Freigeben über

Windows-Sicherheit

  • Artikel

In diesem Thema werden die Windows Server-Sicherheitskonten und -gruppen beschrieben, die Windows Server AppFabric erstellt und nutzt. Diese Gruppen stellen die physische Implementierung der konzeptuellen Sicherheitsrollen zur Verfügung, die durch das AppFabric-System definiert werden.

Beim Installieren von AppFabric werden zwei Sicherheitsgruppen erstellt: COMPUTERNAME\AS_Administrators und COMPUTERNAME\AS_Observers. AppFabric verwendet außerdem die integrierten Windows-Konten NT AUTHORITY\Local Service und BUILTIN\IIS_IUSRS. NT-AUTORITÄT\Lokaler Dienst dient als Anmeldeidentität für den Ereignisauflistungsdienst und den Workflowverwaltungsdienst. Das Konto VORDEFINIERT\IIS_IUSRS wird als SQL Server-Anmeldekonto für die Anwendungspoolidentität von NET-Diensten in der Persistenzdatebank verwendet. Systemadministratoraufgaben in AppFabric, wie etwa das Bereitstellen von Anwendungen und das Konfigurieren von Dateisystemsicherheit, erfordern Mitgliedschaft in der lokalen Administratorgruppe.

Konzeptionelle AppFabric-Sicherheitsrollen

Modellieren Sie Ihre Sicherheitslösung, indem Sie eine Klassifizierung Ihrer Benutzer in eine der drei konzeptuellen AppFabric-Sicherheitsrollen vornehmen: Anwendungsserveradministratoren, Anwendungsserverbeobachter und Anwendungsserverbenutzer. Mit diesen drei konzeptuellen Sicherheitsrollen sind bestimmte Berechtigungen für die Unterstützung von Administratoren, Beobachtern und Benutzern verbunden. Die Verwendung der konzeptuellen AppFabric-Sicherheitsrollen kann mit dem Erstellen eines einfachen logischen Flussdiagramms zu Beginn der Entwicklung eines Computerprogramms verglichen werden. Indem der konzeptuelle Entwurf zuerst abgeschlossen wird, ist die physische Implementierung ein einfacherer und flüssigerer Vorgang. Anschließend werden die jeder Rolle zugewiesenen Benutzer im ersten Schritt den Windows-Sicherheitskonten und -Gruppen sowie ggf. SQL Server-Datenbankrollen zugeordnet. Weitere Informationen zu den konzeptuellen AppFabric-Sicherheitsoptionen finden Sie unter Sicherheitsmodell für Windows Server AppFabric.

AppFabric-Windows-Sicherheitsgruppen

AppFabric-Administratorgruppen

Die Windows-Sicherheitsgruppe für AppFabric-Administratoren, AS_Administrators, erteilt den Vollzugriff auf die Anwendungskonfiguration, Überwachung und Persistenz. Mitglieder der Gruppe können Folgendes ausführen:

  • Anhalten, Fortsetzen, Beenden und Löschen persistenter Instanzen

  • Erstellen und Entfernen von Ereignisquellen und Ereignisauflistungen

  • Anzeigen, Bereinigen und Archivieren von Überwachungsdaten

Die NT-Dienste des AppFabric-Systems (Ereignisauflistungsdienst und Workflowverwaltungsdienst) automatisieren AppFabric-Verwaltungsaufgaben wie z. B. die Erfassung von Ereignissen und das Wiederherstellen von Instanzen nach einem Systemfehler oder -neustart. Das AppFabric-Setup legt NT AUTHORITY\Local Service als Anmeldekonto für den Ereignisauflistungsdienst und den Workflowverwaltungsdienst fest. Während der Installation wird das Konto NT AUTHORITY\Local Service außerdem ein Mitglied der lokalen Sicherheitsgruppe COMPUTERNAME\AS_Administrators. Auf diese Weise wird sichergestellt, dass die AppFabric-Systemdienste über die erforderlichen Berechtigungen zum Ausführen ihrer Vorgänge verfügen.

Hinweis

Andere NT-Dienste können LocalService ebenfalls als Anmeldekonto verwenden. Damit Dienste, die unter dem Konto LocalService ausgeführt werden, keine Berechtigungen für alle anderen Dienste erhalten können, die mit der gleichen Kontoidentität ausgeführt werden, verwendet Windows das Konzept eines SIDs pro Dienst. Dies bedeutet, dass Ereignisauflistungsdienst und Workflowverwaltungsdienst ein Proxykonto für LocalService zur lokalen Sicherheitsgruppe COMPUTERNAME\AS_Administrators verwenden. Die Konten weisen das Format NT-DIENST\AppFabricEventCollectionService und NT-DIENST\AppFabricWorkflowManangementService auf und werden nach dem Abschluss der Installation in der lokalen Sicherheitsgruppe COMPUTERNAME\AS_Administrators angezeigt.

Attribut Wert

Name

COMPUTERNAME\AS_Administrators

Rechte
  • Lesen/Verwalten von Persistenzdaten

  • Lesen/Schreiben/Verwalten von Überwachungsdaten

  • Lesen von Konfigurationsinformationen

  • Ausführen von Anwendungen

  • Abonnieren von Ereignissen

Standardmitglieder

NT-AUTORITÄT\Lokaler Dienst wird durch NT-DIENST\AppFabricEventCollectionService und NT-DIENST\AppFabricWorkflowManangementService dargestellt.

Standardmitglied von

Keine

AppFabric-Beobachtergruppe

Die Windows-Sicherheitsgruppe für Anwendungsserverbeobachter, AS_Observers, ermöglicht Ihnen die vollständige Einsicht in Anwendungspersistenz- und Überwachungsdaten. Anwendungsserverbeobachter (AS_Observers) können die folgenden Aufgaben ausführen:

  • Aufzählen von Anwendungen und Diensten

  • Anzeigen der Anwendungs- und Dienstkonfiguration

  • Anzeigen von Überwachungsdaten

  • Untersuchen persistenter Instanzen

Wichtig

Mitglieder der Sicherheitsgruppe Anwendungsserverbeobachter können standardmäßig Nachverfolgungs- und Persistenzdaten für alle Anwendungen auf dem lokalen Server oder in der Domäne anzeigen.

Attribut Wert

Name

COMPUTERNAME\AS_Observers

Rechte
  • Lesen von Persistenzdaten

  • Lesen von Überwachungsdaten

  • Lesen von Konfigurationsinformationen

Standardmitglieder

Keine

Standardmitglied von

Keine

AppFabric-Benutzergruppe

Weisen Sie dieser Rolle IIS-Anwendungspool-Identitätskonten zu, damit Anwendungen freigegebene Persistenzspeicher und freigegebene Systemdienste wie z. B. Zeitgeber verwenden können. Die Rolle Anwendungsserverbenutzer wird der IIS-Sicherheitsgruppe BUILTIN\IIS_IUSRS zugewiesen. Weitere Informationen zur integrierten Gruppe IIS_IUSRS finden Sie unter IIS 7.0: Configure Web Server Security (https://go.microsoft.com/fwlink/?LinkID=131918) (englischsprachig).

Aufgrund ihres lokalen Gültigkeitsbereichs wird die Gruppe VORDEFINIERT\IIS_IUSRS innerhalb einer Domänenumgebung nicht verwendet. Beim Entwickeln eines Domänensicherheitsmodells werden die Mitgliedertypen, die sich in der Gruppe VORDEFINIERT\IIS_IUSRS befinden würden, durch die Anwendungsidentitäten des IIS-Anwendungspools ersetzt, der die NET WCF- und WF-Dienste in einer Domänenbenutzergruppe hostet. Da Domänenkonten von den AppFabric-Installationsprogrammen nicht erstellt werden, müssen Sie einen Stellvertreter von VORDEFINIERT\IIS_IUSRS auf Domänenebene manuell erstellen. Beispielsweise können Sie die Gruppe „MeineDomaene\MeineDomaeneASBenutzer“ erstellen und ihr die Domänenidentitäten der AppFabric-IIS-Anwendungspools hinzufügen. Beim Konfigurieren von AppFabric-Persistenz geben Sie bei Bedarf diese Gruppe (MeineDomaene\MeineDomaeneASBenutzer) an. Dieser Fall tritt bei Eingaben im Feld Benutzer im Abschnitt Sicherheitskonfiguration des Dialogfelds Konfiguration der Persistenzspeicher oder im Feld –Users im Initialize-ASPersistenceSqlDatabase-Cmdlet ein. Dabei wird die SQL-Anmeldung MeineDomaene\MeineDomaeneASBenutzer der AppFabric-Persistenzdatenbank hinzugefügt. Zur Laufzeit besitzen die Identitäten der IIS-Anwendungspools Berechtigungen für die Persistenzdatenbank unter der Rolle System.Activities.DurableInstancing.InstanceStoreUsers. Weitere Informationen zum Konfigurieren der Benutzergruppe während der Konfiguration mithilfe des Cmdlets Initialize-ASPersistenceSqlDatabase finden Sie unter Erstellen und Initialisieren einer Datenbank mithilfe von Windows Server AppFabric-Cmdlets. Weitere Informationen zum Konfigurieren der Benutzergruppe während der Konfiguration mithilfe des Windows Server AppFabric-Konfigurations-Assistenten finden Sie unter Windows Server AppFabric-Konfigurations-Assistent. Informationen zum Unterschied in der standardmäßigen Anwendungspoolidentität zwischen IIS 7 und IIS 7.5 finden Sie unter Anwendungspoolidentitäten.

Attribut Wert

Name

BUILTIN\IIS_IUSRS

Rechte
  • Lesen/Schreiben von Persistenzdaten

  • Veröffentlichen von Ereignissen

  • Lesen von Konfigurationsinformationen

Gruppe „Windows-Systemadministratoren“

Weisen Sie Benutzer der normalen Windows-Gruppe Systemadministratoren zu, damit sie mithilfe von Tools – wie z. B. IIS-Manager oder MSDeploy – Anwendungen bereitstellen und deren Bereitstellung aufheben können. Die Mitgliedschaft in dieser Gruppe ermöglicht außerdem die Bearbeitung der Server-, Site- oder Anwendungskonfiguration.

Attribut Wert

Name

COMPUTERNAME\Administrators

Rechte

Vollständige Steuerung der Anwendungsdateien, Verzeichnisse und Konfiguration.

AppFabric-Domänensicherheit

Beim Verwenden mehrerer AppFabric-Server in einer Webfarm besteht das optimale Verfahren im Verlagern der Sicherheit von den lokalen Windows-Sicherheitsgruppen AS_Administrators und AS_Observers, die bei der Installation auf einem einzelnen Computer erstellt werden, auf deren Gegenstücke auf Domänenebene, die auf mehrere Computer verteilt werden. Domänensicherheitskonten und Gruppen müssen ordnungsgemäß konfiguriert sein, bevor AppFabric auf Servern einer Webfarm konfiguriert werden kann. Wenn Sie Active Directory verwenden, können Sie Ihre AppFabric-Sicherheitsrollen mithilfe von Domänenkonten entwerfen, um die computerübergreifende Sicherheit zu vereinfachen. Der AppFabric-Administrator kann explizit zwei benutzerdefinierte Gruppenkonten für die Administratoren und Beobachterrollen in Active Directory erstellen. Beispielsweise können Sie die Namen DOMAENE\MeineAppFabricAdmins und DOMAENE\MeineAppFabricBeobachter verwenden. Der Administrator kann anschließend Administratorberechtigungen für die Gruppe DOMAENE\MeineAppFabricAdmins für den Computer erteilen, der AppFabric verwendet. Gleiches gilt für DOMAENE\MeineAppFabricBeobachter.

Die lokalen Gruppen AS_Administrators und AS_Observers, die während des AppFabric-Setups auf einzelnen Servern erstellt werden, werden nicht zum Sichern einer Webfarm mit mehreren AppFabric-Servern verwendet. Stattdessen müssen Domänenkonten verwendet werden. Beachten Sie, dass die Installations- und Konfigurationsprogramme von AppFabric keine Domänenkonten erstellen. Sie müssen diese also manuell in Active Directory erstellen. Erstellen Sie Windows-Sicherheitsgruppen auf Domänenebene, die jede der konzeptuellen Rollen von AppFabric (Administratoren, Beobachter und Benutzer) darstellen. Erteilen Sie den diesen Gruppen zugeordneten Benutzern die entsprechenden Berechtigungen, die den einzelnen konzeptuellen AppFabric-Rollen zugeordnet sind, jedoch mit dem Gültigkeitsbereich auf Domänenebene. Sie können sie anschließend während des AppFabric-Konfigurationsprozesses angeben.

Die Dienstidentitäten, unter denen Ereignisauflistungsdienst und Workflowverwaltungsdienst auf den verschiedenen Servern in der Webfarm ausgeführt werden, sollte sich in der domänenweiten AppFabric-Administratorgruppe befinden. Normalerweise schließt das diese AppFabric-Domänenadministratorkonto ein. Die Berechtigung „Als Dienst anmelden“ muss den Benutzern in dieser Gruppe erteilt und in der Domäne durchgesetzt werden. Dieses Recht ermöglicht einem Sicherheitsprinzipal die Anmeldung als Dienst. Jedem Dienst, der mit einem getrennten Benutzerkonto ausgeführt wird, muss diese Berechtigung zugewiesen werden.

  2011-12-05