IIS 8.5, 권한 및 감사와 관련하여 특정 문제가 있습니다. KanboardPool ID로 실행되는 PHP 응용 프로그램이 있고 응용 프로그램 'data' 폴더에 대한 권한을 'IIS APPPOOL\KanboardPool'로 올바르게 설정하여 모든 권한을 부여했습니다.
또한 IIS_IUSRS를 부모를 포함하여 동일한 폴더에서 읽기, 실행 및 나열로 설정했습니다. 에 관계없이; 여전히 권한 거부 실패가 발생합니다.
운이 좋지 않은 채 파일 액세스 실패를 감사하려고 했습니다. 먼저 GPO 도메인 정책 -> 컴퓨터 구성 -> Windows 설정 -> 보안 설정 -> 고급 감사 -> 파일 액세스 성공 및 실패 감사를 통해 이루어졌습니다. 감사 실패를 기록하지 않았습니다. 어떤 이유로든 도메인 컨트롤러 정책과 마지막으로 로컬 정책을 통해 동일한 절차를 수행합니다. 감사 정책 변경이 추가된 다음 나중에 연속적으로 제거됩니다.
ACL을 통해 선택된 Principal 'IIS APPPOOL\KanboardPool'에 대해 효과적인 액세스 테스트를 실행했는데 성공적으로 통과했습니다. 이제 나만 당황한 걸까?
답변1
이 문제를 특히 진단하기 어렵게 만든 이유는 다음과 같은 환경에서 재현이 불가능했기 때문입니다.기본 웹사이트. 동일한 신청서를 신원 아래에 배치했을 C:\inetpub\wwwroot\subfoldeer\phpapplication때 DefaultAppPool.
간단하게 추가하니 너무 편했어요완전한 통제하에있는for C:\inetpub\wwwroot\subfolder\phpapplication\data그리고 DefaultAppPool그것은 단순히 작동했습니다.
읽고 나서http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls; fcgi.impersonate에서 켜져 있음 php.ini; 인증된 사용자를 자동으로 가장합니다. Viola는 이 기능을 끄고 PHP 프로세스가 AppPoolIdentity를 가정하고 예상대로 작동하도록 했습니다.
KanboardPool에 대한 파일 액세스 오류가 발생하지 않는 이유를 설명합니다. 그러나 fcgi.impersonate아래에서 켜져 있는 동안에는 설명하지 않습니다.기본 웹사이트처음에는 동일한 동작을 재현하지 않았습니다.