سؤال كيفية تعيين الأذونات إلى حساب ApplicationPoolIdentity


في IIS 7 على Windows Server 2008 ، يمكن تشغيل تجمعات التطبيقات كحساب "ApplicationPoolIdentity" بدلاً من حساب NetworkService.

كيف أقوم بتعيين الأذونات إلى حساب "ApplicationPoolIdentity" هذا. لا يظهر كمستخدم محلي على الجهاز. لا يظهر كمجموعة في أي مكان. لا شيء عن بعد يبدو وكأنه في أي مكان. عندما أتصفح للمستخدمين المحليين والمجموعات والحسابات المضمنة ، لا يظهر في القائمة ، ولا يظهر أي شيء مماثل في القائمة. ما الذي يجري؟

أنا لست الوحيد مع هذه المشكلة: انظر مشكلة في ApplicationPoolIdentity في IIS 7.5 + Windows 7 على سبيل المثال.


"هذا للأسف وجود قيود على منتقي الكائنات على Windows Server 2008 / Windows Vista - كما اكتشفها العديد من الأشخاص بالفعل ، فلا يزال بإمكانك التحكم في قائمة التحكم في الوصول لهوية تجمّع التطبيقات باستخدام أدوات سطر الأوامر مثل ICACLS".


252
2017-11-03 21:52


الأصل




الأجوبة:


تحديث: كان السؤال الأصلي لـ Windows Server 2008 ، ولكن الحل أسهل لنظامي التشغيل Windows Server 2008 R2 و Windows Server 2012 (و ​​Windows 7 و 8). يمكنك إضافة المستخدم من خلال واجهة مستخدم NTFS عن طريق كتابته مباشرة. الاسم موجود بتنسيق IIS APPPOOL \ {app pool name}. على سبيل المثال: IIS APPPOOL \ DefaultAppPool.

IIS APPPOOL\{app pool name}

ملاحظة: لكل تعليق أدناه ، هناك أمران يجب الانتباه لهما:

  • أدخل السلسلة مباشرة في "حدد المستخدم أو المجموعة" وليس في حقل البحث.
  • في بيئة المجال تحتاج إلى تعيين الموقع على جهاز الكمبيوتر المحلي أولاً.

مرجع إلى مقالة Microsoft Docs: هويات تجمع التطبيقات> تأمين الموارد

الرد الأصلي: (بالنسبة لنظام التشغيل Windows Server 2008) هذه ميزة رائعة ، ولكن كما ذكرت ، لم يتم تنفيذها بالكامل بعد. يمكنك إضافة هوية تجمع التطبيق من موجه الأوامر مع شيء مثل icacls ، ثم يمكنك إدارتها من واجهة المستخدم الرسومية. على سبيل المثال ، قم بتشغيل شيء مثل هذا من موجه الأوامر:

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

ثم ، في مستكشف Windows ، انتقل إلى المجلد wwwroot وقم بتحرير أذونات الأمان. سترى ما يشبه مجموعة (رمز المجموعة) تسمى DefaultAppPool. يمكنك الآن تعديل الأذونات.

ومع ذلك ، لا تحتاج إلى استخدام هذا على الإطلاق. إنها مكافأة يمكنك استخدامها إذا أردت. يمكنك استخدام الطريقة القديمة لإنشاء مستخدم مخصص لكل تجمع تطبيقات وتعيين المستخدم المخصص إلى القرص. يحتوي على دعم كامل لواجهة المستخدم.

طريقة حقن SID هذه لطيفة لأنها تسمح لك باستخدام مستخدم واحد ولكن عزل كل موقع بشكل كامل عن بعضها البعض دون الحاجة إلى إنشاء مستخدمين مميزين لكل تجمع تطبيقات. رائع جدًا ، وسيكون أفضل مع دعم واجهة المستخدم.

ملاحظة: إذا كنت غير قادر على العثور على مستخدم تجمع التطبيقات ، تحقق لمعرفة ما إذا كان يتم تشغيل خدمة Windows تسمى Application Host Helper Service. إنها الخدمة التي تقوم بتعيين مستخدمي تجمع التطبيقات إلى حسابات Windows.


281
2017-11-04 03:07



إنه نوع من الوحش الغريب نظرًا لأنه لا يشبه مجموعة حيث يعيش المستخدم في مجموعة ، ولا يشبه حساب كمبيوتر مقابل حساب مستخدم مختلف تمامًا عن الآخر. يتراكب حساب تجمع التطبيقات مع مستخدم هوية تجمّع التطبيقات. على سبيل المثال ، يمكنك الحصول على 5 تجمعات تطبيقات تستخدم خدمة الشبكة و 5 حسابات أخرى تستخدم حسابات مخصصة ، ولكنها 10 حسابات مختلفة لحسابات تجمّع تتم إدارتها بواسطة النظام. يتم ملاحظة المزايا مع المجلد c: \ inetpub \ temp \ appPools حيث تتم إدارته تلقائيًا ويقوم بتأمين النظام بشكلٍ نظيف. IIS تعزز لهم بشكل جيد. استخدامنا في المجلدات اختياري. - Scott Forsyth - MVP
لاحظ أنه إذا قمت بإدخال "IIS APPPOOL \ DefaultAppPool" مباشرة في "Select User or Group" (بدلاً من البحث عنه) عند تحرير الأذونات ، سيتم التعرف عليه بشكل جيد (تم اختباره على Win7 x64 و Win2k8 R2 x64). - Milan Gardian
أنت الصحيح ل Win7 و Win2k8 R2. لم يتم تنفيذها في Win2k8 RTM ، ولكن في R2. - Scott Forsyth - MVP
وأخيراً حصلت على هذا - إذا قمت بكتابة اسم تجمع التطبيقات مباشرة مثلMilan Gardian يقول أعلاه و تغيير حقل الموقع إلى الجهاز المحلي ثم يعمل - Ciaran Bruen
شكرًا جزيلاً على "شيئين يجب أن تدركهما". كنت أتعثر في كل من هذين ، وكان هذا شرح واضح وبسيط للمشاكل وكيفية تحقيق ما أحتاج إليه. كان من العار أن أيا من وثائق MSDN كان واضحا. - Ian Grainger


يجب التأكد من تعيين الحقل "من هذا الموقع" على الجهاز المحلي وليس على المجال.

كان لي نفس المشكلة ، وبمجرد أن غيرت أنها عملت بشكل جيد.


21
2017-08-01 13:29





يجب عليك فعلاً إنشاء مجموعات لكل "دور" وتعيين تلك المجموعة من الوصول إلى نظام الملفات. ثم أضف تجمع التطبيقات إلى مجموعات خاصة بالأدوار حسب الضرورة. بهذه الطريقة حتى إذا قمت بإزالة تجمع التطبيقات في وقت لاحق (ويذهب المستخدم الظاهري لوطي) ، لا داعي للقلق بشأن إعادة جميع الأذونات ، فما عليك سوى إضافة مجموعة التطبيقات البديلة إلى المجموعة الحالية.


4
2018-06-14 17:42





بعد قراءةScott Forsyth - الإجابة MVP حاولت إعادة تشغيل خدمة مساعد استضافة التطبيق. ذلك حل مشكلتي.


3
2017-12-04 11:05





كنت على التوالي WS8 R2 وأنا لا يمكن أن تضيف IIS APPPOOL\DefaultAppPool عبر مستكشف Windows. الطريقة الوحيدة التي نجحت بها كانت عبر سطر الأوامر:

cacls [FILE PATH] / T / E / G "IIS APPPOOL \ DefaultAppPool": C


0
2018-03-19 14:46



الغريب ، اضطررت إلى القيام "IIS AppPool \ DefaultAppPool" ليتم قبولها. لاحظ الحالة المختلطة - جميع الأحرف الكبيرة ، كما فعلت في المرة الأولى ، لم يتم قبولها من واجهة المستخدم الرسومية. - Jeff McJunkin


إذا كان هذا السؤال حول كيفية تنفيذ _sp_send_dbmail في قاعدة بيانات msdb (باستخدام إجراء SQL إرسال قاعدة البيانات إرسال تخزين في msdb) ، هنا بعض العمل. إضافة اسم مستخدم تطبيق .net لقاعدة البيانات الخاصة بك (والذي يتم تعريفه في سلسلة الاتصال الخاصة بك في تطبيق .net الخاص بك) إلى مستخدم msdb مع عضوية دور "DatabaseMailUserRole"


0
2017-07-25 00:50