Zabezpečení systému Windows
Toto téma popisuje účty a skupiny zabezpečení systému Windows Server vytvářené a používané technologií Windows Server AppFabric. Tyto skupiny umožňují fyzickou implementaci konceptuálních rolí zabezpečení definovaných technologií AppFabric.
Během instalace technologie AppFabric vytváří dvě skupiny zabezpečení: NÁZEV_POČÍTAČE\AS_Administrators a NÁZEV_POČÍTAČE\AS_Observers. Systém AppFabric používá předdefinované účty systému Windows – účty NT AUTHORITY\Local Service a BUILTIN\IIS_IUSRS. NT AUTHORITY\Local Service slouží jako přihlašovací identita pro služby Služba Shromažďování událostí a Správa pracovního postupu. Účet BUILTIN\IIS_IUSRS se používá jako přihlašovací účet systému SQL Server pro identitu fondu aplikací služeb NET s databází trvalosti. Úkoly související se správou technologie AppFabric, jako je nasazení aplikací a konfigurace zabezpečení systému souborů, vyžadují členství v místní skupině Administrators.
Konceptuální role zabezpečení technologie AppFabric
Namodelujte bezpečnostní řešení tím, že uživatele klasifikujete do jedné ze tří konceptuálních rolí zabezpečení technologie AppFabric: správci aplikačního serveru, pozorovatelé aplikačního serveru a uživatelé aplikačního serveru. Tyto tři konceptuální role zabezpečení jsou nositeli konkrétních oprávnění, která potřebují správci, pozorovatelé, respektive uživatelé. Použití konceptuálních rolí zabezpečení technologie AppFabric lze přirovnat k vytvoření jednoduchého logického vývojového diagramu na začátku vývoje počítačového programu. Tím, že nejprve provedete konceptuální návrh, dosáhnete toho, že fyzická implementace bude jednodušším a plynulejším procesem. Potom vezmete uživatele přiřazené k jednotlivým rolím a budete je mapovat nejprve na účty a skupiny zabezpečení systému Windows a následně na databázové role systému SQL Server. Další informace o konceptuálních rolích zabezpečení technologie AppFabric naleznete v tématu Model zabezpečení technologie Windows Server AppFabric.
Skupiny zabezpečení systému Windows pro technologii AppFabric
Skupina správců technologie AppFabric
Skupina zabezpečení systému Windows pro technologii AppFabric představující správce, AS_Administrators, vám dává plnou kontrolu nad konfigurací aplikací a jejich monitorováním a trvalostí. Členové skupiny mohou provádět následující akce:
Pozastavovat, obnovovat, ukončovat a odstraňovat trvalé instance
Vytvářet a odebírat zdroje událostí a kolektory událostí
Zobrazovat, vyprazdňovat a archivovat data monitorování
Služby NT systému AppFabric (Služba Shromažďování událostí a Správa pracovního postupu) automatizují úlohy správy systému AppFabric, jako je shromažďování událostí a obnovování instancí po selhání nebo restartování systému. Instalační program systému AppFabric určí účet NT AUTHORITY\Local Service jako přihlašovací účet pro služby Služba Shromažďování událostí a Správa pracovního postupu. Při instalaci se účet NT AUTHORITY\Local Service také stane členem místní skupiny zabezpečení NÁZEV_POČÍTAČE\AS_Administrators. Tím je zajištěno, aby služby systému AppFabric měly správná oprávnění k provádění svých operací.
Poznámka
Také jiné služby NT mohou používat účet LocalService jako přihlašovací účet. Aby se zabránilo spuštění jakékoli služby pod účtem LocalService, který poskytuje oprávnění ke všem ostatním službám spuštěným pod stejnou identitou účtu, používá systém Windows koncept jednoho identifikátoru zabezpečení (SID) na každou službu. To znamená, že služby Služba Shromažďování událostí a Správa pracovního postupu používají pro účet LocalService k místní skupině zabezpečení NÁZEV_POČÍTAČE\AS_Administrators zástupný účet. Účty jsou ve formátu NT SERVICE\AppFabricEventCollectionService a NT SERVICE\AppFabricWorkflowManangementService a budou v místní skupině zabezpečení NÁZEV_POČÍTAČE\AS_Administrators viditelné po dokončení instalace.
| Atribut | Hodnota |
|---|---|
Název |
NÁZEV_POČÍTAČE\AS_Administrators |
Práva |
|
Výchozí členové |
NT AUTHORITY\Local Service představovaný účty NT SERVICE\AppFabricEventCollectionService a NT SERVICE\AppFabricWorkflowManangementService |
Je výchozím členem role |
Žádná |
Skupina pozorovatelů technologie AppFabric
Skupina zabezpečení systému Windows pro pozorovatele aplikačního serveru, AS_Observers, poskytuje úplnou viditelnost dat trvalosti a monitorování aplikací. Pozorovatelé aplikačního serveru (AS_Observers) mohou:
Vytvářet výčet aplikací a služeb
Zobrazovat konfiguraci aplikací a služeb
Zobrazovat data monitorování
Prověřovat trvalé instance
Důležité
Členové skupiny zabezpečení Pozorovatelé aplikačního serveru mohou standardně zobrazit data sledování a trvalosti pro všechny aplikace v místním serveru nebo doméně.
| Atribut | Hodnota |
|---|---|
Název |
NÁZEV_POČÍTAČE\AS_Observers |
Práva |
|
Výchozí členové |
Žádný |
Je výchozím členem role |
Žádná |
Skupina uživatelů technologie AppFabric
Přiřadíte-li této roli účty identit fondu aplikací služby IIS, umožníte aplikacím používat sdílená úložiště trvalosti a sdílené systémové služby, jako jsou časovače. Role Uživatelé aplikačního serveru je přiřazena ke skupině zabezpečení služby IIS BUILTIN\IIS_IUSRS. Další informace o předdefinované skupině IIS_IUSRS naleznete v článku Služba IIS 7.0: Konfigurace zabezpečení webového serveru (https://go.microsoft.com/fwlink/?LinkID=131918).
Vzhledem ke svému místnímu rozsahu se skupina BUILTIN\IIS_IUSRS nepoužívá v prostředí domény. Jak budete vyvíjet model zabezpečení domény, budou typy členů, které by byly začleněny do skupiny BUILTIN\IIS_IUSRS s místním rozsahem, nahrazeny identitami aplikací fondů aplikací služby IIS, které jsou hostiteli služeb NET WCF a WF ve skupině uživatelů domény. Protože účty domény nejsou vytvářeny instalačním programem technologie AppFabric, bude nutné ručně vytvořit objekt na úrovni domény představující skupinu BUILTIN\IIS_IUSRS. Například můžete vytvořit skupinu Má_doména\Uživatelé_AS_mé_domény a přidat do této skupiny doménové identity fondů aplikací služby IIS technologie AppFabric. Při konfiguraci trvalosti technologie AppFabric specifikujete tuto skupinu (Má_doména\Uživatelé_AS_mé_domény) odpovídajícím způsobem. Provádí se to při zadávání vstupu do pole Uživatelé v části Konfigurace zabezpečení v dialogovém okně Konfigurace úložiště trvalosti nebo do pole –Users v rutině Initialize-ASPersistenceSqlDatabase. Touto akcí přidáte přihlašovací jméno Má_doména\Uživatelé_AS_mé_domény pro systém SQL do databáze trvalosti technologie AppFabric. V době běhu budou mít identity fondů aplikací služby IIS oprávnění k databázi trvalosti v rámci role System.Activities.DurableInstancing.InstanceStoreUsers. Další informace o způsobu konfigurace skupiny představující uživatele při konfiguraci pomocí rutiny Initialize-ASPersistenceSqlDatabase naleznete v tématu Vytvoření a inicializace databáze pomocí rutin technologie Windows Server AppFabric. Další informace o způsobu konfigurace skupiny představující uživatele při konfiguraci pomocí Průvodce konfigurací technologie Windows Server AppFabric naleznete v tématu Průvodce konfigurací technologie Windows Server AppFabric. Informace o rozdílech ve výchozí identitě fondu aplikací u služby IIS 7 a služby IIS 7.5 naleznete v tématu Identity fondů aplikací.
| Atribut | Hodnota |
|---|---|
Název |
BUILTIN\IIS_IUSRS |
Práva |
|
Skupiny Administrators systému Windows
Přiřadíte-li uživatele do normální skupiny Administrators systému Windows, umožníte jim nasazovat aplikace a jejich nasazení rušit pomocí nástrojů, jako je Správce služby IIS nebo MSDeploy. Členství v této skupině také umožňuje upravovat konfiguraci serveru, webu nebo aplikace.
| Atribut | Hodnota |
|---|---|
Název |
NÁZEV_POČÍTAČE\Administrators |
Práva |
Úplná kontrola nad soubory, adresáři a konfiguracemi aplikací |
Zabezpečení domény technologie AppFabric
Při používání více než jednoho serveru technologie AppFabric ve webové farmě se doporučuje přesunout zabezpečení z místních skupin zabezpečení systému Windows AS_Administrators a AS_Observers vytvořených během instalace v jednom počítači na použití jejich doménových protějšků ve více počítačích. Aby bylo možné na serverech webové farmy úspěšně nakonfigurovat technologii AppFabric, musejí být nejprve správně nakonfigurovány účty a skupiny zabezpečení domény. Pokud používáte službu Active Directory, můžete navrhnout role zabezpečení technologie AppFabric pomocí účtů domény, čímž se zjednoduší zabezpečení ve více počítačích. Správce technologie AppFabric může prostřednictvím služby Active Directory explicitně vytvořit dva vlastní skupinové účty pro role správců a pozorovatelů. Můžete je například nazvat DOMAIN\MyAppFabricAdmins a DOMAIN\MyAppFabricObservers. Správce pak může udělit oprávnění správce skupině DOMAIN\MyAppFabricAdmins v počítači, který používá technologii AppFabric, a podobně postupovat i u skupiny DOMAIN\MyAppFabricObservers.
Místní skupiny AS_Administrators a AS_Observers vytvořené během instalace technologie AppFabric na jednom serveru se nepoužívají k zabezpečení webové farmy využívající více serverů technologie AppFabric. Místo nich bude třeba použít účty domény. Mějte na paměti, že instalační a konfigurační programy technologie AppFabric pro vás žádné účty domény nevytvoří, takže je bude nutné vytvořit ručně pomocí služby Active Directory. Vytvořte doménové skupiny zabezpečení systému Windows představující každou z konceptuálních rolí technologie AppFabric (správci, pozorovatelé a uživatelé). Udělte uživatelům přiřazeným k těmto skupinám odpovídající oprávnění související s jednotlivými konceptuálními rolemi technologie AppFabric, avšak na úrovni oboru domény. Poté je určíte během procesu konfigurace technologie AppFabric.
Identity služeb, pod kterými se budou spouštět služby Služba Shromažďování událostí a Správa pracovního postupu na různých serverech ve webové farmě, by měly být v doménové skupině správců technologie AppFabric. Obvykle to bude zahrnovat uživatelský účet pro správu domény technologie AppFabric. Uživatelům v této skupině musí být uděleno oprávnění Přihlásit jako službu, které bude zároveň vynuceno v doméně. Díky tomuto právu se může objekt zabezpečení přihlásit jako služba. Toto právo musí být přiřazeno každé službě spuštěné pod samostatným uživatelským účtem.
2011-12-05