SORU
25 Mart 2011, Cuma


AppPoolİdentity ve IIS dosya sistemi yazma erişimi izinleri

Burada IIS 7.5 ve araştırma ve bu şekilde bir yere alıyorum bu ASP.NET ile ilgili bir sorun. Herhangi bir yardım büyük mutluluk duyacağız.

Benim sorum: IIS ASP.NET 7.5, IIS ve/veya işletim sistemi tam güven altında çalışan web uygulaması C:\dump gibi bir klasöre yazma için izin yok. Nasıl açıkça eklemek zorunda değilim bu uygulama havuzu kullanıcı (bu durumda ApplicationPoolIdentity) için yazma erişimi.

Bu kadarını biliyorum:

  • 7.5, bir Uygulama Havuzu için varsayılan Kimlik IIS ApplicationPoolIdentity.
  • ApplicationPoolIdentity Windows kullanıcı hesabı adı verilen temsil "Uygulama Havuzu Uygulamahavuzuadı Uygulama Havuzu adıdır yaratılır, oluşturulur." IIS APPPOOL\Uygulamahavuzuadı
  • "Kullanıcı tarafından varsayılan IIS_IUSRS grubunun bir üyesidir.\Uygulamahavuzuadı IIS APPPOOL
  • Eğer Tam Güven altında çalıştırıyorsanız, web uygulamanızın dosya sistemi (C:\Users, C:\Windows, vb gibi klasörler hariç) birçok alanda yazabilir. Örneğin, uygulamanız, C:\dump gibi bazı klasörlere yazma yetkisine sahip olacak.
  • Varsayılan olarak, IIS_IUSRS grup veya C:\dump (en azından "Güvenlik" Windows Explorer sekmesi). ile görünür erişim için okuma ve yazma erişimi verilmez
  • Eğer varsa IIS_IUSRS, yazma erişimi varsa inkar klasör beklendiği gibi) yazmaya çalışırken bir SecurityException alacak.

Dikkate tüm bu alarak, nasıl erişim "IIS APPPOOL\Uygulamahavuzuadı" kullanıcı? verilen yaz yani W3wp.exe işlem bu kullanıcı olarak çalışır, Bu kullanıcı bir klasör için yazmak ne erişimine açık görünmüyor?

Lütfen not anlıyorum ihtimalle bu yapılan iyiliği için kolaylık, zamandan beri bir ağrı için, kullanıcı erişim için her klasör lazım yazmak için çalıştırıyorsanız altında Tam Güven. Eğer bu erişimi sınırlamak isterseniz, her zaman Orta Güven altında uygulamayı çalıştırabilirsiniz. Yol hakkında işletim sistemi bulma ilgileniyorum ve/veya IIS bu sistem erişim izni açık dosya var gibi gözüküyor hiçbir halde gerçekleşmesi için yazar sağlar.

CEVAP
26 Mart 2011, CUMARTESİ


ApplicationPoolIdentity Users grup üyeliği gibi IIS_IUSRS grup atanır. Bu biraz endişe verici, ancak görünebilir ilk bakışta Users grup biraz NTFS hakları sınırlıdır.

Deneyin ve C:\Windows klasöründe bir klasör oluşturun, örneğin, bunu yapamıyorsun bulabilirsiniz. ApplicationPoolIdentity hala windows sistem klasörleri, dosyaları (aksi halde başka nasıl alt işlemi dinamik olarak yüklemek mümkün olacak gerekli DLL) okumak gerekir.

c:\dump klasörüne yazmak için güçlü olmak hakkında gözlemleriniz konusunda. Eğer Gelişmiş Güvenlik Ayarları izinleri bakarsanız, şunları görürsünüz:

enter image description here

Bu Özel izin c:\ devralınan bakın:

enter image description here

Siteniz ApplicationPoolIdentity okuyabilir sebebi buyazınbu klasöre. Doğru c:\ sürücü devralınan.

Bir paylaşılan bir ortam nerede muhtemelen birkaç yüz siteleri, her biri kendi uygulama havuzu ve Uygulama Havuzu Kimliği, olur deposu site klasörleri bir klasör veya birimi bu oldu Users grup kaldırıldı ve izinleri ayarlamak gibi yalnızca Yöneticiler ve SİSTEM hesabı erişimi (miras).

Sonra tek tek IIS AppPool\[name] site kök klasörü gerektirir her gerekli izinleri atayın.

Ayrıca hassas dosyaları veya veri depoladığınız oluşturduğunuz herhangi bir klasör Users grup kaldırdık emin olmalısınız. Ayrıca yüklediğiniz herhangi bir uygulama c:\program files\[app name] kendi klasörlerinde hassas veri depolamak olmadığını ve kullanıcı profili klasörleri yerine kullandığınızdan emin olun.

Yani Evet, ilk bakışta ApplicationPoolIdentity gerekenden daha fazla hakları var gibi görünüyor, ama aslında grup üyeliği belirler. en fazla hakları vardır.

ApplicationPoolIdentity'in grup üyeliği Nano Process Explorer tool kullanılarak incelenebilir. İlgilendiğiniz Uygulama Havuzu Kimliği ile çalışan alt işlem (görüntülemek için sütunlar listesine User Name sütun eklemek gerekir:

enter image description here

Örneğin, IIS APPPOOL\900300 Uygulama Havuzu Kimliği olan bir havuz burada 900300 adında var. Doğru işlem için özellikleri tıklayarak ve gördüğümüz Güvenlik sekmesini seçebilirsiniz

enter image description here

Gördüğünüz gibi IIS APPPOOL\900300 Users grubunun bir üyesidir.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Absolute Zero(Programming Tutorials)

    Absolute Zer

    22 Kasım 2012
  • Edgar flores

    Edgar flores

    7 HAZİRAN 2006
  • MobileTechReview

    MobileTechRe

    6 HAZİRAN 2008