如何为ApplicationPoolIdentity帐户分配权限

在Windows Server 2008的IIS 7中，应用程序池可以作为“ ApplicationPoolIdentity”帐户而不是NetworkService帐户运行。

如何为该“ ApplicationPoolIdentity”帐户分配权限。它不会在计算机上显示为本地用户。它不会在任何地方成组显示。没有什么比它更遥远的地方了。当我浏览本地用户，组和内置帐户时，它不会出现在列表中，也不会出现在列表中。到底是怎么回事？

我不是唯一遇到此问题的人：有关示例，请参阅IIS 7.5 + Windows 7中的ApplicationPoolIdentity的问题。

“不幸的是，这是Windows Server 2008 / Windows Vista上对象选择器的局限性-正如已经有人发现的那样，您仍然可以使用icacls这样的命令行工具来为应用程序池标识操纵ACL 。”

更新：最初的问题是针对Windows Server 2008的，但对于Windows Server 2008 R2和Windows Server 2012（以及Windows 7和8），该解决方案更容易。您可以通过直接在NTFS用户界面中输入用户来添加用户。该名称的格式为IIS APPPOOL \ {应用程序池名称}。例如：IIS APPPOOL \ DefaultAppPool。

IIS APPPOOL\{app pool name}

注意：根据以下评论，有两件事要注意：

• 直接在“选择用户或组”中而不是在搜索字段中输入字符串。
• 在域环境中，需要首先将“位置”设置为本地计算机。

对Microsoft Docs文章的引用：应用程序池标识>保护资源

原始回复：（对于Windows Server 2008）这是一个很棒的功能，但是正如您提到的那样，它尚未完全实现。您可以从命令提示符添加带有icacls之类的应用程序池标识，然后可以从GUI管理它。例如，在命令提示符下运行以下命令：

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

然后，在Windows资源管理器中，转到wwwroot文件夹并编辑安全权限。您将看到一个名为DefaultAppPool的组（组图标）。现在，您可以编辑权限。

但是，您根本不需要使用它。如果您愿意，可以使用它。您可以使用旧的方法来为每个应用程序池创建自定义用户，并将该自定义用户分配给磁盘。具有完整的UI支持。

这种SID注入方法很好，因为它允许您使用一个用户，但是将每个站点彼此完全隔离，而不必为每个应用程序池创建唯一的用户。令人印象深刻，并且在UI支持下甚至会更好。

注意：如果找不到应用程序池用户，请检查名为Application Host Helper Service的Windows服务是否正在运行。该服务将应用程序池用户映射到Windows帐户。

您必须确保将From this location字段设置为local machine而不是域。

我遇到了同样的问题，一旦更改，它就可以正常工作。

您实际上应该按照“角色”创建组，并在文件系统上分配该组访问权限。然后根据需要将应用程序池添加到特定于角色的组中。这样，即使以后删除应用程序池（并且虚拟用户成为poof），也不必担心重做所有权限，只需将替换应用程序池添加到现有组即可。

阅读@Scott Forsyth-MVP答案后，我尝试重新启动Application Host Helper服务。那为我解决了问题。

我正在运行WS8 R2，但无法IIS APPPOOL\DefaultAppPool通过Windows资源管理器添加。它工作的唯一方法是通过命令行：

cacls [文件路径] / T / E / G“ IIS APPPOOL \ DefaultAppPool”：C

如果此问题是关于如何在msdb数据库中执行_sp_send_dbmail（使用msdb中的SQL send Database Mail存储过程），则可以采取一些措施。将数据库的.net应用程序用户名（在.net应用程序中的连接字符串上定义）添加到具有“ DatabaseMailUserRole”角色成员资格的msdb用户中