Какое разрешение требуется локальной учетной записи, чтобы IIS мог использовать Kerberos?

Question

У меня есть сайт, работающий на IIS7.Пул приложений работает под учетной записью локального компьютера .Мы используем проверку подлинности Windows для проверки подлинности пользователей, но это не удается, поскольку локальная учетная запись не имеет разрешения на отправку запроса Kerberos контроллеру домена, поскольку в журнале событий указано:

---

Учетная записьуспешно вошел в систему.

Тема: Идентификатор безопасности: NULL SID

Имя учетной записи: -

Домен учетной записи: -

Идентификатор входа: 0x0

Тип входа: 3

Новый вход:

Security ID:        MyDomain\mark

Account Name:       Mark

Account Domain:     MyDomain

Logon ID:       0x2ed3554

Logon GUID:     {4a4f0c3f-2232-c2d9-9868-3a020042810f}

---

Если я использую учетные записи Сетевая служба , Локальная служба или Локальная система тогда все работает нормально.Итак, какие дополнительные разрешения мне нужны для предоставления учетной записи локальной машины, чтобы она могла поддерживать аутентификацию Windows с Kerberos?

Спасибо!

Answer 1

После еще нескольких исследований я думаю, что в основном это ошибочная идея с использованием учетной записи локальной машины в Kerberos.Кажется, что нет способа добавить локальную учетную запись в AD, так как она может взаимодействовать с контроллером домена?Поэтому я решил отключить Kerberos на сайтах, работающих под локальной учетной записью:

cscript C:\inetpub\adminscripts\adsutil.vbs set w3svc/1/root/MyVirtualDirectory/NTAuthenticationProviders "NTLM"

Надеюсь, это кому-нибудь поможет.