安装和配置期间必需的用户帐户信息

安装和配置期间,将使用各种用户帐户,每种帐户都有特定许可权。服务帐户和本地系统用户帐户可以是具有相同用户名和密码的单个帐户。但是,如果贵组织需要进行职责分离,请在安装和配置期间使用本地系统用户帐户,然后使用服务帐户来维护 SQL Server 数据库访问。

在安装和配置期间使用服务帐户

1. 将服务帐户用作安装帐户

许可权 描述
将服务帐户设为本地管理员。在您安装或维护软件时,以此帐户登录。服务帐户在计算机的本地安全策略中必须具有以下许可权:
  • 从网络访问该计算机
  • 作为服务来登录(该许可权由本地产品管理员所运行的“服务器配置”向导来授予)

通过 SQL Server 数据库,您可以使用单个服务帐户或多个服务帐户,具体取决于您决定如何进行安装。

如果在安装和配置之后在服务器上部署了某种类型的组策略,而该策略会改变计算机的本地安全策略并撤销任何这些权限,那么 AppScan Enterprise 都将无法工作。

在所安装组件的配置期间,必须输入服务帐户信息。该服务帐户允许代理程序访问数据库服务器。个别用户不需要任何形式的数据库许可权。用于代理程序和数据库的服务帐户的密码应该是未到期的。但是,如果这些密码必须定期更改,那么您可以在所有 AppScan® Enterprise Server 和 Dynamic Analysis Scanner 计算机上重新运行“配置”向导并输入新密码。

服务帐户将被授予对数据库的 db_owner 权限,并且必须具有使其能够创建数据库和表,添加用户,运行存储过程以及授予权限的许可权。如果您的组织阻止向服务帐户授予 db_owner 权限,那么至少必须向该帐户授予 ddladmin、datawriter 和 datareader 权限,用于配置和运行 AppScan Enterprise。

文件和文件夹许可权
服务帐户必须在 Drive:\\YourInstallFolder\HCL\product name\ 和其所有子文件夹中具有以下许可权:
  • 读取并执行
  • 删除
  • 删除文件和子文件夹
  • 创建文件和子文件夹
注: 这些许可权允许服务帐户写入日志文件。它们也允许扫描代理程序写入临时文件,无该文件,扫描将不能运行。“配置”向导会为您创建这些许可权 - 请不要予以更改。
本地安全策略

服务帐户必须具有在目标机器上进行本地登录的许可权,以便该帐户可以模仿用户的登录凭证。此外,它还必须具有作为服务来登录的许可权。

注册表许可权
服务帐户必须具有以下许可权:
  • 读取并执行
  • 删除

在安装和配置期间使用本地系统用户帐户

本地系统用户帐户必须是机器上的本地产品管理员(不必是服务帐户)。在该机器的本地安全策略中,该用户必需具有以下许可权:
  • 从网络访问该计算机
  • 允许本地登录
在安装和配置期间,本地系统用户帐户需要对 SQL Server 数据库的 db_creator 许可权来创建数据库和表,添加用户,运行存储过程以及授予权限。安装和配置完成后,请从本地系统用户帐户移除这些数据库许可权,并其分配给服务帐户以处理 AppScan Enterprise 与数据库之间的所有交互。
提示: 如果您升级 AppScan Enterprise 或重新运行配置向导(用于更改数据库),请向本地系统用户帐户授予相应的数据库特权。
  1. 本地系统用户帐户在 MS SQL Server 上创建 AppScan 数据库并确定其结构。
  2. 本地系统用户帐户以 db_owner 身份将数据库服务添加到数据库。
  3. 本地系统用户帐户使用必要数据来初始化数据库。
2. 将本地系统用户帐户用作安装帐户

许可权 描述
使本地系统用户帐户成为本地管理员。在您安装或维护软件时,以此帐户登录。本地系统用户帐户必须具有计算机的本地安全策略中的以下许可权:
  • 从网络访问该计算机
  • 作为服务来登录(该许可权由本地产品管理员所运行的“服务器配置”向导来授予)

对于 SQL Server 数据库,您可以使用单个帐户或多个帐户,具体取决于您决定如何进行安装。

如果在安装和配置之后在服务器上部署了某种类型的组策略,而该策略会改变计算机的本地安全策略并撤销任何这些权限,那么 AppScan Enterprise 都将无法工作。

本地系统用户帐户允许代理程序访问数据库服务器。个别用户不需要任何形式的数据库许可权。用于代理程序和数据库的本地系统用户帐户应该具有不会到期的密码。但是,如果这些密码必须定期更改,那么您可以在所有 AppScan® Enterprise Server 和 Dynamic Analysis Scanner 计算机上重新运行“配置”向导并输入新密码。

安装和配置完成后,请从本地系统用户帐户移除这些数据库许可权,并其分配给服务帐户以处理 AppScan Enterprise 与数据库之间的所有交互。

本地系统用户帐户将被授予对数据库的 db_owner 权限,并且必须具有使其能够创建数据库和表,添加用户,运行存储过程以及授予权限的许可权。如果您的组织阻止向本地帐户授予 db_owner 权限,那么至少必须向该帐户授予 ddladmin、datawriter 和 datareader 权限,用于配置和运行 AppScan Enterprise

文件和文件夹许可权
本地系统用户帐户必须在 Drive:\\YourInstallFolder\HCL\product name\ 和其所有子文件夹中具有以下许可权:
  • 读取并执行
  • 删除
  • 删除文件和子文件夹
  • 创建文件和子文件夹
注: 这些许可权使本地系统用户帐户能够对日志文件执行写操作。它们也允许扫描代理程序写入临时文件,无该文件,扫描将不能运行。配置向导将为您创建这些许可权,请不要予以更改。
本地安全策略

本地系统用户帐户必须具有在目标机器上进行本地登录的许可权,以便其能够模仿用户的登录凭证。此外,它还必须具有作为服务来登录的许可权。

注册表许可权
本地系统用户帐户必须具有以下许可权:
  • 读取并执行
  • 删除

其他用户帐户

3. 其他用户帐户

帐户 描述
ASPNET 帐户
ASPNET 帐户必须具有对 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子文件夹的以下许可权:
  • 读取并执行
  • 删除
  • 认证之后模仿客户机
Internet Guest 帐户
Internet Guest 帐户必须具有对 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子文件夹的以下许可权:
  • 读取并执行