Windows セキュリティ
このトピックでは、Microsoft AppFabric 1.1 for Windows Server が作成および利用する Windows Server のセキュリティ アカウントとグループについて説明します。これらのグループでは、AppFabric システムによって定義される概念的なセキュリティ ロールの物理実装が提供されます。
AppFabric をインストールすると、次の 2 つのセキュリティ グループが作成されます。コンピューター名\AS_Administrators および コンピューター名\AS_ObserversAppFabric では、Windows のビルトイン NT AUTHORITY\Local Service アカウントおよび BUILTIN\IIS_IUSRS アカウントも使用されます。NT AUTHORITY\Local Service は、イベント コレクション サービス および ワークフロー管理サービス のログオン ID として機能します。BUILTIN\IIS_IUSRS アカウントは、永続化データベースのある NET サービスのアプリケーション プール ID 用の SQL Server ログイン アカウントとして使用されます。アプリケーションの展開やファイル システム セキュリティの構成などの AppFabric システム管理者関連のタスクには、ローカル Administrators グループのメンバーシップが必要です。
AppFabric の概念的なセキュリティ ロール
ユーザーを次の 3 つの概念的な AppFabric セキュリティ ロールのいずれかに分類して、セキュリティ ソリューションをモデリングします。アプリケーション サーバー管理者、アプリケーション サーバー オブザーバー、およびアプリケーション サーバー ユーザー。これらの 3 つの概念的セキュリティ ロールには、それぞれ、管理者、オブザーバー、およびユーザーをサポートする固有のアクセス許可が与えられます。AppFabric の概念的セキュリティ ロールを使用した場合と、コンピューター プログラムの開発開始時の簡潔な論理的フローチャートを作成する場合を比較できます。概念設計を先に完了すると、物理実装がより容易かつ流動的なプロセスになります。次にユーザーをそれぞれのロールに割り当ててから、最初に Windows セキュリティ アカウントとグループにマップし、最終的に SQL Server データベース ロールにマップします。概念的な AppFabric セキュリティ ロールの詳細については、「AppFabric のセキュリティ モデル」を参照してください。
AppFabric Windows セキュリティ グループ
AppFabric の Administrators グループ
AppFabric 管理者の Windows セキュリティ グループ AS_Administrators では、アプリケーション構成、監視、および永続化に対するフル コントロールが許可されます。グループのメンバーは以下の操作を実行できます。
保持されているインスタンスの中断、再開、終了および削除
イベント ソースおよびイベント コレクターの作成および削除
監視データの表示、削除およびアーカイブ
AppFabric システム NT サービス (イベント コレクション サービスおよびワークフロー管理サービス) は、システム障害や再起動後のイベントの収集およびインスタンスの回復などの AppFabric 管理タスクを自動化します。AppFabric セットアップでは、NT AUTHORITY\Local Service が イベント コレクション サービスおよび ワークフロー管理サービス のログオン アカウントとして指定されます。セットアップ中、NT AUTHORITY\Local Service アカウントも コンピューター名\AS_Administrators ローカル セキュリティ グループのメンバーに指定されます。これにより、操作を実行するための適切なアクセス許可が AppFabric システム サービスに与えられます。
ヒント
その他の NT サービスでも LocalService をログオン アカウントとして使用できます。LocalService アカウントとして実行しているサービスが、この同じアカウント ID として実行している他のすべてのサービスに対するアクセス許可を持つことを防ぐため、Windows は各サービスごとの SID の概念を使用します。つまり、イベント コレクション サービス および ワークフロー管理サービス は、COMPUTERNAME\AS_Administrators ローカル セキュリティ グループに対する LocalService のプロキシ アカウントを使用します。これらのアカウントの形式は NT SERVICE\AppFabricEventCollectionService および NT SERVICE\AppFabricWorkflowManangementService であり、インストールが完了した後で コンピューター名\AS_Administrators ローカル セキュリティ グループに表示されます。
| 属性 | 値 |
|---|---|
Name |
コンピューター名\AS_Administrators |
Rights |
|
Default members |
NT SERVICE\AppFabricEventCollectionService および NT SERVICE\AppFabricWorkflowManangementService によって表される NT AUTHORITY\Local Service |
Default member of |
なし |
AppFabric の Observers グループ
アプリケーション サーバー オブザーバーの Windows セキュリティ グループ AS_Observers では、アプリケーション永続化および監視データの完全な表示が許可されます。アプリケーション サーバー オブザーバー (AS_Observers) は、以下を実行できます。
アプリケーションおよびサービスの列挙
アプリケーションおよびサービス構成の表示
監視データの表示
保持されたインスタンスの確認
重要
既定では、アプリケーション サーバー オブザーバー セキュリティ グループのメンバーは、ローカル サーバーまたはドメインですべてのアプリケーションに関する追跡および永続化データを表示できます。
| 属性 | 値 |
|---|---|
Name |
コンピューター名\AS_Observers |
Rights |
|
Default members |
なし |
Default member of |
なし |
AppFabric の Users グループ
IIS アプリケーション プール ID アカウントをこのロールに割り当てて、アプリケーションが共有永続化ストアおよびタイマーなどの共有システム サービスを使用できるようにします。アプリケーション サーバー ユーザーのロールは、IIS セキュリティ グループ BUILTIN\IIS_IUSRS に割り当てられます。IIS_IUSRS ビルトイン グループの詳細については、IIS 7.0:Web サーバー セキュリティの構成に関するページ (https://go.microsoft.com/fwlink/?LinkID=131918) を参照してください。
BUILTIN\IIS_IUSRS グループは、ローカル スコープのため、ドメイン環境では使用されません。ドメイン セキュリティ モデルを作成するとき、ローカル スコープの BUILTIN\IIS_IUSRS グループに含まれるメンバーの種類は、ドメイン ユーザー グループで NET WCF および WF サービスをホストする IIS アプリケーション プールのアプリケーション ID に置き換えられます。ドメイン アカウントは AppFabric インストール プログラムでは作成されないので、BUILTIN\IIS_IUSRS のドメイン レベルの代表者を手動で作成する必要があります。たとえば、MyDomain\MyDomainASUsers グループを作成し、AppFabric IIS アプリケーション プールのドメイン ID をこのグループに追加できます。AppFabric の永続化を構成するときは、必要に応じてこのグループ (MyDomain\MyDomainASUsers) を指定します。この指定は、[永続化ストア構成] ダイアログ ボックスの [セキュリティの構成] セクションの "ユーザー" フィールドに入力するとき、または Initialize-ASPersistenceSqlDatabase コマンドレットの -Users フィールドで行います。このようにすると、MyDomain\MyDomainASUsers SQL ログインが AppFabric 永続化データベースに追加されます。実行時には、IIS アプリケーション プールの ID が、System.Activities.DurableInstancing.InstanceStoreUsers ロールの永続化データベースへのアクセス許可を持ちます。Initialize-ASPersistenceSqlDatabase コマンドレットを使用した構成の間に Users グループを構成する方法の詳細については、「AppFabric コマンドレットを使用したデータベースの作成および初期化」を参照してください。Microsoft AppFabric 1.1 for Windows Server の構成ウィザードを使用した構成の間に Users グループを構成する方法の詳細については、「AppFabric 構成ウィザード」を参照してください。IIS 7 と IIS 7.5 での既定のアプリケーション プール ID の違いについては、「アプリケーション プール ID」を参照してください。
| 属性 | 値 |
|---|---|
Name |
BUILTIN\IIS_IUSRS |
Rights |
|
Windows システム管理者グループ
ユーザーを通常の Windows システム管理者グループに割り当てて、IIS マネージャーや MSDeploy などのツールを使用して、アプリケーションの展開および展開解除を許可します。このグループのメンバーシップでは、サーバー、サイト、またはアプリケーション構成の編集も許可されます。
| 属性 | 値 |
|---|---|
Name |
コンピューター名\Administrators |
Rights |
アプリケーション ファイル、ディレクトリ、および構成のフル コントロール |
AppFabric のドメイン セキュリティ
複数の AppFabric サーバーを Web ファームとして使用するときのベスト プラクティスの 1 つとして、セキュリティの移行が挙げられます。つまり、1 台のコンピューターだけにインストールするときに作成される、ローカルのセキュリティ グループ AS_Administrators および AS_Observers Windows を、複数のコンピューターで使用できるように、対応するドメイン セキュリティ グループに移行します。Web ファーム サーバー上で AppFabric を適切に構成するには、事前にドメインのセキュリティ アカウントとグループを適切に構成しておく必要があります。Active Directory を使用している場合は、ドメイン アカウントを使用して AppFabric セキュリティ ロールを設計し、コンピューター全体のセキュリティを簡素化できます。AppFabric 管理者は、管理者およびオブザーバーのロール用の Active Directory で、2 つのカスタム グループ アカウントを明示的に作成できます。たとえば、それらに "DOMAIN\MyAppFabricAdmins" および "DOMAIN\MyAppFabricObservers" という名前を付けることができます。そして、管理者は AppFabric を使用しているコンピューターの DOMAIN\MyAppFabricAdmins グループに管理用のアクセス許可を付与し、"DOMAIN\MyAppFabricObservers" にも同様にアクセス許可を付与できます。
AppFabric のセットアップの間に 1 つのサーバーに作成されるローカルな AS_Administrators および AS_Observers グループは、複数の AppFabric サーバーを使用する Web ファームの保護には使用されません。代わりにドメイン アカウントを使用する必要があります。AppFabric のインストールおよび構成のプログラムによってドメイン アカウントが自動的に作成されることはありません。したがって、Active Directory を使用して手動で作成する必要があります。AppFabric の概念的な各ロール (管理者、オブザーバー、ユーザー) を表すドメイン Windows セキュリティ グループを作成します。これらのグループに割り当てられたユーザーに、AppFabric の各概念的ロールに関連付けられた適切な特権を、ドメイン スコープ レベルで付与します。このドメイン アカウントは、後で AppFabric の構成を行うときに指定します。
Web ファーム内のさまざまなサーバーで イベント コレクション サービス および ワークフロー管理サービス の実行に使用されるサービス ID は、ドメインの AppFabric 管理者グループに含まれる必要があります。通常、これには AppFabric ドメイン管理者ユーザー アカウントが含まれます。このグループのユーザーには "サービスとしてログオン" 権限を付与し、ドメイン内で適用する必要があります。この権限により、セキュリティ プリンシパルはサービスとしてログオンできます。別のユーザー アカウントで実行するすべてのサービスに、この権限を割り当てる必要があります。
2012-03-05