Unter Windows Server 2012 R2 läuft IIS unter normalen Bedingungen als Webserver. Die Webinhalte stammen jedoch nicht aus, c:\inetpub\wwwroot\sondern aus einem anderen Ordner. Die Webanwendungen laufen weiterhin unter ihrem eigenen Benutzer, der aus dem defaultAppPool stammt.
IIS_IUSRSIch habe tatsächlich vergessen , dem Ordner mit den Webinhalten jemals Lese-/Ausführungsrechte zu erteilen . Der Ordner hat usersjedoch Zugriff darauf gewährt. Ich habe nur IIS_IUSRSLese-/Ausführungs-/Schreibrechte hinzugefügt, wenn ein Unterordner beschreibbar sein muss.
Da ich die Sicherheit etwas erhöhen wollte, habe ich die Zugriffsrechte des Webinhaltsordners durchgesehen und durch Ausprobieren herausgefunden, dass jetzt der Zugriff für IIS_IUSRSfehlt, es aber der Zugriff für die usersGruppe ist, die dafür verantwortlich ist, dass alles noch funktioniert. Denn wenn ich den Zugriff für die Gruppe entferne users, funktioniert die Anwendung nicht mehr.
Ich habe versucht, einigen anderen Konten/Gruppen Zugriff zu gewähren, und habe herausgefunden, dass meine Anwendung läuft, wenn ich sowohl als auch einzeln Zugriff erteile. Das Erteilen von Zugriff funktioniert einfach usersnicht . Aber das Erteilen von Zugriff für meinen spezifischen Anwendungspoolbenutzer (EG ) funktioniert. Und genau das ist es, was ich will, da ich nicht möchte, dass eine Anwendung auf die Dateien einer anderen Anwendung zugreifen kann.IIS_IUSRSIIS APPPOOL\IISAPPPOOL\nl-x-homepage
Aber ich habe mich gefragt ... Wie funktionieren IIS-ähnliche Konten genau? Warum funktioniert die Zugriffserteilung usersauch für meinen Anwendungspool, um auf den Webinhaltsordner zuzugreifen? Ich kann meinen spezifischen Anwendungspoolbenutzer nicht im lusrmgr sehen, aber ich vermute, dass mein spezifischer Anwendungspoolbenutzer in der usersGruppe ist oder in einer anderen Gruppe, die in der usersGruppe ist. Kann das jemand bestätigen?
Und als letzte Frage zu diesem Thema: Um bestimmte Ordner „kennwortgeschützt“ zu machen, habe ich in Windows einen normalen Benutzer erstellt, diesen Benutzer aus der usersGruppe entfernt, bin im IIS-Manager zu diesem Ordner gegangen und habe „Authentifizierung -> Standardauthentifizierung -> Aktiviert“ ausgewählt und in den Authentifizierungsregeln eine Zulassungsregel für mein neu erstelltes Windows-Benutzerkonto festgelegt. Das funktioniert. Aber bei der Analyse des Lese-/Schreibzugriffs war ich überrascht, dass die Anwendung zwar unter dem Anwendungspoolbenutzer ausgeführt wird, der Anwendungspoolbenutzer jedoch nur Leserechte (keine Schreibrechte) benötigt und der neu erstellte Windows-Benutzer darüber hinaus sowohl Lese- als auch Schreibrechte haben muss, damit der Ordner beschreibbar ist. Kann jemand erklären, warum das so funktioniert?
Antwort1
Das Verhalten, das Sie feststellen, erscheint mir völlig logisch.
IIS_IUSRS ist eine Gruppe und kein Konto, dessen einziger Zweck darin besteht, seinen Mitgliedern die Zuweisung als App-Pool-Identitäten zu ermöglichen. Daher reicht das alleinige Hinzufügen nicht aus (wie Sie herausgefunden haben).
Die Gruppe „Benutzer“ enthält das ASPNET-Konto, das über genügend Berechtigungen verfügt, damit die Website funktioniert. Daher reichte es aus, es als Standardberechtigung hinzuzufügen. Ich glaube, dass das ASPNET-Konto dasjenige ist, das als DefaultAppPool verwendet wird.
Eine von einem Benutzer erstellte Datei oder ein Ordner hat immer Leseberechtigung, da der Ersteller der Eigentümer ist und alle Berechtigungen hat. Wenn ein anderer Benutzer die Datei oder den Ordner erstellt hat, hat es unter Windows nie funktioniert, nur Schreibberechtigungen ohne Leseberechtigung zu erteilen, da Lesezugriff erforderlich ist, um Berechtigungen und verfügbaren Speicherplatz usw. zu überprüfen, bevor man schreiben kann.
Antwort2
IIS_IUSRS ist die Gruppe der IIS-Arbeitsprozesskonten. Diese integrierte Gruppe hat Zugriff auf alle erforderlichen Datei- und Systemressourcen, sodass ein Konto, das dieser Gruppe hinzugefügt wird, nahtlos als Anwendungspoolidentität fungieren kann.
Wenn Sie mit der rechten Maustaste auf die Domäne klicken und „Berechtigungen bearbeiten“ öffnen, sollten Sie die aufgelisteten Gruppen und Berechtigungen sehen. Unter der Registerkarte „Sicherheit“ sehen Sie „MACHINE_NAME\IIS_IUSRS“ und auch „/Benutzer“. IIS hat automatisch nur Leseberechtigung für das Verzeichnis.
Für jeden Anwendungspool, den Sie erstellen, wird die Identity-Eigenschaft des neuen Anwendungspools standardmäßig auf ApplicationPoolIdentity festgelegt. Der IIS-Admin-Prozess (WAS) erstellt ein virtuelles Konto mit dem Namen des neuen Anwendungspools und führt die Arbeitsprozesse des Anwendungspools standardmäßig unter diesem Konto aus. Immer wenn ein neuer Anwendungspool erstellt wird, erstellt der IIS-Verwaltungsprozess eine Sicherheitskennung (SID), die den Namen des Anwendungspools selbst darstellt. Wenn Sie beispielsweise einen Anwendungspool mit dem Namen „MyFirstPool“ erstellen, wird im Windows-Sicherheitssystem eine Sicherheitskennung mit dem Namen „MyFirstPool“ erstellt. Von diesem Zeitpunkt an können Ressourcen mithilfe dieser Identität geschützt werden.Allerdings handelt es sich bei der Identität nicht um ein echtes Benutzerkonto; sie wird in der Windows-Benutzerverwaltungskonsole nicht als Benutzer angezeigt.. Dies ist das normale Verhalten. Wenn Sie Zugriff auf einen bestimmten Ordner gewähren möchten, fügen Sie diesen einfach dem Ordner hinzu, indem Sie die Berechtigungen bearbeiten. Sie müssen jedoch die Standardauthentifizierungskonfiguration (anonyme Identität) überprüfen und prüfen, ob die richtige Auswahl verfügbar ist, oder sie so konfigurieren, dass Zugriffsfehler vermieden werden.
Dieser Beitragbeantwortet die restlichen Fragen. Vererbung.
Offensichtlich benötigt der Windows-Benutzer, den Sie hier hinzufügen, Berechtigungen, da das Konto Berechtigungen von den erforderlichen Gruppen erben muss. Die Leseberechtigung ist hier von entscheidender Bedeutung. Sie ist jedoch für den Zugriff auf die lokalen Ressourcen gedacht.