идентификационные данные applicationpool, предоставляющие слишком много доступа к моим веб-ресурсам
Ваши экземпляры кота зашли в тупик? Я засвидетельствовал два больших корпоративных (различные компании), проекты кота страдают от мертвой блокировки - каждый был вызван более старой версией сторонней пользовавшейся библиотеки.
Можно ли все еще соединиться непосредственно с экземпляром кота локально? Это:
telnet localhost 8080
Затем тип:
GET / HTTP/1.0\n
\n
(где \n относится к <ввести> ключу).
Если не затем казалось бы, что Ваш экземпляр кота умер или зашел в тупик. Если это зашло в тупик затем, пора получить дамп стека Вашего кота экземпляр Java с помощью jstack программа (с PID кота программа Java).
Там никогда не нужно предоставлять групповые разрешения IIS_IUSRS для ваших общедоступных веб-папок. Вы должны предоставить права на удостоверение, под которым работает сайт, в данном случае ApplicationPoolIdentity .
Я подозреваю, что проблема здесь в том, что группа Users имеет доступ на запись к этим папки. Учетная запись ApplicationPoolIdentity всегда является членом группы Users .
Отмените права доступа к вашим веб-папкам только для SYSTEM и Administrators , затем установите необходимые разрешения, необходимые для вашего сайта, для учетной записи ApplicationPoolIdentity .
Для установки разрешений вы можете использовать ICACLS.EXE или графический интерфейс. Например, на моем компьютере установлен сайт Nerd Dinner MVC:
`ICACLS c:\NerdDinner /grant "IIS AppPool\NerdDinner":(CI)(OI)(R)
Через проводник:
Вы не сможете просматривать ApplicationPoolIdentity с помощью графического интерфейса пользователя или диспетчера пользователей, потому что это синтетический счет.