如何将活动目录权限分配给默认应用程序池标识

9

如何为默认的应用程序池标识[IIS APPPOOL {应用程序池名称}]分配活动目录权限?

我正在尝试执行此操作,以使Web应用程序能够查询活动目录组,用户并检查是否存在特定的用户名或组名。

谢谢。

active-directory  iis  application-pools 
用户名
source

Answers:

8

你不知道 您可以按照以下方式为本地资源的IIS APPPOOL {应用程序池名称}身份授予本地资源权限:

如何为ApplicationPoolIdentity帐户分配权限

在Active Directory中,身份必须是知名的安全主体,实际的用户/组/计算机安全主体或外部/受信任的安全主体。

但是,如果您在IIS AppPool上使用网络服务标识,则在访问网络资源时,应用程序池将使用IIS服务器的计算机帐户。在这种情况下,您可以为Active Directory中的计算机帐户(domain \ computername $)授予必要的权限。

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

格雷格·阿斯克(Greg Askew)
source
2
当我在ISS AppPool上使用网络服务身份时,它会按预期工作。但是,“ http://www.iis.net/learn/manage/configuring-security/application-pool-identities”上的文档说:“好消息是应用程序池标识还使用计算机帐户来访问网络资源。不需要进行任何更改。”,但显然与应用程序尝试进​​行AD查询的情况不同。
user2384219 2013年
没有人是完美的。至少NetworkService可以工作。使用apppool标识可能已损坏或记录不充分。
Greg Askew
@GregAskew-应用程序池身份作为网络服务帐户的超集运行,因此,当它们访问网络资源时,它们将作为计算机名称使用,但它们在本地也可以具有更严格的安全性。
Erik Funkenbusch
1

我在AD计算机上所做的就是将控制权委派给运行承载该应用程序的IIS的计算机。我只委派了“修改组成员身份”(或类似的东西)这种权限,并使我的解决方案正常工作。

我在从ADFS获得IPrincipal的应用程序中遇到了一个问题,因此我没有使用Windows身份验证,但除此之外,一切都很好。

糟糕的IISExpress无法像IIS那样起作用,因为这不是我第一次生产时遇到问题。

汤美
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.