É possível usar as identidades do pool de aplicativos do IIS 7 em um controlador de domínio de 2008

3

Então, deixe-me colocar o aviso de isenção primeiro: eu normalmente não coloco o IIS em um controlador de domínio, mas é o que eu tenho e não posso mudar isso nesse caso.

Eu tenho um serviço da web do WCF que preciso hospedar aqui. Eu gostaria de poder usar uma identidade de pool de aplicativos do IIS para conceder permissões de sistema de arquivos, bem como permissões de inicialização e ativação em serviços de componentes. Não consigo encontrar a conta ao procurar por ele, selecionando "IIS AppPool \ DefaultAppPool".

Alguém sabe se isso é possível em um controlador de domínio 2008R2?

    
por Chris A. Waters 20.01.2012 / 14:48

2 respostas

6

A concessão de permissões à Identidade do Pool de Aplicativos por meio da interface do usuário no Windows 2008R2 pode ser um pouco propensa a não funcionar de vez em quando, mas pode ser obtida usando algumas ferramentas de linha de comando.

Permissões NTFS:

Use a ferramenta de linha de comando ICACLS para definir o NTFS permissões:

icacls c:\wwwroot /grant "IIS AppPool\DefaultAppPool":(CI)(OI)(M)

O item acima configura a identidade DefaultAppPool para ter permissões Modificar em c:\wwwroot com herança de Arquivo e Pasta. Na interface do usuário, parece:

esobaspermissõesUIavançada:

Lançamento do DCOM e permissões de ativação e acesso:

Novamente, a interface do usuário pode ser um pouco complicada quando se trata de IIS AppPool\<ident> contas e não há nenhuma ferramenta de linha de comando integrada para configurar Permissões de inicialização e ativação e Permissões de acesso . Você pode tentar definir esses valores no registro mas, a menos que você saiba como criar uma ACL serializada para LaunchPermission e AccessPermission vai ser difícil.

Nem tudo está perdido. Há uma ferramenta chamada dcomperm.exe , incluída como um projeto de exemplo no Microsoft Windows SDK para Windows 7 e o .NET Framework 4 .

Este sujeito escreveu sobre isso aqui:

Another step closer to the 100% scripted SharePoint installation with DcomPerm.exe

Você pode tentar e criar você mesmo ou baixar um binário pré-criado seu Microsoft Live SkyDrive.

Para usar dcomperm.exe , você precisará saber o AppID do seu aplicativo DCOM. Você pode fazer isso localizando-o na guia Geral das propriedades de configuração do DCOM do seu aplicativo. Por exemplo, eu escolhi a biblioteca IIS CertObj como um exemplo de trabalho.:

VocêpodecolocarocursornocampoIDdoaplicativoeselecionartodoocampo,alémdeincluiraschavestambém.

Emseguida,abraumpromptdelinhadecomando(executandocomoAdministrador).Paraconcederàsuaidentidadedopooldeaplicativospermissõesdeinicializaçãolocaleativaçãolocal,vocêexecutaria:

DComPerm.exe-al{62B8CCBE-5A45-4372-8C4A-6A87DD3EDD60}set"IIS AppPool\DefaultAppPool" permit level:ll,la

Onde:

  • -al = Modifique ou liste a permissão de ativação e lançamento

  • {62B8CCBE-5A45-4372-8C4A-6A87DD3EDD60} = o ID do aplicativo que copiamos da interface do DCOMCNFG

  • set "IIS AppPool\DefaultAppPool" = definir essa identidade

  • permit = definir o sinalizador de permissão

  • ll = Lançamento local

  • la = Ativação local

Parece o seguinte na interface do usuário:

    
por 22.01.2012 / 02:18
1

Parece que, se você estiver executando um nível funcional de domínio anterior a 2008, as contas internas do IIS não poderão ser resolvidas a partir da GUI.

Aumente o nível funcional do domínio para pelo menos 2008 ou tente executar o JScript fornecido pela Microsoft em KB946139

Observe também que os aplicativos da Web em execução em controladores de domínio NÃO são recomendados. Veja alguns motivos: link

Isto diz respeito a problemas com o IIS 6 / Windows 2k3, mas alguns deles ainda são verdadeiros, por exemplo. o problema DCPROMO

    
por 22.01.2012 / 03:06