Làm cách nào tôi có thể gán quyền thư mục hoạt động cho danh tính nhóm ứng dụng mặc định


9

Làm cách nào tôi có thể gán quyền thư mục hoạt động cho danh tính nhóm ứng dụng mặc định [IIS APPPOOL {tên nhóm ứng dụng}]?

Tôi đang cố gắng làm điều này để cho phép một nhóm thư mục hoạt động, người dùng truy vấn ứng dụng web và kiểm tra sự tồn tại của một tên người dùng hoặc tên nhóm cụ thể.

Cảm ơn.

Câu trả lời:


8

Bạn không. Bạn có thể trao quyền cho tài nguyên cục bộ cho danh tính IIS APPPOOL {tên nhóm ứng dụng} cho tài nguyên cục bộ trên mỗi:

Cách gán quyền cho tài khoản ApplicationPoolIdentity

Trong Active Directory, danh tính cần phải là hiệu trưởng bảo mật nổi tiếng, hiệu trưởng bảo mật người dùng / nhóm / máy tính thực tế hoặc hiệu trưởng bảo mật nước ngoài / đáng tin cậy.

Tuy nhiên, nếu bạn sử dụng danh tính Dịch vụ mạng trên IIS AppPool, nhóm ứng dụng sẽ sử dụng tài khoản máy của máy chủ IIS khi truy cập tài nguyên mạng. Trong trường hợp đó, bạn có thể trao các quyền cần thiết cho tài khoản máy tính (domain \ computername $) trong Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities


2
Khi tôi sử dụng danh tính Dịch vụ mạng trên AppS AppPool, nó hoạt động như mong đợi. Tuy nhiên, tài liệu tại "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" cho biết "Tin tốt là danh tính Nhóm ứng dụng cũng sử dụng tài khoản máy để truy cập tài nguyên mạng. Không có thay đổi nào được yêu cầu. ", Nhưng rõ ràng là nó không hoạt động giống như trong trường hợp ứng dụng cố gắng thực hiện các truy vấn AD.
user2384219

Không ai là hoàn hảo. Ít nhất NetworkService hoạt động. Sử dụng một danh tính apppool có lẽ là một cái gì đó bị hỏng hoặc tài liệu kém.
Greg Askew

@GregAskew - Danh tính nhóm ứng dụng chạy dưới dạng thay thế các tài khoản Dịch vụ mạng, vì vậy khi truy cập tài nguyên mạng, chúng hoạt động như tên máy, nhưng chúng cũng có thể bảo mật chặt chẽ hơn cục bộ.
Erik Funkenbusch

1

Những gì tôi đã làm trên máy tính AD là ủy quyền điều khiển cho máy tính chạy IIS lưu trữ ứng dụng. Tôi chỉ ủy quyền "sửa đổi thành viên nhóm" (hoặc đại loại như thế) và cho phép giải pháp của tôi hoạt động.

Tôi đã có một sự thay đổi trong ứng dụng của mình có IPrincipal từ ADFS vì vậy tôi đã không sử dụng Windows auth nhưng khác là mọi thứ đều hoạt động tốt.

Quá tệ, IISExpress không hoạt động theo cách mà IIS hoạt động vì đây không phải là lần đầu tiên tôi gặp sự cố khi đi vào sản xuất.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.