面临托管在 IIS 和 Windows 身份验证中的 ASP.NET 问题

Question

我有一个托管在 IIS 7.5 中的 asp.net 网站

网站必须使用 Windows 身份验证。用户被添加到 AD 组。 AD 用户组对发布网站的 web 文件夹具有完全控制权。 Server/IIS_IUSRS 也可以完全控制 web 文件夹。

网站需要使用的数据存储在另一台服务器中。 AD 组对存储数据的文件夹具有完全控制权。 我使用的是经典模式，因为集成会破坏它。

网站认证和APP Pool设置应该是什么？

Answer 1

我个人喜欢将应用程序池身份设置为 AD 服务帐户，然后允许应用程序使用这些凭据访问数据库和其他资源。无需在连接字符串上传递凭据或尝试模拟用户（编辑：应注意这适用于使用 Windows 集成安全性的资源）。也无需尝试让用户直接访问数据存储或其他资源，只需要应用程序凭据即可访问。初始设置有点麻烦，但从长远来看更容易管理。

当我要求他们为我建立一个新站点时，我发送给我们的服务器组的清单如下：（注意这是基于 Win Serv2003 和 IIS 6，在较新的版本中情况可能会有所不同。）

• 为 应用
• 将应用程序池配置为作为 服务帐号
• 将服务帐户添加到 服务器上的 IIS_WPG 组
• 确保 IIS_WPG 组已读取， 读取和执行，列出文件夹 网站的内容权限 目录和读取和列出文件夹 C:\Windows\Temp 的内容 文件夹（或等效文件夹）。
• 授予用户权限“调整内存 进程的配额”、“替换 进程级别令牌”和“登录为 服务”到服务帐户

Answer 2

不要混淆 IIS 自动化和 ASP.NET 自动化：

IIS 自动化

• IP/DNS 地址限制
• Web 权限（读取、写入、脚本源访问...）
• NTFS 权限（仅限非 ASP.NET ISAPI 扩展：.htm、.jpg...）

ASP.NET 自动化

• URL 授权（<authorization> 元素）
• 文件授权（仅限 ASP.NET ISAPI 扩展：.aspx、.ascx...）
• 主要权限（要求）
• .NET 角色

限制访问您的网络：

• 取消选中匿名访问
• 配置 NTFS 权限

允许访问您的数据文件夹，一些解决方案：

• 为您的应用程序池使用服务帐户，在您的文件夹中允许它并在您的应用程序中管理访问控制

• 在访问数据文件夹时，使用默认的 IIS 7 ASP.NET 帐户，并在代码中本地 impersonate 用户

  System.Security.Principal.WindowsImpersonationContext 模拟上下文； impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate();

  //插入你在下面运行的代码 身份验证的安全上下文 用户在这里。

  impersonationContext.Undo();

• 全局激活impersonation (<identity impersonate="true"/>)；不喜欢这个