有没有办法让非域名计算机上的IIS7(在这个例子中的Windows 7开发虚拟机)使用一个域帐户的AppPool身份? 我可以input凭证(域/用户名等),但是AppPool会抛出一个关于没有“批量login权限”的帐户的错误。
我找不到任何通过谷歌来帮助我找出这个问题,所以我想这可能是不可能的。
这在我看来似乎是不可能的。 “join域”在计算机(对象)和域(服务)之间build立了基于信任的关系。
例如,调整用户权限的最简单方法是使用本地安全策略(安全设置/本地策略MMCpipe理单元)。
但是你可以使用ntrights.exe 。 我在这里有一个单一的域名,但testing类似的情况很简单:
我在计算机上。 我在COMPUTERB上创build了一个帐户dummyuser(也就是用户是computerb \ dummyuser)
当我运行:
NTRIGHTS +r SeBatchLogonRight -u computerb\dummyuser
我收到一个错误:
Granting SeBatchLogonRight to computerb\dummyuser ... failed (GetAccountSid(computerb\dummyuser)=1332
C:\>net helpmsg 1332返回: No mapping between account names and security IDs was done.
这很简单。 即使作为域pipe理员的用户运行(因此,该用户本身也是计算机b上的本地pipe理员组的一部分),但我正在执行此操作的凭据不会通过。
testing这个好方法很简单…在您的虚拟机上运行:
runas /user:domain\administrativeuser cmd.exe
我预计这将失败与1326: Logon failure: unknown user name or bad password,因为本地计算机不知道什么domain和/所以它肯定是不值得信赖的。
这一切的真正含义是,不pipe你是否在那里进入,本地计算机不会也不会知道用户在尝试任何操作时是谁,除非它可以通过一个数据库来validation这个用户是一部分(你的域名的AD)。
我想看看是否有其他人有解决scheme。
为什么你需要使用域用户作为应用程序池ID,然后呢?
你可以创build一个镜像的本地用户帐户,并使用它,如果它需要获得凭据的信箱,它可以使用它们…
但是,作为一个域用户,还有其他一些关键function,这将无法捕获。
我想不出一个好的用例。 为什么不把虚拟机join域呢?