Дозволи на ідентифікаційний пул IIS 7

9

В дусі цього питання.

З цього питання торкнулися й інші питання, але давайте повну відповідь:

  1. Які конкретні дозволи необхідні для загального сайту IIS 7 з користувачем домену як ідентифікатором пулу додатків?

  2. Які конкретні дозволи необхідні для сайту ASP.NET IIS 7 з користувачем домену як ідентифікатором пулу додатків?

  3. Чи є якісь хитрощі / ярлики щодо застосування цих дозволів?
iis  iis-7  asp.net  application-pools 
ш-бета
джерело

Відповіді:

11

Якщо ви встановили параметри анонімної автентифікації вашого веб-сайту для використання ідентичності пулу додатків, вам потрібно лише надати доступ до ідентифікації пулу додатків, якщо у вас немає розділу сайту, який не використовує анонімну автентифікацію, і в цьому випадку вам також потрібно надати доступ до автентифікованих користувачів. Я рекомендую цю конфігурацію. Освіжає не потрібно керувати обліковим записом ідентифікації пулу додатків плюс анонімним.

Якщо ви не пишете на диск, просто перелічіть / прочитайте все, що потрібно. Якщо вам потрібно щось написати на диск, вам також потрібно надати дозволи на запис.

Для №3, якщо це лише 1 сервер, ви можете зробити це з дозволів IIS Manager та NTFS. Якщо ви плануєте сценарій цього сценарію для декількох серверів, повідомте нас про це, і ми можемо надати більш детальну інформацію.

Скотт Форсайт - MVP
джерело
Дякую за відповідь Скотт. Ви хочете сказати, що все, що вам потрібно зробити для IIS 7 - це додати користувача як ідентифікатор пулу APP? Немає "Увійти як сервіс" або подібних вимог? Надання йому доступу до метабази або чогось іншого, що aspnet_regiis -ga робить для IIS 6?
ш-бета
Ні, вже не. Із IIS6 вам довелося додати до групи IIS_WPG, яка піклувалася про всі ці дозволи, але з IIS7 користувач ідентифікації автоматично додається до групи IIS_WPG в режимі реального часу. Отже, просто додайте користувача до налаштувань пулу додатків, надайте йому доступ до диска, і ви будете налаштовані.
Скотт Форсайт - MVP
@Scott Forsyth: Я зробив це (створив користувача, навіть додав його до IIS_USERS, дав дозволи на папку та встановив пул додатків), і я отримую винятки з безпеки. Коли я встановлюю пул додатків для NetworkService, все працює, але я хочу, щоб кожен із сайтів, розміщених на сервері, мав ізольований обліковий запис користувача. Будь-яка ідея? IIS7.5 btw
Кен Егозі
3
Кен, найкраща ізоляція - дати кожному сайту свій пул додатків, а потім надати дозволи для пулу додатків. Якщо ви використовуєте ApplicationPoolIdentity, ви можете призначити дозволи на пул додатків на диску. Користувач виглядає так: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/application-pool-identities .
Скотт Форсайт - MVP
Ідентифікатор додатка пулу додатків недійсний. Ім'я користувача або пароль, які вказані для посвідчення особи, можуть бути невірними, або у користувача може бути відсутність прав на пакетне вхід. Якщо особистість не буде виправлена, пул додатків буде відключений, коли пул додатків отримає перший запит. Якщо права пакетного входу викликають проблему, особу в магазині конфігурації IIS потрібно змінити після надання прав, перш ніж Служба активації процесів Windows (WAS) зможе повторити вхід ...
Трайнко,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.