我们最近升级到IIS7作为核心Web服务器,我需要在权限方面进行概述。 以前,当需要写入文件系统时,我会给AppPool用户(网络服务)访问目录或文件。
在IIS7中,我看到,默认情况下,AppPool用户设置为ApplicationPoolIdentity 。 因此,当我检查任务管理器时,我看到一个名为“WebSite.com”的用户帐户正在运行IIS进程('Website.com'是IIS中网站的名称)
但是,如果我尝试使用该帐户授予权限,则此用户帐户不存在。 那么,我如何确定哪个用户也可以授予权限呢?
编辑================================================= =============================
有关屏幕截图中的问题,请参阅下文。 我们的网站(www.silverchip.co.uk)使用用户名SilverChip.co.uk运行。 但是当我添加提交时,这个用户确实存在!
=================================请参阅AppPool图像
#1楼
在Windows Server 2008(r2)上,您无法通过“属性” - >“安全性”将应用程序池标识分配给文件夹。 您可以使用以下命令通过管理命令提示符执行此操作:
icacls "c:\yourdirectory" /t /grant "IIS AppPool\DefaultAppPool":(R)
#2楼
只是为了增加混淆,(Windows资源管理器)有效权限对话框不适用于这些登录。 我有一个使用传递身份验证的站点“Umbo4”,并查看了站点根文件夹中用户的有效权限。 检查名称测试解析了名称“IIS AppPool \\ Umbo4”,但有效权限显示用户对该文件夹完全没有权限(未选中所有复选框)。
然后,我使用Explorer Security选项卡显式地从文件夹中排除了此用户。 这导致站点失败,出现HTTP 500.19错误,如预期的那样。 然而,有效权限看起来与以前完全一样。
#3楼
在解析名称时,请记住使用服务器的本地名称,而不是域名
IIS AppPool\DefaultAppPool
(只是一个提醒,因为这让我吵了一下):
#4楼
热门回答乔恩亚当斯
以下是如何为PowerShell人员实现此功能
$IncommingPath = "F:\WebContent"
$Acl = Get-Acl $IncommingPath
$Ar = New-Object system.security.accesscontrol.filesystemaccessrule("IIS AppPool\DefaultAppPool","FullControl","ContainerInherit, ObjectInherit", "None", "Allow")
$Acl.SetAccessRule($Ar)
Set-Acl $IncommingPath $Acl
#5楼
使用IIS默认配置时,访问IIS AppPool \\ YourAppPoolName用户可能还不够 。
在我的情况下,我仍然有错误HTTP错误401.3 -添加AppPool用户后未经授权 ,并且只有在向IUSR用户添加权限后才修复它。
这是必要的,因为默认情况下,使用IUSR完成匿名访问。 您可以设置另一个特定用户,应用程序池或继续使用IUSR,但不要忘记设置适当的权限。
致谢此答案: HTTP错误401.3 - 未经授权
来源:oschina
链接:https://my.oschina.net/stackoom/blog/3189235