Permisos de identidad del grupo de aplicaciones de IIS 7

9

En la línea de esta pregunta.

Otras preguntas han tocado esto, pero obtengamos una respuesta completa:

  1. ¿Qué permisos específicos son necesarios para un sitio genérico de IIS 7 con un usuario de dominio como identidad del grupo de aplicaciones?

  2. ¿Qué permisos específicos son necesarios para un sitio ASP.NET IIS 7 con un usuario de dominio como identidad del grupo de aplicaciones?

  3. ¿Hay algún truco / atajo para aplicar estos permisos?
iis iis-7 asp.net application-pools sh-beta
fuente

Respuestas:

11

Si configura la configuración de autenticación anónima de su sitio web para usar la identidad del grupo de aplicaciones, entonces solo necesita otorgar acceso a la identidad del grupo de aplicaciones, a menos que tenga una sección del sitio que no use autenticación anónima, en cuyo caso también debe otorgar Los usuarios autenticados acceden. Recomiendo esa configuración. Es refrescante no tener que administrar una cuenta de identidad del grupo de aplicaciones más una cuenta anónima.

Si no está escribiendo en el disco, solo lista / lectura es todo lo que se necesita. Si necesita escribir algo en el disco, también deberá otorgar permisos de escritura.

Para el n. ° 3, si es solo 1 servidor, puede hacerlo desde el Administrador IIS y los permisos NTFS. Si planea hacer una secuencia de comandos para varios servidores, infórmenos y podemos brindarle más detalles.

Scott Forsyth - MVP
fuente
Gracias por la respuesta Scott. ¿Está diciendo que todo lo que tiene que hacer para IIS 7 es agregar al usuario como ID de grupo de aplicaciones? No hay "Inicio de sesión como servicio" o requisitos similares? ¿Concederle acceso a la metabase o cualquier otra cosa que aspnet_regiis -ga haga para IIS 6?
sh-beta
No, ya no. Con IIS6 tenía que agregar al grupo IIS_WPG, que se ocupó de todos esos permisos, pero con IIS7, el usuario de identidad se agrega automáticamente al grupo IIS_WPG en tiempo real. Entonces, solo agregue el usuario a la configuración del grupo de aplicaciones, concédale acceso al disco y estará listo.
Scott Forsyth - MVP
@ Scott Forsyth: lo hice (creé un usuario, incluso lo agregué a IIS_USERS, le di permisos a la carpeta y configuré el grupo de aplicaciones), y obtengo excepciones de seguridad. Cuando configuro el grupo de aplicaciones en NetworkService todo funciona, pero quiero que cada uno de los sitios alojados en el servidor con una cuenta de usuario aislada. ¿Alguna idea? IIS7.5 por cierto
Ken Egozi
3
Ken, el mejor aislamiento es dar a cada sitio su propio grupo de aplicaciones y luego otorgar permisos para el grupo de aplicaciones. Si usa ApplicationPoolIdentity, puede asignar los permisos del grupo de aplicaciones en el disco. El usuario se ve así: IIS AppPool \ {nombre del grupo de aplicaciones}. learn.iis.net/page.aspx/624/application-pool-identities .
Scott Forsyth - MVP
La identidad de la aplicación del grupo de aplicaciones no es válida. El nombre de usuario o la contraseña especificados para la identidad pueden ser incorrectos o el usuario puede no tener derechos de inicio de sesión por lotes. Si la identidad no se corrige, el grupo de aplicaciones se deshabilitará cuando el grupo de aplicaciones reciba su primera solicitud. Si los derechos de inicio de sesión por lotes están causando el problema, la identidad en el almacén de configuración de IIS debe cambiarse después de que se hayan otorgado los derechos antes de que el Servicio de activación de procesos de Windows (WAS) pueda volver a intentar el inicio de sesión ...
Triynko