Как назначить разрешение активного каталога для удостоверения пула приложений по умолчанию

Как назначить разрешение активного каталога для удостоверения пула приложений по умолчанию [IIS APPPOOL {имя пула приложений}]?

Я пытаюсь сделать это, чтобы разрешить веб-приложению запрашивать активные группы каталогов, пользователей и проверять наличие определенного имени пользователя или имени группы.

Спасибо.

Вы не Вы можете предоставить разрешения локальным ресурсам для удостоверения IIS APPPOOL {имя пула приложений} для локальных ресурсов на:

Как назначить разрешения учетной записи ApplicationPoolIdentity

В Active Directory удостоверение должно быть либо общеизвестным субъектом безопасности, реальным участником безопасности пользователя / группы / компьютера, либо сторонним / доверенным субъектом безопасности.

Однако если вы используете идентификатор сетевой службы на IIS AppPool, пул приложений будет использовать учетную запись компьютера сервера IIS при доступе к сетевым ресурсам. В этом случае вы можете предоставить необходимые разрешения учетной записи компьютера (домен \ имя_компьютера $) в Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

То, что я делал на компьютере AD, было делегировать управление компьютеру, на котором запущено приложение IIS. Я делегировал только разрешения типа «изменить членство в группе» (или что-то в этом роде) и получил свое решение.

У меня был поворот в приложении, которое получило IPrincipal от ADFS, поэтому я не использовал аутентификацию Windows, но кроме этого все работало просто отлично.

Жаль, что IISExpress не работает так, как функционирует IIS, так как это не первый раз, когда у меня возникают проблемы при переходе в производство.