最近遇见一个客户在安装CRM是AD的权限控制比较严格,以往我们习惯用域管理员用户安装CRM,这个时候就需要我们知道安装CRM所需的最低权限是怎么样的。通过查看所需最低权限事项,了解到Microsoft Dynamics 365安装还可以通过命令的方式安装。
以下就是微软给出的安装CRM用户最低权限列表:
-
是 Active Directory Domain Users 组的成员。 默认情况下,Active Directory 用户和计算机会向 Domain Users 组中添加新用户。
-
是运行安装程序的本地计算机上管理员组的成员。
-
具有本地 Program Files 文件夹的读取和写入权限。
-
是将用于存储 Microsoft Dynamics 365 数据库的 SQL Server 实例所在的本地计算机上 Administrators 组的成员。
-
在将用于存储 Microsoft Dynamics 365 数据库的 sysadmin 实例上获得 SQL Server 成员资格。
在 Active Directory 中创建组织单元和安全组并添加成员资格。 此外,如果已经创建安全组,还可使用安装程序 XML 配置文件,使用命令提示符安装 Microsoft Dynamics Server 365。(注:通常我们都知道安装CRM的时候会在AD域OU下会自动创建PrivUserGroup、SQLAccessGroup、ReportingGroup、PrivReportingGroup,若果使用命令安装这些是可以有客户AD team事先创建的,在把安装的用户赋予这些组读写权限就OK了)
-
如果 Microsoft SQL Server Reporting Services 安装在其他服务器上,则必须在安装用户帐户的根目录级别添加内容管理器角色。 还必须在安装用户帐户的网站级别添加系统管理员角色
安装程序 XML 配置文件示例:
<CRMSetup>
<Server>
<Patch update="true">\\ServerName\ShareName\patchfile.msp</Patch>
<LicenseKey>XXXXX-XXXXX-XXXXX-XXXXX-XXXXX</LicenseKey>
<SqlServer>SQLServer</SqlServer>
<Database create="true"/>
<Reporting URL="http://MyReportingServer/ReportServer"/>
<OrganizationCollation>Latin1_General_CI_AI</OrganizationCollation>
<basecurrency isocurrencycode="USD" currencyname="US Dollar" currencysymbol="$" currencyprecision="2"/>
<Organization>Organization Display Name</Organization>
<OrganizationUniqueName>Organization-Name</OrganizationUniqueName>
<OU>OU=value,DC=subdomain,DC=subdomain,DC=subdomain,DC=com</OU>
<WebsiteUrl create="true" port="5555"> </WebsiteUrl>
<InstallDir>c:\Program Files\Microsoft Dynamics CRM</InstallDir>
<CrmServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMAppService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</CrmServiceAccount>
<SandboxServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMSandboxService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</SandboxServiceAccount>
<DeploymentServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMDeploymentService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</DeploymentServiceAccount>
<AsyncServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMAsyncService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</AsyncServiceAccount>
<VSSWriterServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMVSSWriterService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</VSSWriterServiceAccount>
<MonitoringServiceAccount type="DomainUser">
<ServiceAccountLogin>Contoso\CRMMonitoringService</ServiceAccountLogin>
<ServiceAccountPassword>password</ServiceAccountPassword>
</MonitoringServiceAccount>
<SQM optin="true"/>
<muoptin optin="true"/>
<!-- Settings for IFD installation. May be skipped for intranet-only deployment or to configure IFD later. -->
<ifdsettings enabled="false">
<!-- Define what address considered internal, required only if enabled=true -->
<internalnetworkaddress>10.0.0.1-255.0.0.0</internalnetworkaddress>
<!-- Define URLs with IFD authentication, required only if enabled=true -->
<rootdomainscheme>http</rootdomainscheme>
<sdkrootdomain>api.contoso.com</sdkrootdomain>
<webapplicationrootdomain>app.contoso.com</webapplicationrootdomain>
<discoveryrootdomain>disc.contoso.com</discoveryrootdomain>
</ifdsettings>
<Email>
<IncomingExchangeServer name="ExchangeServerName"/>
</Email>
</Server>
</CRMSetup>
具体说明大家可参照微软说明