Iis-7

使用域使用者作為 AppPool 身份的非域 IIS?

  • November 26, 2014

有沒有辦法在非域電腦(本例中為 Windows 7 開發 VM)上獲取 IIS7 以使用域帳戶作為 AppPool 身份?我可以輸入憑據(域/使用者名等),但 AppPool 會拋出一個關於該帳戶沒有“批量登錄權限”的錯誤。

我無法通過Google找到任何東西來幫助我解決這個問題,所以我認為這可能是不可能的。

這在我看來幾乎是不可能的。“加入域”在電腦(對象)和域(服務)之間創建基於信任的關係。

例如,調整使用者權限的最簡單方法是利用本地安全策略(安全設置/本地策略 mmc 管理單元)。

但是你可以使用ntrights.exe. 我在這裡有一個域,但測試類似的情況很容易:

我在電腦上。我在 COMPUTERB 上創建了一個帳戶 dummyuser(又名使用者是 computerb\dummyuser)

當我執行時:

NTRIGHTS +r SeBatchLogonRight -u computerb\dummyuser

我收到一個錯誤:

Granting SeBatchLogonRight to computerb\dummyuser ... failed (GetAccountSid(computerb\dummyuser)=1332

C:\>net helpmsg 1332返回:No mapping between account names and security IDs was done.

這很簡單。即使以域管理員使用者身份執行(因此,此使用者本質上是電腦 b 上本地管理員組的一部分),我正在執行操作的憑據也不會通過。

一個很好的測試方法很簡單……在你的虛擬機上執行:

runas /user:domain\administrativeuser cmd.exe

我希望這會失敗,1326: Logon failure: unknown user name or bad password,因為本地機器不知道是什麼domain,並且/所以它絕對不值得信賴。

這一切的真正含義是,無論您是否在其中獲得條目,本地電腦在嘗試任何操作時都不會也不會知道使用者是誰,除非它可以根據數據庫對該使用者進行身份驗證是一部分(您的域的 AD)。

我想看看其他人是否有解決方案。

引用自:https://serverfault.com/questions/326419