שאלה כיצד להקצות הרשאות לחשבון ApplicationPoolIdentity


ב- IIS 7 ב- Windows Server 2008, ניתן להפעיל את בריכות היישומים כחשבון "ApplicationPoolIdentity" במקום את חשבון NetworkService.

כיצד ניתן להקצות הרשאות לחשבון "ApplicationPoolIdentity" זה. הוא אינו מופיע כמשתמש מקומי במחשב. הוא אינו מופיע כקבוצה בשום מקום. שום דבר לא נראה כמו מקום. כאשר אני מחפש משתמשים מקומיים, קבוצות וחשבונות מובנים, הוא אינו מופיע ברשימה, וגם לא מופיע דבר דומה ברשימה. מה קורה?

אני לא היחיד עם בעיה זו: לראות בעיות עם ApplicationPoolIdentity ב- IIS 7.5 + Windows 7 לדוגמה.


"למרבה הצער, הגבלה על בורר האובייקטים ב- Windows Server 2008 / Windows Vista - כפי שמספר אנשים כבר גילו זאת, עדיין ניתן לשנות את ה- ACL עבור זהות App-Pool באמצעות כלי שורת פקודה כמו icacls.


252
2017-11-03 21:52






תשובות:


עדכון: השאלה המקורית היתה עבור Windows Server 2008, אבל הפתרון קל יותר עבור Windows Server 2008 R2 ו- Windows Server 2012 (ו- Windows 7 ו- 8). ניתן להוסיף את המשתמש דרך ממשק המשתמש NTFS על ידי הקלדת אותו ישירות. השם הוא בפורמט של IIS APPPOOL \ {שם הבריכה של האפליקציה}. לדוגמה: IIS APPPOOL \ DefaultAppPool.

IIS APPPOOL\{app pool name}

הערה: לפי ההערות למטה, יש שני דברים שכדאי לדעת:

  • הזן את המחרוזת ישירות לתוך "בחר משתמש או קבוצה" ולא בשדה החיפוש.
  • בסביבה תחום אתה צריך להגדיר את מיקום המחשב המקומי הראשון.

הפניה למאמר של Microsoft Docs: יישום זהויות בריכת> אבטחת משאבים

תשובה מקורית: (עבור Windows Server 2008) זוהי תכונה נהדרת, אבל כפי שהזכרת זה לא מיושם במלואו עדיין. תוכל להוסיף את זהות מאגר האפליקציות משורת הפקודה עם משהו כמו icacls, ואז תוכל לנהל אותו מה- GUI. לדוגמה, הפעל פריט כזה בשורת הפקודה:

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

לאחר מכן, בסייר Windows, עבור לתיקייה wwwroot וערוך את הרשאות האבטחה. תראה מה שנראה כמו קבוצה (סמל הקבוצה) בשם DefaultAppPool. כעת תוכל לערוך את ההרשאות.

עם זאת, אתה לא צריך להשתמש בזה בכלל. זה בונוס שאתה יכול להשתמש בו אם אתה רוצה. ניתן להשתמש בדרך הישנה ליצירת משתמש מותאם אישית לכל מאגר יישומים והקצאת המשתמש המותאם לדיסק. כי יש תמיכה מלאה בממשק המשתמש.

שיטה זו הזרקת SID הוא נחמד כי זה מאפשר לך להשתמש משתמש יחיד, אבל לחלוטין לבודד כל אתר אחד מהשני מבלי ליצור משתמשים ייחודיים עבור כל מאגר App. די מרשים, וזה יהיה אפילו טוב יותר עם תמיכה בממשק המשתמש.

הערה: אם אינך מצליח למצוא את משתמש מאגר היישומים, בדוק אם שירות Windows Help Assistant Help Helper Service פועל. זה השירות הממפה משתמשים מאגר יישומים לחשבונות Windows.


281
2017-11-04 03:07



זה סוג של חיה מוזרה כי זה לא כמו קבוצה שבה המשתמש חי בקבוצה, וזה לא כמו חשבון מחשב לעומת חשבון משתמש אשר שונים לחלוטין זה מזה. חשבון מאגר האפליקציות 'חופף' את זהות המשתמש של מאגר האפליקציות. לדוגמה, תוכל לקבל 5 בריכות אפליקציה באמצעות שירות רשת ו -5 משתמשים אחרים באמצעות חשבונות מותאמים אישית, אך הם 10 חשבונות שונים של מאגר אפליקציות המנוהלים על ידי המערכת. היתרונות הם שם לב עם c: \ inetpub \ temp \ appPools התיקייה שבה הוא מנוהל באופן אוטומטי נועל את המערכת בצורה נקייה. IIS ממנף אותם היטב. השימוש שלנו בתיקיות הוא אופציונלי. - Scott Forsyth - MVP
שים לב שאם אתה מזין את "IIS APPPOOL \ DefaultAppPool" ישירות לתוך "בחר משתמש או קבוצה" (במקום לחפש אותו) בעת עריכת הרשאות, הוא יוכח בסדר גמור (נבדק על Win7 x64 ו Win2k8 R2 x64). - Milan Gardian
אתה צודק עבור Win7 ו Win2k8 R2. זה לא היה מיושם Win2k8 RTM, אבל הוא R2. - Scott Forsyth - MVP
לבסוף יש את זה - אם אתה מקליד את שם הבריכה App ישירות כמו @ מילן גרדיאן אומר לעיל ו לשנות את השדה מיקום למכונה המקומית ואז זה עובד - Ciaran Bruen
תודה רבה לך על "שני הדברים להיות מודעים". הייתי מעידה על שני אלה, וזה היה הסבר ברור ופשוט של הבעיות וכיצד להשיג את מה שאני צריך. זה רק בושה אף אחד תיעוד MSDN היה ברור. - Ian Grainger


עליך לוודא שהשדה 'ממיקום זה' מוגדר למחשב המקומי ולא לדומיין.

היתה לי אותה בעיה ופעם אחת שיניתי שזה עובד בסדר.


21
2017-08-01 13:29





אתה באמת צריך להיות יצירת קבוצות לכל "תפקיד" והקצאת כי הקבוצה גישה על מערכת הקבצים. לאחר מכן, הוסף את מאגר האפליקציות לקבוצות ספציפיות לתפקיד, לפי הצורך. בדרך זו גם אם תסיר את מאגר האפליקציות במועד מאוחר יותר (והמשתמש הווירטואלי ילך פוף), אתה לא צריך לדאוג מחדש את כל ההרשאות, אתה פשוט להוסיף את מאגר App להחלפה לקבוצה הקיימת.


4
2018-06-14 17:42





לאחר קריאת @ Scott Forsyth - תשובה MVP ניסיתי להפעיל מחדש את יישום עוזר עוזר שירות. זה פתר את הבעיה בשבילי.


3
2017-12-04 11:05





אני רץ WS8 R2 ולא יכולתי להוסיף IIS APPPOOL\DefaultAppPool באמצעות Windows Explorer. הדרך היחידה שבה הוא עבד היתה דרך שורת הפקודה:

cacls [קובץ FILE] / T / E / G "IIS APPPOOL \ DefaultAppPool": C


0
2018-03-19 14:46



באופן מוזר, הייתי צריך לעשות "IIS AppPool \ DefaultAppPool" זה יתקבל. שימו לב למקרה המעורב - הכל באותיות רישיות, כפי שעשיתי בפעם הראשונה, לא התקבל מה- GUI. - Jeff McJunkin


אם שאלה זו היא על איך לבצע _sp_send_dbmail במסד נתונים msdb (באמצעות SQL שלח מסד נתונים מאוחסנים דואר ב MSdb), הנה קצת עבודה מסביב. הוסף את שם משתמש היישום .net של מסד הנתונים שלך (אשר מוגדר על מחרוזת החיבור שלך. נטו App) למשתמש msdb עם "DatabaseMailUserRole" תפקיד תפקיד


0
2017-07-25 00:50