Jak mogę przypisać uprawnienia do Active Directory domyślnej tożsamości puli aplikacji

9

Jak mogę przypisać uprawnienia do Active Directory domyślnej tożsamości puli aplikacji [IIS APPPOOL {nazwa puli aplikacji}]?

Próbuję to zrobić, aby umożliwić kwerendy grup użytkowników, użytkowników i aplikacji sieci Web sprawdzenie, czy istnieje konkretna nazwa użytkownika lub nazwa grupy.

Dzięki.

active-directory iis application-pools użytkownik2384219
źródło

Odpowiedzi:

8

Ty nie. Możesz przyznać uprawnienia do zasobów lokalnych dla tożsamości IIS APPPOOL {nazwa puli aplikacji} dla zasobów lokalnych dla:

Jak przypisać uprawnienia do konta ApplicationPoolIdentity

W usłudze Active Directory tożsamość musi być albo dobrze znanym podmiotem zabezpieczeń, rzeczywistym użytkownikiem / grupą / komputerem bezpieczeństwa, albo obcym / zaufanym podmiotem zabezpieczeń.

Jeśli jednak użyjesz tożsamości usługi sieciowej w IIS AppPool, pula aplikacji użyje konta komputera serwera IIS podczas uzyskiwania dostępu do zasobów sieciowych. W takim przypadku możesz nadać niezbędne uprawnienia do konta komputera (domena \ nazwa_komputera $) w usłudze Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Greg Askew
źródło
2
Kiedy używam tożsamości usługi sieciowej w ISS AppPool, działa zgodnie z oczekiwaniami. Jednak dokumentacja na stronie „http://www.iis.net/learn/manage/configuring-security/application-pool-identities” mówi: „Dobrą wiadomością jest to, że tożsamości puli aplikacji również używają konta komputera do uzyskiwania dostępu do zasobów sieciowych. Nie są wymagane żadne zmiany. ”, Ale oczywiście nie zachowuje się tak samo, jak w przypadku, gdy aplikacja próbuje wykonać zapytania AD.
user2384219
Nikt nie jest perfekcyjny. Przynajmniej działa NetworkService. Korzystanie z tożsamości aplikacji jest prawdopodobnie uszkodzone lub źle udokumentowane.
Greg Askew
@GregAskew - Tożsamości puli aplikacji działają jako nadzbiory kont usług sieciowych, więc kiedy uzyskują dostęp do zasobów sieciowych, działają jak nazwy komputerów, ale mogą też mieć większe lokalne bezpieczeństwo.
Erik Funkenbusch
1

To, co zrobiłem na komputerze AD, polegało na przekazaniu kontroli komputerowi, na którym działa IIS obsługujący aplikację. Przekazałem jedynie uprawnienia do „modyfikowania członkostwa w grupie” (lub coś w tym rodzaju) i uruchomiłem moje rozwiązanie.

W mojej aplikacji zmieniłem IPrincipal z ADFS, więc nie używałem uwierzytelniania Windows, ale poza tym wszystko działało dobrze.

Szkoda, że ​​IISExpress nie działa tak, jak IIS, ponieważ nie po raz pierwszy mam problemy z przejściem do produkcji.

Tommi
źródło