管理の保護

Windows Server AppFabric の管理作業は、IIS マネージャーの [AppFabric] にある AppFabric ツール機能を使用して行います。IIS マネージャーのほとんどの機能は、AppFabric に付属する標準コマンドレットになっています。AppFabric のツール セットは非常に強力です。ボックスを選択したり、マウスをクリックしたり、コマンドレットを実行したりすることで、機能する AppFabric のインストールを作成できます。しかし、承認されていないユーザーが AppFabric システムの全体または一部、およびそのサポート コンポーネントにアクセスできると、AppFabric システムはたちまち使用不能になる可能性もあります。このトピックでは、AppFabric の管理機能をセキュリティで保護する方法を説明します。

AppFabric 管理者特権

AppFabric ツールを管理に使用するときは、常に管理者のセキュリティ コンテキストで動作します。これにより、AppFabric および Windows Server、IIS、SQL Server などのサポート テクノロジを簡単に管理できるようになります。AppFabric を管理するには、概念的なアプリケーション サーバー管理者 (AS_Administrators Windows セキュリティ グループ) または概念的なアプリケーション サーバー オペレーター (AS_Observers Windows セキュリティ グループ) のメンバーである必要があります。

AS_Administrators グループおよび AS_Observers グループには、AppFabric のリモート管理を可能にする管理者特権があります。AppFabric は、ユーザーが IIS マネージャーで IIS セキュリティ モードを使用してリモート接続できるサーバーにインストールできます。ユーザーが監視ストアおよび永続化ストアのクエリを実行できるようにするには、管理者は IIS マネージャー アカウント (通常は組み込みの Network Service アカウント) をリモート サーバーの AS_Administrators または AS_Observers に追加する必要があります。どちらのセキュリティ グループを選択するかは、リモート ユーザーに付与するアクセス許可によって決まります。管理ツールのためだけにユーザーが IIS の認証を受ける場合は、ユーザーは適切な制限とアクセス許可が設定されている AS_Administrators または AS_Observers グループのメンバーとして実行します。これは Windows のセキュリティ規則であり、変更できません。IIS マネージャーを使用して AppFabric をリモート管理するには、ドメイン管理者である必要があります。リモート管理作業のためには、ユーザーはユーザー自身としてリソースにアクセスします。代替のリモート ID を提供する偽装またはプロキシはありません。

AppFabric の管理者は、IIS の [機能の委任] オプションを使用して、コンピューター上のすべての Web サイトのさまざまなセキュリティ アクセス許可を委任できます。たとえば、ディレクトリ参照に読み取り専用アクセス許可を設定したり、ログ記録を無効にしたりできます。[機能の委任] オプションは、コンピューター レベルでの機能ビューの [管理] セクションに表示されます。

また、IIS では、構成ロックを使用することにより、異なるスコープ レベルで特定の構成設定をきめ細かくロックおよびロック解除できます。構成ロックを実行するには、構成ファイルで XML 要素を直接編集します。ロックされた構成設定を解除できるのはロックが行われたレベルのみであり、下位のレベルではロックを変更できません。異なるサイトで同じ構成を使用したくないとき、および一部の選択プロパティを上書きする必要があるときは、このオプションを使用できます。ロックの管理は、セクション レベルで、または個別の属性、要素、およびコレクション要素とディレクティブに対して実行できます。この機能を直接サポートするツールはないので、変更を下位の子フォルダーに反映する必要のある適切な親スコープのレベルで、構成ファイルを手動で編集する必要があります。

AppFabric のインストール、構成、実行作業に関係する一般的な管理タスクの場合は、ユーザーをローカルの LOCALHOST\Administrators グループに割り当てます。これにより、メンバーは、サーバー、サイト、またはアプリケーションの構成の編集、アプリケーションの展開と展開解除、および IIS マネージャー、MSDeploy、SvcConfigEditor などのサポート プログラムの実行を行うことができます。

securityセキュリティ 注意
サービス アカウントに監視ストアおよび永続化ストアをクエリするアクセス許可を付与した場合、そのアカウントで実行されるすべてのアプリケーションに同じアクセス許可が付与されることに注意してください。

リモート管理

AppFabric をローカルに管理するときは、ログインしているアカウントで実行します。AppFabric をリモートで管理する場合は、IIS 管理サービスがローカル管理者およびドメイン管理者に、Web サーバーをリモート管理するための IIS マネージャーの使用を許可します。リモート接続が可能なように IIS 管理サービスを構成できるのは、ローカル管理者だけです。構成された後は、リモート AppFabric コンピューターにアクセスし、次のどちらかのモードを使用して、セキュリティを管理できます。

  • Windows 資格情報のみ。 このモードでは、IIS Web 管理サービスはユーザーの資格情報で実行します。つまり、リモート コンピューターにローカルに接続した場合に実行できるすべての操作を実行できます。たとえば、アプリケーションの Web.config ファイルを変更するローカルなアクセス許可がある場合、そのファイルをリモートでも変更できます。AppFabric のリソースへのアクセスは、AS_Observers グループおよび AS_Administrators グループのメンバーシップで保護されます。

  • Windows 資格情報または IIS マネージャー認証セキュリティ。 このモードでは、LOCALSERVICE としてリモート コンピューターにログオンして実行します。この場合、Windows 資格情報のみを使用した場合とは異なる情報が IIS マネージャーに表示されることがあります。既定では、LOCALSERVICE にはコンピューター上のすべてのアプリケーションを管理するためのアクセス許可があるので (Web.config ファイルの変更、および永続化データと監視データのクエリと変更)、接続での実質的なアクセス許可は接続しているスコープによって決まります。たとえば、ユーザーの資格情報で特定のアプリケーションへの接続が許可されている場合、AppFabric はそのアプリケーションについての情報のみにユーザーがアクセスできるようにし、機密性の高い永続化データの表示は許可しません。

AppFabric のローカルとリモートの管理には、次の概念的グループとそれに対応する Windows セキュリティ グループを使用します。

  • アプリケーション サーバー管理者。 Application Server Administrators 概念的グループ (全アクセス許可) のメンバーは、AS_Administrators Windows セキュリティ グループに対応します。AS_Administrators グループのメンバーは、永続化されたインスタンスの一時停止、再開、終了、削除、イベント ソースとイベント コレクターの作成と削除、監視データの表示、削除、アーカイブを行うことができます。AppFabric のセットアップでは、インストール時に AS_Administrators グループが作成され、NT AUTHORITY\LOCAL SERVICE アカウントがこのグループに追加されます。LOCAL SERVICE アカウントの下で イベント コレクション サービスおよびワークフロー管理サービスが動作します。AppFabric を管理するためのフル アクセスを許可するメンバーを、AS_Administrators グループに手動で追加できます。

  • アプリケーション サーバー オブザーバー。 アプリケーション サーバー オブザーバー概念的グループ (部分的アクセス許可) のメンバーは、AS_Observers Windows セキュリティ グループに対応します。AS_Observers グループのメンバーは、アプリケーションの永続化データと監視データの一部を表示でき、アプリケーションとサービスの列挙、アプリケーションとサービスの構成の表示、監視データの表示、永続化されたインスタンスの検査を行うことができます。AppFabric のセットアップではインストール時に AS_Observers グループが作成されますが、このグループにはアカウントは追加されません。AppFabric を管理するための部分アクセスを許可するメンバーを、AS_Observers グループに手動で追加できます。

IIS を使用して構成、委任、リモート管理をセキュリティで保護する方法の詳細については、「Securing Configuration」 (http://go.microsoft.com/fwlink/?LinkId=183022) および「Configuring Remote Administration and Feature Delegation in IIS 7.0」 (http://go.microsoft.com/fwlink/?LinkId=184265) を参照してください。

  2011-12-05