如何通过Powershell为IIS APPPOOL \ *帐户添加ACL权限？

我希望能够为新网站设置IIS帐户以具有修改权限。我有以下脚本：

function Set-ModifyPermission ($directory, $username, $domain = 'IIS APPPOOL') {
    $inherit = [system.security.accesscontrol.InheritanceFlags]"ContainerInherit, ObjectInherit"
    $propagation = [system.security.accesscontrol.PropagationFlags]"None"
    $acl = Get-Acl $directory
    $user = New-Object System.Security.Principal.NTAccount($domain, $username )
    $accessrule = New-Object system.security.AccessControl.FileSystemAccessRule($user, "Modify", $inherit, $propagation, "Allow")
    $acl.AddAccessRule($accessrule)
    set-acl -aclobject $acl $directory
}

但是，当我运行它时，出现如下错误：

Set-Acl：此工作站和主域之间的信任关系失败。

我认为这是因为IIS APPPOOL它不是真实域名，而是假冒账户上的一个奇怪的前缀。有没有正确的方法来引用该帐户，以便我可以进行此工作？

首先，使用Set-Acl这样，因为目录路径是第一个位置参数：

Set-Acl $directory $acl

其次，您应该仅使用一个参数创建用户对象：

$user = New-Object System.Security.Principal.NTAccount("$domain\\$username")

更新：似乎它不会接受“ IIS APPPOOL \ AppPoolName”作为NTAccount标识符。现在，有两种方法可以完成您想做的事情：

1. 使用AppPoolIdentities SID创建一个新的SID对象，并将其转换为NTAccount，如下所示：http : //iformattable.blogspot.com/2007/12/convert-sid-to-ntaccount-with.html，您应该能够像对待其他任何NTAccount对象一样对待它。如果您仍然希望能够为真实帐户传递域/用户名，则以一些简单的逻辑为内置实例，该逻辑默认为AppPool SID（如果用户名为“ AweSomeAppPool”且域为空），例如。

2. 使用PowerShell调用icacls.exe，并使用它来授予/撤消您想要的任何权限，如下所示（首先是普通的icacls form命令提示符，然后是powershell，注意区别）：

   icacls.exe test.txt /grant "IIS AppPool\DefaultAppPool":(OI)(CI)M

   cmd /c icacls test.txt /grant "IIS AppPool\DefaultAppPool:(OI)(CI)M"

如果您选择第二种方法，请务必先手动进行测试，但我自己没有机会测试这些具体示例，但是应该可以

这样的事情应该可以帮到您。它也应该能够解析IIS APPPOOl \ Anything ...

function Set-AclOnPath
{
    param(
        [Parameter(Mandatory=$true)]
        [ValidateNotNullOrEmpty()]
        [string] $Path,

        [Parameter(Mandatory=$true)]
        [ValidateNotNullOrEmpty()]
        [string] $DomainAccount
    )

    #Put whatever permission you want here
    $permission = $DomainAccount,"ReadAndExecute","Allow"
    $accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission

    $acl = Get-Acl $Path
    $acl.SetAccessRule($accessRule)
    $acl | Set-Acl $Path
}

以下内容在Windows 2012中适用于获取IIS站点的SID。它需要使用WebAdministration powershell模块的IIS Provider，但是本文指出它将在Windows 2008R2上运行。

$appPoolName = 'MyAppPool'
$appPoolSid = (Get-ItemProperty IIS:\AppPools\$appPool).applicationPoolSid
$identifier = New-Object System.Security.Principal.SecurityIdentifier $appPoolSid
$user = $identifier.Translate([System.Security.Principal.NTAccount])

从IIS 10 / Windows 10 / Server 2016开始，不建议使用WebAdministration模块，我们应该改用新的IISAdministration Powershell模块。这是使用新模块将应用程序池SID转换为虚拟用户的方法：

Import-Module IISAdministration
$manager = Get-IISServerManager
$appPoolName = 'MyAppPool'
$appPoolSid = $manager.ApplicationPools["$appPoolName"].RawAttributes['applicationPoolSid']
$identifier = New-Object System.Security.Principal.SecurityIdentifier $appPoolSid
$user = $identifier.Translate([System.Security.Principal.NTAccount])

以下代码在Windows 2012中为我工作，无法使其他示例正常工作：

Import-Module WebAdministration

$appPoolName='MyAppPool'
$folderDirectory='C:\MyWebFolder'

$appPoolSid = (Get-ItemProperty IIS:\AppPools\$appPoolName).applicationPoolSid

Write-Output "App Pool User $appPoolSid"

$identifier = New-Object System.Security.Principal.SecurityIdentifier $appPoolSid
$user = $identifier.Translate([System.Security.Principal.NTAccount])

Write-Output "Translated User $user.Value"

$acl = Get-Acl $folderDirectory
$acl.SetAccessRuleProtection($True, $False)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($user,”FullControl”, “ContainerInherit, ObjectInherit”, “None”, “Allow”)
$acl.AddAccessRule($rule)
$acl | set-acl -path $folderDirectory