Active-Directory
用於 SQL Server 身份驗證的 IIS7.5 域帳戶應用程序池標識
在 Windows Server 2003/IIS6 領域,我們通常會創建一個應用程序池,該應用程序池作為 AD 帳戶的身份執行,該帳戶僅為此目的而以最低權限創建。同樣的域使用者也將被授予對 SQL Server 的訪問權限,以便該應用程序池中的任何 ASP.NET 應用程序都能夠使用 Integrated Security=SSPI 連接到 SQL Server。
我們正在勇敢地邁向 Windows Server 2008 R2/IIS7.5 的世界,並希望複製這個模型,但我正在努力解決如何讓 IIS7.5 中的應用程序池作為 AD 帳戶的身份執行?我知道這聽起來很簡單,希望如此,但到目前為止我的嘗試都沒有結果。
- 應用程序池標識是否應該是域帳戶的“自定義帳戶”?
- 是否需要將域帳戶添加到任何組?
是的,域帳戶將添加到自定義帳戶下:在高級設置 -> 身份下。以下資訊來自了解 IIS 7.0 中的內置使用者和組帳戶
IIS 7.0 在執行時自動將 IIS_IUSRS 成員身份添加到工作程序令牌。通過這樣做,已定義為作為“應用程序池標識”執行的帳戶不再需要明確屬於 IIS_IUSRS 組。
如果要禁用此功能並手動將帳戶添加到 IIS_IUSRS 組,請通過將 manualGroupMembership 值設置為“true”來禁用此新功能。下面是如何對 defaultAppPool 執行此操作的範例:
<applicationPools> <add name="DefaultAppPool"> <processModel manualGroupMembership="true" /> </add> </applicationPools >