Partage via

Sécurité Windows

  • Article

Cette rubrique décrit les comptes et les groupes de sécurité de Windows Server que Microsoft AppFabric 1.1 pour Windows Server crée et utilise. Ces groupes assurent l'implémentation physique des rôles de sécurité conceptuels définis par le système AppFabric.

AppFabric crée deux groupes de sécurité lors de l'installation : COMPUTERNAME\AS_Administrators et COMPUTERNAME\AS_Observers. AppFabric utilise également les comptes Windows intégrés AUTORITE NT\Service Local et BUILTIN\IIS_IUSRS. NT AUTHORITY\Local Service sert d'identité de connexion pour les services service de collecte d'événements ; et Service de gestion du flux de travail. Le compte BUILTIN\IIS_IUSRS est utilisé comme compte de connexion SQL Server pour l'identité de pool d'applications des services NET avec la base de données de persistance. Les tâches associées à l'administrateur système d'AppFabric telles que le déploiement d'applications et la configuration de la sécurité du système de fichiers, requièrent une appartenance au groupe Administrateurs local.

Rôles conceptuels d'AppFabric

Modélisez votre solution de sécurité en classant vos utilisateurs dans l'un des trois rôles de sécurité conceptuels d'AppFabric : Administrateurs de serveur d'applications, Observateurs de serveur d'applications et Utilisateurs de serveur d'applications. Ces trois rôles de sécurité conceptuels apportent des autorisations spécifiques à destination respectivement des administrateurs, des observateurs et des utilisateurs. Vous pouvez comparer l'utilisation des rôles de sécurité conceptuels d'AppFabric à la création d'un organigramme logique au début du développement d'un programme informatique. En effectuant d'abord la conception, l'implémentation physique devient un processus plus simple et plus fluide. Vous pouvez mapper initialement les utilisateurs affectés à chaque rôle sur des comptes et des groupes de sécurité Windows, voire sur des rôles de base de données SQL Server. Pour plus d'informations sur les rôles de sécurité conceptuels d'AppFabric, consultez la rubrique Modèle de sécurité pour AppFabric.

Groupes de sécurité Windows d'AppFabric

Groupe Administrateurs d'AppFabric

Le groupe de sécurité Windows des administrateurs d'AppFabric, AS_Administrators, vous permet de contrôler totalement la configuration, la surveillance et la persistance de l'application. Les membres du groupe peuvent effectuer les opérations suivantes :

  • interruption, reprise, arrêt et suppression des instances persistantes ;

  • création et suppression des sources et des collecteurs d'événements ;

  • affichage, purge et archivage des données de surveillance.

Les services NT du système AppFabric (service de collecte d'événements ; et Service de gestion du flux de travail) automatisent des tâches de gestion de AppFabric, telles que la collecte d'événements et la récupération d'instances après une panne ou un redémarrage du système. L'installation d'AppFabric désigne AUTORITE NT\Service Local comme compte d'ouverture de session pour les services service de collecte d'événements ; et Service de gestion du flux de travail. Durant l'installation, le compte AUTORITE NT\Service local est également membre du groupe de sécurité local NOM-ORDINATEUR\AS_Administrators. Cela garantit que les services système d'AppFabric disposent des autorisations appropriées pour exécuter leurs opérations.

Notes

D'autres services NT peuvent également utiliser le Service local comme compte d'ouverture de session. Pour éviter qu'un service exécuté en tant que compte Service local ait des autorisations d'accès à tous les autres services exécutés sous cette même identité de compte, Windows utilise le concept d'un SID par service. Cela signifie que les services service de collecte d'événements ; et Service de gestion du flux de travail utilisent un compte proxy pour le Service local au groupe de sécurité local NOMORDINATEUR\AS_Administrators. Les comptes sont au format NT SERVICE\AppFabricEventCollectionService et NT SERVICE\AppFabricWorkflowManangementService, et seront visibles dans le groupe de sécurité local NOMORDINATEUR\AS_Administrators une fois l'installation terminée.

Attribut Valeur

Nom

NOM_ORDINATEUR\AS_Administrators

Droits
  • Lire/administrer des données de persistance

  • Lire/écrire/administrer des données de surveillance

  • Lire des informations de configuration

  • Commander des applications

  • S'abonner à des événements

Membres par défaut

NT AUTHORITY\Service local représenté par NT SERVICE\AppFabricEventCollectionService et NT SERVICE\AppFabricWorkflowManangementService

Membres par défaut de

Aucun

Groupe Observateurs d'AppFabric

Le groupe de sécurité Windows des observateurs du serveur d'applications, AS_Observers, offre une visibilité complète des données persistance et de surveillance d'application. Les observateurs de serveur d'applications (AS_Observers) peuvent :

  • énumérer les applications et les services ;

  • afficher la configuration de l'application et du service ;

  • afficher les données de surveillance ;

  • examiner les instances persistantes.

Important

Par défaut, les membres du groupe de sécurité Observateurs de serveur d'applications peuvent consulter les données de suivi et de persistance de toutes les applications sur le serveur ou le domaine local.

Attribut Valeur

Nom

NOM_ORDINATEUR\AS_Observers

Droits
  • Lire les données de persistance

  • Lire les données de surveillance

  • Lire des informations de configuration

Membres par défaut

Aucun

Membres par défaut de

Aucun

Groupe Utilisateurs d'AppFabric

Attribuez des comptes d'identifié de pool d'applications IIS à ce rôle pour autoriser les applications à utiliser des magasins de persistance partagés et des services système partagés tels que des minuteurs. Le rôle Utilisateurs de serveur d'applications est attribué au groupe de sécurité IIS BUILTIN\IIS_IUSRS. Pour plus d’informations sur le groupe intégré IIS_IUSRS, consultez la rubrique IIS 7.0 : Configurer la sécurité du serveur Web (https://go.microsoft.com/fwlink/?LinkID=131918).

En raison de son étendue locale, le groupe BUILTIN\IIS_IUSRS n'est pas utilisé à l'intérieur d'un environnement de domaine. Lorsque vous développez votre modèle de sécurité de domaine, les types de membres qui seraient dans le groupe BUILTIN\IIS_IUSRS d'étendue locale seront remplacés par les identités d'application des pools d'applications IIS hébergeant les services NET WCF et WF dans un groupe d'utilisateurs de domaine. Comme les comptes de domaine ne sont pas créés par le programme d'installation d'AppFabric, vous devez créer manuellement un représentant de BUILTIN\IIS_IUSRS au niveau du domaine. Par exemple, vous pouvez créer le groupe MyDomain\MyDomainASUsers, puis ajouter les identités de domaine des pools d'applications IIS d'AppFabric à ce groupe. Lors de la configuration de la persistance d'AppFabric, vous spécifierez ce groupe (MyDomain\MyDomainASUsers) de façon appropriée. Cela s'effectue lors de la saisie d'une entrée dans le champ Utilisateurs de la section Configuration de la sécurité de la boîte de dialogue Configuration du magasin de persistance, ou dans le champ –Users à l'intérieur de la cmdlet Initialize-ASPersistenceSqlDatabase. Cette opération ajoute l'ID de connexion SQL MyDomain\MyDomainASUsers à la base de données de persistance d'AppFabric. Au moment de l'exécution, les identités des pools d'applications IIS disposeront d'une autorisation d'accès à la base de données de persistance sous le rôle System.Activities.DurableInstancing.InstanceStoreUsers. Pour plus d'informations sur la configuration du groupe Utilisateurs dans le cadre d'une configuration à l'aide de la cmdlet Initialize-ASPersistenceSqlDatabase, consultez la rubrique Création et initialisation d'une base de données à l'aide des cmdlets d'AppFabric. Pour plus d'informations sur la configuration du groupe Utilisateurs dans le cadre d'une configuration à l'aide de l'Assistant Configuration de Microsoft AppFabric 1.1 pour Windows Server, consultez la rubrique Assistant Configuration d'AppFabric. Pour plus d'informations sur la différence d'identité de pool d'applications par défaut entre IIS 7 et IIS 7.5, consultez la section Identités de pool d'applications.

Attribut Valeur

Nom

BUILTIN\IIS_IUSRS

Droits
  • Lire/écrire des données de persistance

  • Publier des événements

  • Lire des informations de configuration

Groupe Administrateurs système Windows

Affectez des utilisateurs au groupe Administrateurs système de Windows pour leur permettre de déployer et d'annuler le déploiement d'applications à l'aide d'outils tels que le Gestionnaire des services Internet ou MSDeploy. L'appartenance à ce groupe permet également de modifier la configuration d'un serveur, d'un site ou d'une application.

Attribut Valeur

Nom

NOM_ORDINATEUR\Administrators

Droits

Contrôle total des fichiers, des répertoires et de la configuration d'application.

Sécurité de domaine d'AppFabric

Si vous utilisez plusieurs serveurs AppFabric dans une batterie de serveurs Web, il est vivement recommandé de passer de l'utilisation des groupes de sécurité Windows locaux AS_Administrators et AS_Observers Windows créés lors de l'installation sur un ordinateur unique à l'utilisation de leurs équivalents au niveau du domaine sur plusieurs ordinateurs. Les comptes et les groupes de sécurité de domaine doivent être correctement configurés préalablement à une configuration réussie d'AppFabric sur les serveurs d'une batterie de serveurs Web. Si vous utilisez Active Directory, vous pouvez concevoir vos rôles de sécurité AppFabric à l'aide de comptes de domaine afin de simplifier la sécurité des ordinateurs. L'administrateur AppFabric peut utiliser Active Directory pour créer explicitement deux comptes de groupe personnalisés pour les rôles Administrateurs et Observateurs. Par exemple, vous pourriez les appeler « DOMAINE\MyAppFabricAdmins » et « DOMAINE\MyAppFabricObservers ». L'administrateur peut ensuite octroyer au groupe DOMAINE\MyAppFabricAdmins des autorisations administratives sur l'ordinateur qui utilise AppFabric, et de même pour le « DOMAINE\MyAppFabricObservers ».

Les groupes AS_Administrators et AS_Observers locaux créés durant l'installation d'AppFabric sur un serveur unique ne sont pas utilisés pour sécuriser une batterie Web utilisant plusieurs serveurs AppFabric. Vous devrez utiliser des comptes de domaine à la place. Sachez que les programmes d'installation et de configuration d'AppFabric ne créent pas de comptes de domaine à votre place. Vous devez donc les créer manuellement à l'aide d'Active Directory. Créez des groupes de sécurité Windows de domaine représentant les rôles conceptuels d'AppFabric (Administrateurs, Observateurs et Utilisateurs). Octroyez les privilèges appropriés associés à chaque rôle conceptuel d'AppFabric (au niveau de l'étendue du domaine) aux utilisateurs affectés à ces groupes. Vous les spécifierez ensuite durant le processus de configuration d'AppFabric.

Les identités de service sous lesquelles le service de collecte d'événements ; et le Service de gestion du flux de travail s'exécuteront sur les divers serveurs de la batterie Web doivent figurer dans le groupe Administrateurs de domaine d'AppFabric. Ce dernier inclut généralement le compte Administrateur de domaine d'AppFabric. Le privilège « Ouvrir une session en tant que service » doit être octroyé aux utilisateurs de ce groupe et appliqué dans le domaine. Ce droit permet à un principal de sécurité de se connecter en tant que service. Tout service s'exécutant sous un autre compte d'utilisateur doit disposer de ce droit.

  2012-03-05