Derechos de usuario necesarios para el usuario del grupo de aplicaciones IIS 7.5 (usuario de dominio, no AppPoolIdentity)

Question

Tenemos un dominio de directorio activo (llamémoslo foodomain) y una cuenta de usuario de dominio (foodomain\fooAppPoolUser) utilizada para la identidad del grupo de aplicaciones IIS.

Queremos ejecutar el grupo de aplicaciones bajo esta cuenta de usuario y no bajo Network Service o el nuevo AppPoolIdentity ya que tenemos que acceder al servidor SQL y tener múltiples aplicaciones en IIS (con grupos de aplicaciones propias) accediendo a bases de datos diferentes.

El problema es que no puedo encontrar una explicación clara de CÓMO COMENTAR, qué derechos de usuario deben establecerse para esta cuenta de usuario y cómo debe configurarse IIS para que funcione.

Primero recibí errores (desafortunadamente no recuerdo cuáles), luego agregué fooAppPoolUser al grupo de administración local (Administrators, lo sé, era solo para probar), luego funcionó. Ahora eliminé al usuario nuevamente, reinicié IIS y todavía funciona.

Así que estoy un poco confundido y me gustaría saber cómo debe ser la configuración/configuración para que funcione.

Somwhere He leído que la cuenta debe tener el "Personificar un cliente después de la autenticación" derecho de usuario. Esa es la razón por la que agregué la cuenta al grupo de administración (la asignación de derechos de usuario está bloqueada a través de la política de grupo, pero con seguridad puede cambiarse si es realmente necesario.

Espero haber sido lo suficientemente claro sobre la pregunta y esperar a alguien tiene una respuesta

Answer 1

Es frustrante que esta información sea tan difícil de encontrar, ya que algunos administradores de seguridad parecen disfrutar el castigo cruel e inusual de cambiar las configuraciones de políticas predeterminadas para impedir la instalación de aplicaciones dentro de IIS.

Aquí es lo que creo que debe hacer para permitir una cuenta para trabajar como una identidad ApplicationPool:

• Run aspnet_regiis -ga DOMAIN\USER para agregar permisos de acceso a la metabase de IIS. (Exactamente qué significa eso, ¿quién sabe?) aspnet_regiis reference
• Agregar el usuario al grupo IIS_IUSRS. Esto se puede hacer de forma automática en función del ajuste processmodel.manualGroupMembership configuración de IIS, pero más fácil de añadir por sí mismo.
• Si la política de seguridad está utilizando Windows por defecto que está sobre él. Si la política de seguridad está bloqueado es posible que necesite habilitar los derechos de usuario específicos de la cuenta. Los que tienes por defecto para ApplicationPoolIdentities (que parece un buen lugar para empezar, pero no necesariamente todos los necesarios):
  • acceso a este equipo desde la red
  • Ajustar las cuotas de memoria para un proceso
  • Permitir inicio de sesión local
  • Omitir comprobación de recorrido
  • Generar auditoría de seguridad detallada
  • suplantar a un cliente tras la autenticación-(a menudo no av ailable por defecto en entornos bloqueados)
  • sesión como un trabajo por lotes - (A menudo no está disponible de forma predeterminada en entornos bloqueados)
  • iniciar sesión como un servicio - (soy no estoy seguro es necesario)
  • reemplazar un testigo de proceso
• Si está utilizando ventanas de autenticación y Kerberos (proveedor de Negotiate =) y luego dependiendo de la dirección URL y si autenticación de modo de núcleo está en que podría Necesitar configurar un SPN. Sugiero cambiar a NTLM si es posible. De lo contrario, consulte los artículos siguientes sobre SPN y encontrar un administrador de dominio amigable para añadirlos para usted.

lectura Diversión:

• Default permissions and user rights for IIS 7.0, 7.5, 8.0. Esta es la mejor referencia, vea los derechos de usuario en la parte inferior.
• User Rights (en Windows Server 2008, pero sigue siendo interesante y útil, ya que es un largo artículo puede CTRL + F para encontrar comentarios relacionados con IIS)
• User Rights Assignment en el servidor 2008 R2 +. Usted tiene que perforar en cada uno derecho a ver de qué se menciona acerca de IIS.
• How To: Create a Service Account for an ASP.NET 2.0 Application - lástima que no hay versión más reciente de este artículo.
• SPN Checklist for Kerberos on IIS7/7.5
• How to use SPNs - se aplica a IIS6 o a 7/8 si la autenticación en modo Kernel está desactivada.

Answer 2

Arjen,

Para los pasos de configuración en IIS, me gustaría echar un vistazo a Specify an Identity for an Application Pool (IIS 7) en TechNet

Answer 3

he encontrado el siguiente enlace respondió a una pregunta similar que tenía:.. http://www.iis.net/learn/manage/configuring-security/application-pool-identities

Básicamente, ApplicationPoolIdentity es una cuenta de usuario virtual que todavía se comporta como el SERVICIO DE RED, pero sin algunos de los inconvenientes; cada grupo de aplicaciones tiene su propia cuenta de ApplicationPoolIdenity creada con él.

También se puede encontrar información más detallada que también es específica de IIS 7.5 Application Pool Identities.

Answer 4

El motivo por el que funcionó su aplicación DESPUÉS de eliminar los derechos de administrador es que compiló la aplicación en la carpeta temporal Framework utilizando los derechos de administrador. Su aplicación funcionó después de eliminar los derechos de administrador porque la aplicación estaba compilada. Si actualiza su aplicación y requiere una recompilación, la cuenta del grupo de aplicaciones necesitará confianza nuevamente.

En primer lugar tengo errores (por desgracia no puedo recordar cuáles), y luego añadí fooAppPoolUser al grupo de administración local (Administradores, que sé, era sólo para pruebas), entonces funcionó. Ahora eliminé de nuevo al usuario, reinicié IIS y todavía funciona.