ESO9 wiki

Podmínkou řádného fungování služeb OLAP (MSSQLServerOLAPService) a SQL Serveru (MSSQLServer) je práce služby pod definovaným uživatelským účtem s patřičnými právy.

Služba SQL Server Agent (SQLServerAgent) se někdy využívá pro odesílání pošty z procedur SQL serveru. K tomu potřebuje také uživatelský účet definovaných vlastností.

Proto se pro všechny tyto služby musí vytvořit doménový účet, pod kterým budou pracovat (podmínka). Účet musí splňovat následující podmínky:

• být zařazen do skupiny lokálních administrátorů SQL serveru (není podmínkou)
• podrobný popis potřebných nastavení pro OLAP je uveden v dokumentu OLAP a ESO9

Účet aplikačního serveru je doménový účet, pod kterým běží aplikační server. Účet musí být připraven před instalací technologie (podmínka). Připraví jej správce sítě. Je vhodné, aby měl účet administrátorská oprávnění (doporučení), ale není to podmínkou.

Minimálně (podmínka) musí mít účet následující vlastnosti:

• Musí to být doménový účet
• Pod účtem běží proces aplikačního serveru - musí mít vlastnost „lokální přihlášení“ (log on locally), oprávnění běžet jako služba (Run As Service), zamykat stránky paměti. Případná další potřebná oprávnění jsou uvedena v dokumentu Metodika instalace AS NET
• Pomocí účtu se přistupuje na SQL server k aplikačním databázím - účet musí mít plný přístup k těmto databázím a dále k databázím _DOC a _LOG. Musí mít dále právo vytvářet tyto databáze a spouštět zakládat joby SQL Agenta. Při instalaci a aktualizací verzí ESO9 musí mít plný přístup k databázi master.
• Účet čte HTML předlohy souborově z adresářů, kde jsou umístěny aplikační weby a start web. Musí mít minimálně přístup pro čtení (read only) k těmto adresářů a souborům v nich umístěných.
• Musí mít plný přístup k instalačnímu adresáři aplikačního serveru, kde si vytváří podadresáře TMP a Sestavy a do nich ukládá pracovní soubory.
• Musí mít plný přístup do větve registru uvedené v dokumentu Metodika instalace AS NET

Nejsnáze se tyto podmínky splní zařazením účtu do skupiny lokálních administrátorů aplikačního a databázového serveru.

V případě rozšíření funkčnosti o např. importy/exporty je nutné patřičně upravit požadovaná oprávnění.

Správce aplikace ESO9 musí mít práva a vlastnosti účtu uživatele. Navíc musí mít právo spouštět a používat správcovské.

Dále musí mít přístup do souborového systému aplikačního serveru, minimálně do adresářů IIS webů, instalačního adresáře ESO9 a k adresáři se zálohami webů a databází a na databázovém serveru plný přístup ke všem aplikačním databázím.

Nejsnáze se tyto podmínky splní zařazením účtu správce do skupiny lokálních administrátorů aplikačního a databázového serveru. Tento postup se doporučuje.

Účet uživatele je doménový a musí být zaveden ve skupině uživatelů aplikačního serveru tak, aby měl přístup k následujícím službám:

• IIS weby všech uživatelem používaných aplikací
• Podpůrný web (eso9supp, eso9supp.net)
• Pokud používá výstupy z OLAP, musí být navíc zařazen ve skupině OLAP Administrators na OLAP serveru (viz dokument OLAP a ESO9)

V případě použití ESO9 autentikace nebo ověření certifikáty uživatel přistupuje k IIS pod anonymním účtem. Nemusí být tedy zaveden ve skupině uživatelů aplikačního serveru. Výjimkou je potřeba ověření vůči OLAP, import/export a sestavy přistupující přímo k datům SQL serveru.