Cập nhật: Câu hỏi ban đầu là dành cho Windows Server 2008, nhưng giải pháp dễ dàng hơn cho Windows Server 2008 R2 và Windows Server 2012 (và Windows 7 và 8). Bạn có thể thêm người dùng thông qua giao diện người dùng NTFS bằng cách nhập trực tiếp. Tên theo định dạng của IIS APPPOOL \ {tên nhóm ứng dụng}. Ví dụ: IIS APPPOOL \ DefaultAppPool.
IIS APPPOOL\{app pool name}
Lưu ý: Mỗi bình luận bên dưới, có hai điều cần lưu ý:
- Nhập chuỗi trực tiếp vào "Chọn người dùng hoặc nhóm" chứ không phải trong trường tìm kiếm.
- Trong môi trường miền, bạn cần đặt Vị trí cho máy tính cục bộ của mình trước.
Tham khảo bài viết Microsoft Docs: Danh tính nhóm ứng dụng> Bảo mật tài nguyên
Phản hồi ban đầu: (dành cho Windows Server 2008) Đây là một tính năng tuyệt vời, nhưng như bạn đã đề cập, nó chưa được thực hiện đầy đủ. Bạn có thể thêm danh tính nhóm ứng dụng từ dấu nhắc lệnh bằng một cái gì đó như icacls, sau đó bạn có thể quản lý nó từ GUI. Ví dụ: chạy một cái gì đó như thế này từ dấu nhắc lệnh:
icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)
Sau đó, trong Windows Explorer, hãy chuyển đến thư mục wwwroot và chỉnh sửa các quyền bảo mật. Bạn sẽ thấy những gì trông giống như một nhóm (biểu tượng nhóm) được gọi là DefaultAppPool. Bây giờ bạn có thể chỉnh sửa các quyền.
Tuy nhiên, bạn không cần phải sử dụng điều này cả. Đó là một phần thưởng mà bạn có thể sử dụng nếu bạn muốn. Bạn có thể sử dụng cách cũ để tạo người dùng tùy chỉnh cho mỗi nhóm ứng dụng và gán người dùng tùy chỉnh vào đĩa. Điều đó có hỗ trợ UI đầy đủ.
Phương pháp tiêm SID này rất hay vì nó cho phép bạn sử dụng một người dùng nhưng cách ly hoàn toàn từng trang web với nhau mà không phải tạo người dùng duy nhất cho mỗi nhóm ứng dụng. Khá ấn tượng, và nó sẽ còn tuyệt vời hơn nữa với sự hỗ trợ của UI.
Lưu ý: Nếu bạn không thể tìm thấy người dùng nhóm ứng dụng, hãy kiểm tra xem liệu dịch vụ Windows có tên là Service Host Helper Service có chạy không. Đây là dịch vụ ánh xạ người dùng ứng dụng vào tài khoản Windows.