IIS sem domínio usando o usuário do domínio para a identidade do AppPool?

4

Existe alguma maneira de obter o IIS7 em um computador sem domínio (uma VM de desenvolvimento do Windows 7 nesta instância) para usar uma conta de domínio para uma identidade do AppPool? Eu posso inserir as credenciais (domínio / nome de usuário, etc.), mas o AppPool gera um erro sobre a conta não ter "direitos de logon em lote".

Não consigo encontrar nada no Google para me ajudar a descobrir isso, por isso estou a pensar que poderá não ser possível.

    
por sliderhouserules 31.10.2011 / 19:30

2 respostas

2

Isto parece-me quase impossível. "Ingressar em um domínio" cria um relacionamento baseado em confiança entre o computador (objeto) e o domínio (serviços).

Por exemplo, a maneira mais fácil de ajustar os direitos de um usuário é utilizar a Política de Segurança Local (configurações de segurança / políticas locais mmc snapin).

Mas você pode usar ntrights.exe . Eu tenho um único domínio aqui, mas testar uma situação semelhante é fácil:

Estou no COMPUTERA. Eu criei uma conta dummyuser no COMPUTERB (também conhecido como o usuário é computerb \ dummyuser)

Quando eu corro:

NTRIGHTS +r SeBatchLogonRight -u computerb\dummyuser

Eu recebo um erro:

Granting SeBatchLogonRight to computerb\dummyuser ... failed (GetAccountSid(computerb\dummyuser)=1332

C:\>net helpmsg 1332 retorna: No mapping between account names and security IDs was done.

Isso é bem simples. Mesmo sendo executado como um usuário que é um administrador de domínio (portanto, esse usuário é inerentemente parte do grupo Administradores local no computerb), a credencial para a qual estou executando a operação não passará.

Uma boa maneira de testar isso é simples ... na sua execução de VM:

runas /user:domain\administrativeuser cmd.exe

Espero que isso falhe com 1326: Logon failure: unknown user name or bad password, , pois a máquina local não sabe o que é domain e / ou definitivamente não é confiável.

O que isso tudo realmente significa é que, independentemente de você obter a entrada lá ou não, o computador local não sabe e não saberá quem é o usuário quando ele tentar qualquer operação, a menos que possa autenticar esse usuário em um banco de dados. para qual é parte (o AD do seu domínio).

Gostaria de ver se mais alguém tem uma solução.

    
por 31.10.2011 / 21:14
2

Por que você precisa usar um usuário de domínio como o ID do pool de aplicativos?

Você poderia criar uma conta de usuário local espelhada e usá-la, e se ela precisasse obter credenciais de fora da caixa, ela poderia usá-las ...

Mas há outras características importantes de ser um usuário de domínio que isso não conseguirá capturar.

Não consigo pensar em um bom caso de uso para isso; por que não apenas juntar a VM ao domínio?

    
por 01.11.2011 / 02:18

Tags