【发布时间】:2018-08-20 17:28:02
【问题描述】:
这似乎是一个荒谬的微不足道的问题,但如果我能自己找出答案,那就太糟糕了:给定一个在本地应用程序池身份下运行的 IIS 7.x 或更高版本的应用程序,该身份如何能够检查组成员身份没有固有的网络访问权限的网络?
换句话说,假设我有一个名为“SuperDuperApp”的应用程序,它在名为“SuperDuperApp”的本地 IIS AppPool 身份下运行。我将应用程序的权限定义为包括来自“SomeDomain\SuperDuperAppUsers”的用户。鉴于 IIS AppPool\SuperDuperApp 身份不会具有网络访问权限,它如何能够确定给定域用户是否是“SomeDomain\SuperDuperAppUsers”的成员?
【问题讨论】:
-
"我定义了应用程序的权限以包括来自...的用户" 如何?不同的方式将在后台调用不同的 Windows API,并且该特定 API 将验证调用者是否有权这样做。由于应用程序池标识是虚拟帐户,docs.microsoft.com/en-us/iis/manage/configuring-security/… 连接到外部资源(如数据库),Windows 自动使用机器帐户代替。
-
@LexLi 使用 IIS 管理器,我将右键单击一个站点,单击“编辑权限”,然后根据需要在该对话框中添加/删除用户和/或组。
-
@LexLi 该参考实际上正是我试图找到的。它直接回答了这个问题。如果您想将其发布为答案,我很乐意接受。