如何为默认应用程序池标识分配活动目录权限

Question 1

你不需要。您可以为 IIS APPPOOL{应用程序池名称} 身份授予对本地资源的权限，具体如下：

在 Active Directory 中，身份需要是众所周知的安全主体、实际用户/组/计算机安全主体或外部/受信任的安全主体。

但是，如果您在 IIS AppPool 上使用网络服务身份，则应用程序池在访问网络资源时将使用 IIS 服务器的计算机帐户。在这种情况下，您可以将必要的权限授予 Active Directory 中的计算机帐户（domain\computername$）。

Answer

你不需要。您可以为 IIS APPPOOL{应用程序池名称} 身份授予对本地资源的权限，具体如下：

在 Active Directory 中，身份需要是众所周知的安全主体、实际用户/组/计算机安全主体或外部/受信任的安全主体。

但是，如果您在 IIS AppPool 上使用网络服务身份，则应用程序池在访问网络资源时将使用 IIS 服务器的计算机帐户。在这种情况下，您可以将必要的权限授予 Active Directory 中的计算机帐户（domain\computername$）。

Question 2

我在 AD 计算机上所做的是将控制权委托给运行托管应用程序的 IIS 的计算机。我只委托了“修改组成员身份”（或类似内容）类型的权限，并使我的解决方案发挥作用。

我的应用程序中有一个转折，即从 ADFS 获取 IPrincipal，因此我没有使用 Windows 身份验证，但除此之外，一切都运行良好。

遗憾的是 IISExpress 不能像 IIS 那样运行，因为这不是我第一次在生产过程中遇到问题。

Answer

我在 AD 计算机上所做的是将控制权委托给运行托管应用程序的 IIS 的计算机。我只委托了“修改组成员身份”（或类似内容）类型的权限，并使我的解决方案发挥作用。

我的应用程序中有一个转折，即从 ADFS 获取 IPrincipal，因此我没有使用 Windows 身份验证，但除此之外，一切都运行良好。

遗憾的是 IISExpress 不能像 IIS 那样运行，因为这不是我第一次在生产过程中遇到问题。

相关内容