Comment puis-je attribuer une autorisation Active Directory à l'identité du pool d'applications par défaut


9

Comment attribuer une autorisation Active Directory à l'identité du pool d'applications par défaut [IIS APPPOOL {nom du pool d'applications}]?

J'essaye de faire ceci pour permettre à une application Web de rechercher des groupes Active Directory, des utilisateurs et de vérifier l'existence d'un nom d'utilisateur ou d'un nom de groupe particulier.

Merci.

Réponses:


8

Non. Vous pouvez conférer des autorisations aux ressources locales pour l'identité IIS APPPOOL {nom du pool d'applications} pour les ressources locales par:

Comment attribuer des autorisations au compte ApplicationPoolIdentity

Dans Active Directory, l'identité doit être soit un principal de sécurité bien connu, un principal de sécurité utilisateur / groupe / ordinateur réel, soit un principal de sécurité étranger / approuvé.

Toutefois, si vous utilisez l'identité du service réseau sur IIS AppPool, le pool d'applications utilisera le compte d'ordinateur du serveur IIS lors de l'accès aux ressources réseau. Dans ce cas, vous pouvez conférer les autorisations nécessaires au compte d'ordinateur (domaine \ nom_ordinateur $) dans Active Directory.

http://www.iis.net/learn/manage/configuring-security/application-pool-identities


2
Lorsque j'utilise l'identité du service réseau sur ISS AppPool, cela fonctionne comme prévu. Cependant, la documentation sur "http://www.iis.net/learn/manage/configuring-security/application-pool-identities" indique "La bonne nouvelle est que les identités du pool d'applications utilisent également le compte d'ordinateur pour accéder aux ressources réseau. Aucune modification n'est requise. ", Mais il ne se comporte évidemment pas de la même manière que dans le cas où l'application tente d'effectuer des requêtes AD.
user2384219

Personne n'est parfait. Au moins NetworkService fonctionne. L'utilisation d'une identité Apppool est probablement quelque chose de cassé ou de mal documenté.
Greg Askew

@GregAskew - Les identités du pool d'applications s'exécutent en tant que sur-ensembles de comptes de service réseau. Ainsi, lorsqu'ils accèdent aux ressources réseau, ils fonctionnent comme des noms de machine, mais ils peuvent également bénéficier d'une sécurité renforcée localement.
Erik Funkenbusch

1

Ce que j'ai fait sur l'ordinateur AD était de déléguer le contrôle à l'ordinateur exécutant IIS hébergeant l'application. J'ai délégué uniquement des autorisations de type "modifier l'appartenance au groupe" (ou quelque chose comme ça) et j'ai fait fonctionner ma solution.

J'ai eu une torsion dans mon application qui a obtenu IPrincipal d'ADFS, donc je n'ai pas utilisé l'authentification Windows, mais à part ça, tout fonctionnait très bien.

Dommage que IISExpress ne fonctionne pas comme IIS fonctionne car ce n'est pas la première fois que je rencontre des problèmes lors de la mise en production.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.