如何将活动目录权限分配给默认应用程序池标识 [IIS APPPOOL{应用程序池名称}]?
我正在尝试这样做以启用 Web 应用程序查询活动目录组、用户并检查特定用户名或组名是否存在。
谢谢。
答案1
你不需要。您可以为 IIS APPPOOL{应用程序池名称} 身份授予对本地资源的权限,具体如下:
如何向 ApplicationPoolIdentity 帐户分配权限
在 Active Directory 中,身份需要是众所周知的安全主体、实际用户/组/计算机安全主体或外部/受信任的安全主体。
但是,如果您在 IIS AppPool 上使用网络服务身份,则应用程序池在访问网络资源时将使用 IIS 服务器的计算机帐户。在这种情况下,您可以将必要的权限授予 Active Directory 中的计算机帐户(domain\computername$)。
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
答案2
我在 AD 计算机上所做的是将控制权委托给运行托管应用程序的 IIS 的计算机。我只委托了“修改组成员身份”(或类似内容)类型的权限,并使我的解决方案发挥作用。
我的应用程序中有一个转折,即从 ADFS 获取 IPrincipal,因此我没有使用 Windows 身份验证,但除此之外,一切都运行良好。
遗憾的是 IISExpress 不能像 IIS 那样运行,因为这不是我第一次在生产过程中遇到问题。