Eu tenho um aplicativo ASP.NET MVC 5 em execução no IIS 8.0. O pool de aplicativos está sendo executado no usuário do domínio, f.i. IISPoolUser . Autenticação anônima também usa essa identidade.
Eu dei permissões de controle total na pasta do pool raiz ( C:\inetpub\wwwroot ) e tudo funcionou bem.
Agora, desejo ativar a autenticação do Windows. Quando alguém (f.i., WebUser ) tenta acessar esse aplicativo, ele obtém o diálogo de prompt de login e, em seguida, obtém 401 Unathorized - erro "Acesso negado devido a credenciais inválidas". Um navegador envia cabeçalhos de autenticação adequados - o problema está relacionado ao acesso ao diretório.
Se eu der permissão ao usuário WebUser para a pasta C:\inetpub\wwwroot , funcionará bem. A representação do ASP.NET está desativada.
Por que o IIS usa a identidade WebUser para acessar o diretório? Desejo que o IIS acesse essa pasta como identidade do pool de aplicativos - IISPoolUser . Como fazer isso? Eu não quero adicionar todos às permissões de diretório, porque soa errado, em geral - eu só quero permitir modificar este diretório através do meu aplicativo IIS.
Você deve conceder permissões de leitura ao grupo YOURDOMAIN\Domain Users
Você não deve dar permissão de leitura a todos por motivos óbvios de segurança.
O IIS usa a representação para acessar a pasta e, se os usuários do domínio não tiverem permissão de leitura para essa pasta, continuarão recebendo a solicitação de senha e receberão o erro 401 na terceira tentativa.