Bagaimana cara menetapkan izin direktori aktif ke identitas kumpulan aplikasi default

9

Bagaimana cara menetapkan izin direktori aktif ke identitas kumpulan aplikasi default [IIS APPPOOL {nama kumpulan aplikasi}]?

Saya mencoba melakukan ini untuk mengaktifkan kueri aplikasi web grup direktori aktif, pengguna dan memeriksa keberadaan nama pengguna tertentu atau nama grup.

Terima kasih.

active-directory  iis  application-pools 
pengguna2384219
sumber

Jawaban:

8

Kamu tidak. Anda dapat memberikan izin ke sumber daya lokal untuk identitas IIS APPPOOL {nama kumpulan aplikasi} untuk sumber daya lokal per:

Cara menetapkan izin ke akun ApplicationPoolIdentity

Dalam Active Directory, identitas harus berupa prinsip keamanan terkenal, prinsip keamanan pengguna / grup / komputer yang sebenarnya, atau prinsip keamanan asing / tepercaya.

Namun, jika Anda menggunakan identitas Layanan Jaringan pada IIS AppPool, kumpulan aplikasi akan menggunakan akun mesin dari server IIS saat mengakses sumber daya jaringan. Dalam hal ini, Anda dapat memberikan izin yang diperlukan ke akun komputer (domain \ computername $) di Direktori Aktif.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Greg Askew
sumber
2
Ketika saya menggunakan identitas Layanan Jaringan pada ISS AppPool berfungsi seperti yang diharapkan. Namun, dokumentasi di "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" mengatakan "Kabar baiknya adalah bahwa identitas Pool Aplikasi juga menggunakan akun mesin untuk mengakses sumber daya jaringan. Tidak diperlukan perubahan. ", Tapi itu jelas tidak berperilaku sama seperti dalam kasus di mana aplikasi mencoba untuk membuat pertanyaan AD.
user2384219
Tidak ada yang sempurna. Setidaknya NetworkService berfungsi. Menggunakan identitas apppool mungkin adalah sesuatu yang rusak atau tidak terdokumentasi dengan baik.
Greg Askew
@GregAskew - Identitas App Pool dijalankan sebagai superset dari akun Layanan Jaringan, jadi ketika mereka mengakses sumber daya jaringan mereka bekerja sebagai nama mesin, tetapi mereka juga dapat memiliki keamanan yang lebih ketat secara lokal.
Erik Funkenbusch
1

Apa yang saya lakukan pada komputer AD adalah mendelegasikan kontrol ke komputer yang menjalankan IIS yang menjadi hosting aplikasi. Saya hanya mendelegasikan "modifikasi keanggotaan grup" (atau sesuatu seperti itu) dan membuat solusi saya berfungsi.

Saya memiliki twist dalam aplikasi saya yang mendapat IPrincipal dari ADFS jadi saya tidak menggunakan auth Windows tetapi selain itu semuanya bekerja dengan baik.

Sayang sekali, IISExpress tidak berfungsi sebagaimana fungsi IIS karena ini bukan pertama kalinya saya mendapat masalah saat akan diproduksi.

Tommi
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.