Aracılığıyla paylaş

Yönetim Güvenliğini Sağlama

  • Makale

Windows Server AppFabric yönetim görevlerini, AppFabric özelliğindeki IIS Yöneticisi'nde bulunan AppFabric araç özelliklerini kullanarak gerçekleştirirsiniz. AppFabric ile birlikte gelen standart cmdlet'lerde IIS Yöneticisi işlevlerinin hemen hemen tümü bulunur. AppFabric araç kümesi çok güçlüdür. Bir kutu seçerek, fareyi tıklatarak veya cmdlet'leri çalıştırarak işlevsel AppFabric yüklemesi oluşturabilirsiniz. Ancak yetkisiz bir kullanıcı AppFabric sisteminin ve destekleyen bileşenlerinin tümüne veya bir kısmına erişim hakkı kazanırsa, AppFabric yüklemesi hızlı bir şekilde kullanılamaz hale gelebilir. Bu konu AppFabric için yönetim işlevselliğinin güvenliğini sağlama üzerine odaklanır.

AppFabric Yönetim Ayrıcalıkları

AppFabric araçlarının herhangi birini yönetim amaçlı kullandığınızda, her zaman kendi güvenlik bağlamınız altında çalışırsınız.. Bu, AppFabric ile Windows Server, IIS ve SQL Server gibi bunu destekleyen teknolojilerin yönetimini kolaylaştırır. AppFabric yönetimi için ya kavramsal Uygulama Sunucusu Yöneticileri (AS_Administrators Windows güvenlik grubu) grubunun ya da kavramsal Uygulama Sunucusu İşletmenleri (AS_Observers Windows güvenlik grubu) grubunun üyesi olmanız gerekir.

AppFabric uzaktan yönetimi için AS_Administrators ve AS_Observers gruplarının ilgili yönetim ayrıcalıkları bulunur. AppFabric, kullanıcıların IIS Yöneticisi'nin IIS güvenlik modunu kullanarak uzaktan bağlanabileceği bir sunucuya yüklenebilir. Yönetici olarak kullanıcıların izleme ve kalıcılık depolarını sorgulamalarına olanak vermek için IIS Manager hesabını (genelde Network Service hesabında yerleşik olarak bulunur) uzak sunucudaki AS_Administrators veya AS_Observers grubuna eklemeniz gerekir. Güvenlik grubunu uzak kullanıcıların sahip olmasını istediğiniz izinlere göre seçersiniz. Kullanıcılar IIS'te yalnızca yönetim araçları için kimlik doğrulaması yaparsa, uygun kısıtlamalara ve izinlere sahip AS_Administrators grubunun veya AS_Observers grubunun üyesi olarak çalışırlar. Bu bir Windows güvenlik kuralıdır ve değiştirilemez. IIS Yöneticisi'ni kullanarak uzaktan AppFabric yönetimi yapmak için etki alanı yöneticisi olmanız gerekir. Uzaktan yönetim görevlerinde kaynaklara kendiniz olarak erişirsiniz. Size başka bir uzak kimlik sağlayan herhangi bir kimliğe bürünme özelliği veya proxy yoktur.

AppFabric yöneticisi, bilgisayardaki tüm Web sitelerine yönelik çeşitli güvenlik izinlerine temsilci seçmek için IIS'teki Özellik Temsili seçeneğini kullanabilir. Örneğin, dizine gözatma veya günlüğe kaydetmeyi devre dışı bırakma işlemleri için salt okunur izinler ayarlayabilirsiniz. Özellik Temsili seçeneği, Yönetim bölümünün Özellikler Görünümü'nde bilgisayar düzeyinde görüntülenir.

IIS ayrıca yapılandırma kilitlemesini kullanarak belirli yapılandırma ayarlarını farklı kapsam düzeylerinde daha ayrıntılı kilitlemeye veya kilidi açmaya olanak verir. XML öğelerini doğrudan yapılandırma dosyalarında düzenleyerek yapılandırma kilitlemesi gerçekleştirirsiniz. Kilitli bir yapılandırma ayarı yalnızca kilitlenmiş olduğu düzeyde açılabilir ve daha düşük düzeylerde değiştirilemez. Bu seçeneği, aynı yapılandırmayı farklı siteler için kullanmak istemediğinizde ve birkaç seçme özelliğini geçersiz kılmanız gerektiğinde kullanabilirsiniz. Kilit yönetimini bölüm düzeyinde veya tek tek öznitelikler, öğeler ve koleksiyon öğeleri ve yönergeleri için gerçekleştirebilirsiniz. Bu özellik için doğrudan bir araç desteği olmadığından, yapılandırma dosyasını, değişikliklerin alt klasörler aracılığıyla yaygınlaştırılmasını istediğiniz uygun ana kapsam düzeyinde el ile düzenlemeniz gerekir.

AppFabric ile ilgili yükleme, yapılandırma ve yürütme işlemlerine yönelik genel yönetim görevleri için kullanıcıları yerel LOCALHOST\Administrators grubuna atayın. Bunu yapmak, üyelerin sunucu, site veya uygulama yapılandırmasını düzenlemesine, uygulamaları dağıtmasına veya dağıtımlarını geri almasına ve IIS Yöneticisi, MSDeploy veya SvcConfigEditor gibi destekleyici programları çalıştırmasına olanak verir.

securityGüvenlik Not
Bir hizmet hesabına izleme ve kalıcılık depolarını sorgulama izinleri verirseniz, söz konusu hesabın altında çalışan tüm uygulamalara aynı izinleri verdiğinizi aklınızda bulundurun.

Uzaktan Yönetim

AppFabric yönetimini yerel olarak yaparken, oturum açtığınız hesabın altında çalışırsınız. IIS Yönetim Hizmetleri, uzaktan AppFabric yönetimi için yerel ve etki alanı yöneticilerinin Web sunucusunu uzaktan yönetmek amacıyla IIS Yöneticisi'ni kullanmalarını sağlar. Uzak bağlantıları etkinleştirmek amacıyla IIS Yönetim Hizmetleri'ni yalnızca yerel yönetici yapılandırabilir. Bu işlem yapıldıktan sonra uzak bir AppFabric bilgisayarına erişirken güvenliği yönetmek için aşağıdaki modlardan birini kullanabilirsiniz:

  • **Yalnızca Windows Kimlik Bilgileri.**Bu modda, IIS Web Yönetimi Hizmeti kimlik bilgilerinizin altında çalışır. Bunun anlamı, uzak bilgisayara yerel olarak bağlı olduğunuzda yapabileceğiniz tüm işlemleri yapabilecek olmanızdır. Örneğin, yerel olarak bir uygulamanın Web.config dosyasını değiştirme izniniz varsa, bu dosyayı uzaktan da değiştirebilirsiniz. AppFabric kaynaklarına erişim AS_Observers ve AS_Administrators gruplarındaki üyeliğiniz tarafından korunur.

  • Windows Kimlik Bilgileri veya IIS Yöneticisi Kimlik Doğrulama Güvenliği. Bu modda, uzak bilgisayarda LOCALSERVICE olarak oturum açar ve çalışırsınız. Bu durumda IIS Yöneticisi'nde, Yalnızca Windows Kimlik Bilgileri'ni kullandığınızda göreceklerinizden farklı bilgiler görebilirsiniz. LOCALSERVICE varsayılan olarak bilgisayardaki tüm uygulamaları yönetme iznine sahip olduğundan (Web.config dosyalarını değiştirme, kalıcılık ve izleme verilerini sorgulama ve değiştirme), bağlantıdaki etkin izinler bağlandığınız kapsam tarafından belirlenir. Örneğin, kimlik bilgileriniz belirli bir uygulamaya bağlanmanıza olanak veriyorsa, AppFabric hassas kalıcılık verilerini görmenize izin vermeden yalnızca uygulamayla ilgili bilgilere erişebilmenizi sağlar.

Yerel olarak veya uzaktan AppFabric yönetimi yapmak için aşağıdaki kavramsal grupları ve bunlara karşılık gelen Windows güvenlik gruplarını kullanırsınız:

  • Uygulama Sunucusu Yöneticileri. Uygulama Sunucusu Yöneticileri kavramsal grubunun üyeleri (tam erişim izinleri), AS_Administrators Windows güvenlik grubuna eşlenir. AS_Administrators grubunun üyeleri kalıcı örnekleri askıya alabilir, sürdürebilir, sonlandırabilir veya silebilir, olay kaynakları ve olay toplayıcıları oluşturabilir veya kaldırabilir ve izleme verilerini görüntüleyebilir, temizleyebilir ve arşivleyebilir. AppFabric kurulumu AS_Administrators grubunu yükleme sırasında oluşturur ve bu gruba NT AUTHORITY\LOCAL SERVICE hesabını ekler. LOCAL SERVICE, Olay Toplama hizmeti ve İş Akışı Yönetimi hizmeti uygulamalarının altında çalıştığı hesaptır. AppFabric yönetimi için tam erişim hakkı vermek istediğiniz kişileri AS_Administrators grubuna kendiniz üye olarak ekleyebilirsiniz.

  • Uygulama Sunucusu Gözlemcileri. Uygulama Sunucusu Gözlemcileri kavramsal grubunun üyeleri (kısmi erişim izinleri), AS_Observers Windows güvenlik grubuna eşlenir. AS_Observers grubunun üyeleri uygulamanın kalıcılık ve izleme verilerini kısmi olarak görebilir ve uygulama ve hizmet listesi oluşturabilir, uygulama ve hizmet yapılandırmasını görüntüleyebilir, izleme verilerini görüntüleyebilir ve kalıcılık örneklerini inceleyebilir. AppFabric kurulumu AS_Observers grubunu yükleme sırasında oluşturur, ancak bu gruba hesap ekleyemez. AppFabric yönetimi için kısmi erişim hakkı vermek istediğiniz kişileri AS_Observers grubuna kendiniz üye olarak ekleyebilirsiniz.

IIS kullanarak yapılandırma, temsilci seçme ve uzaktan yönetim işlemlerinin güvenliğini sağlama konusunda daha fazla bilgi için bkz. Securing Configuration (https://go.microsoft.com/fwlink/?LinkId=183022) ve Configuring Remote Administration and Feature Delegation in IIS 7.0 (https://go.microsoft.com/fwlink/?LinkId=184265).

  2011-12-05