Seguridad de Windows
En este tema se describen los grupos y cuentas de seguridad de Windows Server que Microsoft AppFabric 1.1 para Windows Server crea y usa. Estos grupos proporcionan la implementación física de los roles de seguridad conceptuales que define el sistema AppFabric.
Durante la instalación, AppFabric crea dos grupos de seguridad: COMPUTERNAME\AS_Administrators y COMPUTERNAME\AS_Observers. AppFabric también usa las cuentas integradas de Windows NT AUTHORITY\Local Service y BUILTIN\IIS_IUSRS. NT AUTHORITY\Local Service funciona con la identidad de inicio de sesión de Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo. La cuenta BUILTIN\IIS_IUSRS se usa como cuenta de inicio de sesión de SQL Server para la identidad del grupo de aplicaciones de los servicios NET con la base de datos de persistencia. Para llevar a cabo tareas de administración del sistema AppFabric, como la implementación de aplicaciones y la configuración de la seguridad del sistema de archivos, es necesario pertenecer al grupo de administradores locales.
Roles conceptuales de seguridad de AppFabric
Modele la solución de seguridad clasificando a los usuarios en uno de los tres roles de seguridad conceptuales de AppFabric: administradores, observadores y usuarios del Servidor de aplicaciones. Estos tres roles de seguridad conceptuales tienen permisos específicos para administradores, observadores y usuarios, respectivamente. El uso de roles de seguridad conceptuales de AppFabric se puede comparar con la creación de un sencillo diagrama de flujo lógico al principio del desarrollo de un programa informático. Si se finaliza primero el diseño conceptual, la implementación física es un proceso más sencillo y fluido. A continuación, los usuarios asignados a cada rol se asignan, en primer lugar, a cuentas y grupos de seguridad de Windows y, a continuación, a roles de bases de datos de SQL Server. Para obtener más información sobre los roles conceptuales de seguridad de AppFabric, vea Modelo de seguridad para AppFabric.
Grupos de seguridad de Windows para AppFabric
Grupo de administradores de AppFabric
El grupo de seguridad de Windows para administradores de AppFabric, AS_Administrators, ofrece un control total sobre la configuración, seguimiento y persistencia de las aplicaciones. Los miembros del grupo pueden:
Suspender, reanudar, terminar y eliminar instancias persistentes
Crear y quitar orígenes y recopiladores de eventos
Ver, purgar y archivar datos de seguimiento
Los servicios NT del sistema AppFabric (Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo) automatizan las tareas de administración de AppFabric, como la recopilación de eventos y la recuperación de instancias tras un error o un reinicio del sistema. La configuración de AppFabric designa NT AUTHORITY\Local Service como la cuenta de inicio de sesión para Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo. Durante la instalación, la cuenta NT AUTHORITY\Local Service también se convierte en miembro del grupo de seguridad local COMPUTERNAME\AS_Administrators. De este modo se garantiza que los servicios del sistema AppFabric tengan los permisos adecuados para realizar sus operaciones.
Nota
Otros servicios de NT también pueden usar LocalService como cuenta de inicio de sesión. Para evitar que los servicios que se ejecutan como cuenta LocalService tengan permisos para el resto de servicios que se ejecuten con la misma identidad de cuenta, Windows usa el concepto de SID por servicio. Esto significa que Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo usan una cuenta proxy para LocalService en el grupo de seguridad local COMPUTERNAME\AS_Administrators. Las cuentas tienen el formato NT SERVICE\AppFabricEventCollectionService y NT SERVICE\AppFabricWorkflowManangementService y se muestran en el grupo de seguridad local COMPUTERNAME\AS_Administrators al completar la instalación.
| Atributo | Valor |
|---|---|
Nombre |
COMPUTERNAME\AS_Administrators |
Derechos |
|
Miembros predeterminados |
NT AUTHORITY\Local Service representado por NT SERVICE\AppFabricEventCollectionService y NT SERVICE\AppFabricWorkflowManangementService |
Miembro predeterminados de |
Ninguno |
Grupo de observadores de AppFabric
El grupo de seguridad de Windows para observadores del servidor de aplicaciones, AS_Observers, proporciona una visibilidad total de los datos de persistencia y seguimiento de la aplicación. Los observadores del servidor de aplicaciones (AS_Observers) pueden:
Enumerar aplicaciones y servicios
Ver la configuración de las aplicaciones y los servicios
Ver los datos de seguimiento
Examinar instancias persistentes
.gif "Important") Importante |
|---|
| De forma predeterminada, el grupo de seguridad de observadores del servidor de aplicaciones puede ver los datos de seguimiento y persistencia de todas las aplicaciones del servidor o dominio local. |
| Atributo | Valor |
|---|---|
Nombre |
COMPUTERNAME\AS_Observers |
Derechos |
|
Miembros predeterminados |
Ninguno |
Miembro predeterminados de |
Ninguno |
Grupo de usuarios de AppFabric
Asigne cuentas de identidad del grupo de aplicaciones de IIS a este rol, para permitir que las aplicaciones usen almacenes de persistencia compartidos y servicios de sistema compartidos, como temporizadores. El rol Usuarios del servidor de aplicaciones se asigna al grupo de seguridad IIS BUILTIN\IIS_IUSRS. Para obtener más información sobre el grupo integrado IIS_IUSRS, vea IIS 7.0: Configurar la seguridad de los servidores web (https://go.microsoft.com/fwlink/?LinkID=131918).
Debido a su ámbito local, el grupo BUILTIN\IIS_IUSRS no se usa en entornos de dominio. A medida que desarrolla su modelo de seguridad de dominio, los tipos de miembro del grupo local BUILTIN\IIS_IUSRS se sustituyen por identidades de aplicación de los grupos de aplicaciones de IIS que hospedan servicios NET WCF y WF en un grupo de usuarios de dominio. Dado que el programa de instalación de AppFabric no crea cuentas de dominio, deberá crear manualmente un representante de nivel de dominio de BUILTIN\IIS_IUSRS. Por ejemplo, puede crear el grupo MyDomain\MyDomainASUsers y agregar las identidades de dominio de los grupos de aplicaciones de ISS de AppFabric a este grupo. Al configurar la persistencia de AppFabric, se especifica este grupo (MyDomain\MyDomainASUsers) como corresponda. Esto sucede al proporcionar una entrada en el campo Usuarios de la sección Configuración de seguridad del cuadro de diálogo Configuración de almacén de persistencia o en el campo –Users del cmdlet Initialize-ASPersistenceSqlDatabase. Al hacerlo, el inicio de sesión de SQL MyDomain\MyDomainASUsers se agrega a la base de datos de persistencia de AppFabric. En el tiempo de ejecución, las identidades de los grupos de aplicaciones de IIS tendrán permiso para la base de datos de persistencia con el rol System.Activities.DurableInstancing.InstanceStoreUsers. Para obtener más información sobre cómo configurar el grupo Usuarios durante el proceso de configuración mediante el cmdlet Initialize-ASPersistenceSqlDatabase, vea Creación e inicialización de bases de datos mediante cmdlets de AppFabric. Para obtener más información sobre cómo configurar el grupo Usuarios durante el proceso de configuración mediante el Asistente para configuración de Microsoft AppFabric 1.1 para Windows Server, vea Asistente para configuración de AppFabric. Para obtener información sobre la diferencia entre las identidades del grupo de aplicaciones predeterminado de IIS 7 e IIS 7.5, vea el artículo sobre identidades del grupo de aplicaciones (puede estar en inglés).
| Atributo | Valor |
|---|---|
Nombre |
BUILTIN\IIS_IUSRS |
Derechos |
|
Grupo de administradores del sistema de Windows
Asigne usuarios al grupo de administradores del sistema de Windows para que puedan implementar y anular la implementación de aplicaciones mediante herramientas como el Administrador de IIS o MSDeploy. Los miembros de este grupo también pueden editar la configuración del servidor, el sitio o la aplicación.
| Atributo | Valor |
|---|---|
Nombre |
COMPUTERNAME\Administrators |
Derechos |
Control total sobre la configuración, los directorios y los archivos de la aplicación. |
Seguridad de dominio de AppFabric
Si usa más de un servidor de AppFabric en una granja de servidores web, es recomendable cambiar la seguridad de los grupos de seguridad locales de Windows AS_Administrators y AS_Observers creados durante la instalación en un único equipo al uso de sus equivalentes de dominio en varios equipos. Debe configurar las cuentas y grupos de seguridad de dominio adecuadamente para poder configurar AppFabric correctamente en servidores de granjas Web. Si usa Active Directory, puede diseñar sus roles de seguridad de AppFabric mediante cuentas de dominio, para simplificar la seguridad en los equipos. El administrador de AppFabric puede crear explícitamente dos grupos de cuentas personalizados, a través de Active Directory, para los roles de administradores y observadores. Por ejemplo, puede llamarlas “DOMAIN\MyAppFabricAdmins” y “DOMAIN\MyAppFabricObservers”. Entonces, el administrador puede otorgar permisos administrativos al grupo DOMAIN\MyAppFabricAdmins del equipo que usa AppFabric, y lo mismo con “DOMAIN\MyAppFabricObservers”.
Los grupos locales AS_Administrators y AS_Observers que se crean al configurar AppFabric en un único servidor no se usan para proteger una granja web con varios servidores de AppFabric. En su lugar, debe usar cuentas de dominio. Tenga en cuenta que los programas de instalación y configuración de AppFabric no crean cuentas de dominio automáticamente, de modo que debe crearlas manualmente con Active Directory. Cree grupos de seguridad de dominio de Windows que representen todos los roles conceptuales de AppFabric (administradores, observadores y usuarios). Otorgue a los usuarios asignados a estos grupos los privilegios asociados a cada rol conceptual de AppFabric, pero en el nivel de ámbito de dominio. A continuación, especifíquelas durante el proceso de configuración de AppFabric.
Las identidades de servicio con las que se ejecutarán Servicio de recopilación de eventos y Servicio de administración de flujos de trabajo en los servidores de la granja web deben pertenecer al grupo de administradores de dominio de AppFabric. Normalmente, esto incluye la cuenta de usuario administrador de dominio de AppFabric. Se debe conceder el privilegio “Inicio de sesión como servicio” a los usuarios de este grupo y aplicarlo en el dominio. Este derecho permite que una entidad de seguridad inicie sesión como servicio. Se debe asignar este derecho a todo servicio que se ejecute en otra cuenta de usuario.
2012-03-05