Sichern der Verwaltung

  • Artikel

Sie führen Windows Server AppFabric-Verwaltungsaufgaben mithilfe der AppFabric-Toolfunktionen in IIS-Manager in AppFabric aus. Beinahe alle Funktionen von IIS-Manager sind in den Standard-Cmdlets enthalten, die mit AppFabric ausgeliefert werden. Das Tool AppFabric ist sehr leistungsfähig. Sie können eine funktionierende AppFabric-Installation erstellen, indem Sie ein Feld auswählen, mit der Maus klicken oder Cmdlets ausführen. Eine AppFabric-Installation kann jedoch schnell unbrauchbar werden, wenn ein nicht autorisierter Benutzer vollständigen oder teilweisen Zugriff auf das AppFabric-System und seine unterstützenden Komponenten erlangt. Dieses Thema behandelt schwerpunktmäßig die Sicherung der administrativen Funktionen für AppFabric.

AppFabric-Administratorrechte

Wenn Sie eines der AppFabric-Tools als Administrator verwenden, arbeiten Sie immer unter Ihrem eigenen Sicherheitskontext. Auf diese Weise wird die Verwaltung von AppFabric und der unterstützenden Technologien wie etwa Windows Server, IIS und SQL Server vereinfacht. Damit Sie AppFabric verwalten können, müssen Sie Mitglied der konzeptuellen Anwendungsserveradministratoren (Windows-Sicherheitsgruppe AS_Administrators) oder der konzeptuellen Anwendungsserveroperatoren (Windows-Sicherheitsgruppe AS_Observers) sein.

Für die Remoteverwaltung von AppFabric verfügen die Gruppen AS_Administrators und AS_Observers über übereinstimmende Administratorberechtigungen. AppFabric ist ggf. auf einem Server installiert, mit dem Benutzer remote mithilfe des IIS-Sicherheitsmodus mit IIS-Manager eine Verbindung herstellen können. Damit Benutzer die Überwachungs- und Persistenzspeicher abfragen können, müssen Sie als Administrator das IIS-Manager-Konto (normalerweise das integrierte Netzwerkdienstkonto) der Gruppe AS_Administrators oder AS_Observers auf dem Remoteserver hinzufügen. Sie wählen Sie Sicherheitsgruppe basierend auf den Berechtigungen aus, die Sie Remotebenutzern erteilen möchten. Wenn sich Benutzer bei IIS nur für Verwaltungsprogramme authentifizieren, werden sie als Mitglieder der Gruppe AS_Administrators oder der Gruppe AS_Observers mit den entsprechenden Einschränkungen und Berechtigungen ausgeführt. Dies ist eine Windows-Sicherheitsregel, die nicht geändert werden kann. Für die Remoteverwaltung von AppFabric mithilfe von IIS-Manager müssen Sie ein Domänenadministrator sein. Für Remoteverwaltungsaufgaben greifen Sie auf Ressourcen als Sie selbst zu. Es ist keine Übernahme der Identität und kein Proxy vorhanden, um Ihnen eine andere Remoteidentität zu verleihen.

Ein AppFabric-Administrator kann die Option zur Delegierung von Features in IIS zum Delegieren verschiedener Sicherheitsberechtigungen für alle Websites auf einem Computer verwenden. Sie können z. B. Schreibschutz für die Verzeichnissuche festlegen oder die Protokollierung deaktivieren. Die Option zur Delegierung von Features wird im Abschnitt Verwaltung der Featureansicht auf der Computerebene angezeigt.

IIS ermöglicht außerdem die detaillierte Sperrung und Entsperrung bestimmter Konfigurationseinstellungen auf verschiedenen Bereichsebenen mithilfe von Konfigurationssperren. Sie führen Konfigurationssperren durch direktes Bearbeiten von XML-Elementen in Konfigurationsdateien aus. Die Sperre einer gesperrten Konfigurationseinstellung kann nur auf der Ebene aufgehoben werden, auf der sie gesperrt wurde. Sie kann nicht auf niedrigeren Ebenen geändert werden. Sie können diese Option verwenden, wenn Sie nicht die gleiche Konfiguration für verschiedene Sites verwenden möchten und einige ausgewählte Eigenschaften außer Kraft setzen müssen. Sie können die Sperrenverwaltung auf Abschnittsebene oder für einzelne Attribute, Elemente und Auflistungselemente und -direktiven verwenden. Für dieses Feature steht keine direkte Toolunterstützung zur Verfügung. Sie müssen daher die Konfigurationsdatei auf der entsprechenden übergeordneten Ebene des Bereichs manuell bearbeiten, wenn die Änderungen an die untergeordneten Ordner weitergegeben werden sollen.

Für die typischen Verwaltungsaufgaben hinsichtlich der Installation, Konfiguration und Ausführung für AppFabric weisen Sie Benutzer der lokalen Gruppe LOCALHOST\Administrators zu. Die Mitglieder können dann die Server-, Site- oder Anwendungskonfiguration bearbeiten, Anwendungen bereitstellen und die Bereitstellung aufheben sowie unterstützende Programme wie z. B. IIS-Manager, MSDeploy oder SvcConfigEditor ausführen.

securitySicherheit Hinweis
Machen Sie sich bewusst, dass das Erteilen von Berechtigungen für ein Dienstkonto für die Abfrage der Überwachungs- und Persistenzspeicher die gleichen Berechtigungen auch allen Anwendungen zuweist, die unter diesem Konto ausgeführt werden.

Remoteverwaltung

Wenn Sie AppFabric lokal verwalten, erfolgt die Ausführung unter dem Konto, unter dem Sie angemeldet sind. Für die Remoteverwaltung von AppFabric ermöglicht der IIS-Verwaltungsdienst lokalen und Domänenadministratoren die Verwendung von IIS-Manager, um einen Webserver remote zu verwalten. Nur ein lokaler Administrator kann den IIS-Verwaltungsdienst für die Aktivierung von Remoteverbindungen konfigurieren. Nachdem dies geschehen ist, können Sie einen der folgenden Modi zum Verwalten der Sicherheit beim Zugriff auf einen AppFabric-Remotecomputer verwenden:

  • Nur Windows-Anmeldeinformationen. In diesem Modus wird der IIS-Webverwaltungsdienst unter Ihren Anmeldeinformationen ausgeführt. Dies bedeutet, dass Sie alle Aktionen ausführen können, die Sie ausführen könnten, wenn Sie lokal mit dem Remotecomputer verbunden wären. Wenn Sie z. B. lokal zum Ändern der Datei Web.config berechtigt sind, können Sie diese Datei auch remote ändern. Der Zugriff auf die AppFabric-Ressourcen wird durch Ihre Mitgliedschaft in den Gruppen AS_Observers und AS_Administrators gesteuert.

  • Windows-Anmeldeinformationen oder IIS-Manager-Authentifizierungssicherheit. In diesem Modus melden Sie sich als LOCALSERVICE am Remotecomputer an. Die Ausführung erfolgt dann ebenfalls unter diesem Konto. In diesem Fall werden ggf. andere Informationen mit IIS-Manager angezeigt als bei der Verwendung von Nur Windows-Anmeldeinformationen. Da LOCALSERVICE standardmäßig berechtigt ist, alle Anwendungen auf dem Computer zu verwalten (Ändern von Web.config-Dateien und Abfragen und Ändern von Persistenz- und Überwachungsdaten), werden die tatsächlichen Berechtigungen für die Verbindung durch den Bereich festgelegt, in dem Sie die Verbindung herstellen. Wenn Ihre Anmeldedaten z. B. eine Verbindung mit einer bestimmten Anwendung zulassen, stellt AppFabric sicher, dass Sie nur auf Informationen zu dieser Anwendung zugreifen können. Sie dürfen keine vertraulichen Persistenzdaten anzeigen.

Sie verwenden die folgenden konzeptuellen Gruppen und die entsprechenden Windows-Sicherheitsgruppen für die lokale und Remoteverwaltung von AppFabric:

  • Anwendungsserveradministratoren. Mitglieder der konzeptuellen Gruppe Anwendungsserveradministratoren (Vollzugriff) werden der Windows-Sicherheitsgruppe AS_Administrators zugeordnet. Mitglieder der Gruppe AS_Administrators können persistente Instanzen anhalten, fortsetzen, beenden oder löschen, Ereignisquellen und Ereignissammlungsdienste erstellen und entfernen sowie Überwachungsdaten anzeigen, bereinigen und archivieren. Das AppFabric-Setup erstellt die Gruppe AS_Administrators bei der Installation und fügt dieser Gruppe das Konto NT AUTHORITY\LOCAL SERVICE hinzu. LOCAL SERVICE ist das Konto, unter dem der Ereignisauflistungsdienst und der Workflowverwaltungsdienst ausgeführt werden. Sie können der Gruppe AS_Administrators manuell Mitglieder hinzufügen, denen Sie Vollzugriff für die Verwaltung von AppFabric erteilen möchten.

  • Anwendungsserverbeobachter. Mitglieder der konzeptuellen Gruppe Anwendungsserverbeobachter (eingeschränkte Zugriffsberechtigungen) werden der Windows-Sicherheitsgruppe AS_Observers zugeordnet. Mitglieder der Gruppe AS_Observers können die Anwendungspersistenz und Überwachungsdaten teilweise anzeigen und Anwendungen und Dienste aufzählen, die Anwendungs- und Dienstkonfiguration anzeigen, Überwachungsdaten anzeigen sowie persistente Instanzen untersuchen. Das AppFabric-Setup erstellt die Gruppe AS_Observers bei der Installation, fügt jedoch keine Konten in diese Gruppe ein. Sie können der Gruppe AS_Observers manuell Mitglieder hinzufügen, denen Sie eingeschränkten Zugriff für die Verwaltung von AppFabric erteilen möchten.

Weitere Informationen zum Sichern der Konfiguration, zur Delegierung und zur Remoteverwaltung mit IIS finden Sie unter Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) und Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265) (englischsprachig).

  2011-12-05