Uprawnienia tożsamości puli aplikacji IIS 7

9

Zgodnie z tym pytaniem.

Dotknęły tego inne pytania, ale uzyskamy pełną odpowiedź:

  1. Jakie konkretne uprawnienia są potrzebne dla ogólnej witryny IIS 7 z użytkownikiem domeny jako tożsamością puli aplikacji?

  2. Jakie konkretne uprawnienia są konieczne dla witryny ASP.NET IIS 7 z użytkownikiem domeny jako tożsamością puli aplikacji?

  3. Czy są jakieś sztuczki / skróty do stosowania tych uprawnień?
iis iis-7 asp.net application-pools sh-beta
źródło

Odpowiedzi:

11

Jeśli skonfigurujesz ustawienia anonimowego uwierzytelniania w swojej witrynie tak, aby korzystały z tożsamości puli aplikacji, musisz przyznać dostęp do tożsamości puli aplikacji, chyba że masz sekcję witryny, która nie korzysta z anonimowego uwierzytelnienia. W takim przypadku musisz także przyznać dostęp dla uwierzytelnionych użytkowników. Polecam tę konfigurację. Odświeżanie nie wymaga zarządzania kontem tożsamości puli aplikacji i kontem anonimowym.

Jeśli nie piszesz na dysk, wystarczy lista / odczyt. Jeśli musisz coś zapisać na dysku, musisz także udzielić uprawnień do zapisu.

W przypadku # 3, jeśli jest to tylko 1 serwer, możesz to zrobić z poziomu Menedżera IIS i uprawnień NTFS. Jeśli planujesz napisać skrypt dla wielu serwerów, daj nam znać, a my możemy podać dalsze szczegóły.

Scott Forsyth - MVP
źródło
Dzięki za odpowiedź Scott. Czy mówisz, że wszystko, co musisz zrobić dla IIS 7, to dodać użytkownika jako identyfikator puli aplikacji? Nie ma „Logowanie jako usługa” lub podobnych wymagań? Udzielanie dostępu do metabazy lub czegokolwiek innego, co aspnet_regiis -ga robi dla IIS 6?
sh-beta,
Nie, już nie. W IIS6 trzeba było dodać do grupy IIS_WPG, która zajmowała się wszystkimi tymi uprawnieniami, ale w IIS7 użytkownik tożsamości jest automatycznie dodawany do grupy IIS_WPG w czasie rzeczywistym. Po prostu dodaj użytkownika do ustawień puli aplikacji, przyznaj mu dostęp do dysku, a będziesz gotowy.
Scott Forsyth - MVP
@Scott Forsyth: Zrobiłem to (utworzyłem użytkownika, nawet dodałem go do IIS_USERS, udzieliłem uprawnień do folderu i ustawiłem pulę aplikacji) i otrzymuję wyjątki bezpieczeństwa. Gdy ustawię pulę aplikacji na NetworkService, wszystko działa, ale chcę, aby każda z witryn była hostowana na serwerze z izolowanym kontem użytkownika. Dowolny pomysł? IIS7.5 btw
Ken Egozi
3
Ken, najlepszą izolacją jest nadanie każdej witrynie osobnej puli aplikacji, a następnie przyznanie uprawnień do puli aplikacji. Jeśli używasz ApplicationPoolIdentity, możesz przypisać uprawnienia puli aplikacji na dysku. Użytkownik wygląda następująco: IIS AppPool \ {nazwa puli aplikacji}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP
Tożsamość aplikacji puli aplikacji jest nieprawidłowa. Nazwa użytkownika lub hasło określone dla tożsamości mogą być niepoprawne lub użytkownik może nie mieć uprawnień do logowania wsadowego. Jeśli tożsamość nie zostanie poprawiona, pula aplikacji zostanie wyłączona, gdy pula aplikacji otrzyma pierwsze żądanie. Jeśli przyczyną problemu są prawa do logowania w trybie wsadowym, tożsamość w magazynie konfiguracji IIS musi zostać zmieniona po przyznaniu uprawnień, zanim usługa aktywacji procesów systemu Windows (WAS) może ponowić logowanie ...
Triynko