Як я можу призначити дозвіл активного каталогу ідентифікації пулу програм за замовчуванням [IIS APPPOOL {ім'я пулу додатків}]?
Я намагаюся зробити це, щоб веб-додаток запитував активні групи каталогів, користувачів та перевіряв наявність певного імені користувача чи імені групи.
Дякую.
Відповіді:
Ви цього не робите. Ви можете надати дозволи місцевим ресурсам для IIS APPPOOL {app pool name} ідентичності для місцевих ресурсів на:
Як призначити дозволи до облікового запису ApplicationPoolIdentity
В Active Directory ідентифікатор повинен бути або відомим директором безпеки, фактичним користувачем / групою / директором комп'ютерної безпеки, або іноземним / довіреним принципом безпеки.
Однак якщо ви використовуєте ідентифікацію мережевої служби на IIS AppPool, пул додатків використовуватиме обліковий запис машини сервера IIS під час доступу до мережевих ресурсів. У цьому випадку ви можете надати необхідні дозволи для облікового запису комп'ютера (домен \ ім'я комп’ютера $) в Active Directory.
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
Що я робив на комп’ютері AD, це було делегувати контроль комп'ютеру, на якому працює IIS, що розміщує програму. Я делегував лише дозволи "змінити членство в групі" (або щось подібне), і моє рішення працювало.
У моїй програмі був поворот, який отримав IPrincipal від ADFS, тому я не використовував Windows auth, окрім того, що все працювало чудово.
Дуже погано IISExpress не функціонує так, як функціонує IIS, оскільки це не перший раз, коли у мене виникли проблеми при виробництві.