Làm cách nào tôi có thể gán quyền thư mục hoạt động cho danh tính nhóm ứng dụng mặc định [IIS APPPOOL {tên nhóm ứng dụng}]?
Tôi đang cố gắng làm điều này để cho phép một nhóm thư mục hoạt động, người dùng truy vấn ứng dụng web và kiểm tra sự tồn tại của một tên người dùng hoặc tên nhóm cụ thể.
Cảm ơn.
Câu trả lời:
Bạn không. Bạn có thể trao quyền cho tài nguyên cục bộ cho danh tính IIS APPPOOL {tên nhóm ứng dụng} cho tài nguyên cục bộ trên mỗi:
Cách gán quyền cho tài khoản ApplicationPoolIdentity
Trong Active Directory, danh tính cần phải là hiệu trưởng bảo mật nổi tiếng, hiệu trưởng bảo mật người dùng / nhóm / máy tính thực tế hoặc hiệu trưởng bảo mật nước ngoài / đáng tin cậy.
Tuy nhiên, nếu bạn sử dụng danh tính Dịch vụ mạng trên IIS AppPool, nhóm ứng dụng sẽ sử dụng tài khoản máy của máy chủ IIS khi truy cập tài nguyên mạng. Trong trường hợp đó, bạn có thể trao các quyền cần thiết cho tài khoản máy tính (domain \ computername $) trong Active Directory.
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
Những gì tôi đã làm trên máy tính AD là ủy quyền điều khiển cho máy tính chạy IIS lưu trữ ứng dụng. Tôi chỉ ủy quyền "sửa đổi thành viên nhóm" (hoặc đại loại như thế) và cho phép giải pháp của tôi hoạt động.
Tôi đã có một sự thay đổi trong ứng dụng của mình có IPrincipal từ ADFS vì vậy tôi đã không sử dụng Windows auth nhưng khác là mọi thứ đều hoạt động tốt.
Quá tệ, IISExpress không hoạt động theo cách mà IIS hoạt động vì đây không phải là lần đầu tiên tôi gặp sự cố khi đi vào sản xuất.