Soru ApplicationPoolIdentity hesabına izinler nasıl atanır?


Windows Server 2008 üzerinde IIS 7'de, uygulama havuzları NetworkService hesabı yerine "ApplicationPoolIdentity" hesabı olarak çalıştırılabilir.

Bu "ApplicationPoolIdentity" hesabına nasıl izinler atayım. Makinede yerel kullanıcı olarak görünmüyor. Hiçbir yerde grup olarak görünmez. Hiçbir yerde uzaktan hiçbir şey görünmez. Yerel kullanıcılar, gruplar ve yerleşik hesaplara göz attığımda, listede görünmez ve listede de benzer bir şey görünmez. Ne oluyor?

Bu sorunla tek ben değilim: bkz. IIS 7.5 + Windows 7'de ApplicationPoolIdentity ile ilgili sorun örnek olarak.


"Bu ne yazık ki, Windows Server 2008 / Windows Vista'da nesne seçicinin bir sınırlamasıdır - zaten birçok kişi bunu keşfettiğinden, komut satırı araçlarını kullanarak uygulama havuzu kimliği için ACL'yi hala değiştirebilirsiniz. icacls."


252
2017-11-03 21:52


Menşei




Cevaplar:


Güncelleştirme: Asıl soru Windows Server 2008 idi, ancak çözüm Windows Server 2008 R2 ve Windows Server 2012 (ve Windows 7 ve 8) için daha kolay. Kullanıcıyı doğrudan yazarak NTFS UI aracılığıyla ekleyebilirsiniz. Ad, IIS APPPOOL \ {uygulama havuzu adı} biçimindedir. Örneğin: IIS APPPOOL \ DefaultAppPool.

IIS APPPOOL\{app pool name}

Not: Aşağıdaki yorumlara göre, farkında olmak için iki şey vardır:

  • Dizeyi doğrudan arama alanına değil "Kullanıcı veya Grup Seç" seçeneğine girin.
  • Bir etki alanı ortamında Konumunuzu önce yerel bilgisayarınıza ayarlamanız gerekir.

Microsoft Docs makalesine başvuru: Uygulama Havuzu Kimlikleri> Kaynakların Güvenliğini Sağlama

Orijinal cevap: (Windows Server 2008 için) Bu harika bir özellik, ancak bahsettiğiniz gibi henüz tam olarak uygulanmadı. Uygulama havuzu kimliğini komut isteminden icecls gibi bir şeyle ekleyebilir, ardından GUI'den yönetebilirsiniz. Örneğin, komut isteminden böyle bir şey çalıştırın:

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

Ardından, Windows Gezgini'nde, wwwroot klasörüne gidin ve güvenlik izinlerini düzenleyin. DefaultAppPool adında bir gruba (grup simgesi) benzeyen şeyleri göreceksiniz. Artık izinleri düzenleyebilirsiniz.

Bununla birlikte, bunu hiç kullanmanıza gerek yoktur. Eğer istersen kullanabileceğin bir bonus. Uygulama havuzu başına özel bir kullanıcı oluşturmanın ve özel kullanıcıyı diske atamanın eski yolunu kullanabilirsiniz. Bu tam UI desteği var.

Bu SID enjeksiyon yöntemi güzeldir çünkü tek bir kullanıcı kullanmanıza izin verir, ancak her bir uygulama havuzu için benzersiz kullanıcılar oluşturmaya gerek kalmadan her bir siteyi birbirinden tamamen izole eder. Oldukça etkileyici ve UI desteği ile daha da iyi olacak.

Not: Uygulama havuzu kullanıcısını bulamıyorsanız, Uygulama Ana Bilgisayarı Yardımcı Hizmeti adlı Windows hizmetinin çalışıp çalışmadığını kontrol edin. Uygulama havuzu kullanıcılarını Windows hesaplarına eşleyen hizmettir.


281
2017-11-04 03:07



Kullanıcının bir grupta yaşadığı bir gruba benzemediği ve bilgisayar hesabına benzemeyen ve birbirinden tamamen farklı bir kullanıcı hesabına benzemeyen tuhaf bir yaratıktır. Uygulama havuzu hesabı, uygulama havuzu kimliği kullanıcısını 'örtüşür'. Örneğin, Ağ Hizmeti'ni ve diğer 5 özel hesabı kullanarak 5 uygulama havuzuna sahip olabilirsiniz, ancak bunlar 10 farklı sistem tarafından yönetilen uygulama havuzu hesabıdır. Avantajlar, otomatik olarak yönetildiği ve sistemi temiz bir şekilde kilitlediği c: \ inetpub \ temp \ appPools klasörüyle fark edilir. IIS onları iyi kullanıyor. Klasörlerdeki kullanımımız isteğe bağlıdır. - Scott Forsyth - MVP
"IIS APPPOOL \ DefaultAppPool" ifadesini doğrudan "Kullanıcı veya Grup Seç" seçeneğine (bunun yerine aramak yerine) girerseniz, bunun yalnızca iyi tanınacağını unutmayın (Win7 x64 ve Win2k8 R2 x64 üzerinde test edilmiştir). - Milan Gardian
Win7 ve Win2k8 R2 için haklısın. Win2k8 RTM'de uygulanmadı, ancak R2'de. - Scott Forsyth - MVP
Sonunda bunu aldım - uygulama havuzu adını doğrudan @Milan Gardian gibi yazıyorsa ve konum alanını yerel makineye değiştirip çalışır - Ciaran Bruen
'Farkında olmak için iki şey için çok teşekkür ederim'. Bunların her ikisine de kapıldım ve bu, problemlerin net ve basit bir açıklamasıydı ve ihtiyaç duyduğum şeyi nasıl elde edeceğimi açıklıyordu. MSDN belgelerinin hiçbiri bu kadar açık değildi. - Ian Grainger


'Bu konumdan' alanının alan adını değil yerel makineye ayarlandığından emin olmanız gerekir.

Aynı sorunu yaşadım ve bir kez değiştirdiğimde iyi çalıştı.


21
2017-08-01 13:29





Gerçekten "rol" başına grup oluşturmalı ve o grup erişimini dosya sistemine atamalısınız. Ardından, uygulama havuzuna gereken role özel gruplara ekleyin. Bu şekilde, uygulama havuzunu daha sonra kaldırsanız bile (ve sanal kullanıcı gider nonoş), tüm izinleri yeniden tasarlamak konusunda endişelenmenize gerek yoktur, sadece yedek uygulama havuzunu mevcut gruba eklersiniz.


4
2018-06-14 17:42





@Scott Forsyth - MVP yanıtını okuduktan sonra, Uygulama Ana Bilgisayarı Yardımcı Hizmetini yeniden başlatmayı denedim. Bu benim için problemi çözdü.


3
2017-12-04 11:05





WS8 R2 kullanıyordum ve ekleyemedim IIS APPPOOL\DefaultAppPool Windows Gezgini ile. Çalışmanın tek yolu komut satırı ile yapıldı:

cacls [DOSYA YOLU] / T / E / G "IIS APPPOOL \ DefaultAppPool": C


0
2018-03-19 14:46



Garip bir şekilde, kabul edilmek için "IIS AppPool \ DefaultAppPool" yapmak zorunda kaldım. Karma vakaya dikkat edin - ilk defa yaptığım gibi, tüm büyük harf, GUI'den kabul edilmedi. - Jeff McJunkin


Bu soru, msdb veritabanında (msdb'de SQL Gönderme Veritabanı Postası saklı yordamını kullanarak) _sp_send_dbmail'in nasıl çalıştırılacağıyla ilgili ise, işte bir miktar iş var. Veritabanınızın .net uygulamasının kullanıcı adını (.net uygulamanızdaki bağlantı dizenizde tanımlanır) msdb kullanıcısına "DatabaseMailUserRole" rol üyeliğine ekleyin.


0
2017-07-25 00:50