Първи стъпки с IIS 7
Написано на 21 януари 2009 г. Публикувано в уеб сървъри
СЪДЪРЖАНИЕ
Дистанционно управление и делегирана администрация
IIS 7.0 предоставя нови начини за дистанционно управление на сървъра, хостовете, уеб приложенията и сигурно делегирани административни права за потребители без администраторски права. Първо, нека да разгледаме новите инструменти за дистанционно управление и как те могат да улеснят работата ви.
Преди това имаше два начина за дистанционно управление на IIS сървър: използване на уеб сайта за отдалечено управление или услуги за отдалечен работен плот/терминал за достъп до потребителския интерфейс. Но когато сте извън защитната стена или не на хоста, тези методи не са много полезни. IIS 7.0 адресира този проблем чрез създаване на методи за дистанционно управление директно в потребителския интерфейс, работещ през HTTPS връзка, съвместима със защитна стена.
Дистанционното управление в IIS 7.0 улеснява нещата по няколко начина. Първо, работите със същия потребителски интерфейс, както когато влизате локално. Второ, няма нужда да отваряте портове на защитната стена, тъй като комуникацията се извършва чрез HTTPS. И накрая, няколко сървъра вече могат да се управляват от един потребителски интерфейс. Не е необходимо да имате отворени няколко прозореца за връзка с отдалечен работен плот или връзка с отдалечен уеб сайт едновременно.
Услугата за отдалечено управление в IIS 7.0 всъщност е малко уеб приложение, което работи като отделна услуга под локален акаунт за услуга на Windows NT®, наречен NT Service\WMSVC. Този модел гарантира, че възможността за дистанционно управление остава, дори ако самият сървърIIS не отговаря.
Подобно на повечето функции на IIS 7.0, дистанционното управление на сигурността не е инсталирано по подразбиране. За да инсталирате функциите за отдалечено управление, добавете ролевите услуги за ролята на уеб сървъра в Windows Server 2008 Server Manager, намиращ се под Инструменти за управление. След като инсталирате функцията, трябва да активирате отдалечени връзки и да стартирате услугата WMSVC, защото тя е спряна по подразбиране.
Опцията за стартиране по подразбиране за услугата WMSVC е ръчно. Ако искате услугата да стартира автоматично след рестартиране, трябва да промените стойността на параметъра да стартира автоматично. Това може да стане, като въведете следното в командния ред:
sc config WMSVC start=auto
Първата опция, която показва да се разрешават само потребителски акаунти на Windows, локални или домейни, е доста очевидна. Втората опция преминава както през потребители на Windows, така и през тип акаунт, който е чисто нов в IIS 7.0 и не е свързан с потребителските акаунти на Windows: Потребители на IIS Manager. Потребителските акаунти на IIS Manager позволяват на администраторите да създават потребителски акаунти, които са известни само в контекста на IIS 7.0 и нямат права за достъп до операционната система. И накрая, IIS предоставя самоподписан сертификат по подразбиране, за да започнете, но ви препоръчваме да добавите валиден, подписан SSL сертификат. Сега просто трябва да приложите настройките и да стартирате услугата.
За да подобрят сигурността и управляемостта, ИТ администраторите могат безопасно да делегират администрирането на отделни сайтове или уеб приложения на потребители, които не са администратори.
делегиранадминистрирането по същество е отдалечено администриране, но ограничава обхвата на достъп до отделни сайтове или уеб приложения. Функцията IIS Manager Users е особено полезна тук. Можете да създадете потребители на IIS за тези еднократни собственици на сайтове и да им делегирате правомощия за администриране на собствен сайт или приложение. Те нямат достъп до настройките на ниво сървър и са ограничени до конкретни настройки на сайт или уеб приложение.
Освен това можете да посочите функциите и опциите, които потребителите променят или дори показват в потребителския интерфейс. Например, ако типът удостоверяване, използван за даден сайт, не трябва да се променя от никого, можете да укажете тази функционалност да е само за четене или да не се наследява. Функцията само за четене е достъпна за потребителите и те могат да дефинират нейната настройка, но не могат да правят промени; Иконата за ненаследена функция липсва в изгледа на IIS Manager на делегирания потребител. Този вид делегиране на функции ви позволява да предоставите на други потребители силно контролиран достъп, без да предоставяте административен контрол на уеб сървъра.