在 Windows Server 2003/IIS6 中,我们通常创建一个应用程序池,该应用程序池以 AD 帐户的身份运行,该帐户仅为此目的而创建,并具有最低权限。该同一域用户还将被授予对 SQL Server 的访问权限,以便该应用程序池中的任何 ASP.NET 应用程序都能够使用 Integrated Security=SSPI 连接到 SQL Server。
我们正在勇敢地迈向 Windows Server 2008 R2/IIS7.5 的世界,并希望复制此模型,但我正在努力解决如何让 IIS7.5 中的应用程序池以 AD 帐户的身份运行的问题?我知道这听起来很简单,希望它确实如此,但到目前为止我的尝试都没有结果。
- 应用程序池标识是否应该是域帐户的“自定义帐户”?
- 域帐户是否需要添加到任何组?
答案1
是的,域帐户将添加到自定义帐户下:在高级设置 -> 身份下。以下信息来自了解 IIS 7.0 中的内置用户和组帐户
IIS 7.0 在运行时自动将 IIS_IUSRS 成员身份添加到工作进程令牌中。这样,已定义为“应用程序池标识”运行的帐户不再需要明确成为 IIS_IUSRS 组的一部分。
如果您想要禁用此功能并手动将帐户添加到 IIS_IUSRS 组,请通过将 manualGroupMembership 值设置为“true”来禁用此新功能。以下是如何对 defaultAppPool 执行此操作的示例:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools >
答案2
IIS7经过几次迭代后,我在添加自定义帐户时遇到了同样的问题。
我回到Control Panel--> User Accounts--> Manage User Accounts--> Advanced--> Users,double click输入要添加为自定义帐户的用户名,并确保该帐户未被禁用或锁定。将设置更改为密码永不过期后,它运行正常