IIS的“應用程序池”中的哪個“身份”選項被認為是最好的
[英]Which Identity option in IIS' Application Pool is considered best
問題描述
當前,我們所有的Web應用程序的應用程序池標識都設置為ApplicationPoolIdentity 。 現在,當應用程序需要訪問某些服務器上的某些資源(例如,添加/讀取某些文件)時,該應用程序會將代碼模擬給有權執行此操作的用戶。 但是現在,我們正在考慮為每個應用程序創建一個特定用戶,並將其應用程序池標識設置為其特定的新用戶。 但是我注意到在“ 高級設置”對話框中,Microsoft建議使用應用程序池標識,如下圖所示:
為什么Microsoft建議使用此身份,並且使用特定用戶不是最佳實踐或錯誤舉動?
謝謝,
ashilon
1 個解決方案
解決方案1
1 已采納 2017-08-02 08:46:59
ApplicationPoolIdentity使用稱為虛擬帳戶的概念,並實現為具有應用程序池隔離。 該博客對此進行了詳細說明。
建議使用ApplicationPoolIdentity在IIS7 +及更高版本中的每個網站/應用程序池之間進行適當的隔離。因此,您可以為一個網站或應用程序運行代碼或文件,而其他人則無法訪問。
但是對於需要訪問另一台服務器上資源的情況,當您使用ApplicationPoolIdentity時,它始終僅使用計算機身份。因此,最好的方法是使用托管服務帳戶
托管服務帳戶是管理需要網絡訪問的服務的絕佳方法。 讓Windows為您處理密碼和SPN
但這存在問題,因為只能將一個托管服務帳戶分配給一台服務器。即使具有應用程序池標識,它也將使用$ machineaccount來訪問網絡資源。
如果必須為每個網站/應用程序隔離網絡資源,那么您唯一的方法就是為每個網站創建單獨的用戶帳戶並進行管理。
希望這可以幫助!
在IIS 7中以編程方式為自定義身份應用程序池設置用戶帳戶
[英]Programmatically set up user account for custom identity application pool in IIS 7
如何在IIS中獲取自定義應用程序池的標識(Windows用戶)名稱
[英]How to get identity (windows user) name for custom application pool in IIS
IIS 7.5應用程序池使用錯誤的%APPDATA%作為自定義用戶身份
[英]IIS 7.5 application pool uses wrong %APPDATA% for custom user as identity
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.