如何以最低必要許可權安裝 Microsoft Dynamics CRM
本文說明使用者安裝 Microsoft Dynamics CRM 所需的最低許可權。
適用於:Microsoft Dynamics 365、Microsoft Dynamics CRM
原始 KB 編號: 946677
注意事項
- 本文假設所有 Microsoft Dynamics CRM 伺服器角色都安裝在同一部計算機上。
- 如需伺服器角色的詳細資訊,請參閱實作指南。
- 在安裝期間,環境診斷精靈會檢查安裝 Microsoft Dynamics CRM 的使用者是否具有最低的必要許可權。 如果不符合最低必要許可權,您會收到錯誤訊息。
安裝選項
當您安裝具有最低必要許可權的 Microsoft Dynamics CRM 時,您有兩個選項。 您可以讓 Microsoft Dynamics CRM 伺服器安裝程式在安裝期間建立安全組。 或者,您可以使用預先建立的 Active Directory 安全組。
您也可以選取開啟 [自動群組管理] 功能,或關閉 [自動群組管理] 功能。 根據預設,[自動群組管理] 功能會開啟。 Microsoft Dynamics CRM 會自動將適當的用戶帳戶和適當的電腦帳戶新增至必要的 Microsoft Dynamics CRM 安全組。 如果您關閉自動群組管理,Microsoft Dynamics CRM 不會自動新增這些帳戶。 在此情況下,網域系統管理員或具有足夠許可權的用戶必須將適當的使用者帳戶和適當的計算機帳戶新增至所需的群組。 這些新增項目必須在安裝之後,以及將任何使用者新增至 Microsoft Dynamics CRM 之後進行。
安裝選項 1 - 安裝程式會在您安裝 Microsoft Dynamics CRM 時建立 Active Directory 安全組
將安裝 Microsoft Dynamics CRM的用戶帳戶新增為本機系統管理員群組的成員。 若要這樣做,請在 Microsoft Dynamics CRM 伺服器和執行 Microsoft SQL Server 的電腦上遵循下列步驟:
- 以具有本機系統管理員許可權的使用者身分登入伺服器。
- 選 取 [開始],指向 [ 系統管理工具],然後選取 [ 計算機管理]。
- 展開 [系統工具]。
- 展開 [本機使用者和群組]。
- 選 取 [群組]。
- 以滑鼠右鍵按兩下 [ 系統管理員],然後選取 [ 屬性]。
- 若要新增安裝 Microsoft Dynamics CRM 用戶的帳戶,請選取 [新增]。
如果 SQL Server Reporting Services (SSRS) 安裝在您在步驟 1 中新增許可權的伺服器以外的伺服器上,您必須在安裝使用者帳戶的根層級新增內容管理員角色。 此外,您必須在全月臺層級新增安裝用戶帳戶的系統管理員角色。 若要這樣做,請在 Reporting Services 伺服器上遵循下列步驟:
啟動 Windows Internet Explorer,然後找出下列網站:
https://srsserver/reports
在 [ 屬性] 索引 標籤上,選取 [ 新增角色指派]。
在 [群組或使用者名稱] 方塊中,輸入正在安裝 Microsoft Dynamics CRM 使用者的使用者名稱,選取 [內容管理員] 複選框,然後選取 [確定]。
注意事項
當您輸入使用者名稱時,請使用下列格式:
domainname\使用者選取 [網站設定]。
在 [ 安全性] 下,選取 [設定全網站安全性],然後選取 [ 新增角色指派]。
在 [群組或使用者名稱] 文本框中,輸入正在安裝 Microsoft Dynamics CRM 使用者的使用者名稱,選取 [系統管理員] 複選框,然後選取 [確定]。
注意事項
當您輸入使用者名稱時,請使用下列格式:
domainname\使用者
針對安裝 Microsoft Dynamics CRM 之使用者的用戶帳戶,將下列許可權新增至 Active Directory 目錄服務中的組織單位 (OU) 。
權限:
- 讀取
- 建立所有子物件
進階許可權:
- 讀取許可權
- 修改許可權
- 讀取成員
- 寫入成員
若要新增許可權,請遵循下列步驟:
以具有網域系統管理員許可權的使用者身分登入域控制器伺服器。
選取 [開始],選取 [系統管理工具],然後選取 [Active Directory 使用者和電腦]。
在 [ 檢視] 功能表上,選取 [ 進階功能]。
在瀏覽窗格中,尋找您要用於 Microsoft Dynamics CRM 安裝的 OU。 若要這樣做,請將樹狀結構展開至包含安全組的節點。
以滑鼠右鍵按下安全組,選取 [ 屬性],然後選取 [ 安全性] 索引 卷標。
在 [群組或使用者名稱] 清單中,如果列出帳戶,請選取正在安裝 Microsoft Dynamics CRM 使用者的用戶帳戶。 如果未列出帳戶,請選取 [新增 ] 以新增用戶帳戶。
在 [ 允許] 數據行中,選取 [ 建立所有子物件] 權 限的複選框。
注意事項
預設會選取 [ 允許 ] 複選框作為 [讀取] 許可權。
選取 [進階]。
在 [許可權專案] 清單中,選取 [新增],選取正在安裝 Microsoft Dynamics CRM 使用者的使用者帳戶,然後選取 [確定]。
在 [ 套用至] 列表中,選取 [群組物件]。
在 [ 允許] 數據行中,選取下列複選框:
- 讀取許可權
- 修改許可權
選取 [ 屬性] 索引 標籤。
在 [ 套用至] 列表中,選取 [群組物件]。
在 [ 允許] 數據行中,選取下列複選框:
- 讀取成員
- 寫入成員
按三次 [確定]。
安裝 Microsoft Dynamics CRM。
安裝選項 2 - 當您安裝 Microsoft Dynamics CRM 時,請使用預先建立的 Active Directory 安全組
在 Active Directory 中建立下列安全組:
- PrivUserGroup
- PrivReportingGroup
- ReportingGroup
- SQLAccessGroup
- UserGroup
若要在 Active Directory 中建立安全組,請遵循下列步驟:
- 以具有網域系統管理員許可權的使用者身分登入域控制器伺服器。
- 選取 [開始],選取 [系統管理工具],然後選取 [Active Directory 使用者和電腦]。
- 將 Active Directory 使用者和電腦 樹狀結構展開至網域的根目錄,或展開至您想要用來安裝 Microsoft Dynamics CRM 的特定組織單位 (OU) 。
- 以滑鼠右鍵按下您要使用的網域根目錄或 OU,選取 [ 新增],然後選取 [ 群組]。
- 在 [ 組名] 欄 位中,輸入群組的名稱。 例如,輸入 PrivUserGroup。
- 如果網域功能等級是 Windows Server 2003 或 Microsoft Windows 2000 原生,請在 [群組範圍] 列表中選取 [網域本機]。 如果網域功能等級為 Windows 2000 混合,請在 [群組範圍] 清單中選取 [全域]。
- 選取 [確定]。
- 重複本節稍早的步驟 1d 到 1g,以建立每個安全組。
新增安裝 Microsoft Dynamics CRM 為本機系統管理員群組成員之使用者的用戶帳戶。 您必須在執行 Microsoft Dynamics CRM 伺服器的電腦和執行 SQL Server 的電腦上完成此步驟。
- 以具有本機系統管理員許可權的使用者身分登入伺服器。
- 選 取 [開始],選取 [ 系統管理工具],然後選取 [ 計算機管理]。
- 依 序展開 [系統工具] 和 [本機使用者和群組],然後展開 [ 群組]。
- 以滑鼠右鍵按兩下 [ 系統管理員],然後選取 [ 屬性]。
- 若要新增安裝 Microsoft Dynamics CRM 用戶的用戶帳戶,請選取 [新增],然後選取 [確定]。
如果 SQL Server Reporting Services (SSRS) 安裝在您於步驟 1 新增權限的伺服器以外的伺服器上,請在安裝使用者帳戶的根層級新增內容管理員角色。 然後,在全月臺層級新增安裝用戶帳戶的系統管理員角色。 若要這樣做,請在執行 Reporting Services 的伺服器上遵循下列步驟:
啟動 Internet Explorer,然後找出下列網站:
https://srsserver/reports
選取 [ 屬性] 索 引標籤,然後選取 [ 新增角色指派]。
在 [群組或使用者名稱] 方塊中,輸入安裝 Microsoft Dynamics CRM 的使用者名稱,選取 [內容管理員] 複選框,然後選取 [確定]。
注意事項
當您輸入使用者名稱時,請使用下列格式:
domainname\使用者選取 [網站設定]。
在 [ 安全性] 下,選取 [設定全網站安全性],然後選取 [ 新增角色指派]。
在 [群組或使用者名稱] 方塊中,輸入安裝 Microsoft Dynamics CRM 的使用者名稱,選取 [系統管理員] 複選框,然後選取 [確定]。
注意事項
當您輸入使用者名稱時,請使用下列格式:
domainname\使用者
如果您想要 Microsoft Dynamics CRM 管理在安裝期間建立的 Microsoft Dynamics CRM 安全組,請將下列許可權新增至您在本節稍早步驟 1 中建立的安全組:
權限:
- 讀取
- 寫入
- 新增/移除自我作為成員
進階許可權:
- 清單內容
- 讀取所有屬性
- 寫入所有屬性
- 讀取許可權
- 修改許可權
- 所有已驗證的寫入
- 新增/移除自我作為成員
若要新增許可權,請針對您在本節稍早步驟 1 中建立的每個安全組,遵循下列步驟:
以具有網域系統管理員許可權的使用者身分登入域控制器伺服器。
選取 [開始],選取 [系統管理工具],然後選取 [Active Directory 使用者和電腦]。
在 [ 檢視] 功能表上,選取 [ 進階功能]。
在瀏覽窗格中,將樹狀結構展開至安全組,以滑鼠右鍵按兩下安全組,選取 [ 屬性],然後選取 [ 安全性] 索 引卷標。
在 [群組或使用者名稱] 清單中,如果列出帳戶,請選取正在安裝 Microsoft Dynamics CRM 使用者的用戶帳戶。 如果未列出帳戶,請選取 [新增 ] 以新增用戶帳戶。
在 [ 允許] 數據行中,選取 [寫 入] 權限的複選框。 此動作會使系統自動選取 [新增/移除自我為成員 ] 權限的複選框。
注意事項
預設會選取 [ 允許 ] 複選框作為 [讀取] 許可權。
選取 [進階]。
在 [許可權專案] 清單中,選取安裝 Microsoft Dynamics CRM 之使用者的使用者帳戶,然後選取 [編輯]。
選取 [允許] 資料行中的 [修改權限] 複選框。
按三次 [確定]。
注意事項
根據預設,下列許可權會設定為 [允許]:
- 清單內容
- 讀取所有屬性
- 寫入所有屬性
- 讀取許可權
- 所有已驗證的寫入
- 新增/移除自我作為成員
如果您要關閉安裝的自動群組管理,則不需要完成步驟 4。
如需自動群組管理的詳細資訊,請參閱 自動群組管理選項 一節。
當您第一次登入 Microsoft Dynamics CRM 時,以及每次將使用者新增至 Microsoft Dynamics CRM 時,您必須完成下列動作:
- 若要登入,請使用具有必要許可權的用戶帳戶。
- 手動將用戶和計算機新增至適當的安全組。
若要使用預先建立的Active Directory 安全組,請建立組態檔以指向 Microsoft Dynamics CRM。 若要這樣做,請建立使用下列範例中語法的 XML 組態檔。 視需要修改變量。 範例程式代碼後面的清單描述如何修改此範例中的變數。
在下列範例程序代碼中,XML 檔案名為 Config_precreate.xml。 網域名稱
microsoft.com
。 這些名稱代表您使用的實際名稱。 Active Directory 階層如下所示:- 根域
- 公司名稱 OU
- 公司名稱 OU
- 公司名稱 OU
範例程序代碼
<CRMSetup> <Server> <Groups AutoGroupManagementOff="true"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=<domain>,DC=<domain_extension></UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=<domain>,DC=<domain_extension></PrivReportingGroup> </Groups> </Server> </CRMSetup>
使用下列取代值修改範例中的參數:
- PrivUserGroup:P rivUserGroup 安全組的名稱
- SQLAccessGroup:SQLAccessGroup 安全組的名稱
- UserGroup:UserGroup 安全組的名稱
- ReportingGroup:ReportingGroup 安全組的名稱
- PrivReportingGroup:ReportingGroup 安全組的名稱
- domain:功能變數名稱
- domain_extension:網域延伸模組
注意事項
如需所有組態檔參數和範例的詳細資訊,請參閱實作指南。
- 根域
執行 Microsoft Dynamics CRM 伺服器安裝。 若要這樣做,請選取 [開始],選取 [執行],在 [開啟] 方塊中輸入 C:\ServerSetup.exe /config C:\configprecreate.xml,然後選取 [確定]。
注意事項
- C:\ServerSetup.exe 是指安裝媒體上 ServerSetup.exe 檔案的路徑。
- C:\configprecreate.xml 是指已建立之組態檔的名稱和路徑。
自動群組管理選項
[自動群組管理] 選項可用來判斷如何將適當的使用者和適當的計算機新增至安全組。 Microsoft Dynamics CRM 可以新增用戶和計算機。 或者,在 Microsoft Dynamics CRM 安全組中具有適當許可權的使用者,可以手動新增使用者和計算機。
針對 [自動群組管理] 選項,請使用下列其中一種方法。 使用方法 1 將 AutoGroupManagementOff 選項設定為 false ,並開啟 [自動群組管理]。 使用方法 2 將 AutoGroupManagementOff 選項設定為 true ,並關閉 [自動群組管理]。
注意事項
只有當您使用預先建立的 Active Directory 安全組來安裝 Microsoft Dynamics CRM 時,才能使用 [自動群組管理] 選項。
當匯入組織精靈執行以匯入組織時,它會考慮 AutoGroupManagementOff 登錄值,以指派匯入資料庫的必要 SQL 許可權。 如果設定為 1 匯入組織精靈,將不會指派資料庫的 SQL 許可權,因此在匯入精靈成功之後,可能需要透過 SQL Management Studio 指派 SQL 許可權。 如果設定為 0 匯入組織精靈,則會指派資料庫的 SQL 許可權。 根據預設,AutoGroupManagementOff reg 值會設定為 0。
方法 1 - 將 AutoGroupManagementOff 選項設定為 false
因為此設定是預設設定,所以您不需要將任何專案新增至組態檔。 不過,下列程式是描述如何將 AutoGroupManagementOff 選項設定為 false 的範 例。
建立使用下列範例中語法的 XML 組態檔。 視需要修改變量。 若要修改此範例中的變數,請參閱安裝選項 2 - 當您安裝 Microsoft Dynamics CRM 時使用預先建立的 Active Directory 安全組一節中的步驟 6 作為指導方針。
在此範例中,XML 檔案名為 Config_precreate.xml。 網域名稱 microsoft.com
。 Active Directory 階層如下所示:
- 根域
- 公司名稱 OU
- 公司名稱 OU 範例程式代碼
- 公司名稱 OU
<CRMSetup> <Server> <Groups> <Groups autogroupmanagementoff="false"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name,DC=microsoft,DC=com</UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup> </Groups> </CRMSetup>
方法 2 - 將 AutoGroupManagementOff 選項設定為 true
建立使用下列範例中語法的 XML 組態檔。 視需要修改變量。 若要修改此範例中的變數,請參閱安裝選項 2 - 當您安裝 Microsoft Dynamics CRM 時使用預先建立的 Active Directory 安全組一節中的步驟 6 作為指導方針。
在此範例中,XML 檔案名為 Config_manageoff.xml。 網域名稱
microsoft.com
。 Active Directory 階層如下所示:- 根域
- 公司名稱 OU
- 公司名稱 OU
- 公司名稱 OU
範例程序代碼
<CRMSetup> <Server> <Groups AutoGroupManagementOff="true"> <PrivUserGroup>CN=PrivUserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivUserGroup> <SQLAccessGroup>CN=SQLAccessGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</SQLAccessGroup> <UserGroup>CN=UserGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</UserGroup> <ReportingGroup>CN=ReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</ReportingGroup> <PrivReportingGroup>CN=PrivReportingGroup,OU=Company Name,OU=Company Name, DC=microsoft,DC=com</PrivReportingGroup> </Groups> </Server> </CRMSetup>
- 根域
將適當的用戶帳戶和適當的計算機帳戶新增為下列群組的成員。
注意事項
只有在 AutoGroupManagementOff 選項設定為 true 時,才必須遵循此步驟。
PrivUserGroup
- CRMAppPool 應用程式集區所使用的帳戶。
- ASP.NET 進程模型所使用的帳戶。
- 執行 Microsoft Dynamics CRM 安裝的用戶帳戶。
- 將安裝 Microsoft Dynamics CRM-Exchange 電子郵件路由器的電腦帳戶。
ReportingGroup
- 這 (的所有 Microsoft Dynamics CRM 用戶帳戶都包含正在安裝 Microsoft Dynamics CRM) 的使用者。
SQLAccessGroup
- CRMAppPool 應用程式集區所使用的帳戶。
- ASP.NET 進程模型所使用的帳戶。
UserGroup
- 這 (的所有 Microsoft Dynamics CRM 用戶帳戶都包含正在安裝 Microsoft Dynamics CRM) 的使用者。
PrivReportingGroup
- 將安裝 Microsoft Dynamics CRM Data Connector for Microsoft SQL Server Reporting Services 的電腦帳戶。
若要新增帳戶,請針對清單中的每個群組遵循下列步驟:
- 以具有網域系統管理員許可權的使用者身分登入域控制器伺服器。
- 選取 [開始],選取 [系統管理工具],然後選取 [Active Directory 使用者和電腦]。
- 在瀏覽窗格中,將樹狀結構展開至包含安全組的節點,以滑鼠右鍵按兩下安全組,選取 [ 屬性],然後選取 [ 成員] 索 引標籤。
- 若要新增用戶帳戶,請選取 [ 新增],然後選取 [ 確定]。 若要新增計算機帳戶,請選取 [物件類型],選取 [ 計算機] 複 選框,然後選取 [ 確定]。
若要確認CRMAppPool應用程式集區使用的帳戶,請在執行 Microsoft Dynamics CRM 伺服器的電腦上遵循下列步驟:
- 選 取 [開始],選取 [ 系統管理工具],然後選 取 [Internet Information Services (IIS) Manager]。
- 展開計算機名稱。
- 展開 [應用程式集區]。
- 以滑鼠右鍵按兩下 [CRMAppPool],選取 [ 屬性],然後選取 [ 身分識別] 索引 標籤。
NetworkService 帳戶和 LocalSystem 帳戶都是以 domainname\computername $ 帳戶表示。 因此,如果您必須將 NetworkService 帳戶或 LocalSystem 帳戶新增至安全組,則必須新增 domainname\computername $ 帳戶。
如果選取 [ 可設定] 選項,您必須將指定的用戶帳戶新增至安全組。 指定的使用者帳戶會出現在文字框中。
若要確認 ASP.NET 程式模型使用的帳戶,請在 Microsoft Dynamics CRM 伺服器上遵循下列步驟:
在 Windows 檔案總管中,開啟下列資料夾:
C:\WINNT\Microsoft.NET\Framework\v1.1.4322\CONFIG
以滑鼠右鍵按兩下 [Machine.config],選取 [ 開啟位置],然後選取 [ 記事本]。
搜尋文字中的用戶 名稱 一詞。 檔案包含單字的多個實例。 找出文字中的第五個 用戶名稱 實例。 用戶 名稱 第五個實例的值是 ASP.NET 進程模型所使用的帳戶。
SYSTEM 帳戶和計算機帳戶都是以 domainname\computername $ 帳戶表示。 因此,如果您必須將 SYSTEM 帳戶或電腦帳戶新增至安全組,您必須新增 domainname\computername $ 帳戶。
如果在 Machine.config 檔案中指定使用者名稱,您必須將指定的用戶帳戶新增至安全組。
服務帳戶
在安裝 Microsoft Dynamics CRM 期間,您會看到 [指定安全性帳戶] 頁面。 在此頁面上,您可以選取使用網域用戶帳戶作為安全性帳戶。 如果要執行這項操作,請依照下列步驟執行:
將網域用戶帳戶新增至效能記錄用戶本地組。 如果要執行這項操作,請依照下列步驟執行:
- 在執行 Microsoft Dynamics CRM 伺服器的計算機上,依序選取 [開始]、[所有程式] 及 [系統管理工具],然後選取 [計算機管理]。
- 展開 [ 本機使用者和群組],然後展開 [ 群組]。
- 以滑鼠右鍵按兩下 [ 效能記錄使用者 ] 群組,然後選取 [ 新增至群組]。
- 選 取 [新增],輸入網域用戶帳戶,然後選取 [ 確定 ] 兩次。
在網域用戶帳戶下建立 HTTP 服務主體名稱帳戶。 如果要執行這項操作,請依照下列步驟執行:
如果未安裝 Windows Server 支援工具,請加以安裝。
注意事項
此步驟不需要在執行 Microsoft Dynamics CRM 伺服器的電腦上完成。 此步驟可以在網域中的另一部伺服器上完成。 此外,您必須使用有權將服務主體名稱 (SPN) 新增至使用者帳戶的帳戶來登入。
在命令提示字元中輸入下列命令,然後在每個命令之後按 ENTER:
SETSPN -a http/crmservername.domain.comuseraccount
SETSPN -a http/crmservernameuseraccount
注意事項
crmservername 佔位元是要安裝 Microsoft Dynamics CRM 的伺服器名稱。 domain.com 占位元代表網域的名稱。 useraccount 佔位符代表您在 Microsoft Dynamics CRM 安裝期間用來作為服務帳戶的帳戶。
參考資料
如需如何使用 SPN 的詳細資訊,請參閱 如何在設定裝載於 Internet Information Services 的 Web 應用程式時使用 SPN。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應