IIS 7.5 应用程序池用户（域用户，而不是 AppPoolIdentity）所需的用户权限

发布于 2024-11-18 10:08:37 字数 604 浏览 1 评论 0原文

我们有一个活动目录域（我们称之为foodomain）和一个用于 IIS 应用程序池标识的域用户帐户（foodomain\fooAppPoolUser）。

我们希望在此用户帐户下运行应用程序池，而不是在网络服务或新的 AppPoolIdentity 下运行，因为我们必须访问 SQL Server 并在 IIS 上拥有多个应用程序（具有自己的应用程序）应用程序池）访问不同的数据库。

问题是我找不到明确的操作方法解释，必须为此用户帐户设置哪些用户权限以及如何设置 IIS 才能使其正常工作。

首先我遇到了错误（不幸的是我不记得是哪些错误），然后我将 fooAppPoolUser 添加到本地管理组（Administrators，我知道，只是为了测试），然后它起作用了。现在我再次删除该用户，重新启动 IIS，它仍然有效。

所以我有点困惑，想知道如何配置/设置才能使其正常工作。

我在其中读到，该帐户需要具有“身份验证后模拟客户端”用户权限。这就是我将帐户添加到管理员组的原因（用户权限分配是通过组策略阻止的，但如果确实需要的话，这肯定可以更改。

我希望我足够清楚问题是什么，并希望有人能给出答案。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

乱世争霸 2024-11-25 10:08:37

令人沮丧的是，这些信息如此难以找到，因为一些安全管理员似乎很享受更改默认策略设置以阻止在 IIS 中安装应用程序的残酷和不寻常的惩罚。

我认为您应该执行以下操作来使帐户能够作为应用程序池身份工作：

运行 aspnet_regiis -ga DOMAIN\USER 以添加访问 IIS 配置数据库的权限。（到底这意味着什么，谁知道呢？）aspnet_regiis 参考
将用户添加到 IIS_IUSRS 组。这可能会根据 IIS 配置设置 processmodel.manualGroupMembership 自动完成，但您自己添加最简单。
如果安全策略使用 Windows 默认值，那就差不多了。如果安全策略被锁定，您可能需要为帐户启用特定用户权限。默认情况下，您拥有 ApplicationPoolIdentities 的那些（这似乎是一个很好的起点，但不一定是所有必需的）：
- 从网络访问此计算机
- 调整进程的内存配额
- 允许本地登录
- 绕过遍历检查
- 生成安全审核详细信息
- 身份验证后模拟客户端 - （默认情况下在锁定环境中通常不可用）
- 作为批处理作业登录 - （默认情况下在锁定环境中通常不可用）
- 作为服务登录 - （我不确定是否需要这样做）
- 替换进程级令牌
如果您使用 Windows 身份验证和 Kerberos (provider=Negotiate)，则根据 URL 以及内核模式身份验证是否打开，您可能需要设置注册 SPN。如果可能的话，我建议切换到 NTLM。否则，请参阅下面有关 SPN 的文章，并找到友好的域管理员来为您添加它们。

有趣的阅读：

IIS 7.0、7.5、8.0 的默认权限和用户权限。这是最好的参考，请参阅底部的用户权限。
用户权限（在 Windows Server 2008 上，但仍然有趣且有帮助，因为这是一篇很长的文章，您可以 CTRL+F 查找 IIS 相关的评论）
Server 2008 R2+ 上的用户权限分配。您必须深入研究每个权限才能查看它提到的有关 IIS 的内容。
如何：为 ASP.NET 2.0 应用程序创建服务帐户 -遗憾的是这篇文章没有最新版本。
IIS7/7.5 上 Kerberos 的 SPN 清单
如何使用 SPN - 适用于 IIS6 或 7/8（如果内核模式身份验证为关闭。

It's frustrating that this information is so hard to find, since some security admins seem to enjoy the cruel and unusual punishment of changing default policy settings to thwart installing apps within IIS.

Here's what I believe you should do to enable an account to work as an ApplicationPool identity:

Run aspnet_regiis -ga DOMAIN\USER to add permissions to access the IIS Metabase. (Exactly what that means, who knows?) aspnet_regiis reference
Add the user to the IIS_IUSRS group. This may be done automatically depending on the IIS configuration setting processmodel.manualGroupMembership but easiest to add it yourself.
If security policy is using windows defaults that's about it. If the security policy is locked down you may need to enable specific user rights for the account. The ones you have by default for ApplicationPoolIdentities (which seems a good place to start but not necessarily all required):
- Access this computer from the network
- Adjust memory quotas for a process
- Allow log on locally
- Bypass traverse checking
- Generate security audit details
- Impersonate a client after authentication - (Often not available by default on locked-down environments)
- Log on as a batch job - (Often not available by default on locked-down environments)
- Log on as a service - (I'm not sure this is needed)
- Replace a process level token
If you're using windows auth and Kerberos (provider=Negotiate) then depending on the URL and if kernel-mode auth is on you might need to set up an SPN. I suggest switching to NTLM if possible. Otherwise, see articles below about SPNs and find a friendly domain admin to add them for you.

Fun reading:

Default permissions and user rights for IIS 7.0, 7.5, 8.0. This is the best reference, see the user rights at the bottom.
User Rights (on Windows Server 2008, but still interesting and helpful as it's a long article you can CTRL+F to find IIS-related comments)
User Rights Assignment on Server 2008 R2+. You have to drill into each right to see what it mentions about IIS.
How To: Create a Service Account for an ASP.NET 2.0 Application - pity there's no more recent version of this article.
SPN Checklist for Kerberos on IIS7/7.5
How to use SPNs - applies to IIS6 or to 7/8 if Kernel-mode authentication is turned off.

回复收藏 0 原文