Wie kann ich der Standardidentität des App-Pools eine Active Directory-Berechtigung zuweisen?

9

Wie kann ich der Standardidentität des App-Pools [IIS APPPOOL {Name des Anwendungspools}] eine Active Directory-Berechtigung zuweisen?

Ich versuche dies zu tun, um eine Webanwendung zu aktivieren, Active Directory-Gruppen und Benutzer abzufragen und die Existenz eines bestimmten Benutzernamens oder Gruppennamens zu überprüfen.

Vielen Dank.

user2384219
quelle

Antworten:

8

Das tust du nicht. Sie können lokalen Ressourcen Berechtigungen für die IIS APPPOOL-Identität {Name des App-Pools} für lokale Ressourcen erteilen.

So weisen Sie dem ApplicationPoolIdentity-Konto Berechtigungen zu

In Active Directory muss die Identität entweder ein bekannter Sicherheitsprinzipal, ein tatsächlicher Benutzer- / Gruppen- / Computersicherheitsprinzipal oder ein fremder / vertrauenswürdiger Sicherheitsprinzipal sein.

Wenn Sie jedoch die Netzwerkdienstidentität im IIS AppPool verwenden, verwendet der Anwendungspool beim Zugriff auf Netzwerkressourcen das Computerkonto des IIS-Servers. In diesem Fall können Sie dem Computerkonto (Domäne \ Computername $) in Active Directory die erforderlichen Berechtigungen erteilen.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Greg Askew
quelle
2
Wenn ich die Netzwerkdienstidentität auf dem ISS AppPool verwende, funktioniert dies wie erwartet. In der Dokumentation unter "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" heißt es jedoch: "Die gute Nachricht ist, dass Anwendungspoolidentitäten auch das Computerkonto verwenden, um auf Netzwerkressourcen zuzugreifen. Es sind keine Änderungen erforderlich. ", Aber es verhält sich offensichtlich nicht so wie in dem Fall, in dem die Anwendung versucht, AD-Abfragen durchzuführen.
user2384219
Niemand ist perfekt. Zumindest NetworkService funktioniert. Die Verwendung einer Apppool-Identität ist wahrscheinlich fehlerhaft oder schlecht dokumentiert.
Greg Askew
@GregAskew - App-Pool-Identitäten werden als Obermengen von Netzwerkdienstkonten ausgeführt. Wenn sie also auf Netzwerkressourcen zugreifen, arbeiten sie als Computernamen, können jedoch auch lokal eine strengere Sicherheit aufweisen.
Erik Funkenbusch
1

Auf einem AD-Computer habe ich die Steuerung an den Computer delegiert, auf dem der IIS ausgeführt wird, auf dem die Anwendung gehostet wird. Ich habe nur Berechtigungen zum Ändern der Gruppenmitgliedschaft (oder ähnliches) delegiert und meine Lösung zum Laufen gebracht.

Ich hatte eine Wendung in meiner App, die IPrincipal von ADFS erhielt, so dass ich keine Windows-Authentifizierung verwendete, aber ansonsten funktionierte alles einwandfrei.

Schade, dass IISExpress nicht so funktioniert wie IIS, da dies nicht das erste Mal ist, dass ich Probleme habe, wenn ich in die Produktion gehe.

Tommi
quelle