Виртуальный каталог IIS 8.5, отключение проверки web.config
Я настраиваю новый шаблон для нашей фермы веб-серверов, который будет размещать веб-приложение локально, а не по пути UNC. В приложении есть несколько папок, в которые записываются данные, которые должны совместно использоваться всеми серверами фермы.
Чтобы сделать это без перезаписи частей приложения, я пытаюсь создать виртуальные каталоги в конфигурации веб-сайта, которые указывают на путь UNC. Эти виртуальные каталоги не содержат кода, они представляют собой просто текстовые файлы, изображения и т. Д., Которые необходимо запустить только через StaticFileHandler , однако, когда я пытаюсь получить доступ к любому файлу в VDIR, я получаю исключение 500.19 , сообщив, что он не может прочитать / найти файл web.config, который находится в этом каталоге. У меня нет настройки VDIR в качестве приложения, только простой указатель с аутентификацией, выполняемой как пользователь домена, имеющий доступ для чтения к пути UNC.
I ' Мы пробовали запустить команду CASPol, чтобы предоставить полное доверие пути UNC, а также команду aspnet_regiis -ga для пользователя домена.
В IIS 6 вы могли открывать свойства VDIR и устанавливать разрешения на выполнение Только сценарии без приложения в VDIR, и для этого не требовалось web.config в самом VDIR. Во всей документации и видеороликах, которые я просмотрел по настройке VDIR в IIS8.5, говорится, что не требуется дополнительных настроек при создании VDIR, а затем настройке аутентификации, если для этого требуется что-то иное, чем то, под которым работает пул приложений и сайт.
Конфигурация:
Сервер: Windows 2012R2 Standard
IIS: 8.5
ASP.Net: 4.0
Пул приложений: интегрированный режим
Подключиться как: Пользователь домена для обоих пулов приложений, Я прочитал несколько статей, в которых предлагается запретить доступ из общего файлового ресурса - переход к каждому файловому ресурсу и отказ в доступе - поскольку у нас много компьютеров и много общих файловых ресурсов, это займет много времени, есть ли более быстрый способ сделать это?
У нас работает server 2008.
Если кто-нибудь может дать мне совет или направить меня по правильному пути, я буду очень признателен.
Предполагая, что вы не предоставили объекту Все доступ к любым ресурсам, вы можете просто создать локальную учетную запись на компьютере (ах), который гость будет использовать. Они входят в систему на компьютере (-ах) с этой учетной записью, и они даже не вошли в домен,поэтому по умолчанию у них нет доступа к каким-либо ресурсам домена.
Если вы должны использовать учетную запись домена, создайте новую учетную запись домена и создайте новую группу безопасности домена (вы можете назвать ее как-то вроде «Гостевые пользователи») для этого учетная запись, в которой будет находиться. Добавьте учетную запись в группу, установите новую группу в качестве основной группы пользователя, а затем удалите пользователя из группы Пользователи домена . Теперь у пользователя не должно быть доступа ни к чему в домене, опять же при условии, что вы не предоставили доступ ни к чему для объекта Все , потому что никто не мог предоставить доступ к чему-либо в прошлом для нового пользователя. или группа.
Если вы предоставили доступ к чему-либо для Все , или у вас есть основания полагать, что Каждый может иметь какие-либо права доступа к любым ресурсам, то вам нужно запустить это вниз и исправить. Один объект, который вы почти всегда можете использовать вместо Все , - это Пользователи домена , потому что в целом каждая учетная запись домена является членом Пользователи домена ] (если учетная запись не была специально удалена, как описано выше). Обратите внимание, что вам не следует изменять разрешения для ресурсов, которые ваши пользователи используют в рабочее время, поскольку ваши изменения, скорее всего, будут лишены доступа к ним до следующего входа в систему и получения токена безопасности. В идеале у вас должны быть под рукой несколько опытных консультантов, которые помогут вам с таким изменением разрешений, поскольку очень возможно случайно либо запретить пользователям доступ к важным ресурсам, либо предоставить им доступ к конфиденциальной информации.
Если компьютер (ы) ) никогда не будет использоваться полным персоналом для доступа к домену, вы можете выделить компьютер (ы) для гостевого доступа и даже не присоединять их к домену. Наконец, окончательное разделение для гостей будет заключаться в том, что рассматриваемые компьютеры будут находиться в отдельной сети или VLAN от компьютеров домена, возможно, совместно используя Интернет через брандмауэр с несколькими физическими или виртуальными интерфейсами, или даже с отдельным выделенным брандмауэр и подключение к Интернету.
Если гостевая учетная запись пользователя является учетной записью Active Directory, почему бы вам не перейти к учетной записи пользователя в Active Directory, перейти в «Свойства», перейти на вкладку «Учетная запись» и нажать «Войти в систему». ... и введите имена компьютеров, на которых вы собираетесь разрешить гостевому пользователю вход в систему?
Также следует учесть замечания Тодда, прежде чем вы решите, как это реализовать. Если у вас есть компьютеры с общими ресурсами, для которых настроены разрешения общего доступа и NTFS для всех разрешений Full, вам необходимо с этим разобраться.
Правильный способ получить гостевой доступ в сети, отдельной от производственной сети, - это иметь гостевая сеть в отдельной виртуальной локальной сети (VLAN), как указал Тодд.
Многие люди, похоже, думают, что разрешение гостевого доступа к их сети не имеет большого значения, и они могут просто щелкнуть переключателем и получить это работает, но не дает тем же гостям доступ к их сети. Просто это работает не так. Планирование избавляет от многих головных болей, поэтому, если вы думаете, что вам может потребоваться предоставить гостям доступ в Интернет, но не допустить их в производственную сеть, вам следует уделить время правильному проектированию и разделению вашей сети с помощью виртуальных локальных сетей. Это нелегкая задача, но при правильной настройке две сети остаются разделенными, одновременно предоставляя обеим доступ к Интернету (или другим ресурсам, таким как принтеры или серверы).
