У нас есть домен Active Directory (назовем его foodomain
) и учетная запись пользователя домена (foodomain\fooAppPoolUser
), используемая для удостоверения пула приложений IIS.
Мы хотим запустить пул приложений под этой учетной записью пользователя, а не под Network Service
или новой AppPoolIdentity
, поскольку нам нужно получить доступ к SQL-серверу и иметь несколько приложений в IIS (с собственными пулами приложений), обращающихся к разным базам данных.
Проблема в том, что я не могу найти четкого HOW-TO, объясняющего, какие права пользователя должны быть установлены для этой учетной записи пользователя и как должен быть настроен IIS, чтобы это работало.
Сначала вылезли ошибки (к сожалению не помню какие именно), потом добавил fooAppPoolUser
в локальную админку (Administrators
, я знаю, только для проверки), потом заработало. Теперь я снова удалил пользователя, перезапустил IIS, и он все еще работает.
Поэтому я немного запутался и хотел бы знать, как должна быть настроена конфигурация/настройка, чтобы она работала.
Где-то я читал, что учетная запись должна иметь право пользователя «Выдавать себя за клиента после аутентификации». Вот почему я добавил учетную запись в группу администраторов (назначение прав пользователя заблокировано групповой политикой, но это наверняка можно изменить, если это действительно необходимо.
Я надеюсь, что я достаточно ясно объяснил, в чем вопрос, и надеюсь, что у кого-то есть ответ.