Active-Directory

用於 SQL Server 身份驗證的 IIS7.5 域帳戶應用程序池標識

  • October 1, 2012

在 Windows Server 2003/IIS6 領域,我們通常會創建一個應用程序池,該應用程序池作為 AD 帳戶的身份執行,該帳戶僅為此目的而以最低權限創建。同樣的域使用者也將被授予對 SQL Server 的訪問權限,以便該應用程序池中的任何 ASP.NET 應用程序都能夠使用 Integrated Security=SSPI 連接到 SQL Server。

我們正在勇敢地邁向 Windows Server 2008 R2/IIS7.5 的世界,並希望複製這個模型,但我正在努力解決如何讓 IIS7.5 中的應用程序池作為 AD 帳戶的身份執行?我知道這聽起來很簡單,希望如此,但到目前為止我的嘗試都沒有結果。

  • 應用程序池標識是否應該是域帳戶的“自定義帳戶”?
  • 是否需要將域帳戶添加到任何組?

是的,域帳戶將添加到自定義帳戶下:在高級設置 -> 身份下。以下資訊來自了解 IIS 7.0 中的內置使用者和組帳戶

IIS 7.0 在執行時自動將 IIS_IUSRS 成員身份添加到工作程序令牌。通過這樣做,已定義為作為“應用程序池標識”執行的帳戶不再需要明確屬於 IIS_IUSRS 組。

如果要禁用此功能並手動將帳戶添加到 IIS_IUSRS 組,請通過將 manualGroupMembership 值設置為“true”來禁用此新功能。下面是如何對 defaultAppPool 執行此操作的範例:

<applicationPools>
   <add name="DefaultAppPool">
      <processModel manualGroupMembership="true" />
   </add>
</applicationPools >

引用自:https://serverfault.com/questions/125808