Права пользователя, необходимые для пользователя пула приложений IIS 7.5 (пользователь домена, а не AppPoolIdentity)

Question

У нас есть домен активного каталога (назовем его foodomain) и учетная запись пользователя домена (foodomain\fooAppPoolUser), используемая для идентификации пула приложений IIS.

Мы хотим запустить пул приложений под этой учетной записью пользователя, а не под Network Service или новым AppPoolIdentity, поскольку нам необходимо получить доступ к серверу SQL и иметь несколько приложений в IIS (с собственными пулами приложений), обращающихся к различным базам данных.

Проблема в том, что я не могу найти четкое руководство, объясняющее, какие права пользователя должны быть установлены для этой учетной записи пользователя и как должен быть настроен IIS, чтобы это работало.

Сначала я получил ошибки (к сожалению, не могу вспомнить, какие именно), затем я добавил fooAppPoolUser в группу локальных администраторов (Administrators, я знаю, только для проверки), затем это сработало. Теперь я снова удалил пользователя, перезапустил IIS, и он все еще работает.

Так что я немного запутался и хотел бы знать, как должна быть конфигурация / настройка, чтобы она работала.

Где-то я читал, что для этой учетной записи должно быть право пользователя " Олицетворять клиента после аутентификации ". По этой причине я добавил учетную запись в группу «Администратор» (назначение прав пользователя заблокировано с помощью групповой политики, но при необходимости это можно изменить.

Надеюсь, я достаточно ясно понял, в чем вопрос, и надеюсь, что у кого-то есть ответ.

Answer 1

Огорчает, что эту информацию так трудно найти, поскольку некоторые администраторы безопасности, похоже, получают удовольствие от жестокого и необычного наказания за изменение параметров политики по умолчанию, чтобы помешать установке приложений в IIS.

Вот что, по моему мнению, вы должны сделать, чтобы учетная запись работала как удостоверение ApplicationPool:

• Запустите aspnet_regiis -ga DOMAIN\USER, чтобы добавить разрешения для доступа к метабазе IIS.( Точно что это значит, кто знает?) ссылка aspnet_regiis
• Добавить пользователя в группу IIS_IUSRS.Это может быть сделано автоматически в зависимости от параметра конфигурации IIS processmodel.manualGroupMembership, но проще всего добавить его самостоятельно.
• Если политика безопасности использует настройки Windows по умолчанию, это все.Если политика безопасности заблокирована, вам может потребоваться включить определенные права пользователя для учетной записи.Те, которые у вас есть по умолчанию для ApplicationPoolIdentities (кажется, что это хорошее место для запуска, но не обязательно все):
  • Доступ к этому компьютеру из сети
  • Настройка квот памяти для процесса
  • Разрешить вход в систему локально
  • Обход обхода проверки
  • Создание сведений аудита безопасности
  • Олицетворение клиента после аутентификации - (Часто нетдоступно по умолчанию в заблокированных средах)
  • Вход в систему как пакетное задание - (часто недоступно по умолчанию в заблокированных средах)
  • Вход в систему в качестве службы - (я не уверен, что это необходимо)
  • Заменить токен уровня процесса
• Если вы используете аутентификацию Windows и Kerberos (provider = Negotiate), то в зависимости от URL-адреса и от того, включена ли аутентификация в режиме ядра, может потребоваться настроить SPN.Я предлагаю перейти на NTLM, если это возможно.В противном случае, смотрите статьи ниже об именах SPN и найдите дружественного администратора домена, чтобы добавить их для вас.

Забавное чтение:

• Права по умолчанию и права пользователя для IIS 7.0, 7.5, 8.0 .Это лучший справочник, см. Права пользователя внизу.
• Права пользователя (в Windows Server 2008, но все же интересно и полезно, поскольку в этой длинной статье вы можете нажать CTRL + F, чтобы найти комментарии, связанные с IIS)
• Назначение прав пользователя на Server 2008 R2 +.Вы должны углубиться в каждое право, чтобы увидеть, что оно упоминает о IIS.
• Как: создать учетную запись службы для приложения ASP.NET 2.0 - жаль, что более поздней версии этой статьи нет.
• Контрольный список SPN для Kerberosна IIS7 / 7.5
• Как использовать имена участников-служб - применяется к IIS6 или к 7/8, если аутентификация в режиме ядра отключена.

Answer 2

Причина, по которой ваше приложение работало ПОСЛЕ удаления прав администратора, заключается в том, что ваше приложение было скомпилировано во временную папку Framework с использованием прав администратора - ваше приложение работало после удаления прав администратора, поскольку приложение было скомпилировано.Если вы обновляете свое приложение, и оно требует перекомпиляции, учетная запись пула приложений снова нуждается в доверии.

Сначала я получил ошибки (к сожалению, не могу вспомнить, какие именно), затем я добавил fooAppPoolUser в локальныйГруппа админов (администраторы, я знаю, была только для тестирования), потом все заработало.Теперь я снова удалил пользователя, перезапустил IIS, и он все еще работает.

Answer 3

Арьен

Для шагов по настройке в IIS я бы посмотрел на Укажите удостоверение для пула приложений (IIS 7) в TechNet.

Answer 4

Я обнаружил, что следующая ссылка ответила на похожий вопрос, который у меня был: http://www.iis.net/learn/manage/configuring-security/application-pool-identities

По существу, ApplicationPoolIdentity - это учетная запись виртуального пользователя, которая по-прежнему работает как NETWORK SERVICE, но без некоторыхвниз сторон;каждый пул приложений имеет свою собственную учетную запись ApplicationPoolIdenity, созданную с его помощью.

Можно также найти более подробную информацию, относящуюся только к Идентификация пула приложений IIS 7.5 .