Berechtigungen für die IIS 7-Anwendungspoolidentität

9

Im Sinne dieser Frage.

Andere Fragen haben dies berührt, aber lassen Sie uns eine vollständige Antwort erhalten:

  1. Welche spezifischen Berechtigungen sind für eine generische IIS 7-Site mit einem Domänenbenutzer als App-Pool-Identität erforderlich?

  2. Welche spezifischen Berechtigungen sind für eine ASP.NET IIS 7-Site mit einem Domänenbenutzer als App-Pool-Identität erforderlich?

  3. Gibt es Tricks / Verknüpfungen zum Anwenden dieser Berechtigungen?
sh-beta
quelle

Antworten:

11

Wenn Sie die anonymen Authentifizierungseinstellungen Ihrer Website so festlegen, dass die App-Pool-Identität verwendet wird, müssen Sie nur den Zugriff auf die App-Pool-Identität gewähren, es sei denn, Sie haben einen Abschnitt der Site, der keine anonyme Authentifizierung verwendet. In diesem Fall müssen Sie auch gewähren die authentifizierten Benutzer greifen zu. Ich empfehle diese Konfiguration. Es ist erfrischend, kein App-Pool-Identitätskonto und kein anonymes Konto verwalten zu müssen.

Wenn Sie nicht auf die Festplatte schreiben, ist nur Auflisten / Lesen alles, was benötigt wird. Wenn Sie etwas auf die Festplatte schreiben müssen, müssen Sie auch Schreibberechtigungen erteilen.

Wenn es sich bei # 3 nur um einen Server handelt, können Sie dies über IIS Manager- und NTFS-Berechtigungen tun. Wenn Sie planen, dies für mehrere Server zu skripten, lassen Sie es uns wissen und wir können weitere Details bereitstellen.

Scott Forsyth - MVP
quelle
Danke für die Antwort Scott. Wollen Sie damit sagen, dass Sie für IIS 7 nur den Benutzer als APP-Pool-ID hinzufügen müssen? Es gibt keine "Anmeldung als Service" oder ähnliche Anforderungen? Gewähren Sie ihm Zugriff auf die Metabasis oder auf etwas anderes, was aspnet_regiis -ga für IIS 6 tut?
Sh-Beta
Nein, nicht mehr. Mit IIS6 mussten Sie der Gruppe IIS_WPG hinzufügen, die sich um alle diese Berechtigungen kümmerte. Mit IIS7 wird der Identitätsbenutzer jedoch automatisch in Echtzeit zur Gruppe IIS_WPG hinzugefügt. Fügen Sie den Benutzer einfach zu den Einstellungen des App-Pools hinzu, gewähren Sie ihm Zugriff auf die Festplatte, und schon sind Sie fertig.
Scott Forsyth - MVP
@Scott Forsyth: Ich habe das getan (einen Benutzer erstellt, ihn sogar zu IIS_USERS hinzugefügt, Berechtigungen für den Ordner erteilt und den App-Pool festgelegt), und ich erhalte Sicherheitsausnahmen. Wenn ich den App-Pool auf NetworkService setze, funktioniert alles, aber ich möchte, dass jede der auf dem Server gehosteten Sites mit einem isolierten Benutzerkonto gehostet wird. Irgendeine Idee? IIS7.5 übrigens
Ken Egozi
3
Ken, die beste Isolation besteht darin, jeder Site einen eigenen App-Pool zu geben und dann Berechtigungen für den App-Pool zu erteilen. Wenn Sie ApplicationPoolIdentity verwenden, können Sie die App-Pool-Berechtigungen auf der Festplatte zuweisen. Der Benutzer sieht folgendermaßen aus: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP
Die Identität der Anwendungspool-APP ist ungültig. Der für die Identität angegebene Benutzername oder das Kennwort sind möglicherweise falsch oder der Benutzer verfügt möglicherweise nicht über Batch-Anmelderechte. Wenn die Identität nicht korrigiert wird, wird der Anwendungspool deaktiviert, wenn der Anwendungspool seine erste Anforderung erhält. Wenn Batch-Anmelderechte das Problem verursachen, muss die Identität im IIS-Konfigurationsspeicher geändert werden, nachdem Rechte erteilt wurden, bevor der Windows-Prozessaktivierungsdienst (WAS) die Anmeldung wiederholen kann ...
Triynko