ฉันจะกำหนดสิทธิ์การใช้งานไดเรกทอรีให้กับข้อมูลประจำตัวกลุ่มแอพเริ่มต้นได้อย่างไร


9

ฉันจะกำหนดสิทธิ์การใช้งานไดเรกทอรีให้กับข้อมูลประจำตัวกลุ่มแอพเริ่มต้น [IIS APPPOOL {ชื่อกลุ่มแอพพลิเคชั่น}] ได้อย่างไร

ฉันกำลังพยายามทำสิ่งนี้เพื่อเปิดใช้งานกลุ่มแอปพลิเคชันแบบสอบถามที่ใช้งานบนเว็บผู้ใช้และตรวจสอบการมีอยู่ของชื่อผู้ใช้หรือชื่อกลุ่ม

ขอบคุณ

คำตอบ:


8

คุณทำไม่ได้ คุณสามารถมอบสิทธิ์การเข้าถึงทรัพยากรท้องถิ่นสำหรับข้อมูลประจำตัว IIS APPPOOL {ชื่อกลุ่มแอพ} สำหรับทรัพยากรท้องถิ่นต่อ:

วิธีการกำหนดสิทธิ์ให้กับบัญชี ApplicationPoolIdentity

ใน Active Directory ข้อมูลประจำตัวต้องเป็นหลักการความปลอดภัยที่รู้จักกันดีหลักการรักษาความปลอดภัยของผู้ใช้ / กลุ่ม / คอมพิวเตอร์จริงหรือหลักการรักษาความปลอดภัยต่างประเทศ / ที่เชื่อถือได้

อย่างไรก็ตามถ้าคุณใช้ข้อมูลประจำตัวบริการเครือข่ายบน IIS AppPool กลุ่มแอพลิเคชันจะใช้บัญชีเครื่องของเซิร์ฟเวอร์ IIS เมื่อเข้าถึงทรัพยากรเครือข่าย ในกรณีดังกล่าวคุณสามารถมอบสิทธิ์ที่จำเป็นให้กับบัญชีคอมพิวเตอร์ (domain \ computername $) ใน Active Directory

http://www.iis.net/learn/manage/configuring-security/application-pool-identities


2
เมื่อฉันใช้บริการเครือข่ายข้อมูลประจำตัวบน ISS AppPool มันทำงานได้ตามที่คาดไว้ อย่างไรก็ตามเอกสารที่"http://www.iis.net/learn/manage/configuring-security/application-pool-identities"กล่าวว่า "ข่าวดีก็คือตัวตนของกลุ่มแอพพลิเคชั่นยังใช้บัญชีเครื่องเพื่อเข้าถึงทรัพยากรเครือข่าย ไม่จำเป็นต้องมีการเปลี่ยนแปลง "แต่เห็นได้ชัดว่าไม่ได้ทำตัวเหมือนในกรณีที่แอปพลิเคชันพยายามที่จะสร้างเคียวรีโฆษณา
user2384219

ไม่มีใครที่สมบูรณ์แบบ. อย่างน้อย NetworkService ทำงาน การใช้ข้อมูลประจำตัวของแอปอาจเป็นสิ่งที่ขาดหรือมีเอกสารไม่ดี
Greg Askew

@GregAskew - ข้อมูลประจำตัวของ App Pool ทำงานเป็นบัญชีบริการเครือข่ายที่เหนือกว่าดังนั้นเมื่อพวกเขาเข้าถึงทรัพยากรเครือข่ายพวกเขาทำงานเป็นชื่อเครื่อง แต่พวกเขายังสามารถมีความปลอดภัยที่เข้มงวดมากขึ้นในเครื่อง
Erik Funkenbusch

1

สิ่งที่ฉันทำในคอมพิวเตอร์ AD คือมอบหมายการควบคุมให้กับคอมพิวเตอร์ที่ใช้ IIS ซึ่งโฮสต์แอปพลิเคชัน ฉันมอบหมายเฉพาะ "แก้ไขการเป็นสมาชิกกลุ่ม" (หรือบางอย่างเช่นนั้น) ประเภทสิทธิ์และทำให้โซลูชันของฉันทำงาน

ฉันบิดแอปของฉันที่ได้รับ IPrincipal จาก ADFS ดังนั้นฉันไม่ได้ใช้ Windows auth แต่นอกเหนือจากที่ทุกอย่างทำงานได้ดี

น่าเสียดายที่ IISExpress ไม่ทำงานตามที่ IIS ทำเพราะนี่ไม่ใช่ครั้งแรกที่ฉันมีปัญหาเมื่อไปผลิต

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.