Как назначить разрешение активного каталога для удостоверения пула приложений по умолчанию

9

Как назначить разрешение активного каталога для удостоверения пула приложений по умолчанию [IIS APPPOOL {имя пула приложений}]?

Я пытаюсь сделать это, чтобы разрешить веб-приложению запрашивать активные группы каталогов, пользователей и проверять наличие определенного имени пользователя или имени группы.

Спасибо.

active-directory  iis  application-pools 
user2384219
источник

Ответы:

8

Вы не Вы можете предоставить разрешения локальным ресурсам для удостоверения IIS APPPOOL {имя пула приложений} для локальных ресурсов на:

Как назначить разрешения учетной записи ApplicationPoolIdentity

В Active Directory удостоверение должно быть либо общеизвестным субъектом безопасности, реальным участником безопасности пользователя / группы / компьютера, либо сторонним / доверенным субъектом безопасности.

Однако если вы используете идентификатор сетевой службы на IIS AppPool, пул приложений будет использовать учетную запись компьютера сервера IIS при доступе к сетевым ресурсам. В этом случае вы можете предоставить необходимые разрешения учетной записи компьютера (домен \ имя_компьютера $) в Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Грег Аскью
источник
2
Когда я использую удостоверение сетевой службы на AppSool ISS, она работает как положено. Однако в документации по адресу http://www.iis.net/learn/manage/configuring-security/application-pool-identities говорится: «Хорошая новость заключается в том, что удостоверения пула приложений также используют учетную запись компьютера для доступа к сетевым ресурсам. Никаких изменений не требуется. ", Но он явно не ведет себя так, как в случае, когда приложение пытается выполнить запросы AD.
user2384219
Никто не идеален. По крайней мере, NetworkService работает. Использование идентификатора apppool, вероятно, является чем-то сломанным или плохо документированным.
Грег Аскью
@GregAskew - удостоверения пула приложений выполняются как надмножества учетных записей сетевых служб, поэтому, когда они получают доступ к сетевым ресурсам, они работают как имена компьютеров, но могут также иметь более строгую защиту локально.
Эрик Фанкенбуш
1

То, что я делал на компьютере AD, было делегировать управление компьютеру, на котором запущено приложение IIS. Я делегировал только разрешения типа «изменить членство в группе» (или что-то в этом роде) и получил свое решение.

У меня был поворот в приложении, которое получило IPrincipal от ADFS, поэтому я не использовал аутентификацию Windows, но кроме этого все работало просто отлично.

Жаль, что IISExpress не работает так, как функционирует IIS, так как это не первый раз, когда у меня возникают проблемы при переходе в производство.

Tommi
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.