สิทธิ์ IIS 7 Application Pool Identity


9

ในหลอดเลือดดำของคำถามนี้

คำถามอื่น ๆ ได้สัมผัสกับสิ่งนี้ แต่ขอคำตอบโดยสมบูรณ์:

  1. สิทธิ์เฉพาะใดที่จำเป็นสำหรับไซต์ IIS 7 ทั่วไปที่มีผู้ใช้โดเมนเป็นข้อมูลประจำตัวของแอพ

  2. สิทธิ์เฉพาะใดที่จำเป็นสำหรับไซต์ ASP.NET IIS 7 ที่มีผู้ใช้โดเมนเป็นข้อมูลประจำตัวของแอพ

  3. มีเทคนิค / ทางลัดในการใช้การอนุญาตเหล่านี้หรือไม่?

คำตอบ:


11

หากคุณตั้งค่าการรับรองความถูกต้องแบบไม่ระบุชื่อของเว็บไซต์ให้ใช้ข้อมูลประจำตัวของกลุ่มแอพคุณจะต้องให้สิทธิ์การเข้าถึงข้อมูลประจำตัวของกลุ่มแอพเว้นแต่คุณจะมีส่วนของเว็บไซต์ที่ไม่ได้ใช้การรับรองความถูกต้องแบบไม่ระบุชื่อ การเข้าถึงของผู้ใช้รับรองความถูกต้อง ฉันแนะนำการกำหนดค่านั้น การรีเฟรชไม่จำเป็นต้องจัดการบัญชีข้อมูลประจำตัวของแอพรวมถึงบัญชีที่ไม่ระบุชื่อ

หากคุณไม่ได้เขียนลงดิสก์เพียงรายการ / อ่านเป็นสิ่งที่จำเป็น หากคุณต้องการเขียนอะไรลงดิสก์คุณจะต้องให้สิทธิ์ในการเขียนด้วย

สำหรับ # 3 หากเป็นเพียงเซิร์ฟเวอร์เดียวคุณสามารถทำได้จาก IIS Manager และสิทธิ์ NTFS หากคุณวางแผนที่จะใช้สคริปต์นี้สำหรับเซิร์ฟเวอร์หลายเครื่องแจ้งให้เราทราบและเราสามารถให้รายละเอียดเพิ่มเติมได้


ขอบคุณสำหรับคำตอบสกอตต์ คุณกำลังบอกว่าสิ่งที่คุณต้องทำสำหรับ IIS 7 คือการเพิ่มผู้ใช้เป็น APP Pool ID? ไม่มี "การเข้าสู่ระบบเป็นบริการ" หรือข้อกำหนดที่คล้ายกัน? ให้สิทธิ์การเข้าถึง metabase หรือสิ่งอื่นใดที่ aspnet_regiis -ga ทำเพื่อ IIS 6 หรือไม่
sh-beta

ไม่ไม่ใช่อีกต่อไป ด้วย IIS6 คุณต้องเพิ่มกลุ่ม IIS_WPG ซึ่งดูแลสิทธิ์เหล่านั้นทั้งหมด แต่ด้วย IIS7 ผู้ใช้ข้อมูลประจำตัวจะถูกเพิ่มในกลุ่ม IIS_WPG แบบเรียลไทม์โดยอัตโนมัติ ดังนั้นเพียงแค่เพิ่มผู้ใช้ในการตั้งค่ากลุ่มแอพให้สิทธิ์การเข้าถึงดิสก์และคุณจะถูกตั้งค่า
Scott Forsyth - MVP

@Scott Forsyth: ฉันทำเช่นนั้น (สร้างผู้ใช้แม้กระทั่งเพิ่มไปยัง IIS_USERS ให้สิทธิ์ในโฟลเดอร์และตั้งค่ากลุ่มแอพ) และฉันได้รับข้อยกเว้นด้านความปลอดภัย เมื่อฉันตั้งค่าแอพพูลเป็น NetworkService ทุกอย่างทำงานได้ แต่ฉันต้องการให้แต่ละไซต์ที่โฮสต์บนเซิร์ฟเวอร์ด้วยบัญชีผู้ใช้แยก ความคิดใด ๆ IIS7.5 btw
Ken Egozi

3
Ken สิ่งที่ดีที่สุดคือให้แต่ละแอพของตัวเองในแต่ละไซต์จากนั้นให้สิทธิ์สำหรับแอพ หากคุณใช้ ApplicationPoolIdentity คุณสามารถกำหนดสิทธิ์การใช้งานแอพในดิสก์ได้ ผู้ใช้มีลักษณะดังนี้: IIS AppPool \ {apppool name} learn.iis.net/page.aspx/624/application-pool-identities
Scott Forsyth - MVP

ข้อมูลประจำตัวของแอปพลิเคชันพูลแอปพลิเคชันไม่ถูกต้อง ชื่อผู้ใช้หรือรหัสผ่านที่ระบุไว้สำหรับข้อมูลประจำตัวอาจไม่ถูกต้องหรือผู้ใช้อาจไม่มีสิทธิ์การเข้าสู่ระบบแบบแบตช์ หากข้อมูลประจำตัวไม่ได้รับการแก้ไขกลุ่มแอปพลิเคชันจะถูกปิดใช้งานเมื่อกลุ่มแอปพลิเคชันได้รับคำขอแรก หากสิทธิ์การเข้าสู่ระบบแบบกลุ่มก่อให้เกิดปัญหาต้องเปลี่ยนข้อมูลประจำตัวในที่เก็บการกำหนดค่า IIS หลังจากที่ได้รับสิทธิ์ก่อนที่ Windows Process Activation Service (WAS) สามารถลองเข้าสู่ระบบอีกครั้ง ...
Triynko
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.