我應該為ASP.NET使用哪個帳戶？

Question

默認情況下，ASP.NET使用網絡服務帳戶，這是我應該在生產環境中與ASP.NET一起使用的帳戶嗎？ 與ASP.NET使用的帳戶相關的最佳做法是什么？

問候

編輯：如果有什么不同，我將在Windows 2008服務器上使用ASP.NET

Answer 1

對於生產，您應該創建僅具有最低限度權限的服務帳戶，以便運行Web應用程序。

Microsoft模式和實踐團隊為此提供了以下指導：

如何：為ASP.NET 2.0應用程序創建服務帳戶

Answer 2

您會得到很多“取決於”答案，但是無論如何這是我的2美分。

考慮密碼更改管理，通過折衷可能造成的損害以及應用程序需求，例如可信連接。

在大多數情況下，網絡服務在這些方面都表現最好。

1. 它沒有密碼，並且永不過期-無需更改管理
2. 它不能用作其他計算機上的交互式登錄
3. 它可用於信任連接和ACL通過憑據<domain>\\<machinename>$訪問其他主機

當然，您的應用可能有不同的需求-但通常我們會盡可能使用網絡服務-我們會運行10,000台計算機。

Answer 3

除非您有其他需求（例如對數據庫連接使用對SQL Server的集成身份驗證的需求），否則我會堅持使用默認帳戶。 它具有比許多其他帳戶更少的特權，但具有運行Web應用程序所需的特權。 請注意：我們通常不對網絡服務帳戶進行任何特權更改，並且通常為每個生產應用程序（或一組相關應用程序）啟動VM，而不是為每個服務器配置多個應用程序。 如果每個服務器運行多個應用程序或由於其他原因更改網絡服務帳戶的特權，則可能需要考慮為每個應用程序使用單獨的服務帳戶。 如果這樣做，請確保此服務帳戶具有運行ASP.NET應用程序並執行所需的任何其他任務所需的最少特權。

Answer 4

您應該使用特權級別較低的帳戶

Answer 5

1）為每個應用程序創建一個特定的用戶帳戶

2）創建在此帳戶下運行的應用程序池

3）網站應配置為在此應用程序池下運行。

4）在SQL Server中，使用Windows身份驗證並將數據庫權限授予該用戶。

5）在連接字符串中使用該用戶（即連接字符串中沒有密碼）

6）使用此用戶可以根據需要向其他資源分配權限。