共用方式為

Windows 安全性

  • 發行項

此主題說明 Windows Server AppFabric 建立與使用的 Window Server 安全性帳戶與群組。這些群組提供 AppFabric 系統定義之概念性安全性角色的實際實作。

在安裝期間,AppFabric 會建立兩個安全性群組:電腦名稱\AS_Administrators 與 電腦名稱\AS_Observers。AppFabric 也會使用 Windows 內建的 NT AUTHORITY\Local Service 與 BUILTIN\IIS_IUSRS 帳戶。NT AUTHORITY\Local Service 做為「事件收集」服務與「工作流程管理」服務的登入身分識別。BUILTIN\IIS_IUSRS 帳戶則做為 NET 服務之應用程式集區身分識別登入 SQL Server 持續性資料庫的帳戶。AppFabric 系統管理員相關工作 (例如部署應用程式與設定檔案系統安全性) 需要本機 Administrators 群組的成員資格。

AppFabric 概念性安全性角色

設計安全性解決方案模型的第一步是將使用者歸類到三個概念性 AppFabric 安全性角色中:應用程式伺服器系統管理員、應用程式伺服器觀察者、應用程式伺服器使用者。這三個概念性安全性角色具有特定權限,可分別支援系統管理員、觀察者與使用者。您可以比較使用 AppFabric 概念性安全性角色與在開發電腦程式初期建立簡單邏輯流程圖。先完成概念性設計有助於簡化實際實作程序。接著您可以將指派至每個角色的使用者先對應到 Windows 安全性帳戶與群組,最後再對應到 SQL Server 資料庫角色。如需有關概念性 AppFabric 安全性角色的詳細資訊,請參閱 Windows Server AppFabric 的資訊安全模型

AppFabric Windows 安全性群組

AppFabric 系統管理員群組

AppFabric 系統管理員 Windows 安全性群組 (AS_Administrators) 可讓您完全控制應用程式組態、監控與持續性。群組的成員可以:

  • 暫停、繼續、終止與刪除持續性執行個體

  • 建立並移除事件來源與事件收集器

  • 檢視、排清與封存監控資料

AppFabric 系統 NT 服務 (「事件收集」服務與「工作流程管理」服務) 可將 AppFabric 管理工作 (例如,收集事件以及在系統失敗或重新啟動之後復原執行個體) 自動化。AppFabric 安裝程式會指定 NT AUTHORITY\Local Service 做為「事件收集」服務與「工作流程管理」服務的登入帳戶。在安裝期間,NT AUTHORITY\Local Service 帳戶也會成為電腦名稱\AS_Administrators 本機安全性群組的成員。這樣可確保 AppFabric 系統服務具有適當的權限可執行其操作。

注意

其他 NT 服務也可以使用 LocalService 做為登入帳戶。為避免以 LocalService 帳戶執行的任何服務擁有以相同帳戶身分識別執行之其他所有服務的存取權,Windows 運用了一個服務一個 SID 的概念。這表示,「事件收集」服務與「工作流程管理」服務會使用 電腦名稱\AS_Administrators 本機安全性群組的 LocalService 的 Proxy 帳戶。帳戶的格式為 NT SERVICE\AppFabricEventCollectionServiceNT SERVICE\AppFabricWorkflowManangementService,安裝完成後將顯示於 電腦名稱\AS_Administrators 本機安全性群組中。

屬性

名稱

電腦名稱\AS_Administrators

權限
  • 讀取/管理持續性資料

  • 讀取/寫入/管理監控資料

  • 讀取組態資訊

  • 控制應用程式

  • 訂閱事件

預設成員

NT SERVICE\AppFabricEventCollectionServiceNT SERVICE\AppFabricWorkflowManangementService 表示的 NT AUTHORITY\Local Service

下列群組的預設成員

AppFabric 觀察者群組

應用程式伺服器觀察者 Windows 安全性群組 (AS_Observers) 可讓您檢視應用程式持續性與監控資料。應用程式伺服器觀察者 (AS_Observers) 可以:

  • 列舉應用程式與服務

  • 檢視應用程式與服務組態

  • 檢視監控資料

  • 檢查持續性執行個體

重要

根據預設值,「應用程式伺服器觀察者」安全性群組的成員可以檢視本機伺服器或網域中所有應用程式的追蹤與持續性資料。

屬性

名稱

電腦名稱\AS_Observers

權限
  • 讀取持續性資料

  • 讀取監控資料

  • 讀取組態資訊

預設成員

下列群組的預設成員

AppFabric 使用者群組

將 IIS 應用程式集區身分識別帳戶指派給此角色,以讓應用程式使用共用的持續性儲存區與共用的系統服務 (例如,計時器)。「應用程式伺服器使用者」角色會指派給 IIS 安全性群組 BUILTIN\IIS_IUSRS。如需有關 IIS_IUSRS 內建群組的詳細資訊,請參閱 IIS 7.0:設定 Web 伺服器安全性 (https://go.microsoft.com/fwlink/?LinkID=131918) (可能為英文網頁)。

由於 BUILTIN\IIS_IUSRS 群組是本機範圍的緣故,因此不會使用於網域環境中。當您在開發網域資訊安全模型時,原本是本機範圍的 BUILTIN\IIS_IUSRS 群組成員類型將會被取代為網域使用者群組中主控 NET WCF 與 WF 服務之 IIS 應用程式集區的應用程式身分識別。因為 AppFabric 安裝程式不會建立網域帳戶,因此您必須手動建立 BUILTIN\IIS_IUSRS 的網域等級代表。例如,您可以建立 MyDomain\MyDomainASUsers 群組,然後將 AppFabric IIS 應用程式集區的網域身分識別加到此群組。設定 AppFabric 持續性時,需視情況指定此群組  (MyDomain\MyDomainASUsers)。若要完成這個動作,必須在 [持續性儲存區組態] 對話方塊之 [安全性組態] 區段的 [使用者] 欄位提供輸入,或在 Initialize-ASPersistenceSqlDatabase Cmdlet 的 –Users 欄位中提供輸入。這樣會將 MyDomain\MyDomainASUsers SQL 登入加到 AppFabric 持續性資料庫。在執行階段,IIS 應用程式集區的身分識別將可利用 System.Activities.DurableInstancing.InstanceStoreUsers 角色來存取持續性資料庫。如需設定期間如何使用 Initialize-ASPersistenceSqlDatabase Cmdlet 來設定使用者群組的詳細資訊,請參閱使用 Windows Server AppFabric Cmdlet 來建立與初始化資料庫。如需設定期間如何使用 Windows Server AppFabric 設定精靈來設定使用者群組的詳細資訊,請參閱 Windows Server AppFabric 設定精靈。如要進一步了解 IIS 7 與 IIS 7.5 之預設應用程式集區身分識別的差異,請參閱應用程式集區身分識別 (可能為英文網頁)。

屬性

名稱

BUILTIN\IIS_IUSRS

權限
  • 讀取/寫入持續性資料

  • 發佈事件

  • 讀取組態資訊

Windows 系統管理員群組

將使用者指派至一般的 Windows 系統管理員群組,可讓他們使用「IIS 管理員」或 MSDeploy 之類的工具來部署與取消部署應用程式。此群組的成員資格也可讓使用者編輯伺服器、網站或應用程式組態。

屬性

名稱

電腦名稱\Administrators

權限

完全控制應用程式檔案、目錄與組態。

AppFabric 網域安全性

在 Web 伺服陣列中使用一部以上的 AppFabric 伺服器時,最佳做法是轉換安全機制,也就是從安裝期間在單一電腦上建立的本機 AS_Administrators 與 AS_Observers Windows 安全性群組轉換成在多部電腦上使用它們的網域安全性群組。您必須先正確設定網域安全性帳戶與群組,才能在 Web 伺服陣列伺服器中順利設定 AppFabric。若使用 Active Directory,您可以使用網域帳戶來設計 AppFabric 安全性角色,以簡化管理多部電腦之安全性的程序。AppFabric 系統管理員可以明確地透過 Active Directory 為系統管理員與觀察者角色建立兩個自訂群組帳戶。例如,您可以將它們命名為 “DOMAIN\MyAppFabricAdmins” 與 “DOMAIN\MyAppFabricObservers” 。接著系統管理員可以將系統管理權限授與使用 AppFabric 之電腦上的 DOMAIN\MyAppFabricAdmins 群組,而且 “DOMAIN\MyAppFabricObservers” 也相同。

我們不會使用在 AppFabric 安裝期間於單一伺服器上建立的本機 AS_Administrators 與 AS_Observers 群組來保障含有多部 AppFabric 伺服器之 Web 伺服陣列的安全。您必須改用網域帳戶。請注意,AppFabric 安裝與設定程式不會為您建立任何網域帳戶,因此您必須使用 Active Directory 手動建立網域帳戶。建立代表每個 AppFabric 概念性角色 (系統管理員、觀察者與使用者) 的網域 Windows 安全性群組。為指派到這些群組的使用者授與和每個 AppFabric 概念性角色關聯的權限,但為網域範圍等級。您之後將在 AppFabric 設定程序中指定這些權限。

在 Web 伺服陣列中的各部伺服器上執行「事件收集」服務與「工作流程管理」服務所用的服務身分識別,必須是網域 AppFabric 系統管理員群組的成員。一般而言,這包括 AppFabric 網域系統管理員使用者帳戶。您必須將「以服務方式登入」權限授與此群組中的使用者,並在網域中強制執行。此權限可讓安全性主體以服務方式登入。以個別的使用者帳戶執行的任何服務都必須被指派此權限。

  2011-12-05