Autorizzazioni di identità del pool di applicazioni IIS 7


9

Sulla scia di questa domanda.

Altre domande hanno toccato questo, ma otteniamo una risposta completa verso il basso:

  1. Quali autorizzazioni specifiche sono necessarie per un sito IIS 7 generico con un utente di dominio come identità del pool di app?

  2. Quali autorizzazioni specifiche sono necessarie per un sito ASP.NET IIS 7 con un utente di dominio come identità del pool di app?

  3. Ci sono trucchi / scorciatoie per applicare queste autorizzazioni?

Risposte:


11

Se imposti le impostazioni di autenticazione anonima del tuo sito Web per utilizzare l'identità del pool di app, devi solo concedere l'accesso all'identità del pool di app, a meno che tu non abbia una sezione del sito che non utilizza l'autenticazione anonima, nel qual caso devi anche concedere l'accesso degli utenti autenticati. Raccomando quella configurazione. È rinfrescante non dover gestire un account di identità del pool di app più un account anonimo.

Se non stai scrivendo su disco, basta elencare / leggere. Se devi scrivere qualcosa sul disco, dovrai concedere anche le autorizzazioni di scrittura.

Per # 3, se è solo 1 server, puoi farlo dalle autorizzazioni di Gestione IIS e NTFS. Se prevedi di scrivere questo script per più server, faccelo sapere e possiamo fornire ulteriori dettagli.


Grazie per la risposta Scott. Stai dicendo che tutto ciò che devi fare per IIS 7 è aggiungere l'utente come ID pool APP? Non esistono "Accesso come servizio" o requisiti simili? Concedendogli l'accesso alla metabase o qualsiasi altra cosa che aspnet_regiis -ga fa per IIS 6?
sh-beta,

No, non più. Con IIS6 è stato necessario aggiungere al gruppo IIS_WPG, che si è occupato di tutte quelle autorizzazioni, ma con IIS7, l'utente dell'identità viene automaticamente aggiunto al gruppo IIS_WPG in tempo reale. Quindi, aggiungi l'utente alle impostazioni del pool di app, concedi l'accesso al disco e verrai impostato.
Scott Forsyth - MVP

@Scott Forsyth: l'ho fatto (ho creato un utente, l'ho persino aggiunto a IIS_USERS, ho dato le autorizzazioni sulla cartella e impostato il pool di app) e sto ottenendo eccezioni di sicurezza. Quando imposto il pool di app su NetworkService tutto funziona, ma voglio che tutti i siti siano ospitati sul server con un account utente isolato. Qualche idea? IIS7.5 tra l'altro
Ken Egozi,

3
Ken, l'isolamento migliore è assegnare a ciascun sito il proprio pool di app, quindi concedere le autorizzazioni per il pool di app. Se si utilizza ApplicationPoolIdentity, è possibile assegnare le autorizzazioni del pool di app sul disco. L'utente ha questo aspetto: IIS AppPool \ {nome apppool}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP

L'identità dell'APP del pool di applicazioni non è valida. Il nome utente o la password specificati per l'identità potrebbero essere errati oppure l'utente potrebbe non disporre dei diritti di accesso in batch. Se l'identità non viene corretta, il pool di applicazioni verrà disabilitato quando il pool di applicazioni riceve la sua prima richiesta. Se i diritti di accesso batch causano il problema, l'identità nell'archivio di configurazione IIS deve essere modificata dopo che i diritti sono stati concessi prima che il Servizio di attivazione processo Windows (WAS) possa riprovare l'accesso ...
Triynko,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.