Sdílet prostřednictvím

Zabezpečení správy

  • Článek

Správu technologie Windows Server AppFabric lze provádět pomocí nástrojů technologie AppFabric, které jsou k dispozici ve Správci služby IIS v rámci technologie AppFabric. Téměř všechny funkce Správce služby IIS jsou k dispozici ve standardních rutinách dodávaných s technologií AppFabric. Sada nástrojů technologie AppFabric je velmi výkonná. Funkční instalaci technologie AppFabric můžete vytvořit zaškrtnutím políčka, kliknutím tlačítkem myši nebo spuštěním rutin. Instalace technologie AppFabric se však může rychle stát nepoužitelnou, pokud ke všem či některým částem systému AppFabric a součástem, které jej podporují, získá přístup neautorizovaný uživatel. Toto téma se zabývá zabezpečením funkcí pro správu technologie AppFabric.

Oprávnění pro správu technologie AppFabric

Používáte-li některý z nástrojů technologie AppFabric, pak z pohledu správce vždy pracujete v rámci vlastního kontextu zabezpečení. Díky tomu je správa technologie AppFabric a jejích podpůrných technologií, jako je Windows Server, služba IIS a systém SQL Server, jednodušší. Chcete-li provádět správu technologie AppFabric, musíte být členem konceptuální skupiny správců aplikačního serveru (skupina zabezpečení systému Windows AS_Administrators) nebo konceptuální skupiny operátorů aplikačního serveru (skupina zabezpečení systému Windows AS_Observers).

Pro vzdálenou správu technologie AppFabric mají skupiny AS_Administrators a AS_Observers odpovídající oprávnění pro správu. Technologie AppFabric může být nainstalována na serveru, k němuž se mohou uživatelé vzdáleně připojovat pomocí režimu zabezpečení služby IIS ve Správci služby IIS. Pokud chce správce povolit uživatelům zadávání dotazů vůči úložištím monitorování a trvalosti, musí do skupiny AS_Administrators nebo AS_Observers na vzdáleném serveru přidat účet správce služby IIS (zpravidla předdefinovaný účet síťové služby). Skupinu zabezpečení vyberte na základě oprávnění, která mají vzdálení uživatelé mít. Pokud uživatelé provádějí ověřování ve službě IIS pouze u nástrojů pro správu, spustí ji jako členové skupiny AS_Administrators nebo AS_Observers s příslušnými omezeními a oprávněními. Jedná se o pravidlo zabezpečení systému Windows, které nelze změnit. Chcete-li technologii AppFabric spravovat vzdáleně pomocí Správce služby IIS, je nutné, abyste byli správcem domény. Při vzdálené správě získáváte k prostředkům přístup jako běžný uživatel (vy sami). Neexistuje žádné zosobnění ani proxy server, které by poskytovaly alternativní vzdálenou identitu.

Správce technologie AppFabric může pomocí možnosti Delegování funkcí ve službě IIS delegovat různá oprávnění zabezpečení pro všechny weby v počítači. Můžete například nastavit oprávnění jen pro čtení k procházení adresářů nebo zakázat protokolování. Možnost Delegování funkcí se zobrazuje v části Správa v zobrazení funkcí na úrovni počítače.

Služba IIS rovněž umožňuje podrobné uzamykání a odemykání určitých nastavení konfigurace na různých úrovních oboru pomocí zámku konfigurace. Zamykání konfigurace se provádí přímou úpravou elementů XML v konfiguračních souborech. Uzamknuté nastavení konfigurace je možné odemknout pouze na úrovni, na níž bylo uzamčeno, a nelze je změnit na nižších úrovních. Tuto možnost můžete použít, pokud nechcete používat pro různé weby stejnou konfiguraci a potřebujete přepsat několik vybraných vlastností. Správu zámků lze provádět na úrovni sekce nebo pro konkrétní atributy, elementy a elementy a direktivy kolekce. Pro tuto funkci neexistuje žádná přímá podpora v podobě nástrojů, takže je nutné ručně upravit konfigurační soubor na příslušné úrovni nadřazeného oboru, kde mají změny postupně přecházet do podřízených složek.

Za účelem provádění běžných úloh správy, mezi které patří instalace, konfigurace a spouštění technologie AppFabric, přiřaďte uživatele k místní skupině LOCALHOST\Administrators. Její členové budou moci upravovat konfiguraci serveru, webu nebo aplikace, nasazovat a rušit nasazení aplikací a spouštět podpůrné programy, jako je Správce služby IIS, nástroj MSDeploy nebo nástroj SvcConfigEditor.

securityZabezpečení Poznámka
Mějte na paměti, že pokud udělíte účtu služby oprávnění k zadávání dotazů vůči úložištím monitorování a trvalosti, udělíte stejná oprávnění všem aplikacím spuštěným v rámci daného účtu.

Vzdálená správa

Při místní správě technologie AppFabric používáte účet, pod kterým jste přihlášeni. Chcete-li technologii AppFabric spravovat vzdáleně, umožňuje Služba správy služby IIS místním správcům a správcům domény vzdáleně spravovat webový server pomocí Správce služby IIS. Konfiguraci Služby správy služby IIS, která by povolovala vzdálená připojení, může provést pouze místní správce. Po provedení tohoto postupu můžete ke správě zabezpečení při přístupu ke vzdálenému počítači s technologií AppFabric použít některý z následujících režimů:

  • Pouze pověření systému Windows: V tomto režimu je Služba webové správy služby IIS spuštěná s vašimi pověřeními. To znamená, že můžete provádět všechny akce, které byste mohli provádět v případě místního připojení ke vzdálenému počítači. Pokud máte například místní oprávnění ke změně souboru Web.config aplikace, můžete tento soubor změnit také vzdáleně. Přístup k prostředkům technologie AppFabric se řídí vaším členstvím ve skupinách AS_Observers a AS_Administrators.

  • Pověření systému Windows nebo zabezpečení ověřování Správce služby IIS: V tomto režimu se ke vzdálenému počítače přihlašujete a spouštíte jej s oprávněním účtu LOCALSERVICE. V takovém případě se mohou ve Správci služby IIS zobrazovat jiné informace než v případě použití pouze pověření systému Windows. Vzhledem k tomu, že má účet LOCALSERVICE ve výchozím nastavení oprávnění ke správě všech aplikací v počítači (změna souborů Web.config, zadávání dotazů na data trvalosti a monitorování a změna těchto dat), jsou skutečná oprávnění pro připojení dána oborem, v jehož rámci se připojujete. Jestliže vám například vaše pověření umožňují připojit se ke konkrétní aplikaci, technologie AppFabric zajistí, abyste měli přístup pouze k informacím o dané aplikaci a abyste nemohli zobrazovat citlivá data trvalosti.

Následující koncepční skupiny a jejich odpovídající skupiny zabezpečení systému Windows budou sloužit k místní i vzdálené správě technologie AppFabric:

  • Správci aplikačního serveru: Členové konceptuální skupiny správců aplikačního serveru (úplná přístupová oprávnění) jsou mapování na skupinu zabezpečení systému Windows AS_Administrators. Členové skupiny AS_Administrators mohou pozastavit, obnovit, ukončit nebo odstranit trvalé instance, vytvářet a odebírat zdroje událostí a kolektory událostí a zobrazovat, mazat a archivovat data monitorování. Instalační program technologie AppFabric vytvoří skupinu AS_Administrators při instalaci a přidá do ní účet NT AUTHORITY\LOCAL SERVICE. LOCAL SERVICE je účet, pod kterým běží služby Služba Shromažďování událostí a Správa pracovního postupu. Do skupiny AS_Administrators můžete ručně přidat členy, kterým chcete udělit úplný přístup pro správu technologie AppFabric.

  • Pozorovatelé aplikačního serveru: Členové konceptuální skupiny pozorovatelů aplikačního serveru (částečná přístupová oprávnění) jsou mapováni na skupinu zabezpečení systému Windows AS_Observers. Členové skupiny AS_Observers mají částečný přehled o datech trvalosti a monitorování aplikací a mohou vytvářet výčty aplikací a služeb, zobrazovat konfiguraci aplikace a služby, zobrazovat data monitorování a prověřovat trvalé instance. Instalační program technologie AppFabric vytvoří skupinu AS_Observers při instalaci, ale nepřidá do ní žádné účty. Do skupiny AS_Observers můžete ručně přidat členy, kterým chcete udělit částečný přístup pro správu technologie AppFabric.

Další informace o zabezpečení konfigurace, delegování a vzdálené správě pomocí služby IIS naleznete v článcích Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) a Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265) (stránky mohou být v angličtině).

  2011-12-05