Я пытаюсь сделать свой сервер IIS более безопасным и заблокировал отдельные папки приложений, чтобы только соответствующий пул приложений мог получить к ним доступ. Пулам приложений был предоставлен доступ для чтения, но я также пробовал использовать доступ для чтения и записи. Я также переместил wwwroot на другой диск.
Если я не укажу учетную запись администратора домена в качестве идентификатора AppPool,
В разделе ProcessModel
-> Identity
выберите Identity
.
Пользовательская учетная запись
Проблема в том, что теперь мой веб-сайт, который смотрит на текущего пользователя, вошедшего в систему, видит учетную запись домена, указанную в пуле приложений, а не вошедшего в систему пользователя.
Также кажется бессмысленным устанавливать разрешения NTFS для папок моих приложений, если я все равно собираюсь переопределить их с помощью учетной записи администратора домена в пуле приложений.
Есть предложения?
Я исправил это, предоставив группе имя_сервера \ IIS_IUSRS
доступ на чтение к каталогу wwwroot и всем подпапкам. Это, вероятно, сводит на нет мои улучшения безопасности, но заставляет это работать, так что не обращайте внимания