기본 앱 풀 ID에 활성 디렉토리 권한을 할당하는 방법

9

기본 앱 풀 ID [IIS APPPOOL {application pool name}]에 활성 디렉토리 권한을 할당하려면 어떻게해야합니까?

웹 응용 프로그램이 활성 디렉토리 그룹, 사용자를 쿼리하고 특정 사용자 이름 또는 그룹 이름이 있는지 확인하기 위해이 작업을 수행하려고합니다.

감사.

active-directory  iis  application-pools 
사용자 2384219
소스

답변:

8

당신은하지 않습니다. 다음과 같은 로컬 리소스에 대한 IIS APPPOOL {app pool name} ID의 로컬 리소스에 대한 권한을 부여 할 수 있습니다.

ApplicationPoolIdentity 계정에 권한을 할당하는 방법

Active Directory에서 ID는 잘 알려진 보안 사용자, 실제 사용자 / 그룹 / 컴퓨터 보안 사용자 또는 외부 / 신뢰할 수있는 보안 사용자 여야합니다.

그러나 IIS AppPool에서 네트워크 서비스 ID를 사용하는 경우 응용 프로그램 풀은 네트워크 리소스에 액세스 할 때 IIS 서버의 컴퓨터 계정을 사용합니다. 이 경우 Active Directory의 컴퓨터 계정 (domain \ computername $)에 필요한 권한을 부여 할 수 있습니다.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities

그렉 비 스케
소스
2
ISS AppPool에서 네트워크 서비스 ID를 사용하면 예상대로 작동합니다. 그러나 "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" 의 설명서에는 " 응용 프로그램 풀 ID도 컴퓨터 계정을 사용하여 네트워크 리소스에 액세스하는 것이 좋습니다." 변경이 필요하지 않습니다. "그러나 응용 프로그램이 AD 쿼리를 시도하는 경우와 동일하게 동작하지 않습니다.
user2384219
그 누구도 완벽하지는 않다. 최소한 NetworkService가 작동합니다. apppool ID를 사용하는 것은 아마도 손상되었거나 제대로 문서화되지 않은 것일 수 있습니다.
Greg Askew
@GregAskew-앱 풀 ID는 네트워크 서비스 계정의 상위 집합으로 실행되므로 네트워크 리소스에 액세스 할 때 컴퓨터 이름으로 작동하지만 로컬에서 더 강력한 보안을 유지할 수 있습니다.
Erik Funkenbusch
1

AD 컴퓨터에서 내가 한 일은 응용 프로그램을 호스팅하는 IIS를 실행하는 컴퓨터에 제어 권한을 위임하는 것이 었습니다. 나는 "그룹 멤버쉽 수정"(또는 이와 유사한) 종류의 권한 만 위임하고 솔루션을 작동 시켰습니다.

ADFS에서 IPrincipal을 얻은 응용 프로그램이 왜곡되었으므로 Windows 인증을 사용하지 않았지만 모든 것이 잘 작동했습니다.

너무 나쁜 IISExpress는 IIS가 작동하는 방식으로 작동하지 않습니다. 프로덕션으로 갈 때 문제가 발생한 것은 이번이 처음이 아닙니다.

토미
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.