«NT AUTHORITY \ NETWORK SERVICE» не наследует разрешения локальной группы?

Question

Мы удаляем изображения, которые были загружены на наш сервер с помощью веб-страницы ASP.NET. Сайт работает в разделе «NT AUTHORITY \ NETWORK SERVICE» в IIS.

На сервере IIS мы создали локальную группу 'Full_Access', к которой мы добавили 'NT AUTHORITY \ NETWORK SERVICE'. В этой группе для файла включено разрешение на изменение NTFS.

Когда мы удаляем файл из нашего приложения. Файл не удаляется.

Если вместо этого мы явно добавим файл NT AUTHORITY \ NETWORK SERVICE 'явно в файл и дадим разрешение на изменение вместо того, чтобы полагаться на то, что он унаследует разрешение от локальной группы, в которой он находится, он будет работать нормально.

Мы использовали эффективную проверку разрешений на вкладке «Безопасность», и в любом случае якобы у нее есть разрешение? Но на самом деле это работает, только если мы напрямую даем разрешение учетной записи службы?

Существует ли какая-то причина, по которой NT AUTHORITY \ NETWORK SERVICE не наследует разрешения локальной группы, в которой она находится?

Answer 1

Почему бы вам не создать выделенный пул приложений и запустить его под обычным пользователем с соответствующими правами?

Answer 2

Просто предположение, но вы пытались перезапустить сервер?

Членство в группе определяется в процессе входа в систему. СЕТЕВАЯ СЛУЖБА - это фактически учетная запись компьютера. И я не думаю, что это работает так же, как другие аккаунты. То есть он не авторизуется при запуске приложения. Системная учетная запись (которая управляет iis) просто запускает процесс под своим именем. Это означает, что здесь нет входа и проверки членства в группе.

Answer 3

Добавьте группу IIS_WPG в вашу группу 'Full_Access' вместо NETWORK SERVICE.

С http://msdn.microsoft.com/en-us/library/ms998320.aspx:

Примечание Если вам нужно разрешить одинаковый уровень доступа к файловому ресурсу для всех учетных записей, на которых работают приложения ASP.NET (сетевая служба или учетная запись настраиваемой службы), вы можете предоставить доступ к IIS_WPG. группа, а не специально для учетной записи сетевой службы. Любая учетная запись, используемая для запуска ASP.NET, должна входить в группу IIS_WPG.