如何安装具有最低所需权限的Microsoft Dynamics CRM

  • 项目

本文介绍用户安装Microsoft Dynamics CRM所需的最低权限。

适用于:Microsoft Dynamics 365,Microsoft Dynamics CRM
原始 KB 编号: 946677

注意

  • 本文假定所有Microsoft Dynamics CRM服务器角色都安装在同一台计算机上。
  • 有关服务器角色的详细信息,请参阅实现指南。
  • 在安装过程中,环境诊断向导会检查安装Microsoft Dynamics CRM的用户是否具有所需的最低权限。 如果未满足所需的最低权限,则会收到错误消息。

安装选项

安装具有最低所需权限的 Microsoft Dynamics CRM 时,有两个选项。 可以让 Microsoft Dynamics CRM 服务器安装程序在安装过程中创建安全组。 或者,可以使用预先创建的 Active Directory 安全组。

还可以选择启用自动组管理功能或关闭自动组管理功能。 默认情况下,自动组管理功能处于打开状态。 Microsoft Dynamics CRM自动将相应的用户帐户和相应的计算机帐户添加到所需的Microsoft Dynamics CRM安全组。 如果关闭自动组管理,Microsoft Dynamics CRM不会自动添加这些帐户。 在这种情况下,域管理员或具有足够权限的用户必须将相应的用户帐户和相应的计算机帐户添加到所需的组。 必须在安装之后以及将任何用户添加到 Microsoft Dynamics CRM 之后进行这些添加。

安装选项 1 - 安装程序会在安装 Microsoft Dynamics CRM 时创建 Active Directory 安全组

  1. 将安装 Microsoft Dynamics CRM 的用户的用户帐户添加为本地管理员组的成员。 为此,请在Microsoft Dynamics CRM服务器和运行 Microsoft SQL Server的计算机上执行以下步骤:

    1. 以具有本地管理员权限的用户身份登录到服务器。
    2. 选择 “开始”,指向 “管理工具”,然后选择“ 计算机管理”。
    3. 展开 “系统工具”。
    4. 展开 “本地用户和组”。
    5. 选择“”。
    6. 右键单击“ 管理员”,然后选择“ 属性”。
    7. 若要添加安装Microsoft Dynamics CRM的用户的帐户,请选择“添加”。

  2. 如果SQL Server Reporting Services (SSRS) 安装在步骤 1 中添加权限的服务器以外的服务器上,则必须在安装用户帐户的根级别添加内容管理器角色。 并且,必须在站点范围级别为安装用户帐户添加系统管理员角色。 为此,请在 Reporting Services 服务器上执行以下步骤:

    1. 启动 Windows Internet Explorer,然后找到以下站点:

      https://srsserver/reports

    2. 在“ 属性 ”选项卡上,选择“ 新建角色分配”。

    3. “组或用户名”框中,键入安装Microsoft Dynamics CRM的用户的用户名,选择“内容管理器检查”框,然后选择“确定”。

      注意

      键入用户名时使用以下格式:
      domainname\用户

    4. 选择“网站设置”。

    5. 在“ 安全性”下,选择“ 配置站点范围安全性”,然后选择“ 新建角色分配”。

    6. “组或用户名”文本框中,键入安装Microsoft Dynamics CRM的用户的用户名,选择“系统管理员检查”框,然后选择“确定”。

      注意

      键入用户名时使用以下格式:
      domainname\用户

  3. 对于安装Microsoft Dynamics CRM的用户的用户帐户,请将以下权限添加到 Active Directory 目录服务中的组织单位 (OU) 。

    权限:

    • 阅读
    • 创建所有子对象

    高级权限:

    • 读取权限
    • 修改权限
    • 读取成员
    • 写入成员

    若要添加权限,请执行以下步骤:

    1. 以具有域管理员权限的用户身份登录到域控制器服务器。

    2. 依次选择“开始”、“管理工具”和“Active Directory 用户和计算机”。

    3. 在“ 视图 ”菜单上,选择“ 高级功能”。

    4. 在导航窗格中,找到要用于Microsoft Dynamics CRM安装的 OU。 为此,请将树展开到包含安全组的节点。

    5. 右键单击安全组,选择 “属性”,然后选择“ 安全性 ”选项卡。

    6. “组或用户名”列表中,选择正在安装Microsoft Dynamics CRM的用户的用户帐户(如果已列出该帐户)。 如果未列出帐户,请选择“ 添加” 以添加用户帐户。

    7. “允许”列中,选择“创建所有子对象”权限的“检查”框。

      注意

      默认情况下,“读取”权限选择了允许检查”框。

    8. 选择“高级”

    9. “权限条目”列表中,选择“添加”,选择正在安装Microsoft Dynamics CRM的用户的用户帐户,然后选择“确定”。

    10. “应用于 ”列表中,选择“ 组对象”。

    11. “允许”列中,选择以下检查框:

      • 读取权限
      • 修改权限

    12. 选择“ 属性” 选项卡。

    13. “应用于 ”列表中,选择“ 组对象”。

    14. “允许”列中,选择以下检查框:

      • 读取成员
      • 写入成员

    15. 单击确定三次。

  4. 安装Microsoft Dynamics CRM。

安装选项 2 - 安装时使用预创建的 Active Directory 安全组Microsoft Dynamics CRM

  1. 在 Active Directory 中创建以下安全组:

    • PrivUserGroup
    • PrivReportingGroup
    • ReportingGroup
    • SQLAccessGroup
    • UserGroup

    若要在 Active Directory 中创建安全组,请执行以下步骤:

    1. 以具有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次选择“开始”、“管理工具”和“Active Directory 用户和计算机”。
    3. Active Directory 用户和计算机树展开到要用于安装Microsoft Dynamics CRM的域根目录或特定组织单位 (OU) 。
    4. 右键单击要使用的域根目录或 OU,选择“ 新建”,然后选择“ ”。
    5. “组名称” 字段中,键入组的名称。 例如,键入 PrivUserGroup
    6. 如果域功能级别为 Windows Server 2003 或 Microsoft Windows 2000 本机,请在“组范围”列表中选择“本地域”。 如果域功能级别为 Windows 2000 混合,请在“组范围”列表中选择“全局”。
    7. 选择“确定”。
    8. 重复本节前面的步骤 1d 到 1g 以创建每个安全组。

  2. 将安装 Microsoft Dynamics CRM 的用户的用户帐户添加为“本地管理员”组的成员。 必须在运行 Microsoft Dynamics CRM 服务器的计算机和运行 SQL Server 的计算机上完成此步骤。

    1. 以具有本地管理员权限的用户身份登录到服务器。
    2. 依次选择“ 开始”、“ 管理工具”、“ 计算机管理”。
    3. 依次展开“ 系统工具”、“ 本地用户和组”和“ ”。
    4. 右键单击“ 管理员”,然后选择“ 属性”。
    5. 若要添加安装Microsoft Dynamics CRM的用户的用户帐户,请选择“添加”,然后选择“确定”。

  3. 如果SQL Server Reporting Services (SSRS) 安装在步骤 1 中添加权限的服务器以外的服务器上,请在安装用户帐户的根级别添加内容管理器角色。 然后,在站点范围级别为安装用户帐户添加系统管理员角色。 为此,请在运行Reporting Services的服务器上执行以下步骤:

    1. 启动 Internet Explorer,然后找到以下站点:

      https://srsserver/reports

    2. 选择“ 属性 ”选项卡,然后选择“ 新建角色分配”。

    3. “组或用户名”框中,键入安装Microsoft Dynamics CRM的用户的名称,选择“内容管理器检查”框,然后选择“确定”。

      注意

      键入用户名时使用以下格式:
      domainname\用户

    4. 选择“网站设置”。

    5. 在“ 安全性”下,选择“ 配置站点范围安全性”,然后选择“ 新建角色分配”。

    6. “组或用户名”框中,键入安装Microsoft Dynamics CRM的用户的名称,选择“系统管理员检查”框,然后选择“确定”。

      注意

      键入用户名时使用以下格式:
      domainname\用户

  4. 如果希望Microsoft Dynamics CRM管理在安装过程中创建的Microsoft Dynamics CRM安全组,请将以下权限添加到在本部分前面步骤 1 中创建的安全组:

    权限:

    • 读取
    • 写入
    • 添加/删除自为成员

    高级权限:

    • 列出内容
    • 读取所有属性
    • 写入所有属性
    • 读取权限
    • 修改权限
    • 所有验证写入
    • 添加/删除自为成员

    若要添加权限,请针对在本部分前面步骤 1 中创建的每个安全组执行以下步骤:

    1. 以具有域管理员权限的用户身份登录到域控制器服务器。

    2. 依次选择“开始”、“管理工具”和“Active Directory 用户和计算机”。

    3. 在“ 视图 ”菜单上,选择“ 高级功能”。

    4. 在导航窗格中,将树展开到安全组,右键单击安全组,选择 “属性”,然后选择“ 安全性 ”选项卡。

    5. “组或用户名”列表中,选择正在安装Microsoft Dynamics CRM的用户的用户帐户(如果已列出该帐户)。 如果未列出帐户,请选择“ 添加” 以添加用户帐户。

    6. “允许”列中,选择“写入”权限的“检查”框。 此操作会导致系统自动选择“添加/删除自为成员”权限的“检查”框。

      注意

      默认情况下,“读取”权限选择了允许检查”框。

    7. 选择“高级”

    8. “权限条目”列表中,选择安装Microsoft Dynamics CRM的用户的用户帐户,然后选择“编辑”。

    9. 选择“允许”列中的“修改权限检查”框。

    10. 单击确定三次。

      注意

      • 默认情况下,以下权限设置为 “允许”:

        • 列出内容
        • 读取所有属性
        • 写入所有属性
        • 读取权限
        • 所有验证写入
        • 添加/删除自为成员

      • 如果要关闭自动组管理进行安装,则无需完成步骤 4。

      • 有关自动组管理的详细信息,请参阅 自动组管理选项 部分。

  5. 首次登录Microsoft Dynamics CRM时,每次将用户添加到Microsoft Dynamics CRM时,必须完成以下操作:

    • 若要登录,请使用具有必要权限的用户帐户。
    • 手动将用户和计算机添加到相应的安全组。

  6. 若要使用预先创建的 Active Directory 安全组,请创建一个指向Microsoft Dynamics CRM的配置文件。 为此,请创建一个 XML 配置文件,该文件使用以下示例中的语法。 根据需要修改变量。 示例代码后面的列表介绍了如何修改此示例中的变量。

    在以下示例代码中,XML 文件名为 Config_precreate.xml。 域名为 microsoft.com。 这些名称表示你使用的实际名称。 Active Directory 层次结构如下所示:

    • 根域
      • 公司名称 OU
        • 公司名称 OU

    示例代码

    <CRMSetup> <Server> <Groups AutoGroupManagementOff="true"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></PrivReportingGroup> </Groups> </Server> </CRMSetup>

    使用以下替换值修改示例中的参数:

    • PrivUserGroup:PrivUserGroup 安全组的名称
    • SQLAccessGroup:SQLAccessGroup 安全组的名称
    • UserGroup:UserGroup 安全组的名称
    • ReportingGroup:ReportingGroup 安全组的名称
    • PrivReportingGroup:ReportingGroup 安全组的名称
    • :域名
    • domain_extension:域扩展

    注意

    有关所有配置文件参数和示例的详细信息,请参阅实现指南。

  7. 运行Microsoft Dynamics CRM服务器安装。 为此,请选择“开始”,选择“运行”,在“打开”框中键入 C:\ServerSetup.exe /config C:\configprecreate.xml,然后选择“确定”。

    注意

    • C:\ServerSetup.exe 是指安装介质上 ServerSetup.exe 文件的路径。
    • C:\configprecreate.xml 引用创建的配置文件的名称和路径。

自动组管理选项

“自动组管理”选项用于确定如何将相应的用户和相应的计算机添加到安全组。 Microsoft Dynamics CRM可以添加用户和计算机。 或者,在Microsoft Dynamics CRM安全组中具有适当权限的用户可以手动添加用户和计算机。

对于“自动组管理”选项,请使用以下方法之一。 使用方法 1 将 AutoGroupManagementOff 选项设置为 false ,并启用自动组管理。 使用方法 2 将 AutoGroupManagementOff 选项设置为 true ,并关闭自动组管理。

注意

仅当使用预创建的 Active Directory 安全组安装Microsoft Dynamics CRM时,才能使用“自动组管理”选项。
运行导入组织向导以导入组织时,它会考虑 AutoGroupManagementOff 注册表值来为导入的数据库分配必要的 SQL 权限。 如果将其设置为 1,则导入组织向导不会对数据库分配 SQL 权限,因此,导入向导成功后,可能需要通过 SQL 管理工作室分配 SQL 权限。 如果设置为 0,则导入组织向导将为数据库分配 SQL 权限。 默认情况下,AutoGroupManagementOff reg 值设置为 0。

方法 1 - 将 AutoGroupManagementOff 选项设置为 false

由于此设置是默认设置,因此无需向配置文件添加任何内容。 但是,以下过程是一个示例,介绍如何将 AutoGroupManagementOff 选项设置为 false

创建使用以下示例中的语法的 XML 配置文件。 根据需要修改变量。 若要修改此示例中的变量,请参阅安装选项 2 中的步骤 6 - 在安装 Microsoft Dynamics CRM 节时使用预创建的 Active Directory 安全组作为指南。

在此示例中,XML 文件名为 Config_precreate.xml。 域名为 microsoft.com。 Active Directory 层次结构如下所示:

  • 根域
    • 公司名称 OU
      • 公司名称 OU 示例代码
<CRMSetup> <Server> <Groups> <Groups autogroupmanagementoff="false"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup> </Groups> </CRMSetup>

方法 2 - 将 AutoGroupManagementOff 选项设置为 true

  1. 创建使用以下示例中的语法的 XML 配置文件。 根据需要修改变量。 若要修改此示例中的变量,请参阅安装选项 2 中的步骤 6 - 在安装 Microsoft Dynamics CRM 节时使用预创建的 Active Directory 安全组作为指南。

    在此示例中,XML 文件名为 Config_manageoff.xml。 域名为 microsoft.com。 Active Directory 层次结构如下所示:

    • 根域
      • 公司名称 OU
        • 公司名称 OU

    示例代码

    <CRMSetup> <Server> <Groups AutoGroupManagementOff="true"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup> </Groups> </Server> </CRMSetup>

  2. 将相应的用户帐户和相应的计算机帐户添加为以下组的成员。

    注意

    仅当 AutoGroupManagementOff 选项设置为 true 时,才必须执行此步骤。

    PrivUserGroup

    • CRMAppPool 应用程序池使用的帐户。
    • ASP.NET 进程模型使用的帐户。
    • 运行Microsoft Dynamics CRM安装的用户帐户。
    • 将安装 Microsoft Dynamics CRM-Exchange 电子邮件路由器的计算机帐户。

    ReportingGroup

    • (的所有Microsoft Dynamics CRM用户帐户都包括安装Microsoft Dynamics CRM) 的用户。

    SQLAccessGroup

    • CRMAppPool 应用程序池使用的帐户。
    • ASP.NET 进程模型使用的帐户。

    UserGroup

    • (的所有Microsoft Dynamics CRM用户帐户都包括安装Microsoft Dynamics CRM) 的用户。

    PrivReportingGroup

    • 将安装用于Microsoft SQL Server Reporting Services的 Microsoft Dynamics CRM 数据连接器的计算机帐户。

    若要添加帐户,请对列表中的每个组执行以下步骤:

    1. 以具有域管理员权限的用户身份登录到域控制器服务器。
    2. 依次选择“开始”、“管理工具”和“Active Directory 用户和计算机”。
    3. 在导航窗格中,将树展开到包含安全组的节点,右键单击安全组,选择 “属性”,然后选择“ 成员 ”选项卡。
    4. 若要添加用户帐户,请选择“ 添加”,然后选择“ 确定”。 若要添加计算机帐户,请选择“对象类型”,选择“计算机检查”框,然后选择“确定”。

  3. 若要验证 CRMAppPool 应用程序池使用哪个帐户,请在运行 Microsoft Dynamics CRM 服务器的计算机上执行以下步骤:

    1. 依次选择“ 开始”、“ 管理工具”、“ Internet Information Services (IIS) 管理器”。
    2. 展开计算机名称。
    3. 展开 “应用程序池”。
    4. 右键单击“ CRMAppPool”,选择“ 属性”,然后选择“ 标识 ”选项卡。

    NetworkService 帐户和 LocalSystem 帐户均由 domainname\computername $ 帐户表示。 因此,如果必须将 NetworkService 帐户或 LocalSystem 帐户添加到安全组,则必须添加 domainname\computername $ 帐户。

    如果选择了 “可配置” 选项,则必须将指定的用户帐户添加到安全组。 指定的用户帐户将显示在文本框中。

  4. 若要验证 ASP.NET 进程模型使用的帐户,请在 Microsoft Dynamics CRM 服务器上执行以下步骤:

    1. 在 Windows 资源管理器中,打开以下文件夹:

      C:\WINNT\Microsoft.NET\Framework\v1.1.4322\CONFIG

    2. 右键单击 Machine.config,选择“ 打开使用”,然后选择“ 记事本”。

    3. 在文本中搜索 “用户名 ”一词。 文件包含单词的多个实例。 找到文本中的第五个 用户名 实例。 用户名的第五个实例的值是 ASP.NET 进程模型使用的帐户。

    SYSTEM 帐户和计算机帐户均由 domainname\computername $ 帐户表示。 因此,如果必须将 SYSTEM 帐户或计算机帐户添加到安全组,则必须添加 domainname\computername $ 帐户。

    如果在 Machine.config 文件中指定了用户名,则必须将指定的用户帐户添加到安全组。

服务帐户

在安装Microsoft Dynamics CRM期间,你将看到“指定安全帐户”页。 在此页上,可以选择使用域用户帐户作为安全帐户。 为此,请按照下列步骤操作:

  1. 将域用户帐户添加到“性能日志用户”本地组。 为此,请按照下列步骤操作:

    1. 在运行Microsoft Dynamics CRM服务器的计算机上,依次选择“开始”、“所有程序”、“管理工具”和“计算机管理”。
    2. 展开 “本地用户和组”,然后展开“ ”。
    3. 右键单击“ 性能日志用户” 组,然后选择“ 添加到组”。
    4. 选择“ 添加”,键入域用户帐户,然后选择 “确定” 两次。

  2. 在域用户帐户下创建 HTTP 服务主体名称帐户。 为此,请按照下列步骤操作:

    1. 如果未安装 Windows Server 支持工具,请安装它。

      注意

      无需在运行 Microsoft Dynamics CRM 服务器的计算机上执行此步骤。 此步骤可以在域中的另一台服务器上完成。 并且,必须使用有权将服务主体名称 (SPN) 添加到用户帐户的帐户登录。

    2. 在命令提示符下,键入以下命令,然后在每个命令后按 Enter:

      SETSPN -a http/crmservername.domain.comuseraccount
      SETSPN -a http/crmservernameuseraccount

注意

crmservername 占位符是将安装Microsoft Dynamics CRM的服务器的名称。 domain.com 占位符表示域的名称。 useraccount 占位符表示在安装Microsoft Dynamics CRM期间用作服务帐户的帐户。

References

有关如何使用 SPN 的详细信息,请参阅 配置 Internet Information Services 上托管的 Web 应用程序时如何使用 SPN