実践 Dynamics CRM環境構築 (5) アカウント設計

(4)に続き、今回の投稿も準備に近い内容である。

Dynamics CRMでは、以下のサービスに対してサービスアカウントを設定する必要がある。

・アプリケーションサービス

・展開Webサービス

・サンドボックスサービス

・VSSライターサービス

・非同期処理サービス

・監視サービス

Dynamics CRMのインストールウィザードを実行中に設定する必要がある。

それぞれのサービスの詳細はよく分からない。

実装ガイドにも機能の説明はなく、「ドメインユーザーであること」のようにどのような権限が必要かという記載のみが記してある(※)。

※[Microsoft Dynamics CRM のサービスと IIS アプリケーション プールの ID の権限]のセクション付近

このほか、インストールアカウントをどうするか、SQL Serverに関するアカウントはどうするか、IISに関するアカウントはどうすか

など設定するべきアカウントは非常に多い。細かく設定できる以上、細かく設定するメリットはあるであろう。

例えばPlugin開発のみを行う開発者はシステム全般のAdmin権限は不要であり、最小限のアカウント権限で作業をすべきである。

しかしながら、それぞれすべてのアカウントを個別に設定する場合、設計上/運用上の煩雑さが発生します。

■設計上の煩雑さ

・影響度合いがよくわからないサービスに対しての設計には根拠が乏しくなる。

・権限が不足してインストールに失敗する(4.0くらいまでのバージョンまでは比較的よく発生していた)。

■運用上の煩雑さ

・それぞれのアカウントとPWの管理の煩雑さ。

サービスアカウントであるためあまりないかもしれないが、一定期間でPWを変更するような運用がある場合は手間がかかる。

 

以上を踏まえ、実践的にはどの程度の設計をすればよいのであろうか。

Dynamics CRMを取り巻く環境に依存して検討するのがひとつのやり方であると考える。

例えば、Dynamics CRMを全社共有し、外部ベンダーが複数登場し、かなり規模で導入するという場合、

この場合はそもそもプロジェクト規模が大きく、それなりの費用がかけられるものであると推測できる。

複雑な関係者が登場するのであれば、それなりにサービスアカウントは分割するべきであろう。

一方で、Dynamics CRMを営業管理のみに導入し、情報システム部の1チームが運用担当する、

というようなケースであれば、サービスアカウントを分割する必要性は低いものであると考えられえる。

 

今回は後者のケースを想定したい。

正直、サービスアカウントの細分化とその影響に関しては分からない。

実際に大きな案件が発生した場合、その案件の中で事前にテストするものであろう。

 

今回は(私が知る限り)最もサービスアカウントを考慮しないケースにしたいと考える。

すべてのインストールアカウント及び設定すべきサービスアカウントは新たに作成する

ドメインアカウント(crmdom\crmadmin)のみとする。

もちろん、ADをインストールした際に作成したアカウント(crmdom\administrator)を利用してもよい。

しかしながら実際のプロジェクトにてcrmdom\administratorでインストールを許可されるケースはまずない。

ADをコントロールできる権限のアカウントの認証情報をCRM管理者が知り得てよいという運用をされるケースが

ほとんどないためである。また、crmdom\administratorではうまくいって、crmdom\crmadminでは

失敗するというインストール手順が存在するため、ADの管理者ではないアカウントを用いて行いたいと思う。

※失敗するケースは「OU」と「セキュリティグループ」に関するもの。

どこに記載しようか迷った結果、Dynamics CRMインストールの直前あたりに記載しようと思う。

 

以下は、crmdom\crmadminアカウントの作成手順である。

ADサーバにcrmdom\administratorでログイン。

[Acitve Directoryユーザーとコンピューター]を起動

20140718_001

[Users]に移動し、右クリック[新規作成]、[ユーザー]

20140718_002

crmdom\crmadminの情報を入力

20140718_003

20140718_004

20140718_005

以上。

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中