我有一个在 Windows Server 2012 R2 服务器上使用 IIS 托管的站点。该应用程序配置为使用以 NetworkService 帐户为应用程序池标识的应用程序池。该站点还配置为使用直通身份验证以及基本身份验证和 Windows 身份验证(根据开发人员规范)。
应该部署此应用程序,以便使用最终用户帐户来验证他们是否可以访问应用程序(用户列表保存在应用程序数据库中),并使用 NetworkService 帐户访问 WWW 根目录中的所有文件。但是,似乎最终用户帐户正在用于访问 WWW 目录中的文件。这仅适用于有权访问服务器的用户:授予特定用户对 WWW 目录的访问权限允许他们运行该应用程序。所有其他用户都会收到来自 IsapiModule 的 401.5 错误。
我如何配置该服务器,以便它使用应用程序用户身份而不是用于身份验证的传递帐户来访问磁盘上的文件?
答案1
禁用匿名身份验证并启用 Windows 身份验证。客户端计算机和服务器本身都需要加入同一个 AD 域才能正常工作。然后,您授予每个 AD 用户对 Web 根文件夹的读取/执行权限(NTFS 文件夹权限)- 身份验证将自动进行 - 用户要么获得 403 访问被拒绝,要么他们将看到该网站。应用程序池本身的身份现在在其中发挥作用(但是,不要使用网络服务,无论如何这都是不安全的实践,请切换到 ApplicationPoolIdentity)。
此外,为了管理对网站的访问,不要授予单个用户对 webroot 文件夹的直接读取/执行访问权限。相反,创建一个 AD 组,让所有需要该网站的用户成为该组的成员,然后授予该组对网站的读取/执行访问权限。