“NT 当局\网络服务” 不继承本地组权限？

Question

我们正在删除使用 ASP.NET 网页上传到我们服务器的图像。 该站点在 IIS 中的“NT AUTHORITY\NETWORK SERVICE”下运行。

在 IIS 服务器上，我们创建了一个本地组“Full_Access”，并向其中添加了“NT AUTHORITY\NETWORK SERVICE”。 该组对文件启用了 NTFS 修改权限。

当我们从应用程序中删除文件时。 该文件不会被删除。

如果我们将“NT AUTHORITY\NETWORK SERVICE”文件显式添加到该文件并授予修改权限，而不是依赖它从其所在的本地组继承权限，那么它就可以正常工作。

我们已经在安全选项卡上使用了有效的权限检查，无论哪种方式它都应该具有权限吗？ 但实际上只有我们直接授予服务帐户权限才有效？

是否有某种原因“NT AUTHORITY\NETWORK SERVICE”不继承其所在本地组的权限？

Answer 1

为什么不创建一个专用的应用程序池并让它在具有适当权限的普通用户下运行？

Answer 2

将组 IIS_WPG 添加到“Full_Access”组而不是 NETWORK SERVICE。

来自 http://msdn.microsoft.com/en-us/library/ms998320 .aspx：

注意如果您需要允许运行 ASP.NET 应用程序的所有帐户（网络服务或自定义服务帐户）对文件资源具有相同级别的访问权限，您可以向IIS_WPG 组而不是专门针对网络服务帐户。 用于运行 ASP.NET 的任何帐户都必须是 IIS_WPG 组的成员。

Answer 3

只是猜测，但是您尝试过重新启动服务器吗？

组成员身份是在登录过程中确定的。 NETWORK SERVICE 实际上是计算机帐户。 而且我认为它的工作方式与其他帐户不同。 也就是说，当您启动应用程序时它不会登录。 系统帐户（控制iis）只是以其身份启动进程。 这意味着没有登录，也没有组成员资格检查。