Witryna nie uzyskała odpowiedniego uprawnienia do zapisu do folderu w systemie Windows 2012R2 z IIS 8.5, mimo że „IIS APPPOOL \ PoolName” jest ustawiony poprawnie

0

Mam określone problemy dotyczące usług IIS 8.5, uprawnień i inspekcji. Mam aplikację PHP działającą pod tożsamością KanboardPool i poprawnie ustawiłem uprawnienia w folderze „data” aplikacji na „IIS APPPOOL \ KanboardPool” na pełną kontrolę.

Ponadto ustawiłem IIS_IUSRS na Odczytywanie, wykonywanie i wyświetlanie w tym samym folderze, w tym nadrzędnym. Bez względu; Nadal dostaję awarie, którym odmówiono zgody.

Próbowałem AUDYTOWAĆ błędy dostępu do plików bez większego szczęścia: Najpierw poprzez zasady domeny GPO -> Konfiguracja komputera -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Zaawansowana kontrola -> Audyt dostępu do pliku powodzenie i niepowodzenie. Który nie zarejestrował żadnych błędów audytu. Ta sama procedura za pośrednictwem zasad kontrolera domeny i wreszcie zasad lokalnych z dowolnego powodu. Zmiana zasad audytu jest dodawana, a następnie usuwana później.

Za pośrednictwem ACL przeprowadziłem test Efektywnego dostępu na wybranym głównym „IIS APPPOOL \ KanboardPool”, który przeszedł z żywymi kolorami. Teraz jestem po prostu zakłopotany?

horace
źródło

Odpowiedzi:

0

Tym, co szczególnie utrudnia zdiagnozowanie tego problemu, jest to, że nie było to powtarzalne w Domyślnej witrynie sieci Web . Kiedy umieściłem tę samą aplikację C:\inetpub\wwwroot\subfoldeer\phpapplicationpod DefaultAppPooltożsamością.

To było bardzo łatwe dla mnie po prostu dodać Pełna kontrola do C:\inetpub\wwwroot\subfolder\phpapplication\datado DefaultAppPooli po prostu działa.

Po przeczytaniu http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls ; z fcgi.impersonatewłączonym w php.ini; automatycznie podszywa się pod uwierzytelnionego użytkownika. Viola, wyłączając tę ​​funkcję, proces PHP przyjął AppPoolIdentity i działał zgodnie z oczekiwaniami.

Co wyjaśnia, dlaczego nie dostaję błędów dostępu do pliku dla KanboardPool. Jednak to nie wyjaśnia, kiedy fcgi.impersonatebyło włączone w Domyślnej witrynie sieci Web początkowo nie odtwarzało tego samego zachowania.

horace
źródło