Configuration IIS 7.5应用程序池用户(域用户,而不是AppPoolIdentity)所需的用户权限
我们有一个active directory域(我们称之为Configuration IIS 7.5应用程序池用户(域用户,而不是AppPoolIdentity)所需的用户权限,configuration,iis-7.5,application-pool,windowsdomainaccount,Configuration,Iis 7.5,Application Pool,Windowsdomainaccount,我们有一个active directory域(我们称之为foodomain)和一个用于IIS应用程序池标识的域用户帐户(foodomain\fooAppPoolUser) 我们希望在此用户帐户下运行应用程序池,而不是在网络服务或新的AppPoolIdentity下运行,因为我们必须访问SQL server,并且IIS上有多个应用程序(具有自己的应用程序池)访问不同的数据库 问题是我找不到明确的操作说明,必须为此用户帐户设置哪些用户权限,以及必须如何设置IIS才能正常工作 首先,我得到了错误(不幸
foodomainfoodomain\fooAppPoolUser网络服务AppPoolIdentityfooAppPoolUserAdministrators对于IIS中的配置步骤,我可以在TechNet上查看一下。我发现以下链接回答了一个类似的问题: 基本上,ApplicationPoolIdentity是一个虚拟用户帐户,其行为仍然类似于网络服务,但没有一些负面影响;每个应用程序池都有自己的ApplicationPoolIdentity帐户
还可以找到更详细的信息,这些信息也是特定于。删除管理员权限后应用程序工作的原因是,您的应用程序是使用管理员权限编译到Framework temp文件夹的-您的应用程序是在删除管理员权限后工作的,因为应用程序是com堆积。如果更新应用程序并需要重新编译,则应用程序池帐户将再次需要信任 首先我犯了错误(不幸的是我不记得是哪一个),然后 我将fooAppPoolUser添加到本地管理组(Administrators,I 知道吗,只是为了测试),然后就成功了。现在我又删除了用户, 重新启动IIS,它仍然工作
令人沮丧的是,这些信息很难找到,因为一些安全管理员似乎喜欢改变默认策略设置以阻止在IIS中安装应用程序的残酷和不寻常的惩罚 以下是我认为您应该做的事情,以使帐户能够作为应用程序池标识工作:
- 运行
添加访问IIS元数据库的权限。(这到底意味着什么,谁知道呢?)aspnet\u regiis-ga DOMAIN\USER - 将用户添加到
组。这可以根据IIS配置设置processmodel.manualGroupMembership自动完成,但最简单的方法是自己添加IIS\u IUSRS - 如果安全策略使用windows默认设置,则仅此而已。如果安全策略已锁定,则可能需要为帐户启用特定的用户权限。默认情况下,您对ApplicationPoolIdentity拥有的权限(这似乎是一个很好的起点,但不一定都是必需的):
- 从网络访问此计算机
- 调整进程的内存配额
- 允许本地登录
- 旁路导线检查
- 生成安全审核详细信息
- 在身份验证后模拟客户端-(默认情况下,在锁定的环境中通常不可用)
- 作为批处理作业登录(在锁定的环境中默认情况下通常不可用)
- 作为服务登录-(我不确定是否需要)
- 替换进程级令牌
- 如果您使用的是windows auth和Kerberos(provider=
),则根据URL以及是否启用内核模式auth,您可能需要设置SPN。如果可能,我建议切换到NTLM。否则,请参阅下面有关SPN的文章,并找到友好的域管理员为您添加SPN协商
- 。这是最佳参考,请参见底部的用户权限
- (在Windows Server 2008上,但仍然很有趣并且很有用,因为这是一篇很长的文章,您可以按住CTRL+F键查找与IIS相关的注释)
- 在Server2008R2+上。您必须钻取每个权限以查看它提到的IIS
- -遗憾的是,这篇文章没有更新的版本
- -适用于IIS6或7/8(如果内核模式身份验证已关闭)