Pregunta ¿Cómo puedo asignar permisos de directorio activo a la identidad de grupo de aplicaciones predeterminada?


¿Cómo puedo asignar un permiso de directorio activo a la identidad del grupo de aplicaciones predeterminado [IIS APPPOOL {nombre del grupo de aplicaciones}]?

Estoy tratando de hacer esto para habilitar una aplicación web, consultar los grupos de directorio activo, los usuarios y verificar la existencia de un nombre de usuario o grupo en particular.

Gracias.


8
2018-05-22 19:45


origen




Respuestas:


Usted no Puede otorgar permisos a los recursos locales para la identidad de la APELACIÓN de IIS {nombre del grupo de aplicaciones} para los recursos locales por:

Cómo asignar permisos a la cuenta ApplicationPoolIdentity 

En Active Directory, la identidad debe ser una principal de seguridad bien conocida, una principal de seguridad de usuario / grupo / computadora real o una principal de seguridad extranjera / confiable.

Sin embargo, si usa la identidad del Servicio de red en el IIS AppPool, el grupo de aplicaciones usará la cuenta de la máquina del servidor IIS cuando acceda a los recursos de la red. En ese caso, puede otorgar los permisos necesarios a la cuenta de la computadora (dominio \ computername $) en Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities 


7
2018-05-22 20:39



Cuando uso la identidad del servicio de red en ISS AppPool, funciona como se esperaba. Sin embargo, la documentación en "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" dice "La buena noticia es que las identidades del grupo de aplicaciones también usan la cuenta de la máquina para acceder a los recursos de la red. No se requieren cambios", pero obviamente no se está comportando igual que en el caso en el que la aplicación intenta realizar consultas de AD. - user2384219
Nadie es perfecto. Al menos NetworkService funciona. El uso de una identidad de agrupación de aplicaciones es probablemente algo que está roto o mal documentado. - Greg Askew
@GregAskew: las identidades del grupo de aplicaciones se ejecutan como superconjuntos de las cuentas del Servicio de red, de modo que cuando acceden a los recursos de la red funcionan como nombres de máquinas, pero también pueden tener una mayor seguridad local. - Erik Funkenbusch


Lo que hice en la computadora de AD fue delegar el control a la computadora que ejecuta el IIS que aloja la aplicación. Delegé solo el tipo de permisos "modificar la pertenencia a un grupo" (o algo así) y conseguí que mi solución funcionara.

Tuve un giro en mi aplicación que obtuvo IPrincipal de ADFS, por lo que no usé la autenticación de Windows, pero aparte de eso, todo funcionó bien.

Lástima que IISExpress no funcione de la manera en que funciona IIS, ya que no es la primera vez que tengo problemas al pasar a producción.


0
2017-09-17 12:03