Autorisations d'identité du pool d'applications IIS 7

9

Dans la veine de cette question.

D'autres questions ont touché à ce sujet, mais obtenons une réponse complète:

  1. Quelles autorisations spécifiques sont nécessaires pour un site IIS 7 générique avec un utilisateur de domaine comme identité de pool d'applications?

  2. Quelles autorisations spécifiques sont nécessaires pour un site ASP.NET IIS 7 avec un utilisateur de domaine comme identité de pool d'applications?

  3. Existe-t-il des astuces / raccourcis pour appliquer ces autorisations?
iis iis-7 asp.net application-pools sh-beta
la source

Réponses:

11

Si vous définissez les paramètres d'authentification anonyme de votre site Web pour utiliser l'identité du pool d'applications, vous devez uniquement accorder l'accès à l'identité du pool d'applications, sauf si vous avez une section du site qui n'utilise pas l'authentification anonyme, auquel cas vous devez également accorder l'accès des utilisateurs authentifiés. Je recommande cette configuration. Il est rafraîchissant de ne pas avoir à gérer un compte d'identité de pool d'applications et un compte anonyme.

Si vous n'écrivez pas sur le disque, il suffit de lister / lire. Si vous devez écrire quoi que ce soit sur le disque, vous devrez également accorder des autorisations d'écriture.

Pour # 3, s'il s'agit d'un seul serveur, vous pouvez le faire à partir du Gestionnaire IIS et des autorisations NTFS. Si vous prévoyez de l'écrire pour plusieurs serveurs, faites-le nous savoir et nous pourrons vous fournir plus de détails.

Scott Forsyth - MVP
la source
Merci pour la réponse Scott. Voulez-vous dire que tout ce que vous avez à faire pour IIS 7 est d'ajouter l'utilisateur en tant qu'ID de pool d'applications? Il n'y a pas de «connexion en tant que service» ou d'exigences similaires? Lui accorder l'accès à la métabase ou à tout autre élément que aspnet_regiis -ga fait pour IIS 6?
sh-beta
Non, plus maintenant. Avec IIS6, vous deviez ajouter au groupe IIS_WPG, qui s'occupait de toutes ces autorisations, mais avec IIS7, l'utilisateur d'identité est automatiquement ajouté au groupe IIS_WPG en temps réel. Donc, ajoutez simplement l'utilisateur aux paramètres du pool d'applications, accordez-lui l'accès au disque et vous serez prêt.
Scott Forsyth - MVP
@Scott Forsyth: je l'ai fait (j'ai créé un utilisateur, je l'ai même ajouté à IIS_USERS, donné des autorisations sur le dossier et défini le pool d'applications), et je reçois des exceptions de sécurité. Lorsque j'ai défini le pool d'applications sur NetworkService, tout fonctionne, mais je veux que chacun des sites hébergés sur le serveur avec un compte d'utilisateur isolé. Une idée? IIS7.5 btw
Ken Egozi
3
Ken, le meilleur isolement est de donner à chaque site son propre pool d'applications, puis d'accorder des autorisations pour le pool d'applications. Si vous utilisez ApplicationPoolIdentity, vous pouvez attribuer les autorisations du pool d'applications sur le disque. L'utilisateur ressemble à ceci: IIS AppPool \ {apppool name}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP
L'identité du pool d'applications APP n'est pas valide. Le nom d'utilisateur ou le mot de passe spécifié pour l'identité peut être incorrect ou l'utilisateur peut ne pas disposer de droits de connexion par lots. Si l'identité n'est pas corrigée, le pool d'applications sera désactivé lorsque le pool d'applications recevra sa première demande. Si les droits de connexion par lots provoquent le problème, l'identité dans le magasin de configuration IIS doit être modifiée après l'octroi des droits avant que le service d'activation de processus Windows (WAS) puisse réessayer la connexion ...
Triynko