Que permissão (s) requer uma identidade de pool de aplicativos para gerenciar outros pools de aplicativos?

1

Eu tenho um site (usado para gerenciar várias partes do nosso software) que precisa das permissões necessárias para iniciar / parar outros pools de aplicativos.

Eu criei um usuário e defini a identidade do pool de aplicativos como personalizada, no entanto, o aplicativo da Web ainda não pode iniciar / interromper os pools de aplicativos. Eu recebo o seguinte erro:

System.UnauthorizedAccessException: Filename: redirection.config
Error: Cannot read configuration file due to insufficient permissions
   at Microsoft.Web.Administration.Interop.AppHostWritableAdminManager.GetAdminSection(String bstrSectionName, String bstrSectionPath)
   at Microsoft.Web.Administration.Configuration.GetSectionInternal(ConfigurationSection section, String sectionPath, String locationPath)
   at Microsoft.Web.Administration.ServerManager.get_ApplicationPoolsSection()
   at Microsoft.Web.Administration.ServerManager.get_ApplicationPools()

Discussão aqui sugere configurar o pool de aplicativos para o sistema local ou administrador, isso funciona, mas não t deseja fazer isso por motivos de segurança (suporte externo precisará acessar este site).

Eu dei ao usuário permissões mais altas ( como sugerido aqui ) , começando por fazer parte do grupo de administradores locais, mas inicialmente isso não funcionou, e dar permissão de leitura / gravação / mod ao usuário em C: \ Windows \ System32 \ inetsrv \ config também não funcionou. Eu devo ter feito algo errado como administrador local agora funciona, no entanto, isso ainda não é o que eu quero.

Então, alguém pode sugerir as permissões que preciso adicionar a esse usuário e como posso aplicá-las?

Uma resposta meu problema (mas pergunta diferente) está aqui , mas para esclarecer, eu acho que preciso dar um usuário individual "IIS Runtime Operation Permissions", alguém sabe como fazer isso, se de fato esta é a permissão que eu preciso?

    
por Mr Shoubs 08.11.2012 / 15:13

1 resposta

2

Se o que você está tentando é permitir que eles digam Reciclar um Pool de Aplicativos ou executar qualquer operação de tempo de execução (Iniciar, Parar, consultar status etc.), será necessário fazer parte do grupo Administradores. Isso ocorre porque a API do RSCA está protegida para permitir somente membros do grupo Administradores.

Como sugerido na pergunta vinculada, você pode configurar os arquivos de configuração do ACL (e o diretório, e até mesmo as chaves de criptografia) para ler / gravar configurações, mas para permitir o acesso em tempo de execução, é necessário modificar as permissões do DCOM para nossa API do RSCA. / p>

Provavelmente, em vez disso, sugiro que você proteja as ações do seu site que precisam apenas de uma conta de administrador antes de executar o código necessário. Você também pode considerar a implementação do padrão Gatekeeper, em que as ações altamente privilegiadas são expostas somente em um aplicativo em execução como Administrador e que uma delas é protegida para ser acessada somente por endereços IP conhecidos e limitados e exige autenticação strong. site.

    
por 11.01.2013 / 03:14