Разрешения удостоверения пула приложений IIS 7

9

В духе этого вопроса.

Другие вопросы касались этого, но давайте получим полный ответ:

  1. Какие конкретные разрешения необходимы для общего сайта IIS 7 с пользователем домена в качестве идентификатора пула приложений?

  2. Какие конкретные разрешения необходимы для сайта ASP.NET IIS 7 с пользователем домена в качестве удостоверения пула приложений?

  3. Есть ли какие-нибудь хитрости / ярлыки для применения этих разрешений?
iis iis-7 asp.net application-pools ш-бета
источник

Ответы:

11

Если вы устанавливаете параметры анонимной аутентификации на своем веб-сайте для использования идентификатора пула приложений, вам нужно только предоставить доступ к идентификатору пула приложений, если только у вас нет раздела сайта, который не использует анонимную аутентификацию, и в этом случае вам также необходимо предоставить доступ аутентифицированных пользователей. Я рекомендую эту конфигурацию. Приятно, что вам не нужно управлять идентификационной учетной записью пула приложений и анонимной учетной записью.

Если вы не пишете на диск, просто перечислите / прочитайте - это все, что нужно. Если вам нужно что-то записать на диск, вам также нужно предоставить права на запись.

Для # 3, если это всего лишь 1 сервер, вы можете сделать это из разрешений IIS Manager и NTFS. Если вы планируете создать сценарий для нескольких серверов, сообщите нам, и мы сможем предоставить дополнительную информацию.

Скотт Форсайт - MVP
источник
Спасибо за ответ, Скотт. Вы говорите, что все, что вам нужно сделать для IIS 7, это добавить пользователя в качестве идентификатора пула приложения? Там нет "Вход в систему как услуга" или аналогичные требования? Предоставление ему доступа к метабазе или чему-либо еще, что aspnet_regiis -ga делает для IIS 6?
sh-beta
Нет, больше нет. С IIS6 вам пришлось добавить в группу IIS_WPG, которая позаботилась обо всех этих разрешениях, но с IIS7, пользователь удостоверения автоматически добавляется в группу IIS_WPG в режиме реального времени. Итак, просто добавьте пользователя в настройки пула приложений, предоставьте ему доступ к диску и все будет готово.
Скотт Форсайт - MVP
@ Скотт Форсайт: Я сделал это (создал пользователя, даже добавил его в IIS_USERS, дал разрешения для папки и настроил пул приложений), и я получаю исключения безопасности. Когда я устанавливаю пул приложений в NetworkService, все работает, но я хочу, чтобы каждый из сайтов размещался на сервере с изолированной учетной записью пользователя. Есть идеи? IIS7.5 кстати
Кен Эгози
3
Кен, лучшая изоляция - предоставить каждому сайту свой пул приложений, а затем предоставить разрешения для пула приложений. Если вы используете ApplicationPoolIdentity, вы можете назначить разрешения для пула приложений на диске. Пользователь выглядит так: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/application-pool-identities .
Скотт Форсайт - MVP
Идентификатор APP пула приложений недействителен. Имя пользователя или пароль, указанные для идентификатора, могут быть неправильными, или пользователь может не иметь прав на пакетный вход. Если идентификатор не исправлен, пул приложений будет отключен, когда пул приложений получит свой первый запрос. Если права пакетного входа в систему вызывают проблему, необходимо изменить удостоверение в хранилище конфигурации IIS после того, как права будут предоставлены, прежде чем служба активации процессов Windows (WAS) сможет повторить вход в систему ...
Triynko