Додайте ідентифікатори IIS 7 AppPool як логотипи SQL Server

Я запускаю веб-сайт IIS 7 з AppPool інтегрованого режиму трубопроводу . AppPools НЕ працює під NetworkService тощо. Особистістю (за призначенням), але використовує власний ідентифікатор AppPool (IIS AppPool \ MyAppPool).

Це так званий обліковий запис послуги або віртуальний рахунок. (обліковий запис користувача, який не є повним обліковим записом ...)

Я хотів би надати цьому обліковому запису послуги (IIS AppPool \ MyAppPool) дозволити підключитися до мого SQL Server 2008 Express (працює в змішаному автентичному режимі).

Хоча SQL Server може додати будь-який звичайний обліковий запис користувача, віртуальний акаунт IIS AppPool \ MyAppPool не може бути доданий до дійсних логотипів (SQL Server говорить, що обліковий запис неможливо знайти).

Чи є якась хитрість, що мені потрібно, щоб увімкнути роботу віртуальних акаунтів? (процес w3wp.exe працює під цим посвідченням відповідно до taskmgr, але я не можу використовувати обліковий запис у безпеці NTFS ...)

Спасибі за вашу допомогу!

"IIS APPPOOL \ AppPoolName" буде працювати, але, як згадувалося раніше, воно не видається дійсним іменем AD, тому при пошуку його в діалоговому вікні "Вибрати користувача або групу" воно не відображатиметься (насправді , він знайде його, але він подумає, що він є фактичним обліковим записом системи, і він спробує розглянути його як такий ... який не буде працювати, і дасть вам повідомлення про помилку про його не знайдено).

Як я змусив його працювати:

1. У студії управління SQL Server шукайте папку Безпека (папка безпеки на тому самому рівні, як папки Бази даних, Об'єкти сервера тощо), а не папка безпеки в кожній окремій базі даних
2. Клацніть правою кнопкою миші вхід та виберіть "Новий вхід"
3. У полі Ім'я для входу введіть IIS APPPOOL \ YourAppPoolName - не натискайте на пошук
4. Заповніть будь-які інші значення, які вам подобаються (тобто тип аутентифікації, база даних за замовчуванням тощо)
5. Натисніть кнопку ОК

Поки ім’я AppPool насправді існує, тепер потрібно створити логін.

CREATE LOGIN [IIS APPPOOL\MyAppPool] FROM WINDOWS;
CREATE USER MyAppPoolUser FOR LOGIN [IIS APPPOOL\MyAppPool];

Якщо ви користуєтесь машинами, вам потрібно буде використовувати мережну службу, локальну систему, обліковий запис домену або обліковий запис керованого сервісу SQL 2008 R2 (якщо він у вас є) (що є моїм перевагою, якщо у вас була така інфраструктура) . Ви не можете використовувати обліковий запис, який не відображається в домені Active Directory.

Як бічна примітка, процеси, які використовують віртуальні акаунти (NT Service \ MyService та IIS AppPool \ MyAppPool), як і раніше, ведуться в обліковому записі "NETWORK SERVICE", як підказує ця публікація http://www.adopenstatic.com/cs/blogs/ken/ архів / 2008/01/29 / 15759.aspx . Різниця полягає лише в тому, що ці процеси є членами груп "NT Service \ MyService" або "IIS AppPool \ MyAppPool" (оскільки це фактично групи, а не користувачі). Це також причина того, що процеси аутентифікуються в мережі як на машині так само, як це робить обліковий запис NETWORK SERVICE.

Спосіб захисту доступу полягає не в тому, щоб ці облікові записи не мали привілеїв NETWORK SERVICE, а надати більше дозволів, зокрема "NT Service \ MyService" або "IIS AppPool \ MyAppPool", і при необхідності видалити дозволи для "Користувачів".

Якщо хтось має більш точну чи суперечливу інформацію, будь ласка, опублікуйте.

Подивіться: http://www.iis.net/learn/manage/configuring-security/application-pool-identities

USE master
GO
sp_grantlogin 'IIS APPPOOL\<AppPoolName>'

USE <yourdb>
GO
sp_grantdbaccess 'IIS APPPOOL\<AppPoolName>', '<AppPoolName>'
sp_addrolemember 'aspnet_Membership_FullAccess', '<AppPoolName>'
sp_addrolemember 'aspnet_Roles_FullAccess', '<AppPoolName>'

Це може бути те, що ви шукаєте ...

http://technet.microsoft.com/en-us/library/cc730708%28WS.10%29.aspx

Я також радив би довгостроково враховувати користувача домену з обмеженими правами, те, що ви намагаєтеся, працює добре в сценарії силосної машини, але вам доведеться внести зміни, якщо ви перейдете на іншу машину для сервера БД.

Я зрозумів це шляхом спроб і помилок ... справжній тріск в броні був мало відомим налаштуванням в IIS Configuration Editorна веб-сайті в

Section: system.webServer/security/authentication/windowsAuthentication

From: ApplicationHost.config <locationpath='ServerName/SiteName' />

зателефонували useAppPoolCredentials(що встановлено Falseза замовчуванням. Встановіть це, Trueі життя знову стане чудовим !!! Сподіваюся, що це рятує біль для наступного хлопця ....

У моєму випадку проблема полягала в тому, що я почав створювати зразок проекту MVC Alloy з нуля з використанням розширення Visual Studio / Episerver, і він спрацював чудово, коли виконувався за допомогою локальної Visual studio iis express. Однак за замовчуванням він вказує базу даних sql на LocalDB, і коли я розгорнув сайт на локальному IIS, він почав видавати помилки деякі початкові помилки, які я усунув: 1.Додаючи прив'язку URL-адреси локального сайту до C: / Windows / System32 / драйвери / і т.д. / хости 2. Потім, відредагувавши application.config, знайшли місце розташування файлу, натиснувши правою кнопкою миші на IIS express у правому куті екрана під час запуску сайту за допомогою Visual studio та додавши там прив'язку для локальної URL-адреси iis. 3. Нарешті я застряг у "не в змозі отримати доступ до помилок бази даних"