Права пользователя на создание сайта iis7 - PullRequest
0 голосов
/ 14 октября 2010

У меня есть специальный веб-сайт, который может создавать новые сайты с помощью IIS7 ServerManager:

using (ServerManager serverManager = new ServerManager())
{
     // create new site logic here    
}

Этот специальный сайт должен работать под системной учетной записью, чтобы иметь возможность управлять IIS7. Есть ли способ создать специального пользователя Windows, который будет установлен как удостоверение пула приложений сайта, и дать этому пользователю специальные права только на доступ к IIS7, но не на полный доступ к системе?

Причина, по которой я хочу это сделать, заключается в том, чтобы предоставить идентификатору процесса сайта как можно меньше разрешений.

Пожалуйста, дайте мне знать, если вопрос не ясен достаточно:)

Ответы [ 2 ]

0 голосов
/ 14 октября 2010

Это действительно зависит от того, что именно приложение должно уметь делать. Если все, что вам нужно, - это возможность создать новый сайт, вы можете создать учетную запись и предоставить доступ для чтения и записи к% windir% \ system32 \ Inetsrv \ Config \ applicationHost.config. Сказав это, будьте очень осторожны в этом, поскольку, как только они смогут записать в этот файл, они могут сделать мощные вещи, например, добавить новый пул приложений, работающий как System, и в этот момент смогут запускать свой код, используя удостоверение как powerfull. как это получается.

Если вы хотите разрешить им перезапускать, запускать и останавливать и т. Д. Для объектов времени выполнения, таких как сайты, пулы приложений, домены приложений и т. Д., То вам потребуются дополнительные действия, но я бы не рекомендовал делать это.

Кроме того, если вы на самом деле устанавливаете зашифрованные свойства (например, пароль в пулах приложений или виртуальных каталогах), то вам также нужно будет предоставить разрешения для ключей шифрования, но я бы также рекомендовал против этого, поскольку это дать им возможность расшифровывать пароли.

0 голосов
/ 14 октября 2010

Если вы создаете новую учетную запись в качестве удостоверения пула приложений, вам нужно использовать этот код, чтобы дать ему необходимые права доступа, а затем добавить необходимые права для создания сайтов:

перейти к:

C: \ Windows \ Microsoft.NET \ Framework \ v2.0.50727

затем выполните:

aspnet_regiis -ga DomainOrMachineName \ AccountName

Смотрите здесь http://msdn.microsoft.com/en-us/library/ff649309.aspx#paght000009_step2

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...