Лучшая практика применения интранет-приложений?ApplicationPoolIdentity или нет?

Question

У меня есть локальное интранет-приложение, которое выполняет проверку некоторых файлов с использованием Directory.Exists и File.Exists.К сожалению, проверки не выполняются из-за того, что приложение работает как «ApplicationPoolIdentity» и эта учетная запись не имеет доступа к UNC-путям, которые проверяют Directory.Exists и File.Exists.

Должен ли я предоставить этой учетной записи ApplicationPoolIdentity разрешения на чтение этих каталогов?(Все каталоги отображаются в папке верхнего уровня одного сервера.) Если да, то как?

Или мне следует запустить пул приложений под учетной записью домена и предоставить разрешения этой учетной записи?(Если мне нужно создать новую учетную запись, какие разрешения я должен дать?)

Спасибо за любой вклад!

Answer 1

Как правило, я обычно создаю пользовательскую учетную запись, но если вы хотите предоставить дополнительные права на общие ресурсы и т. Д., Я бы сказал, что это лучший вариант.

Создайте новый AppPool с пользовательским удостоверением ссоответствующий доступ к акциям.Затем запустите приложение под этим новым AppPool.Таким образом, у вас могут быть другие приложения, которым не требуется доступ к общим папкам в AppPools, которые не имеют такого доступа.

Если вы используете Windows 7 или Window 2008 R2, вы можете посмотреть на VirtualАккаунты .

Вот хорошая статья на тему Идентификационные данные пула приложений

Answer 2

Необходимо установить списки ACL для чтения для следующего удостоверения: IIS AppPool \.Вы можете сделать это либо из диалогового окна свойств папки (если ваш компьютер находится в домене, убедитесь, что в качестве местоположения выбран локальный компьютер в диалоговом окне «Выбор пользователей или групп»), либо с помощью команды icacls из командылиния.