Les droits d'utilisateur requis pour les pools d'applications IIS 7.5 utilisateur (utilisateur de domaine, pas le AppPoolIdentity)
Nous avons un domaine active directory (appelons foodomain
) et un compte d'utilisateur de domaine (foodomain\fooAppPoolUser
) utilisé pour le pool d'applications IIS identité.
Nous voulons lancer le pool d'application en vertu de ce compte d'utilisateur, et non pas sous Network Service
ou la nouvelle AppPoolIdentity
que nous avons pour accéder à SQL server et ont de multiples applications sur IIS (avec les pools d'application) de l'accès à différentes bases de données.
Le problème est que je ne peux pas trouver un clair COMMENT l'expliquer, les droits de l'utilisateur doivent être définis pour ce compte d'utilisateur et la façon dont IIS doit être installé pour que cela fonctionne.
J'ai d'abord eu des erreurs (malheureusement je ne me souviens plus lesquels), puis j'ai ajouté fooAppPoolUser
pour le groupe admin local (Administrators
, je sais, ce n'était que pour le test), puis il a travaillé. Maintenant, j'ai supprimé l'utilisateur encore une fois, redémarré IIS et il fonctionne toujours.
Donc je suis un peu confus et je voudrais savoir, comment la configuration/installation doit être d'avoir de travail.
Somwhere j'ai lu, que le compte doit avoir le "Usurper l'identité d'un client après l'authentification" droit de l'utilisateur. C'est la raison pour laquelle j'ai ajouté le compte de l'Administrateur du groupe (l'attribution des droits utilisateur est bloqué via la stratégie de groupe, mais cela peut être changé si besoin.
J'espère avoir été assez clair que la question est et espère que quelqu'un a une réponse.
OriginalL'auteur Arjen | 2011-07-01
Vous devez vous connecter pour publier un commentaire.
C'est frustrant que cette information est difficile à trouver, car d'une certaine sécurité pour les admins semblent profiter de l'une punition cruelle et inhabituelle de l'évolution des paramètres de stratégie par défaut pour contrecarrer l'installation des applications dans IIS.
Voici ce que je crois que vous devriez faire pour activer un compte à travailler comme un pool d'applications de l'identité:
aspnet_regiis -ga DOMAIN\USER
pour ajouter des autorisations pour accéder à la Métabase IIS. (Exactement ce que cela signifie, qui sait?) aspnet_regiis de référenceIIS_IUSRS
groupe. Cela peut être fait automatiquement en fonction de la configuration IIS réglage processmodel.manualGroupMembership mais la plus simple de l'ajouter vous-même.Negotiate
) puis en fonction de l'URL et si en mode noyau auth est sur, vous pourriez avoir besoin pour configurer un nom principal de service. Je suggérer à NTLM si possible. Sinon, voir les articles ci-dessous à propos de Spn et de trouver une solution d'administrateur de domaine pour l'ajouter pour vous.Plaisir de lecture:
OriginalL'auteur Rory
La raison pour laquelle vous application travaillé APRÈS le retrait des droits d'Administrateur, c'est que votre demande a été compilés dans le Cadre du dossier temp en utilisant les droits d'administrateur de Votre demande travaillé après le retrait de l'administrateur des droits de l'parce que l'application a été compilée. Si vous mettez à jour votre application et il nécessite la recompilation de l'application de la piscine compte aura besoin d'approbations.
OriginalL'auteur I.T. Action
Arjen,
Pour les étapes de configuration de IIS, j'aurais un coup d'oeil à Spécifier une Identité pour un Pool d'Applications IIS (7) sur TechNet.
OriginalL'auteur timamm
J'ai trouvé le lien suivant répondu à une question similaire que j'avais: http://www.iis.net/learn/manage/configuring-security/application-pool-identities
Fondamentalement, ApplicationPoolIdentity est un compte utilisateur virtuel qui se comporte encore comme SERVICE RÉSEAU, mais sans certains des bas-côtés; chaque pool d'application a son propre ApplicationPoolIdenity compte créé avec elle.
Des informations plus détaillées peuvent également être trouvés qui est également spécifique Pools d'Applications IIS 7.5 Identités.
OriginalL'auteur Ryan Riehle