Website erhält unter Windows 2012R2 mit IIS 8.5 keine ordnungsgemäße Berechtigung zum Schreiben in einen Ordner, obwohl "IIS APPPOOL \ PoolName" ordnungsgemäß festgelegt wurde

0

Ich habe spezielle Probleme in Bezug auf IIS 8.5, Berechtigungen und Überwachung. Ich habe eine PHP-Anwendung, die unter der KanboardPool-Identität ausgeführt wird, und ich habe die Berechtigungen für den Anwendungsordner 'data' ordnungsgemäß auf 'IIS APPPOOL \ KanboardPool' gesetzt, um die vollständige Kontrolle zu erlangen.

Außerdem habe ich IIS_IUSRS auf Lesen, Ausführen und Auflisten für denselben Ordner einschließlich des übergeordneten Ordners festgelegt. Ungeachtet; Ich erhalte immer noch die Erlaubnis, Fehler zu verweigern.

Ich habe versucht, Dateizugriffsfehler ohne viel Glück zu PRÜFEN: Zuerst über die GPO-Domänenrichtlinie - & gt; Computerkonfiguration - & gt; Windows-Einstellungen - & gt; Sicherheitseinstellungen - & gt; Erweiterte Prüfung - & gt; Erfolgreicher und fehlgeschlagener Audit-Dateizugriff Welche hat keine Audit-Fehler protokolliert. Dieselbe Prozedur über die Domänencontrollerrichtlinie und zuletzt über die lokale Richtlinie, aus welchem ​​Grund auch immer. Die Änderung der Überwachungsrichtlinie wird hinzugefügt und später nacheinander entfernt.

Über ACL führte ich einen Effective Access-Test für den ausgewählten Principal 'IIS APPPOOL \ KanboardPool' durch, der mit Bravour bestanden wurde. Jetzt bin ich nur noch ratlos?

horace
quelle

Antworten:

0

Was die Diagnose dieses Problems besonders schwierig machte, war, dass dies unter nicht reproduzierbar war Standardwebsite . Als ich den gleichen Antrag unter stellte C:\inetpub\wwwroot\subfoldeer\phpapplication unter DefaultAppPool Identität.

Es war sehr einfach für mich, einfach hinzuzufügen Volle Kontrolle zu C:\inetpub\wwwroot\subfolder\phpapplication\data zum DefaultAppPool und es hat einfach funktioniert.

Nach dem Lesen http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls ; mit fcgi.impersonate eingeschaltet in php.ini; Es wird automatisch die Identität des authentifizierten Benutzers annehmen. Viola, die diese Funktion deaktiviert hat, hat der PHP-Prozess die AppPoolIdentity übernommen und funktioniert wie erwartet.

Das erklärt, warum ich keine Dateizugriffsfehler für KanboardPool bekam. Es erklärt jedoch nicht, während fcgi.impersonate das wurde unter eingeschaltet Standardwebsite anfangs wurde nicht das gleiche Verhalten reproduziert.

horace
quelle