IIS 7应用程序池标识权限

其他问题也涉及到这一点，但让我们得到一个完整的答案：

对于以域用户作为应用程序池标识的通用IIS 7站点，需要哪些特定权限？
使用域用户作为应用程序池标识的ASP.NET IIS 7站点需要哪些特定权限？
应用这些权限是否有任何技巧/捷径？

— sh-beta
source

如果您将网站的匿名身份验证设置设置为使用应用程序池身份，则只需要授予应用程序池身份访问权限，除非您的网站中有一部分不使用匿名身份验证，在这种情况下，您还需要授予经过身份验证的用户访问权限。我建议该配置。不必管理应用程序池标识帐户和匿名帐户，这令人耳目一新。

如果您不写磁盘，则只需列出/读取即可。如果您需要向磁盘写入任何内容，那么您还需要授予写入权限。

对于＃3，如果仅是一台服务器，则可以从IIS管理器和NTFS权限进行操作。如果您打算为多台服务器编写脚本，请告诉我们，我们可以提供更多详细信息。

— 斯科特·福赛斯-MVP
source

感谢您的回答，斯科特。您是说要为IIS 7做的就是将用户添加为APP池ID？没有“作为服务登录”或类似要求？授予它对配置数据库或aspnet_regiis -ga对IIS 6所做的任何访问的权限？

— sh-beta 2010年

不，不再了。使用IIS6，您必须添加到IIS_WPG组，该组负责所有这些权限，但是使用IIS7，身份用户将自动实时地实时添加到IIS_WPG组。因此，只需将用户添加到应用程序池设置中，向其授予对磁盘的访问权限即可进行设置。

— Scott Forsyth-MVP 2010年

@Scott Forsyth：我做到了（创建了一个用户，甚至将其添加到IIS_USERS，授予了该文件夹的权限，并设置了应用程序池），并且我遇到了安全异常。当我将应用程序池设置为NetworkService时，一切正常，但是我希望使用隔离的用户帐户在服务器上托管的每个站点。任何的想法？IIS7.5 btw

— Ken Egozi'5

Ken，最好的隔离方法是为每个站点分配自己的应用程序池，然后为该应用程序池授予权限。如果使用ApplicationPoolIdentity，则可以在磁盘上分配应用程序池权限。用户如下所示：IIS AppPool \ {apppool name}。learning.iis.net/page.aspx/624/application-pool-identities。

— Scott Forsyth-MVP 2010年

应用程序池APP的身份无效。为该身份指定的用户名或密码可能不正确，或者该用户可能没有批量登录权限。如果标识不正确，则当应用程序池收到其第一个请求时，该应用程序池将被禁用。如果批处理登录权限引起了问题，则必须在授予权限后更改IIS配置存储中的标识，然后Windows Process Activation Service（WAS）才能重试登录...

— Triynko 2011年