Безопасность Windows
В этом разделе рассматриваются учетные записи и группы безопасности Windows Server, создаваемые и используемые Windows Server AppFabric. Эти группы обеспечивают физическую реализацию логических ролей безопасности, определенных в системе AppFabric.
При установке AppFabric создаются две группы безопасности: ИМЯ_КОМПЬЮТЕРА\AS_Administrators и ИМЯ_КОМПЬЮТЕРА\AS_Observers. AppFabric также использует встроенные учетные записи Windows NT AUTHORITY\Local Service и BUILTIN\IIS_IUSRS. «NT AUTHORITY\Local Service» служит в качестве удостоверения входа для Event Collection service и Workflow Management service. Учетная запись BUILTIN\IIS_IUSRS используется в качестве учетной записи входа SQL Server для удостоверения пула приложений служб NET с базой данных сохраняемости. Для выполнения задач администрирования AppFabric, например развертывания приложений и настройки безопасности файловой системы, необходимо членство в локальной группе «Администраторы».
Логические роли безопасности AppFabric
Создание модели безопасности начинается с разделения пользователей на группы в соответствии с тремя логическими ролями безопасности AppFabric: администраторы сервера приложений, наблюдатели сервера приложений и пользователи сервера приложений. Каждая из этих трех логических ролей безопасности обладает определенными разрешениями, необходимыми для выполнения функций администраторов, наблюдателей и пользователей соответственно. Использование логических ролей безопасности AppFabric можно сравнить с созданием простой логической блок-схемы в начале разработки компьютерной программы. Предварительное логическое проектирование позволяет упростить и ускорить физическую реализацию. Далее пользователи, отнесенные к различным ролям, сопоставляются с учетными записями и группами безопасности Windows, а также ролями баз данных SQL Server. Дополнительные сведения о логических ролях безопасности AppFabric см. в разделе Модель безопасности для Windows Server AppFabric.
Группы безопасности Windows в AppFabric
Группа администраторов AppFabric
Группа безопасности Windows для администраторов AppFabric, AS_Administrators, предоставляет полный контроль над настройкой, наблюдением и сохраняемостью для приложений. Члены группы могут:
приостанавливать, возобновлять и завершать работу материализованных экземпляров и удалять их;
создавать и удалять источники событий и сборщики событий;
просматривать, удалять и архивировать данные наблюдения.
Службы NT системы AppFabric (Event Collection service и Workflow Management service) автоматизируют выполнение задач управления AppFabric, таких как сбор событий и восстановление экземпляров после сбоя или перезапуска системы. Программа установки AppFabric назначает учетную запись NT AUTHORITY\Local Service в качестве учетной записи для входа в службы Event Collection service и Workflow Management service. В ходе установки учетная запись NT AUTHORITY\Local Service также включается в локальную группу безопасности ИМЯ_КОМПЬЮТЕРА\AS_Administrators. Таким гарантируется, что системные службы AppFabric получают необходимые права для выполнения операций.
Примечание
Другие службы NT также могут использовать учетную запись LocalService в качестве учетной записи входа. Чтобы службы, работающие с использованием учетной записи LocalService, не получали разрешения на все прочие службы, работающие с использованием этой же учетной записи, в Windows используются отдельные идентификаторы безопасности для каждой службы. Это означает, что Event Collection service и Workflow Management service используют учетную прокси-запись для LocalService в локальной группе безопасности имя_компьютера\AS_Administrators. Учетные записи имеют формат NT SERVICE\AppFabricEventCollectionService и NT SERVICE\AppFabricWorkflowManangementService, при этом после завершения установки они отображаются в локальной группе безопасности имя_компьютера\AS_Administrators.
| Атрибут | Значение |
|---|---|
Имя |
ИМЯ_КОМПЬЮТЕРА\AS_Administrators |
Права |
|
Стандартные члены |
NT AUTHORITY\Local Service, представленная NT SERVICE\AppFabricEventCollectionService и NT SERVICE\AppFabricWorkflowManangementService |
Стандартный член |
Нет |
Группа наблюдателей AppFabric
Группа безопасности Windows для наблюдателей сервера приложений, AS_Observers, дает возможность просматривать любые данные наблюдения и сохраняемости приложений. Члены роли наблюдателей сервера приложений (AS_Observers) могут выполнять следующие задачи:
перечисление приложений и служб;
просмотр конфигурации приложений и служб;
просмотр данных наблюдения;
просмотр материализованных экземпляров.
Важно!
По умолчанию члены группы безопасности наблюдателей сервера приложений могут просматривать данные наблюдения и сохраняемости для всех приложений, размещенных на локальном сервере или в локальном домене.
| Атрибут | Значение |
|---|---|
Имя |
ИМЯ_КОМПЬЮТЕРА\AS_Observers |
Права |
|
Стандартные члены |
Нет |
Стандартный член |
Нет |
Группа пользователей AppFabric
Эту роль необходимо назначить учетной записи удостоверения пула приложений IIS, что позволит приложениям использовать общие хранилища сохраняемости и общие системные службы, например таймеры. Роль пользователей сервера приложений назначается группе безопасности IIS BUILTIN\IIS_IUSRS. Дополнительные сведения о встроенной группе IIS_IUSRS см. в разделе IIS 7.0: Настройка безопасности веб-сервера (https://technet.microsoft.com/ru-ru/library/cc731278(WS.10).aspx).
В силу своей локальной природы группа BUILTIN\IIS_IUSRS не используется в доменной среде. При разработке модели безопасности для домена типы членов, которые могли бы быть размещены в локальной группе BUILTIN\IIS_IUSRS, замещаются на удостоверения приложений пулов приложений IIS, в которых размещаются службы WCF и WF на основе .NET, из группы пользователей домена. Так как доменные учетные записи не создаются программой установки AppFabric, потребуется вручную создать представление доменного уровня для BUILTIN\IIS_IUSRS. Например, можно создать группу MyDomain\MyDomainASUsers, добавив в нее доменные удостоверения пулов приложений IIS для AppFabric. При настройке сохраняемости в AppFabric по мере необходимости можно будет указывать созданную группу (MyDomain\MyDomainASUsers). Такая необходимость возникает при заполнении поля «Пользователи» в разделе конфигурации безопасности диалогового окна «Конфигурация хранилища данных сохраняемости» или в поле –Users командлета Initialize-ASPersistenceSqlDatabase. При этом учетная запись SQL MyDomain\MyDomainASUsers будет добавлена в базу данных сохраняемости AppFabric. Во время выполнения удостоверения пулов приложений IIS будут иметь разрешения в базе данных сохраняемости, относящиеся к роли System.Activities.DurableInstancing.InstanceStoreUsers. Дополнительные сведения о настройке группы пользователей в ходе настройки с помощью командлета Initialize-ASPersistenceSqlDatabase cmdlet см. в разделе Создание и инициализация базы данных с помощью командлетов Windows Server AppFabric. Дополнительные сведения о настройке группы пользователей с помощью мастера настройки Windows Server AppFabric см. в разделе Мастер настройки Windows Server AppFabric. Сведения о различиях в удостоверениях пулов приложений по умолчанию между службами IIS 7 и IIS 7.5 см. в разделе Удостоверения пула приложений.
| Атрибут | Значение |
|---|---|
Имя |
BUILTIN\IIS_IUSRS |
Права |
|
Группа администраторов Windows
Назначьте пользователей в обычную группу администраторов Windows, чтобы позволить им развертывать и удалять развернутые приложения с помощью таких средств, как диспетчер IIS или MSDeploy. Эта роль также позволяет изменять конфигурацию сервера, сайта или приложения.
| Атрибут | Значение |
|---|---|
Имя |
ИМЯ_КОМПЬЮТЕРА\Administrators |
Права |
Полный контроль над файлами, каталогами и конфигурацией приложения. |
Безопасность домена AppFabric
При использовании нескольких серверов AppFabric в веб-ферме рекомендуется преобразовать локальные группы безопасности Windows (AS_Administrators и AS_Observers), созданные в ходе установки на отдельном компьютере, в доменные аналоги, доступные на нескольких компьютерах. Учетные записи и группы безопасности в домене следует надлежащим образом настроить, чтобы можно было успешно настроить AppFabric на серверах в составе веб-фермы. При использовании Active Directory можно проектировать роли безопасности AppFabric с помощью учетных записей домена, что позволяет упростить реализацию безопасности в пределах системы. Администратор AppFabric может явным образом создать две настраиваемые группы учетных записей с помощью Active Directory для ролей администраторов и наблюдателей. Например, их можно назвать «DOMAIN\MyAppFabricAdmins» и «DOMAIN\MyAppFabricObservers». Затем администратор может предоставить права администратора группе «DOMAIN\MyAppFabricAdmins» на компьютере с AppFabric и поступить аналогично с группой «DOMAIN\MyAppFabricObservers».
Локальные группы AS_Administrators и AS_Observers, создаваемые в ходе установки на отдельном сервере, не используются для защиты веб-фермы с несколькими серверами AppFabric. Вместо них следует использовать доменные учетные записи. Следует знать, что программы установки и настройки AppFabric не создают доменные учетные записи, поэтому их следует создать вручную в Active Directory. Создайте доменные группы безопасности Windows, представляющие все логические роли AppFabric (администраторы, наблюдатели и пользователи). Предоставьте пользователям, включенным в эти группы, необходимые привилегии, связанные с соответствующими логическими ролями AppFabric, но на уровне всего домена. Затем эти группы следует указать в ходе настройки AppFabric.
Удостоверения служб, используемые для запуска Event Collection service и Workflow Management service на серверах в составе веб-фермы, должны относиться к доменной группе администраторов AppFabric. Обычно в нее входит учетная запись пользователя-администратора домена AppFabric. Пользователям из этой группы следует предоставить привилегию «Вход в качестве службы», которую также следует принудительно включить в домене. Это позволит участникам безопасности входить в систему в качестве служб. Это право должно присутствовать у всех служб, запускаемых с отдельными учетными записями пользователей.
2011-12-05