内联网应用最佳实践？ ApplicationPoolIdentity与否？

Question

我有一个本地Intranet应用程序，该应用程序使用Directory.Exists和File.Exists进行了一些文件验证。 不幸的是，由于应用程序以“ ApplicationPoolIdentity”运行且该帐户无权访问Directory.Exists和File.Exists正在检查的UNC路径，因此检查失败。

我应该授予该ApplicationPoolIdentity帐户读取这些目录的权限吗？ （所有目录都出现在单个服务器的顶级文件夹下。）如果是，怎么办？

或者，我应该在域帐户下运行应用程序池并授予该帐户权限吗？ （如果确实需要创建一个新帐户，我应该赋予它什么权限？）

感谢您的输入！

Answer 1

通常，我通常会创建一个自定义帐户，但是如果您想授予股票等其他权利，我会说这是最好的选择。

使用具有对共享的相关访问权限的自定义身份创建一个新的AppPool。 然后在新的AppPool下运行该应用程序。 这样，您可以拥有不需要访问没有此访问权限的AppPools中共享的其他应用程序。

如果您使用的是Windows 7或Window 2008 R2，则可能需要查看“ 虚拟帐户” 。

这是一篇有关应用程序池标识的好文章

Answer 2

您需要为以下身份设置读取ACL：IIS AppPool \\。 您可以从文件夹属性对话框（如果您的计算机位于域中，请确保在“选择用户或组”对话框中将“位置”设置为本地计算机）上执行此操作，也可以从命令行使用icacls进行操作。