Nhóm ứng dụng IIS 7 Quyền nhận dạng


9

Trong tĩnh mạch của câu hỏi này.

Các câu hỏi khác đã chạm vào điều này, nhưng chúng ta hãy có một câu trả lời hoàn chỉnh:

  1. Những quyền cụ thể nào là cần thiết cho một trang web IIS 7 chung với người dùng tên miền làm danh tính nhóm ứng dụng?

  2. Những quyền cụ thể nào là cần thiết cho một trang web ASP.NET IIS 7 với người dùng tên miền làm danh tính nhóm ứng dụng?

  3. Có bất kỳ thủ thuật / phím tắt để áp dụng các quyền này?

Câu trả lời:


11

Nếu bạn đặt cài đặt xác thực ẩn danh của trang web của mình để sử dụng danh tính nhóm ứng dụng thì bạn chỉ cần cấp quyền truy cập danh tính nhóm ứng dụng, trừ khi bạn có một phần của trang web không sử dụng xác thực ẩn danh, trong trường hợp đó bạn cũng cần cấp người dùng xác thực truy cập. Tôi khuyên bạn nên cấu hình đó. Thật mới mẻ khi không phải quản lý tài khoản nhận dạng nhóm ứng dụng cộng với tài khoản ẩn danh.

Nếu bạn không ghi vào đĩa, chỉ cần liệt kê / đọc là tất cả những gì cần thiết. Nếu bạn cần ghi bất cứ điều gì vào đĩa thì bạn cũng cần phải cấp quyền ghi.

Đối với # 3, nếu chỉ là 1 máy chủ, bạn có thể thực hiện điều đó từ IIS Manager và quyền NTFS. Nếu bạn có kế hoạch kịch bản này cho nhiều máy chủ, hãy cho chúng tôi biết và chúng tôi có thể cung cấp thêm chi tiết.


Cảm ơn câu trả lời Scott. Bạn đang nói rằng tất cả những gì bạn phải làm cho IIS 7 là thêm người dùng làm ID nhóm ứng dụng? Không có "Đăng nhập như dịch vụ" hoặc yêu cầu tương tự? Cấp cho nó quyền truy cập vào metabase hoặc bất cứ điều gì khác mà aspnet_regiis -ga làm cho IIS 6?
sh-beta

Không, không còn nữa. Với IIS6, bạn phải thêm vào nhóm IIS_WPG, nơi đảm nhiệm tất cả các quyền đó, nhưng với IIS7, người dùng nhận dạng sẽ tự động được thêm vào nhóm IIS_WPG trong thời gian thực. Vì vậy, chỉ cần thêm người dùng vào cài đặt nhóm ứng dụng, cấp quyền truy cập vào đĩa và bạn sẽ được đặt.
Scott Forsyth - MVP

@Scott Forsyth: Tôi đã làm điều đó (đã tạo một người dùng, thậm chí đã thêm nó vào IIS_USERS, cấp quyền trên thư mục và đặt nhóm ứng dụng) và tôi nhận được các ngoại lệ bảo mật. Khi tôi đặt nhóm ứng dụng thành NetworkService, mọi thứ đều hoạt động, nhưng tôi muốn mỗi trang web được lưu trữ trên máy chủ có tài khoản người dùng bị cô lập. Bất kỳ ý tưởng? IIS7.5 btw
Ken Egozi

3
Ken, cách ly tốt nhất là cung cấp cho mỗi trang web nhóm ứng dụng của riêng họ, sau đó cấp quyền cho nhóm ứng dụng. Nếu bạn sử dụng ApplicationPoolIdentity, bạn có thể gán quyền cho nhóm ứng dụng trên đĩa. Người dùng trông như thế này: IIS AppPool \ {tên apppool}. tìm hiểu.iis.net / page.aspx / 624 / ứng dụng-bộ phận .
Scott Forsyth - MVP

Danh tính của hồ bơi ứng dụng APP không hợp lệ. Tên người dùng hoặc mật khẩu được chỉ định cho danh tính có thể không chính xác hoặc người dùng có thể không có quyền đăng nhập hàng loạt. Nếu danh tính không được sửa, nhóm ứng dụng sẽ bị vô hiệu hóa khi nhóm ứng dụng nhận được yêu cầu đầu tiên. Nếu quyền đăng nhập hàng loạt gây ra sự cố, danh tính trong kho cấu hình IIS phải được thay đổi sau khi quyền được cấp trước khi Dịch vụ kích hoạt quy trình Windows (WAS) có thể thử lại đăng nhập ...
Triynko
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.