Temos alguns aplicativos da Web em execução no IIS 6. Eles estão sendo executados no AppPool padrão, que é identicamente como serviço de rede.
Os aplicativos se conectam a uma instância local do SQL Server 2005 Express (SP2) e usam uma conexão confiável. O SQL Server também é executado com a identidade do Serviço de Rede.
Sem conceder permissões explícitas, nossos webapps podem consultar o banco de dados.
Como isso pode acontecer e quais permissões nosso aplicativo efetivamente possui?
Alguns pensaram:
Isso mais uma vez reforça o caso de não usar a conta NETWORK SERVICE para executar o SQL Server, pois você não sabe com que outros serviços está compartilhando a conta.
Seria melhor se você configurasse o SQL Server para ser executado em alguma outra conta. A conta local especial para o serviço do SQL Server funciona melhor - você pode usá-lo para conceder permissões extras ao SQL Server, caso elas sejam necessárias.
Se, depois de configurar o SQL Server para ser executado em uma conta diferente e remover o serviço de rede dos logins, você ainda poderá se conectar a partir do IIS e executar essa consulta enquanto estiver conectado a partir do IIS:
select * from sys.login_token
Em seguida, procure os GRUPOS DO WINDOWS e o LOGIN DO WINDOWS que tenham valor diferente de zero na coluna principal_id. Esse grupo ou login é como o IIS pode se conectar ao SQL Server.
Talvez as permissões tenham sido concedidas ao grupo IIS_WPG no SQL Server? Por padrão, a conta do Serviço de Rede (NTAUTHORITY \ NETWORK SERVICE) é um membro desse grupo.