IIS и группа пользователей

в Windows Server 2012 R2 IIS работает как веб-сервер в обычных условиях. Веб-контент, однако, не от c:inetpubwwwroot но из другой папки. Веб-приложения по-прежнему работают под своим пользователем из defaultAppPool.

я на самом деле забыл когда-нибудь дать IIS_IUSRS права на чтение / выполнение папки веб-материалов. Папка дала доступ к users хотя. Я только добавил IIS_IUSRS чтение/исполнение/запись права если папку нужно перезаписываемый.

желая немного ужесточить безопасность, я прошел через права доступа к папке веб-контента и узнал методом проб и ошибок, что теперь доступ для IIS_IUSRS отсутствовал, это доступ для users группа, которая отвечает за все до сих пор работают. Потому что когда я удаляю доступ к users группа, приложение перестает работать.

я пытался дать доступ к некоторым другим счетам/группы и я понял, что давая доступ к users и IIS_IUSRS индивидуально запустить приложение. Предоставление доступа только к IIS APPPOOL не делает. Но предоставление доступа к моему конкретному пользователю пула приложений (например,IISAPPPOOLnl-x-homepage), нет. И этот самый последний бит-это то, что я хочу, так как я не хочу, чтобы одно приложение могло получать доступ к файлам другого приложения.

но мне было интересно... Как именно работают учетные записи IIS как? Зачем предоставлять доступ к users также работать для моего пула приложений для доступа к папке веб-содержимого? Я не вижу конкретный пользователь пула приложений в lusrmgr, но я предполагаю, что мой конкретный пользователь пула приложений находится в users группа, или в какой-то другой группе, которая находится в users группы. Кто-нибудь может это подтвердить?

и в качестве последнего вопроса к этому вопросу: чтобы иметь конкретные папки "защищен паролем" я создал нормальный пользователь в Windows, удалил этого пользователя из users группа, и в диспетчере IIS я пошел в эту папку и сделал аутентификацию - > обычная аутентификация - > включено, и в Правила проверки подлинности я установил правило разрешения для моей вновь созданной учетной записи пользователя Windows. Эта работа. Но анализируя доступ на чтение / запись, я с удивлением узнал, что, хотя приложение работает под пользователем пула приложений, пользователю пула приложений нужны только права на чтение (без прав на запись), а недавно созданный пользователь Windows должен иметь права на чтение и запись, чтобы папка была доступна для записи. Может кто-нибудь помочь объяснить, почему это работает таким образом?

30
задан nl-x
03.04.2023 7:29 Количество просмотров материала 2514
Распечатать страницу

2 ответа

поведение, с которым вы сталкиваетесь, кажется мне вполне логичным.

IIS_IUSRS-это группа, а не учетная запись, единственная цель которой-позволить ее членам назначаться в качестве удостоверений пула приложений, поэтому ее добавления недостаточно (как вы выяснили).

группа Users содержит учетную запись ASPNET, которая имеет достаточно разрешений для работы веб-сайта, поэтому ее добавления было достаточно для разрешений по умолчанию. Я считаю, что учетная запись ASPNET используется как Элементом defaultapppool.

файл или папка, созданные пользователем, всегда имеют разрешение на чтение, потому что создатель является владельцем и имеет все права. В случае, когда другой пользователь создал файл или папку - дает только разрешение на запись без чтения никогда не работал в Windows, после чтения необходимо проверить разрешения и доступное пространство и как, прежде чем писать.

1
отвечен harrymc 2023-04-04 15:17

IIS_IUSRS-группа учетных записей рабочего процесса IIS. Эта встроенная группа имеет доступ ко всем необходимым файловым и системным ресурсам, чтобы учетная запись, добавленная в эту группу, могла беспрепятственно выступать в качестве удостоверения пула приложений.

Если вы щелкните правой кнопкой мыши домен и открыть изменить разрешения, вы должны увидеть перечисленные группы и разрешения. На вкладке Безопасность вы увидите MACHINE_NAME\IIS_IUSRS, а также /Users. IIS автоматически имеет разрешение только для чтения на справочник.

для каждого создаваемого пула приложений свойство Identity нового пула приложений по умолчанию имеет значение ApplicationPoolIdentity. Процесс администрирования IIS (WAS) создаст виртуальную учетную запись с именем нового пула приложений и по умолчанию запустит рабочие процессы пула приложений под этой учетной записью. При создании нового пула приложений процесс управления IIS создает идентификатор безопасности (SID), представляющий имя пула приложений себя. Например, при создании пула приложений с именем "MyFirstPool "в системе безопасности Windows создается идентификатор безопасности с именем" MyFirstPool". С этого момента ресурсы можно защитить с помощью этого удостоверения. однако удостоверение не является реальной учетной записью пользователя; оно не будет отображаться как пользователь в консоли управления пользователями Windows. Это нормальное поведение. Если вы хотите предоставить доступ к определенной папке, просто добавьте ее редактирование разрешений. Однако необходимо проверить конфигурацию проверки подлинности по умолчанию (анонимное удостоверение) и посмотреть, доступен ли правильный выбор, или настроить его, чтобы избежать ошибок доступа.

подробнее о пулах приложений.

этот пост обращается к остальным вопросам. Наследование.

очевидно, что пользователь Windows, которого вы добавляете здесь, требует разрешений, поскольку учетная запись должна наследовать разрешения от необходимых групп. Разрешение на чтение здесь жизненно важно. Однако он предназначен для доступа к местным ресурсам.

1
отвечен Epoxy 2023-04-04 17:34

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх