다음을 통해 공유

Windows 보안

  • 아티클

이 항목에서는 Windows Server용 Microsoft AppFabric 1.1이 만들고 활용하는 Windows Server 보안 계정 및 그룹에 대해 설명합니다. 이러한 그룹은 AppFabric 시스템에 의해 정의되는 개념적 보안 역할을 물리적으로 구현합니다.

AppFabric을 설치하는 동안 두 개의 보안 그룹 COMPUTERNAME\AS_Administrators 및 COMPUTERNAME\AS_Observers가 생성됩니다. AppFabric은 또한 Windows 기본 제공 NT AUTHORITY\Local Service 및 BUILTIN\IIS_IUSRS 계정도 사용합니다. NT AUTHORITY\Local Service는 이벤트 컬렉션 서비스 및 워크플로 관리 서비스의 로그온 ID를 제공하고 BUILTIN\IIS_IUSRS 계정은 지속성 데이터베이스가 있는 NET 서비스의 응용 프로그램 풀 ID에 대한 SQL Server 로그인 계정으로 사용됩니다. 응용 프로그램을 배포하고 파일 시스템 보안을 구성하는 등의 AppFabric 시스템 관리자 관련 작업에는 로컬 Administrators 그룹의 구성원 자격이 필요합니다.

AppFabric 개념적 보안 역할

세 개의 개념적 AppFabric 보안 역할인 Application Server Administrators, Application Server Observers 및 Application Server Users 중 하나로 사용자를 분류하여 보안 솔루션을 모델링합니다. 이 세 가지 개념적 보안 역할은 각각 관리자, 관찰자, 사용자를 지원하는 특정 사용 권한을 갖습니다. AppFabric 개념적 보안 역할의 사용은 컴퓨터 프로그램을 개발하는 초반에 간단한 논리 순서도를 만드는 것에 비교할 수 있습니다. 개념적 디자인을 먼저 완료하면 실제 구현 프로세스는 훨씬 쉽고 부드럽게 진행됩니다. 그런 다음 각 역할에 할당된 사용자를 Windows 보안 계정 및 그룹에 가장 먼저 매핑하고 마지막에 SQL Server 데이터베이스 역할에 매핑합니다. 개념적 AppFabric 보안 역할에 대한 자세한 내용은 AppFabric용 보안 모델을 참조하십시오.

AppFabricWindows 보안 그룹

AppFabric Administrators 그룹

AppFabric 관리자의 Windows 보안 그룹인 AS_Administrators는 응용 프로그램 구성, 모니터링 및 지속성에 대한 모든 권한을 제공합니다. 이 그룹의 구성원은 다음을 수행할 수 있습니다.

  • 지속된 인스턴스의 일시 중단, 다시 시작, 종료 및 삭제

  • 이벤트 원본/이벤트 수집기 만들기 및 제거

  • 모니터링 데이터 보기, 제거 및 보관

AppFabric 시스템 NT 서비스(이벤트 컬렉션 서비스 및 워크플로 관리 서비스)는 시스템 오류 또는 다시 시작 후의 이벤트 수집 및 인스턴스 복구와 같은 AppFabric 관리 작업을 자동화합니다. AppFabric 설치에서는 NT AUTHORITY\Local Service가 이벤트 컬렉션 서비스 및 워크플로 관리 서비스에 대한 로그온 계정으로 지정됩니다. 또한 설치하는 동안 NT AUTHORITY\Local Service 계정은 COMPUTERNAME\AS_Administrators 로컬 보안 그룹의 구성원이 됩니다. 이로써 AppFabric 시스템 서비스는 작업을 수행하기 위한 적절한 사용 권한을 갖게 됩니다.

참고

다른 NT 서비스도 LocalService를 로그온 계정으로 사용할 수 있습니다. LocalService 계정으로 실행되는 서비스가 동일한 계정 ID로 실행되는 다른 모든 서비스에 대한 권한을 갖는 것을 방지하기 위해 Windows는 각 서비스에 대해 SID 개념을 사용합니다. 즉, 이벤트 컬렉션 서비스와 워크플로 관리 서비스가 COMPUTERNAME\AS_Administrators 로컬 보안 그룹의 LocalService에 대해 프록시 계정을 사용합니다. 이 계정은 NT SERVICE\AppFabricEventCollectionServiceNT SERVICE\AppFabricWorkflowManangementService 형식으로 표시되며 설치가 완료되면 COMPUTERNAME\AS_Administrators 로컬 보안 그룹에 표시됩니다.

특성

이름

COMPUTERNAME\AS_Administrators

권한
  • 지속성 데이터 읽기/관리

  • 모니터링 데이터 읽기/쓰기/관리

  • 구성 정보 읽기

  • 명령 응용 프로그램

  • 이벤트 가입

기본 구성원

NT SERVICE\AppFabricEventCollectionServiceNT SERVICE\AppFabricWorkflowManangementService에 의해 표시되는 NT AUTHORITY\Local Service

기본 소속 그룹

없음

AppFabric Observers 그룹

Application Server Observers의 Windows 보안 그룹인 AS_Observers는 응용 프로그램 지속성 및 모니터링 데이터를 완벽하게 가시적으로 표현합니다. Application Server Observers(AS_Observers) 역할의 구성원은 다음과 같이 할 수 있습니다.

  • 응용 프로그램 및 서비스 열거

  • 응용 프로그램 및 서비스 구성 보기

  • 모니터링 데이터 보기

  • 지속된 인스턴스 검사

중요

기본적으로 Application Server Observers 보안 그룹의 구성원은 로컬 서버나 도메인의 모든 응용 프로그램에 대한 추적 및 지속성 데이터를 볼 수 있습니다.

특성

이름

COMPUTERNAME\AS_Observers

권한
  • 지속성 데이터 읽기

  • 모니터링 데이터 읽기

  • 구성 정보 읽기

기본 구성원

없음

기본 소속 그룹

없음

AppFabric Users 그룹

IIS 응용 프로그램 풀 ID 계정을 이 역할에 할당하여 응용 프로그램이 공유 지속성 저장소 및 타이머와 같은 공유 시스템 서비스를 사용하도록 허용합니다. Application Server Users 역할은 IIS 보안 그룹 BUILTIN\IIS_IUSRS에 할당됩니다. 기본 제공 그룹 IIS_IUSRS에 대한 자세한 내용은 IIS 7.0: 웹 서버 보안 구성(https://go.microsoft.com/fwlink/?LinkID=131918)을 참조하십시오.

BUILTIN\IIS_IUSRS 그룹은 로컬 범위를 사용하기 때문에 도메인 환경 내에서 사용되지 않습니다. 도메인 보안 모델을 개발할 때 로컬 범위를 사용하는 BUILTIN\IIS_IUSRS 그룹에 속하는 구성원의 유형은 도메인 사용자 그룹에서 NET WCF 및 WF 서비스를 호스트하는 IIS 응용 프로그램 풀의 응용 프로그램 ID로 대체됩니다. AppFabric 설치 프로그램이 도메인 계정을 만들지 않기 때문에 BUILTIN\IIS_IUSRS의 도메인 수준 계정을 수동으로 만들어야 합니다. 예를 들어, MyDomain\MyDomainASUsers 그룹을 만들고 AppFabric IIS 응용 프로그램 풀의 도메인 ID를 이 그룹에 추가할 수 있습니다. AppFabric 지속성을 구성하는 경우 이 그룹(MyDomain\MyDomainASUsers)을 적절히 지정합니다. 이 구성 작업은 지속성 저장소 구성 대화 상자의 보안 구성 섹션 내에 있는 사용자 필드나 Initialize-ASPersistenceSqlDatabase cmdlet 내의 –Users 필드에 입력을 제공할 때 수행됩니다. 이 작업을 수행하면 AppFabric 지속성 데이터베이스에 MyDomain\MyDomainASUsers SQL 로그인이 추가됩니다. IIS 응용 프로그램 풀의 ID는 런타임에 System.Activities.DurableInstancing.InstanceStoreUsers 역할 아래에 있는 지속성 데이터베이스에 대한 권한을 가집니다. 구성하는 동안 Initialize-ASPersistenceSqlDatabase cmdlet을 사용하여 Users 그룹을 구성하는 방법에 대한 자세한 내용은 AppFabric Cmdlet을 사용하여 데이터베이스 만들기 및 초기화를 참조하십시오. 구성하는 동안 Windows Server용 Microsoft AppFabric 1.1 구성 마법사를 사용하여 Users 그룹을 구성하는 방법에 대한 자세한 내용은 AppFabric 구성 마법사를 참조하십시오. IIS 7과 IIS 7.5 간의 기본 응용 프로그램 풀 ID 차이점에 대한 자세한 내용은 응용 프로그램 풀 ID를 참조하십시오.

특성

이름

BUILTIN\IIS_IUSRS

권한
  • 지속성 데이터 읽기/쓰기

  • 이벤트 게시

  • 구성 정보 읽기

Windows System Administrators 그룹

사용자를 일반 Windows system Administrators 그룹에 할당하여 사용자가 IIS 관리자 또는 MSDeploy 같은 도구로 응용 프로그램을 배포 및 배포 취소하도록 허용합니다. 또한 이 그룹의 구성원 자격이 있으면 서버, 사이트 또는 응용 프로그램 구성을 편집할 수도 있습니다.

특성

이름

COMPUTERNAME\Administrators

권한

응용 프로그램 파일, 디렉터리, 구성에 대한 모든 권한

AppFabric 도메인 보안

웹 팜에서 둘 이상의 AppFabric 서버를 사용하는 경우 보안 수단으로 하나의 컴퓨터에 AppFabric을 설치하는 동안 만들어진 로컬 AS_Administrators 및 AS_Observers Windows 보안 그룹을 사용하는 것보다 여러 컴퓨터에서 도메인용 AS_Administrators 및 AS_Observers Windows 보안 그룹을 사용하는 것이 좋습니다. 웹 팜 서버에서 AppFabric을 성공적으로 구성하려면 도메인 보안 계정 및 그룹을 올바르게 구성해야 합니다. Active Directory를 사용 중이면 도메인 계정을 사용하여 컴퓨터 간의 보안을 단순화하도록 AppFabric 보안 역할을 디자인할 수 있습니다. AppFabric 관리자는 Active Directory를 통해 관리자와 관찰자 역할에 대한 두 개의 사용자 지정 그룹 계정을 명시적으로 만들 수 있습니다. 예를 들면, “DOMAIN\MyAppFabricAdmins” 및 “DOMAIN\MyAppFabricObservers”가 그러한 계정이 될 수 있습니다. 관리자는 AppFabric을 사용하는 컴퓨터의 DOMAIN\MyAppFabricAdmins 그룹에 관리자 권한을 부여할 수 있습니다. “DOMAIN\MyAppFabricObservers”의 경우도 이와 유사합니다.

하나의 서버에 AppFabric을 설치하는 동안 만들어진 로컬 AS_Administrators 및 AS_Observers 그룹은 여러 AppFabric 서버를 사용하는 웹 팜을 보안하는 데 사용되지 않습니다. 따라서 도메인 계정을 대신 사용해야 합니다. 도메인 계정은 AppFabric 설치 및 구성 프로그램이 만들지 않으므로 Active Directory를 사용하여 수동으로 만들어야 합니다. 각 개념적 AppFabric 역할(Administrators, Observers 및 Users)을 나타내는 도메인 Windows 보안 그룹을 만듭니다. 이러한 그룹에 할당된 사용자에게 각 개념적 AppFabric 역할과 연관된 적절한 권한을 도메인 범위 수준에서 부여합니다. 그런 다음 AppFabric을 구성할 때 이러한 권한을 지정합니다.

웹 팜의 여러 서버에서 이벤트 컬렉션 서비스 및 워크플로 관리 서비스를 실행하는 데 사용되는 서비스 ID는 도메인 AppFabric Administrators 그룹에 있어야 합니다. 일반적으로 이 그룹에는 AppFabric 도메인 관리자 사용자 계정이 포함됩니다. 따라서 "서비스로 로그온" 권한을 이 그룹의 사용자에게 부여하고 도메인에 적용해야 합니다. 이 권한은 보안 주체가 서비스로 로그온할 수 있게 하므로 별도의 사용자 계정을 사용하여 실행되는 모든 서비스에 이 권한을 할당해야 합니다.

  2012-03-05