Permissões de identidade do pool de aplicativos do IIS 7

9

Na veia desta pergunta.

Outras perguntas abordaram isso, mas vamos obter uma resposta completa:

  1. Quais permissões específicas são necessárias para um site genérico do IIS 7 com um usuário de domínio como a identidade do pool de aplicativos?

  2. Quais permissões específicas são necessárias para um site ASP.NET IIS 7 com um usuário de domínio como a identidade do pool de aplicativos?

  3. Existem truques / atalhos para aplicar essas permissões?
sh-beta
fonte

Respostas:

11

Se você definir as configurações de autenticação anônima do seu site para usar a identidade do pool de aplicativos, precisará conceder apenas acesso à identidade do pool de aplicativos, a menos que você tenha uma seção do site que não use autenticação anônima. Nesse caso, você também precisará conceder os usuários autenticados acessam. Eu recomendo essa configuração. É refrescante não precisar gerenciar uma conta de identidade do pool de aplicativos mais uma conta anônima.

Se você não está gravando no disco, basta listar / ler é tudo o que é necessário. Se você precisar gravar algo no disco, também precisará conceder permissões de gravação.

Na terceira posição, se for apenas um servidor, você pode fazê-lo usando as permissões do Gerenciador do IIS e do NTFS. Se você planeja criar um script para vários servidores, informe-nos e podemos fornecer mais detalhes.

Scott Forsyth - MVP
fonte
Obrigado pela resposta Scott. Você está dizendo que tudo o que você precisa fazer para o IIS 7 é adicionar o usuário como o ID do pool de aplicativos? Não há "Logon como serviço" ou requisitos semelhantes? Conceder acesso à metabase ou qualquer outra coisa que aspnet_regiis -ga faz para o IIS 6?
sh-beta
Não, não mais. Com o IIS6, era necessário adicionar ao grupo IIS_WPG, que cuidava de todas essas permissões, mas com o IIS7, o usuário da identidade é automaticamente adicionado ao grupo IIS_WPG em tempo real. Portanto, basta adicionar o usuário às configurações do pool de aplicativos, conceder acesso ao disco e você estará definido.
Scott Forsyth - MVP
@ Scott Forsyth: Eu fiz isso (criei um usuário, até o adicionei ao IIS_USERS, dei permissões na pasta e defini o pool de aplicativos), e estou recebendo exceções de segurança. Quando defino o pool de aplicativos como NetworkService, tudo funciona, mas quero que cada um dos sites hospede no servidor com uma conta de usuário isolada. Qualquer ideia? IIS7.5 btw
Ken Egozi
3
Ken, o melhor isolamento é dar a cada site seu próprio pool de aplicativos e conceder permissões para o pool de aplicativos. Se você usar o ApplicationPoolIdentity, poderá atribuir as permissões do pool de aplicativos no disco. O usuário tem a seguinte aparência: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP
A identidade do APP do pool de aplicativos é inválida. O nome do usuário ou a senha especificada para a identidade pode estar incorreta ou o usuário pode não ter direitos de logon em lote. Se a identidade não for corrigida, o pool de aplicativos será desativado quando o pool de aplicativos receber sua primeira solicitação. Se os direitos de início de sessão batch estão causando o problema, a identidade na loja configuração do IIS deve ser alterado após direitos foram concedidos antes de Serviço de Ativação de Processos do Windows (WAS) pode repetir o logon ...
Triynko