วิธีการกำหนดสิทธิ์ให้กับบัญชี ApplicationPoolIdentity

ใน IIS 7 บน Windows Server 2008 สามารถเรียกใช้กลุ่มแอปพลิเคชันเป็นบัญชี "ApplicationPoolIdentity" แทนบัญชี NetworkService

ฉันจะกำหนดสิทธิ์ให้บัญชี "ApplicationPoolIdentity" นี้ได้อย่างไร ไม่ปรากฏเป็นผู้ใช้ท้องถิ่นบนเครื่อง มันไม่ปรากฏเป็นกลุ่มทุกที่ ไม่มีสิ่งใดจากระยะไกลเหมือนที่ปรากฏขึ้นทุกที่ เมื่อฉันเรียกดูผู้ใช้ภายในกลุ่มและบัญชีในตัวจะไม่ปรากฏในรายการหรือไม่มีสิ่งใดที่คล้ายกันปรากฏในรายการ เกิดอะไรขึ้น?

ฉันไม่ใช่คนเดียวที่มีปัญหานี้: ดูปัญหาเกี่ยวกับ ApplicationPoolIdentity ใน IIS 7.5 + Windows 7สำหรับตัวอย่าง

"นี่เป็นข้อ จำกัด ของตัวเลือกวัตถุใน Windows Server 2008 / Windows Vista - เนื่องจากมีหลายคนที่ค้นพบแล้วคุณยังสามารถจัดการ ACL สำหรับข้อมูลประจำตัวแอพโดยใช้เครื่องมือบรรทัดคำสั่งเช่นicacls "

อัปเดต:คำถามเดิมสำหรับ Windows Server 2008 แต่การแก้ปัญหานั้นง่ายกว่าสำหรับ Windows Server 2008 R2 และ Windows Server 2012 (และ Windows 7 และ 8) คุณสามารถเพิ่มผู้ใช้ผ่านทาง NTFS UI โดยการพิมพ์โดยตรง ชื่ออยู่ในรูปแบบของ IIS APPPOOL \ {ชื่อกลุ่มแอพ} ตัวอย่างเช่น: IIS APPPOOL \ DefaultAppPool

IIS APPPOOL\{app pool name}

หมายเหตุ: ตามความคิดเห็นด้านล่างมีสองสิ่งที่ต้องระวัง:

• ป้อนสตริงลงใน "เลือกผู้ใช้หรือกลุ่ม" โดยตรงและไม่อยู่ในช่องค้นหา
• ในสภาพแวดล้อมของโดเมนคุณจำเป็นต้องตั้งค่าตำแหน่งที่ตั้งไปยังเครื่องคอมพิวเตอร์ของคุณก่อน

การอ้างอิงถึงบทความ Microsoft เอกสาร: Application Pool Identities> การรักษาความปลอดภัยทรัพยากร

คำตอบดั้งเดิม: (สำหรับ Windows Server 2008) นี่เป็นคุณสมบัติที่ยอดเยี่ยม แต่อย่างที่คุณพูดถึงมันยังไม่ได้ใช้งานอย่างสมบูรณ์ คุณสามารถเพิ่มข้อมูลประจำตัวของแอพได้จากพรอมต์คำสั่งด้วยสิ่งต่างๆเช่น icacls จากนั้นคุณสามารถจัดการได้จาก GUI ตัวอย่างเช่นเรียกใช้สิ่งนี้จากพรอมต์คำสั่ง:

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

จากนั้นใน Windows Explorer ให้ไปที่โฟลเดอร์ wwwroot และแก้ไขการอนุญาตด้านความปลอดภัย คุณจะเห็นสิ่งที่ดูเหมือนกลุ่ม (ไอคอนกลุ่ม) ที่เรียกว่า DefaultAppPool ตอนนี้คุณสามารถแก้ไขการอนุญาต

อย่างไรก็ตามคุณไม่จำเป็นต้องใช้สิ่งนี้เลย มันเป็นโบนัสที่คุณสามารถใช้ได้ถ้าคุณต้องการ คุณสามารถใช้วิธีเดิมในการสร้างผู้ใช้ที่กำหนดเองต่อแอพพูลและกำหนดผู้ใช้ที่กำหนดเองให้กับดิสก์ นั่นคือการสนับสนุน UI แบบเต็ม

วิธีการฉีด SID นี้ทำได้ดีเพราะช่วยให้คุณสามารถใช้ผู้ใช้คนเดียว แต่สามารถแยกแต่ละไซต์ออกจากกันโดยไม่ต้องสร้างผู้ใช้ที่ไม่ซ้ำกันสำหรับแต่ละแอพ ค่อนข้างน่าประทับใจและมันจะดียิ่งขึ้นด้วยการรองรับ UI

หมายเหตุ: หากคุณไม่พบผู้ใช้กลุ่มแอพพลิเคชั่นให้ตรวจสอบว่าบริการ Windows ชื่อ Application Host Helper Service กำลังทำงานอยู่หรือไม่ เป็นบริการที่แมปผู้ใช้กลุ่มแอปพลิเคชันกับบัญชี Windows

คุณต้องตรวจสอบให้แน่ใจว่าFrom this locationเขตข้อมูลถูกตั้งค่าเป็นlocal machineและไม่ใช่โดเมน

ฉันมีปัญหาเดียวกันและเมื่อฉันเปลี่ยนมันทำงานได้ดี

คุณควรสร้างกลุ่มต่อ "บทบาท" และมอบหมายให้กลุ่มนั้นเข้าถึงระบบไฟล์ จากนั้นเพิ่มแอพพูลลงในกลุ่มเฉพาะบทบาทตามความจำเป็น วิธีนี้แม้ว่าคุณจะลบกลุ่มแอปในภายหลัง (และผู้ใช้เสมือนเป็นคนโง่ ) คุณไม่ต้องกังวลเกี่ยวกับการทำซ้ำสิทธิ์ทั้งหมดคุณเพียงแค่เพิ่มกลุ่มแอพทดแทนไปยังกลุ่มที่มีอยู่

หลังจากอ่าน @Scott Forsyth - คำตอบ MVP ฉันพยายามเริ่มบริการ Application Host Helper ใหม่ นั่นช่วยแก้ไขปัญหาให้ฉันได้

ฉันใช้งาน WS8 R2 และไม่สามารถเพิ่มIIS APPPOOL\DefaultAppPoolผ่าน Windows Explorer ได้ วิธีเดียวที่ทำงานคือผ่านบรรทัดคำสั่ง:

cacls [เส้นทางไฟล์] / T / E / G "IIS APPPOOL \ DefaultAppPool": C

หากคำถามนี้เกี่ยวกับวิธีดำเนินการ _sp_send_dbmail ในฐานข้อมูล msdb (โดยใช้ SQL ส่งฐานข้อมูลจดหมายที่เก็บไว้ในขั้นตอน msdb) นี่คือการแก้ไขบางอย่าง เพิ่มชื่อผู้ใช้แอปพลิเคชัน. net ของฐานข้อมูลของคุณ (ซึ่งกำหนดไว้ในสตริงการเชื่อมต่อของคุณในแอป. net ของคุณ) ให้กับผู้ใช้ msdb ด้วยการเป็นสมาชิกบทบาท "DatabaseMailUserRole"