IIS7 Berechtigungsübersicht - Anwendungs-Pool-Identität

Question

Wir haben kürzlich auf IIS7 als Kern-Webserver aktualisiert und ich brauche einen Überblick über die Berechtigungen. Früher musste ich dem AppPool-Benutzer (Netzwerkdienst) Zugriff auf das Verzeichnis oder die Datei geben, wenn ich in das Dateisystem schreiben musste.

In IIS7 sehe ich, dass standardmäßig der AppPool-Benutzer auf ApplicationPoolIdentity gesetzt ist. Wenn ich jedoch im Task-Manager überprüfe, sehe ich, dass ein Benutzerkonto namens WebSite.example den IIS-Prozess ausführt ('WebSite.example' ist der Name der Website im IIS).

Dieses Benutzerkonto existiert jedoch nicht, wenn ich versuche, Berechtigungen damit zu vergeben. Wie finde ich also heraus, welchem Benutzer ich die Berechtigungen geben sollte?

Siehe unten das Problem im Screenshot. Unsere Website (www.silverchip.co.uk) läuft unter dem Benutzernamen SilverChip.co.uk. Wenn ich jedoch Berechtigungen hinzufüge, existiert dieser Benutzer nicht!

Siehe AppPool Bild:

Answer 1

ApplicationPoolIdentity ist tatsächlich bewährte Praxis in IIS7+. Es handelt sich um ein dynamisch erstelltes, nicht privilegiertes Konto. Um die Dateisystem-Sicherheit für ein bestimmtes Anwendungspool hinzuzufügen, siehe IIS.net's "Anwendungspool-Identitäten". Die schnelle Version:

Wenn der Anwendungspool "DefaultAppPool" genannt wird (ersetzen Sie diesen Text unten einfach, wenn er anders benannt ist)

1. Öffnen Sie den Windows Explorer
2. Wählen Sie eine Datei oder Verzeichnis aus.
3. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie "Eigenschaften"
4. Wählen Sie den Tab "Sicherheit"
5. Klicken Sie auf "Bearbeiten" und dann auf "Hinzufügen"
6. Klicken Sie auf die Schaltfläche "Orte" und stellen Sie sicher, dass Sie die lokale Maschine auswählen. (Nicht die Windows-Domäne, wenn der Server zu einer gehört.)
7. Geben Sie "IIS AppPool\DefaultAppPool" in das Textfeld "Geben Sie die Objektnamen ein, um sie auszuwählen:" ein. (Vergessen Sie nicht, "DefaultAppPool" hier durch den Namen Ihres Anwendungspools zu ersetzen.)
8. Klicken Sie auf die Schaltfläche "Namen überprüfen" und dann auf "OK".

Answer 2

Denken Sie daran, den lokalen Namen des Servers zu verwenden, nicht den Domänennamen, wenn Sie den Namen auflösen

IIS AppPool\DefaultAppPool

(nur eine Erinnerung, weil mich das eine Weile aufgehalten hat):

Answer 3

Den Zugriff auf den IIS AppPool\YourAppPoolName-Benutzer zu geben, könnte mit den Standardkonfigurationen von IIS nicht ausreichen.

In meinem Fall hatte ich immer noch den Fehler HTTP Error 401.3 - Unauthorized, nachdem ich den AppPool-Benutzer hinzugefügt hatte, und es wurde nur behoben, nachdem Berechtigungen für den IUSR-Benutzer hinzugefügt wurden.

Dies ist erforderlich, da standardmäßig der anonyme Zugriff über den IUSR erfolgt. Sie können einen anderen spezifischen Benutzer festlegen, den Anwendungspool verwenden oder weiterhin den IUSR verwenden, aber vergessen Sie nicht, die entsprechenden Berechtigungen festzulegen.

Credits zu dieser Antwort: HTTP Error 401.3 - Unauthorized

Answer 4

Auf Windows Server 2008(r2) können Sie einem Ordner nicht über Eigenschaften-> Sicherheit die Anwendungspool-Identität zuweisen. Sie können dies jedoch über eine admin Eingabeaufforderung mit folgendem Befehl tun:

icacls "c:\yourdirectory" /t /grant "IIS AppPool\DefaultAppPool":(R)

Answer 5

Teil A: Konfigurieren Ihres Anwendungspools

Angenommen, der Anwendungspool heißt 'MeinPool' Gehen Sie im IIS-Manager zu 'Erweiterte Einstellungen' des Anwendungspools

1. Scrollen Sie zu 'Identität'. Wenn Sie versuchen, den Wert zu bearbeiten, wird ein Dialogfeld angezeigt. Wählen Sie 'Eingebauten Konto' und darunter 'Anwendungs-Pool Identität' aus.

2. Ein paar Zeilen unterhalb von 'Identität' sollten Sie 'Benutzerprofil laden' finden. Dieser Wert sollte auf 'True' gesetzt sein.

Teil B: Konfigurieren Ihrer Website

1. Name der Website: SiteName (nur ein Beispiel)
2. Physischer Pfad: C:\Whatever (nur ein Beispiel)
3. Verbinden als... : Anwendungsbenutzer (Durchlaufauthentifizierung) (Die oben genannten Einstellungen finden Sie in den 'Grundlegenden Einstellungen' der Website im IIS-Manager)
4. Nachdem Sie die Grundlegenden Einstellungen konfiguriert haben, suchen Sie in der Hauptkonsole der Website unter 'IIS' nach der Konfiguration für 'Authentifizierung'. Öffnen Sie diese. Dort sollte eine Option für 'Anonyme Authentifizierung' vorhanden sein. Stellen Sie sicher, dass sie aktiviert ist. Klicken Sie dann mit der rechten Maustaste und wählen Sie 'Bearbeiten...'. Wählen Sie 'Anwendungspool-Identität' aus.

Teil C: Konfigurieren Ihres Ordners

Der betroffene Ordner ist C:\Whatever

1. Gehen Sie zu Eigenschaften - Freigabe - Erweiterte Freigabe - Berechtigungen und setzen Sie ein Häkchen bei 'Diesen Ordner freigeben'
2. In demselben Dialogfeld finden Sie eine Schaltfläche 'Berechtigungen'. Klicken Sie darauf.
3. Ein neues Dialogfeld wird geöffnet. Klicken Sie auf 'Hinzufügen'.
4. Ein neues Dialogfeld 'Benutzer oder Gruppen auswählen' wird geöffnet. Stellen Sie sicher, dass unter 'Aus diesem Ort' der Name mit dem Ihres lokalen Host-Computers übereinstimmt. Geben Sie unter 'Objektnamen eingeben' 'IIS AppPool\MeinPool' ein und klicken Sie auf 'Namen überprüfen' und dann 'OK'
5. Geben Sie dem Benutzer 'MeinPool' volle Freigabeberechtigungen. Wenden Sie es an und schließen Sie die Ordner-Eigenschaften
6. Öffnen Sie die Ordner-Eigenschaften erneut. Gehen Sie dieses Mal zu Sicherheit - Erweitert - Berechtigung, und klicken Sie auf Hinzufügen. Es wird eine Option 'Hauptbenutzer auswählen' oben oder eine andere Option zum Auswählen eines Benutzers geben. Klicken Sie darauf.
7. Das Dialogfeld 'Benutzer oder Gruppen auswählen' wird erneut geöffnet. Wiederholen Sie Schritt 4.
8. Geben Sie dem Benutzer 'MeinPool' alle oder so viele Berechtigungen wie Sie benötigen.
9. Aktivieren Sie 'Alle untergeordneten Objektberechtigungen ersetzen..." und wenden Sie es an.

Jetzt sollten Sie die Website durchsuchen können