在
Windows Server 2003 / IIS6中,我们通常会创建一个应用程序池,该应用程序池作为仅使用最小权限创建的AD帐户的标识运行.同样的域用户也将被授予对SQL Server的访问权限,以便该应用程序池中的任何ASP.NET应用程序都能够使用Integrated Security = SSPI连接到SQL Server.
我们正在勇敢地迁移到Windows Server 2008 R2 / IIS7.5的世界,并希望复制此模型,但我正在努力如何使IIS7.5中的应用程序池作为AD帐户的身份运行?我知道这听起来很简单,但希望是这样,但到目前为止,我的尝试都没有结果.
>应用程序池标识应该是域帐户的“自定义帐户”吗?
>域帐户是否需要添加到任何组?
解决方法
是的,域帐户将添加到自定义帐户下:高级设置下 – >身份.以下信息来自
Understanding the Built-In User and Group Accounts in IIS 7.0
IIS 7.0在运行时自动将IIS_IUSRS成员身份添加到工作进程令牌.通过这样做,已定义为“应用程序池标识”运行的帐户不再需要明确地成为IIS_IUSRS组的一部分.
如果要禁用此功能并手动将帐户添加到IIS_IUSRS组,请通过将manualGroupMembership值设置为“true”来禁用此新功能.以下是如何对defaultAppPool执行此操作的示例:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools >
