安裝與配置期間的必要使用者帳戶資訊

在安裝與配置期間,會使用不同的使用者帳戶,其各有特定的許可權。「服務帳戶」和「本端系統使用者帳戶」可以是具有相同使用者名稱和密碼的單一帳戶。不過,如果您的組織需要權責區分,請在安裝與配置期間使用「本端系統使用者帳戶」,而在維護 SQL Server 資料庫存取時使用「服務帳戶」。

安裝與配置期間使用服務帳戶

1. 使用服務帳戶作為安裝帳戶

權限 說明
使服務帳戶成為本端管理者。安裝或維護軟體時以此帳戶登入。服務帳戶在該電腦的本機安全性原則中必須有下列許可權:
  • 從網路存取這部電腦
  • 以服務方式登入(此許可權是由本端「產品管理者」執行的「伺服器配置精靈」所授與)

當使用 SQL Server 資料庫時,依您決定如何安裝而定,您可以使用單一服務帳戶或多個服務帳戶。

如果在伺服器上部署了某些類型的群組原則,且在安裝與配置之後變更了電腦的本機安全原則並撤銷任何一項權限之後,AppScan Enterprise 將無法運作。

在安裝之元件的配置期間,您必須輸入服務帳戶資訊。這個服務帳戶可讓代理程式存取資料庫伺服器。個別使用者不需要任何形式的資料庫許可權。代理程式和資料庫所用的服務帳戶應該有不會到期的密碼。不過,如果密碼必須定期變更,您可以在所有 AppScan® Enterprise Server 和動態分析掃描器電腦上重新執行「配置精靈」,然後輸入新密碼。

服務帳戶被授與針對資料庫的 db_owner 權限,且必須有可供其建立資料庫和表格、新增使用者、執行儲存程序及授與權限的許可權。如果您的組織禁止將 db_owner 權限授予服務帳戶,則必須至少授予帳戶 ddladmin、datawriter 和 datareader 權限,以配置及執行 AppScan Enterprise。

檔案和資料夾許可權
該服務帳戶對 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子資料夾必須具有下列許可權:
  • 讀取和執行
  • 寫入
  • 刪除
  • 刪除檔案和子資料夾
  • 建立檔案和子資料夾
註: 這些許可權可讓服務帳戶寫入日誌檔。它們也可讓掃描代理程式寫入暫存檔,若不具備這些許可權,掃描便無法運作。「配置精靈」會為您建立這些許可權 - 請勿變更它們。
本機安全性原則

服務帳戶必須具備從本端登入目標機器的許可權,如此才能假冒使用者的登入認證。它也必須具備以服務方式登入的許可權。

登錄許可權
服務帳戶必須具備下列許可權:
  • 讀取和執行
  • 寫入
  • 刪除

安裝與配置期間使用本端系統使用者帳戶

「本端系統使用者帳戶」必須是機器上的本端「產品管理者」(不需要是服務帳戶)。在該機器的本機安全性原則中,這個使用者必須有下列許可權:
  • 從網路存取這部電腦
  • 允許本端登入
在安裝與配置期間,「本端系統使用者帳戶」需要有 SQL Server 資料庫的 db_creator 許可權,以便能夠建立資料庫和表格、新增使用者、執行儲存程序及授與權限。安裝與配置完成之後,請移除「本端系統使用者帳戶」的資料庫許可權,將其指派給「服務帳戶」來處理 AppScan Enterprise 與資料庫之間的所有互動。
提示: 如果您升級 AppScan Enterprise 或重新執行配置精靈(其會變更資料庫),請提供「本端系統使用者帳戶」適當的資料庫專用權。
  1. 「本端系統使用者帳戶」會在 MS SQL Server 上建立及建構 AppScan 資料庫。
  2. 「本端系統使用者帳戶」會以 db_owner 的身分新增資料庫服務至資料庫。
  3. 「本端系統使用者帳戶」會以必要的資料起始設定資料庫。
2. 使用「本端系統使用者帳戶」作為安裝帳戶

權限 說明
使本端系統使用者帳戶成為本端管理者。安裝或維護軟體時以此帳戶登入。本端系統使用者帳戶在電腦的本機安全原則中必須有下列許可權:
  • 從網路存取這部電腦
  • 以服務方式登入(此許可權是由本端「產品管理者」執行的「伺服器配置精靈」所授與)

如果使用 SQL Server 資料庫,根據您決定的安裝方式,您可以使用單一帳戶或多個帳戶。

如果在伺服器上部署了某些類型的群組原則,且在安裝與配置之後變更了電腦的本機安全原則並撤銷任何一項權限之後,AppScan Enterprise 將無法運作。

本端系統使用者帳戶可讓代理程式存取資料庫伺服器。個別使用者不需要任何形式的資料庫許可權。代理程式和資料庫所使用的本端系統使用者帳戶的密碼應該不會到期。不過,如果密碼必須定期變更,您可以在所有 AppScan® Enterprise Server 和動態分析掃描器電腦上重新執行「配置精靈」,然後輸入新密碼。

安裝與配置完成之後,請移除「本端系統使用者帳戶」的資料庫許可權,將其指派給「服務帳戶」來處理 AppScan Enterprise 與資料庫之間的所有互動。

本端系統使用者帳戶被授與針對資料庫的 db_owner 權限,且必須有可供其建立資料庫和表格、新增使用者、執行儲存程序及授與權限的許可權。如果您的組織禁止將 db_owner 權限授予本機帳戶,則必須至少授予帳戶 ddladmin、datawriter 和 datareader 權限,以配置及執行 AppScan Enterprise

檔案和資料夾許可權
本端系統使用者帳戶對 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子資料夾必須具有下列許可權:
  • 讀取和執行
  • 寫入
  • 刪除
  • 刪除檔案和子資料夾
  • 建立檔案和子資料夾
註: 這些許可權可讓本端系統使用者帳戶寫入日誌檔。它們也可讓掃描代理程式寫入暫存檔,若不具備這些許可權,掃描便無法運作。「配置精靈」會為您建立這些許可權 -- 請勿變更它們。
本機安全性原則

本端系統使用者帳戶必須具備從本端登入目標機器的許可權,如此才能扮演使用者的登入認證。它也必須具備以服務方式登入的許可權。

登錄許可權
本端系統使用者帳戶必須具備下列許可權:
  • 讀取和執行
  • 寫入
  • 刪除

其他使用者帳戶

3. 其他使用者帳戶

帳戶 說明
ASPNET 帳戶
ASPNET 帳戶必須具備 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子資料夾的下列許可權:
  • 讀取和執行
  • 寫入
  • 刪除
  • 鑑別之後假冒用戶端
網際網路訪客帳戶
「網際網路訪客」帳戶必須具備 Drive:\\YourInstallFolder\HCL\product name\ 及其所有子資料夾的下列許可權:
  • 讀取和執行
  • 寫入