键入用户名(安装 Microsoft Dynamics CRM 的用户),单击以选择“系统管理员”复选框,然后单击“确定”

      注意 键入用户名时,使用以下格式:
      域名\用户名
  3. 对于安装 Microsoft Dynamics CRM 的用户帐户,请添加以下权限到 Active Directory 目录服务的组织单位 (OU) 中。在安装 Microsoft Dynamics CRM 4.0 的过程中,必须为您选择进行安装的 OU 执行此步骤。

    权限
    • 读取
    • 创建所有子对象
    高级权限
    • 读取权限
    • 修改权限
    • 读取成员
    • 写入成员
    若要添加这些权限,请按照下列步骤操作:
    1. 以拥有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”
    3. 查看菜单上,单击高级功能
    4. 在导航窗格中,查找您要用于 Microsoft Dynamics CRM 安装的组织单位。为此,请将树展开为包含安全组的节点。
    5. 右键单击安全组,再单击“属性”,然后单击“安全”选项卡。
    6. 在“组或用户名”列表中,如果已列出安装了 Microsoft Dynamics CRM 的用户帐户,则请单击此帐户。如果未列出帐户,则单击“添加”以添加用户帐户。
    7. 在“允许”列中,单击以选择“创建所有子对象”权限的复选框。

      注意 默认情况下,“允许”复选框选择的是“读取”权限。
    8. 单击“高级”
    9. 在“权限项目”列表中,单击“添加”,选择安装 Microsoft Dynamics CRM 的用户帐户,然后单击“确定”
    10. 在“应用到”列表中,单击“组对象”
    11. 在“允许” 列中,单击以选择以下各复选框:
      • 读取权限
      • 修改权限
    12. 单击磁盘属性选项卡。
    13. 在“应用到”列表中,单击“组对象”
    14. 在“允许” 列中,单击以选择以下各复选框:
      • 读取成员
      • 写入成员
    15. 单击“确定”三次。
  4. 安装 Microsoft Dynamics CRM。

安装选项 2:安装 Microsoft Dynamics CRM 时,请使用预先创建的 Active Directory 安全组

  1. 在 Active Directory 中创建以下安全组:
    • PrivUserGroup
    • PrivReportingGroup
    • ReportingGroup
    • SQLAccessGroup
    • UserGroup
    要在 Active Directory 中创建安全组,请按照以下的步骤操作:
    1. 以拥有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”
    3. 将“Active Directory 用户和计算机”树展开为域根或您要用来安装 Microsoft Dynamics CRM 的特定组织单位 (OU)。
    4. 右键单击域根或您要使用的组织单位,再单击“新建”,然后单击“组”
    5. 在“组名称”字段中,键入组名。例如,键入 PrivUserGroup
    6. 如果域功能级别为 Windows Server 2003 或 Microsoft Windows 2000 本机模式,则在“组作用域”列表中单击“本地域”。如果域功能级别为 Windows 2000 混合式,则在“组作用域”列表中单击“全局”
    7. 单击“确定”
    8. 请重复本节上文中 1d 到 1g 的步骤来创建每个安全组。
  2. 添加安装 Microsoft Dynamics CRM 的用户帐户,作为本地管理员组的成员。您必须在运行 Microsoft Dynamics CRM 服务器的计算机上和运行 SQL Server 的计算机上完成此步骤。
    1. 以具有本地管理员权限的用户身份登录到服务器。
    2. 单击开始,单击管理工具,然后单击计算机管理
    3. 依次展开“系统工具”、“本地用户和组”,然后展开“组”
    4. 右键单击“管理员”,然后单击“属性”
    5. 若要添加安装 Microsoft Dynamics CRM 的用户帐户,请单击“添加”,然后单击“确定”
  3. 如果 SQL Server Reporting Services (SSRS) 安装在步骤 1 中添加了权限的服务器以外的服务器上,请在根级别为安装的用户帐户添加内容管理员角色。然后,在站点范围级别为安装的用户账户添加系统管理员角色。为此,请在运行 Reporting Services 的服务器上按照下列步骤操作:
    1. 启动 Internet Explorer,然后找到以下站点:
      http://srsserver/reports
    2. 单击“属性”选项卡,然后单击“新建角色分配”
    3. 在“组或用户名”框中键入用户名(安装 Microsoft Dynamics CRM 的用户),单击以选择“内容管理员”复选框,然后单击“确定”

      注意 键入用户名时,使用以下格式:
      域名\用户名
    4. 单击“站点设置”
    5. 在“安全”下,单击“配置站点范围安全”,然后单击“新建角色分配”
    6. 在“组或用户名”框中键入用户名(安装 Microsoft Dynamics CRM 的用户),单击以选择“系统管理员”复选框,然后单击“确定”

      注意 键入用户名时,使用以下格式:
      域名\用户名
  4. 如果您希望 Microsoft Dynamics CRM 管理在安装过程中创建的 Microsoft Dynamics CRM 安全组,请添加以下的权限到本节上文步骤 1 中创建的安全组:

    权限
    • 读取
    • 写入
    • 以成员身份自身添加/删除
    高级权限
    • 列出内容
    • 读取全部属性
    • 写入全部属性
    • 读取权限
    • 修改权限
    • 所有已验证的写入
    • 以成员身份自身添加/删除
    若要添加这些权限,请对本节上文步骤 1 中创建的每个安全组执行这些步骤。
    1. 以拥有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”
    3. 查看菜单上,单击高级功能
    4. 在导航窗格中,将树展开到安全组,右键单击此安全组,单击“属性”,然后单击“安全”选项卡。
    5. 在“组或用户名”列表中,单击安装 Microsoft Dynamics CRM 的用户帐户,如果此帐户已列出。如果未列出帐户,则单击“添加”以添加用户帐户。
    6. 在“允许”列中,单击以选择“写入”权限的复选框。此操作可以让系统自动选择“以成员身份自身添加/删除”权限复选框。

      注意 默认情况下,“允许”复选框选择的是“读取”权限。
    7. 单击“高级”
    8. 在“权限项目”列表中,单击安装 Microsoft Dynamics CRM 的用户帐户,然后单击“编辑”
    9. 单击以选择“允许”列中的“修改权限”复选框。
    10. 单击“确定”三次。
    注意
    • 默认情况下,以下权限设置为“允许”
      • 列出内容
      • 读取全部属性
      • 写入全部属性
      • 读取权限
      • 所有已验证的写入
      • 以成员身份自身添加/删除
    • 如果您要关闭自动组管理以进行安装,则不必完成步骤 4。
    • 有关自动组管理的详细信息,请参见“自动组管理选项”部分。
  5. 自首次登陆到 Microsoft Dynamics CRM 之后,每次添加用户到 Microsoft Dynamics CRM 时,都必须完成以下操作:
    • 若要登陆,请使用拥有必要权限的用户帐户。
    • 手动添加用户和计算机到相应的安全组。
  6. 若要使用预先创建的 Active Directory 安全组,需要创建一个配置文件以指向 Microsoft Dynamics CRM。为此,请创建一个使用以下示例中句法的 XML 配置文件。适当地修改变量。示例代码列表介绍了如何修改位于本示例中的变量。

    在以下示例代码中, XML 文件名为 Config_precreate.xml。域名为 microsoft.com。这些名字表示您使用的实际名称。Active Directory 层次结构如下所示:
    • 根域
      • 公司名称(组织单位)
        • 公司名称(组织单位)
    示例代码
    <CRMSetup>
    <服务器>
    <Groups AutoGroupManagementOff="true">
    	<PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></PrivUserGroup>
    	<SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></SQLAccessGroup>
    	<UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></UserGroup>
    	<ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></ReportingGroup>
    	<PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></PrivReportingGroup>
    	 </组合>
    </服务器>
    </CRMSetup>
    
    使用下面的替换值修改示例中的参数:
    • PrivUserGroup:PrivUserGroup 安全组的名称
    • SQLAccessGroup:SQLAccessGroup 安全组的名称
    • UserGroupUserGroup 安全组的名称
    • ReportingGroup:ReportingGroup 安全组的名称
    • PrivReportingGroup:ReportingGroup 安全组的名称
    • domain:域名称
    • domain_extension:域扩展名
    注意 有关所有配置文件参数和示例的详细信息,请参见实施指南。
  7. 运行 Microsoft Dynamics CRM 服务器安装程序。为此,请依次单击“开始”、“运行”,在“打开”框中键入 C:\ServerSetup.exe /config C:\configprecreate.xml,然后单击“确定”

    注意
    • “C:\ServerSetup.exe”指安装媒体中 ServerSetup.exe 文件的路径。
    • “C:\configprecreate.xml”指已创建的配置文件的名称和路径。

自动组管理选项

自动组管理选项用于确定如何将相应的用户和计算机添加到安全组。Microsoft Dynamics CRM 可以添加用户和计算机。或者,在 Microsoft Dynamics CRM 安全组中拥有相应权限的用户可以手动添加用户和计算机。

对于自动组管理选项,请使用以下方法之一。使用方法 1 将 AutoGroupManagementOff 选项设置为“false”,并打开“自动组管理”。使用方法 2 将 AutoGroupManagementOff 选项设置为“true”,并关闭“自动组管理”。

注意 您只有使用预先创建的 Active Directory 安全组安装 Microsoft Dynamics CRM,才能使用“自动组管理”选项。

注意:?当导入组织向导运行以导入组织时,其会设置?AutoGroupManagementOff?注册表值,以分配必要的 SQL 权限到导入到的数据库。如果注册表值设置为 1,则导入组织向导不会分配?SQL 权限到数据库,因此导入向导成功后,可能需要通过 Management Studio 分配 SQL 权限,如果注册表值设置为?0,则导入组织向导会将?SQL 权限分配到数据库。默认情况下,AutoGroupManagementOff reg 值设置为 0。


方法 1:将 AutoGroupManagementOff 选项设置为“false”

因为此设置是默认的设置,所以您不必添加任何值到配置文件。以下示例过程介绍如何将 AutoGroupManagementOff 选项设置为“false”。

创建使用以下示例中句法的 XML 配置文件。适当地修改变量。若要修改示例中的变量,请参考“安装选项 2”中的步骤 6:安装 Microsoft Dynamics CRM" 部分作为指南时,使用预先创建的 Active Directory 安全组。

在此示例中,XML 文件名为 Config_precreate.xml。域名为 microsoft.com。Active Directory 层次结构如下所示:
  • 根域
    • 公司名称(组织单位)
      • 公司名称(组织单位)
示例代码
<CRMSetup>
<服务器>
<组合>
	 <Groups autogroupmanagementoff="false">
	<PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</PrivUserGroup>
	<SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup>
	<UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</UserGroup>
	<ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup>
	<PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup>
	</组合>
</CRMSetup>

方法 2:将 AutoGroupManagementOff 选项设置为“true”

  1. 创建使用以下示例中句法的 XML 配置文件。适当地修改变量。若要修改示例中的变量,请参考“安装选项 2”中的步骤 6:安装 Microsoft Dynamics CRM" 部分作为指南时,使用预先创建的 Active Directory 安全组。

    在此示例中,XML 文件名为 Config_manageoff.xml。域名为 microsoft.com。Active Directory 层次结构如下所示:
    • 根域
      • 公司名称(组织单位)
        • 公司名称(组织单位)
    示例代码
    <CRMSetup>
    <服务器>
    <Groups AutoGroupManagementOff="true">
    	<PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivUserGroup>
    	<SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup>
    	<UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</UserGroup>
    	<ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup>
    	<PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup>
    	 </组合>
    </服务器>
    </CRMSetup>
    
  2. 作为下列各组成员添加相应的用户帐户和相应的计算机帐户。

    注意 只有当 AutoGroupManagementOff option 设置为 “true” 时,才必须执行此步骤。

    PrivUserGroup
    • CRMAppPool 应用程序池使用的帐户
    • ASP.NET 进程模式使用的帐户
    • 运行 Microsoft Dynamics CRM 安装程序的用户帐户
    • 安装 Microsoft Dynamics CRM-Exchange E-mail Router 的计算机帐户
    ReportingGroup
    • 所有的 Microsoft Dynamics CRM 用户帐户(包括安装 Microsoft Dynamics CRM 的用户)
    SQLAccessGroup
    • CRMAppPool 应用程序池使用的帐户
    • ASP.NET 进程模式使用的帐户
    UserGroup
    • 所有的 Microsoft Dynamics CRM 用户帐户(包括安装 Microsoft Dynamics CRM 的用户)
    PrivReportingGroup
    • 安装 Microsoft Dynamics CRM Data Connector for Microsoft SQL Server Reporting Services 的计算机帐户。
    若要添加这些帐户,请在列表中为每个组执行下面的步骤:
    1. 以拥有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次单击“开始”、“管理工具”,然后单击“Active Directory 用户和计算机”
    3. 在导航窗格中,将树展开为包含安全组的节点,右键单击此安全组,单击“属性”,然后单击“成员”选项卡。
    4. 若要添加用户帐户,请单击“添加”,然后单击“确定”。若要添加计算机帐户,请单击“对象类型”,单击以选择“计算机”复选框,然后单击“确定”
  3. 若要验证使用 CRMAppPool 应用程序池的帐户,请对运行 Microsoft Dynamics CRM 服务器的计算机执行以下步骤:
    1. 依次单击“开始”,“管理工具”,然后单击“Internet Information Services (IIS) Manager”
    2. 展开计算机名称。
    3. 展开“应用程序池”
    4. 右键单击“CRMAppPool”,再单击“属性”,然后单击“标识”选项卡。
    NetworkService 帐户和 LocalSystem 帐户表示为“domainname\computername $”帐户。因此,如果您必须将 NetworkService 帐户或 LocalSystem 帐户添加到安全组,则必须添加“domainname\computername $”帐户。

    如果选中了“可配置”选项,则您必须添加指定的用户帐户到安全组。指定的用户帐户会出现在文本框中。
  4. 要验证 ASP.NET 进程模式使用的帐户,请对 Microsoft Dynamics CRM 服务器执行以下步骤:
    1. 在 Windows 资源管理器中,打开下面的文件夹:
      C:\WINNT\Microsoft.NET\Framework\v1.1.4322\CONFIG
    2. 右键单击“Machine.config”,再单击“打开方式”,然后单击“记事本”
    3. 在文本中搜索“用户名”。此文件包含该词组的多个实例。找到文本中“用户名”的第五个实例。用户名第五个实例的值是 ASP.NET 进程模式使用的帐户。
    SYSTEM 帐户和计算机帐户表示为“domainname\computername $”帐户。因此,如果您必须将 SYSTEM 帐户或计算机帐户添加到安全组,则必须添加“domainname\computername $”帐户。

    如果已在 Machine.config 文件中指定了用户名,则必须添加指定的用户帐户到安全组。

更多信息

服务帐户

安装 Microsoft Dynamics CRM 的过程中,您将看到一个指定安全帐户的页面。在此页中,您可以选择使用域用户帐户作为安全帐户。为此,请按照下列步骤操作:
  1. 将域用户帐户添加到性能日志用户本地组。为此,请按照下列步骤操作:
    1. 在运行 Microsoft Dynamics CRM 服务器的计算机上,依次单击“开始”、“所有程序”、“管理工具”,然后单击“计算机管理”
    2. 首先展开“本地用户和组”,然后展开“组”
    3. 右键单击“性能日志用户”组,然后单击“添加到组”
    4. 单击“添加”,键入域用户帐户,然后单击“确定”两次。
  2. 在域用户帐户下创建 HTTP 服务主体名称帐户。为此,请按照下列步骤操作:
    1. 如果未安装 Windows Server 支持工具,请进行安装。

      注意 您不必在运行 Microsoft Dynamics CRM 服务器的计算机上执行此步骤。可以在域中的另一台服务器上执行此步骤。并且,您必须使用对添加服务主体名称 (SPN) 到用户帐户具有权限的帐户登录。
    2. 在命令提示符下,键入下列命令,然后在每条命令后按 Enter 键:
      SETSPN –a http/crmservername.domain.comuseraccount
      SETSPN –a http/crmservernameuseraccount
    注意crmservername 占位符是安装 Microsoft Dynamics CRM 的服务器的名称。domain.com 占位符表示域名称。useraccount 占位符表示在安装 Microsoft Dynamics CRM 的过程中,作为服务帐户的帐户。

参考

有关如何使用 SPN 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
929650 对承载于 IIS 6.0 的 Web 应用程序进行配置时,如何使用 SPN
有关对于用户成为 Microsoft Dynamics CRM 4.0 部署管理员所需最低权限的详细信息,请单击下面的文章编号以查看 Microsoft 知识库中的文章:
946686 如何分配最低权限到 Microsoft Dynamics CRM 4.0 的部署管理员

属性

文章编号: 946677 - 最后修改: 2010年9月30日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Dynamics CRM 4.0
关键字:?
kbtshoot kbexpertiseinter kbmbsinstallation kbmbsmigrate kbhowto KB946677
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com