Proteggere Amministrazione
Per eseguire le operazioni di amministrazione di Windows Server AppFabric, utilizzare le funzionalità degli strumenti di AppFabric, che è possibile trovare in Gestione IIS in AppFabric. Quasi tutte le funzionalità di Gestione IIS si trovano nei cmdlet standard forniti con AppFabric. L'insieme di strumenti di AppFabric è molto potente. Per creare un'installazione funzionale di AppFabric, è possibile selezionare una casella, fare clic con un mouse o eseguire cmdlet. Un'installazione di AppFabric può, tuttavia, diventare presto inutilizzabile se un utente non autorizzato ottiene l'accesso a tutto o parte del sistema AppFabric e ai relativi componenti di supporto. In questo argomento viene illustrato come proteggere le funzionalità amministrative per AppFabric.
Privilegi amministrativi di AppFabric.
Quando si utilizza uno degli strumenti di AppFabric da un punto di vista amministrativo, si opera sempre nell'ambito del proprio contesto di protezione. Ciò semplifica l'amministrazione di AppFabric e delle relative tecnologie di supporto quali Windows Server, IIS e SQL Server. Per amministrare AppFabric, è necessario essere membro del gruppo concettuale di amministratori di server applicazioni (gruppo di protezione Windows AS_Administrators) o del gruppo concettuale degli operatori di server applicazioni (gruppo di protezione Windows AS_Observers).
Per l'amministrazione remota di AppFabric, AS_Administrators e AS_Observers hanno privilegi amministrativi corrispondenti. AppFabric può essere installato in un server a cui gli utenti possono collegarsi da computer remoti utilizzando la modalità di protezione IIS con Gestione IIS. Un amministratore, per consentire agli utenti di eseguire query negli archivi di monitoraggio e salvataggi permanenti, deve aggiungere l'account di Gestione IIS (in genere l'account Servizio di rete incorporato) a AS_Administrators o AS_Observers nel server remoto. Selezionare il gruppo di protezione in base alle autorizzazioni che si desidera concedere agli utenti remoti. Quando gli utenti vengono autenticati in ISS solo per gli strumenti amministrativi, operano come membri del gruppo AS_Administrators o AS_Observers con restrizioni e autorizzazioni appropriate. Questa regola di protezione di Windows non può essere modificata. Per amministrare AppFabric in remoto utilizzando Gestione IIS, è necessario essere un amministratore di dominio. Per le operazioni amministrative remote, accedere alle risorse con il proprio account. Non esistono rappresentazioni o proxy che forniscono un'identità remota alternativa.
Un amministratore di AppFabric può utilizzare l'opzione Delega funzionalità in IIS per delegare le diverse autorizzazioni di protezione per tutti i siti Web di un computer. Ad esempio, è possibile impostare autorizzazioni di sola lettura per sfogliare le directory o disabilitare la registrazione messaggi. L'opzione Delega funzionalità viene visualizzata nella sezione Gestione della Visualizzazione funzionalità al livello del computer.
IIS permette, inoltre, il blocco e lo sblocco granulare di determinate impostazioni di configurazione a diversi livelli di ambito mediante il blocco della configurazione. Per eseguire il blocco della configurazione, modificare direttamente gli elementi XML dei file di configurazione. Un'impostazione di configurazione bloccata può essere sbloccata solo al livello in cui è stata bloccata e non può essere modificata nei livelli inferiori. È possibile utilizzare questa opzione se non si desidera utilizzare la stessa configurazione per diversi siti e occorre sostituire alcune proprietà selezionate. È possibile eseguire la gestione dei blocchi al livello della sezione o per singoli attributi, elementi e istruzioni ed elementi di raccolta. Non esiste alcun supporto strumenti diretto per questa funzionalità. È necessario, pertanto, modificare manualmente il file di configurazione al livello appropriato dell'ambito padre da cui le modifiche devono essere propagate alle cartelle figlio.
Per le tipiche attività di amministrazione correlate alle operazioni di installazione, configurazione ed esecuzione per AppFabric, assegnare gli utenti al gruppo LOCALHOST\Amministratori locale. Ciò consente ai membri di modificare la configurazione del server, del sito o dell'applicazione, di distribuire e annullare la distribuzione delle applicazioni e di eseguire programmi di supporto come Gestione IIS, MSDeploy o ScvConfigEditor.
.gif "security") SicurezzaNota |
|---|
| Si noti che vengono concesse a un account di servizio le autorizzazioni per l'esecuzione di query negli archivi di monitoraggio e salvataggi permanenti, le stesse autorizzazioni vengono fornite a tutte le applicazioni eseguite con tale account. |
Amministrazione remota
Quando si amministra AppFabric nella macchina locale, si utilizza l'account con cui è stato effettuato il collegamento. Per amministrare AppFabric in remoto, il Servizio di gestione IIS consente agli amministratori locali e di dominio di utilizzare Gestione IIS per gestire in remoto un server Web. Solo un amministratore locale può configurare il Servizio di gestione IIS per consentire le connessioni remote. Una volta effettuata tale configurazione, è possibile utilizzare le modalità seguenti per gestire la protezione in fase di accesso a un computer AppFabric remoto:
Solo credenziali Windows. In questa modalità, il Servizio di gestione Web IIS viene eseguito con le credenziali dell'utente corrente. L'utente può eseguire tutte le azioni consentite quando si stabilisce una connessione locale al computer remoto. Ad esempio, se nella macchina locale si dispone dell'autorizzazione a modificare il file Web.config di un'applicazione, è possibile modificare questo file anche in remoto. L'accesso alle risorse di AppFabric è protetto dall'appartenenza ai gruppi AS_Observers e AS_Administrators.
Credenziali Windows o Protezione dell'autenticazione di Gestione IIS. In questa modalità l'accesso e l'esecuzione avvengono come LOCALSERVICE nel computer remoto. In tal caso, le informazioni visualizzate con Gestione IIS potrebbero essere diverse da quelle visualizzate utilizzando solo le credenziali Windows. Poiché LOCALSERVICE per impostazione predefinita dispone delle autorizzazioni per l'amministrazione di tutte le applicazioni presenti nel computer (modifica dei file Web.config e query e modifica dei dati di monitoraggio e salvataggi permanenti), le autorizzazioni effettive nella connessione sono determinate dall'ambito della connessione. Ad esempio, se le credenziali consentono la connessione a una specifica applicazione, AppFabric garantisce che sia possibile accedere alle informazioni su tale applicazione senza consentire la visualizzazione di dati di salvataggi permanenti sensibili.
Per amministrare AppFabric sia in locale che in remoto, saranno utilizzati i seguenti gruppi concettuali e i relativi gruppi di protezione di Windows:
Amministratori server applicazioni. I membri del gruppo concettuale Amministratori server applicazioni (autorizzazioni di accesso complete) sono mappati al gruppo di protezione di Windows AS_Administrators. I membri del gruppo AS_Administrators possono sospendere, riprendere, terminare o eliminare istanze permanenti, creare e rimuovere origini eventi e servizi di raccolta eventi, nonché visualizzare, ripulire e archiviare i dati di monitoraggio. L'installazione di AppFabric crea il gruppo AS_Administrators in fase di installazione e aggiunge l'account NT AUTHORITY\LOCAL SERVICE a tale gruppo. LOCAL SERVICE è l'account con cui operano Servizio di raccolta eventi e Servizio Gestione flussi di lavoro. È possibile aggiungere manualmente al gruppo AS_Administrators membri a cui si desidera concedere l'accesso completo all'amministrazione di AppFabric.
Osservatori server applicazioni. I membri del gruppo concettuale Osservatori server applicazioni (autorizzazioni di accesso parziali) sono mappati al gruppo di protezione di Windows AS_Observers. I membri del gruppo AS_Observers hanno una visione parziale dei dati di monitoraggio e salvataggio permanente dell'applicazione e possono enumerare applicazioni e servizi, visualizzare la configurazione di applicazioni e servizi, visualizzare i dati di monitoraggi ed esaminare le istanze permanenti. L'installazione di AppFabric crea il gruppo AS_Observers in fase di installazione ma non inserisce alcun account nel gruppo. È possibile aggiungere manualmente al gruppo AS_Observers membri a cui si desidera concedere l'accesso parziale per all'amministrazione di AppFabric.
Per ulteriori informazioni sulla protezione della configurazione, sulla delega e sull'amministrazione remota mediante IIS, consultare Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022), and Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265).
2011-12-05