Izin IIS 7 Pool Application Identity

9

Dalam nada pertanyaan ini.

Pertanyaan-pertanyaan lain telah menyentuh ini, tetapi mari kita dapatkan jawaban lengkapnya:

  1. Izin khusus apa yang diperlukan untuk situs IIS 7 umum dengan pengguna domain sebagai identitas kumpulan aplikasi?

  2. Izin khusus apa yang diperlukan untuk situs ASP.NET IIS 7 dengan pengguna domain sebagai identitas kumpulan aplikasi?

  3. Apakah ada trik / cara pintas untuk menerapkan izin ini?
sh-beta
sumber

Jawaban:

11

Jika Anda menetapkan pengaturan otentikasi anonim situs web Anda untuk menggunakan identitas kumpulan aplikasi, maka Anda hanya perlu memberikan akses identitas kumpulan aplikasi, kecuali jika Anda memiliki bagian situs yang tidak menggunakan otentikasi anonim, dalam hal ini Anda perlu juga memberikan akses pengguna terotentikasi. Saya merekomendasikan konfigurasi itu. Sangat menyegarkan untuk tidak harus mengelola akun identitas kumpulan aplikasi ditambah akun anonim.

Jika Anda tidak menulis ke disk, cukup daftar / baca saja yang diperlukan. Jika Anda perlu menulis apa pun ke disk, Anda juga harus memberikan izin menulis.

Untuk # 3, jika hanya 1 server, Anda dapat melakukannya dari izin IIS Manager dan NTFS. Jika Anda berencana untuk skrip ini untuk beberapa server, beri tahu kami dan kami dapat memberikan rincian lebih lanjut.

Scott Forsyth - MVP
sumber
Terima kasih atas jawabannya Scott. Apakah Anda mengatakan bahwa yang harus Anda lakukan untuk IIS 7 adalah menambahkan pengguna sebagai ID Pool APP? Tidak ada "Masuk sebagai layanan" atau persyaratan serupa? Memberikannya akses ke metabase atau apa pun yang aspnet_regiis -ga lakukan untuk IIS 6?
sh-beta
Tidak, tidak lagi. Dengan IIS6 Anda harus menambahkan ke grup IIS_WPG, yang mengurus semua izin itu, tetapi dengan IIS7, pengguna identitas secara otomatis ditambahkan ke grup IIS_WPG secara real-time. Jadi, tambahkan saja pengguna ke pengaturan kumpulan aplikasi, berikan akses ke disk dan Anda akan ditetapkan.
Scott Forsyth - MVP
@Scott Forsyth: Saya melakukan itu (membuat pengguna, bahkan menambahkannya ke IIS_USERS, memberi izin pada folder, dan mengatur kumpulan aplikasi), dan saya mendapatkan pengecualian keamanan. Ketika saya mengatur kumpulan aplikasi ke NetworkService semuanya berfungsi, tetapi saya ingin setiap situs di-host di server dengan akun pengguna yang terisolasi. Ada ide? IIS7.5 btw
Ken Egozi
3
Ken, isolasi terbaik adalah memberikan masing-masing situs kumpulan aplikasi mereka sendiri, lalu memberikan izin untuk kumpulan aplikasi. Jika Anda menggunakan ApplicationPoolIdentity, Anda bisa menetapkan izin kumpulan aplikasi pada disk. Pengguna terlihat seperti ini: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/aplikasi-pool-identities .
Scott Forsyth - MVP
Identitas kumpulan aplikasi APP tidak valid. Nama pengguna atau kata sandi yang ditentukan untuk identitas mungkin salah, atau pengguna mungkin tidak memiliki hak masuk batch. Jika identitas tidak diperbaiki, kumpulan aplikasi akan dinonaktifkan ketika kumpulan aplikasi menerima permintaan pertamanya. Jika hak masuk batch yang menyebabkan masalah, identitas di toko konfigurasi IIS harus diubah setelah hak diberikan sebelum Layanan Proses Aktivasi Windows (WS) dapat mencoba ulang ...
Triynko