DefaultAppPool Identity Account в IIS6
Мне нужно создать учетную запись пользователя A), которая не входит в группу IIS_WPG, которая будет выполнять запись в папки, а B) используется в качестве учетной записи удостоверения DefaultAppPool. Цель B заключается в предотвращении отправки анонимных HTTP-файлов с Сервера 1 на Сервер 2.
Я успешно создал учетную запись пользователя с установленным AppPool, но служба работает, только если она связана с IIS_WPG. Могу ли я создать аккаунт другого типа?
1 ответ
Вы не можете не иметь удостоверение пула, который не является членом IIS_WPG и быть удостоверением пула приложений. IIS_WPG Для группы настроено только правильное количество разрешений NTFS и привилегий пользователя, чтобы члены группы могли быть удостоверениями пула приложений.
См. IIS и встроенные учетные записи (IIS 6.0) и, в частности: Настройка удостоверения пула приложений в IIS 6.0 (IIS 6.0).
Если вы хотите настроить другую группу или пользователя с таким же минимальным набором разрешений, это будет идентично тому, что IIS_WPG есть.
Одна вещь, которую вы не должны делать, это назначить IIS_WPG Сгруппируйте любые разрешения в ваших веб-папках. IIS_WPG это просто удобная группа, позволяющая администраторам разрешать пользовательским учетным записям быть удостоверениями пула.
Права, которые вы должны назначать своим веб-папкам IIS, должны принадлежать самой учетной записи пула, где учетная запись пула также является анонимным пользователем сайта.
Или, если вы работаете с несколькими сайтами в одном и том же пуле, но нуждаетесь в разных анонимных идентификаторах, вы должны настроить дополнительные учетные записи Windows и установить их как анонимного пользователя.