Потребителски права, необходими за потребител на набор от приложения на IIS 7.5 (потребител на домейн, не AppPoolIdentity)

Разочароващо е, че тази информация е толкова трудна за намиране, тъй като някои администратори по сигурността изглежда се радват на жестокото и необичайно наказание да променят настройките на правилата по подразбиране, за да осуетят инсталирането на приложения в IIS.

Ето какво смятам, че трябва да направите, за да активирате даден акаунт да работи като самоличност на ApplicationPool:

• Изпълнете aspnet_regiis -ga DOMAIN\USER, за да добавите разрешения за достъп до метабазата на IIS. (Точно какво означава това, кой знае?) aspnet_regiis reference
• Добавете потребителя към групата IIS_IUSRS. Това може да стане автоматично в зависимост от конфигурационната настройка на IIS processmodel.manualGroupMembership, но най-лесно е да го добавите сами.
• If security policy is using windows defaults that's about it. If the security policy is locked down you may need to enable specific user rights for the account. The ones you have by default for ApplicationPoolIdentities (which seems a good place to start but not necessarily all required):
  • Access this computer from the network
  • Регулирайте квотите на паметта за процес
  • Разрешете влизане локално
  • Проверка на байпаса
  • Генерирайте подробности за одита на сигурността
  • Имитиране на клиент след удостоверяване - (Често не е налично по подразбиране в заключени среди)
  • Влезте като пакетно задание - (Често не е налично по подразбиране в заключени среди)
  • Влезте като услуга - (не съм сигурен, че е необходимо)
  • Заменете токен на ниво процес
• Ако използвате удостоверяване на Windows и Kerberos (доставчик=Negotiate), тогава в зависимост от URL адреса и ако удостоверяването в режим на ядрото е включено, може да се наложи да настроите SPN. Предлагам да преминете към NTLM, ако е възможно. В противен случай вижте статиите по-долу за SPN и намерете приятелски настроен администратор на домейн, който да ги добави вместо вас.

Забавно четене:

• Разрешения и потребителски права по подразбиране за IIS 7.0, 7.5, 8.0. Това е най-добрата справка, вижте потребителските права в долната част.
• Потребителски права (на Windows Server 2008, но все пак интересна и полезна, тъй като е дълга статия, можете да натиснете CTRL+F, за да намерите коментари, свързани с IIS)
• Предаване на потребителски права на Server 2008 R2+. Трябва да пробиете във всяко право, за да видите какво се споменава за IIS.
• Как да: Създаване на акаунт за услуга за приложение ASP.NET 2.0 - жалко, че няма по-нова версия на тази статия.
• SPN контролен списък за Kerberos на IIS7/7.5
• Как да използвате SPN - важи за IIS6 или за 7/8, ако е в режим на ядро удостоверяването е изключено.

Причината, поради която вашето приложение работи СЛЕД премахването на администраторските права, е, че вашето приложение е компилирано във временната папка на Framework с помощта на администраторските права - Вашето приложение работи след премахване на администраторските права, тъй като приложението е компилирано. Ако актуализирате приложението си и то изисква повторно компилиране, акаунтът на пула от приложения отново ще се нуждае от доверие.

Първо получих грешки (за съжаление не мога да си спомня кои), след това добавих fooAppPoolUser към локалната администраторска група (Администратори, знам, беше само за тестване), след което проработи. Сега премахнах потребителя отново, рестартирах IIS и все още работи.

Ариен,

За стъпките за конфигуриране в IIS бих погледнал Посочете самоличност за група приложения (IIS 7) в TechNet.

Открих, че следната връзка отговаря на подобен въпрос, който имах: http://www.iis.net/learn/manage/configuring-security/application-pool-identities

По принцип ApplicationPoolIdentity е виртуален потребителски акаунт, който все още се държи като NETWORK SERVICE, но без някои от недостатъците; всеки набор от приложения има свой собствен акаунт в ApplicationPoolIdenity, създаден с него.

Може да се намери и по-подробна информация, която също е специфична за Идентичности на набор от приложения на IIS 7.5.