在Windows Server 2003 / IIS6版本中,我们通常会创build一个应用程序池,该应用程序池作为用最小特权创build的AD帐户的标识运行。 同样的域用户也将被授予访问SQL Server的权限,以便该应用程序池中的任何ASP.NET应用程序都能够连接到集成安全性= SSPI的SQL Server。
我们正在向Windows Server 2008 R2 / IIS7.5的世界迈进,并正在复制这个模型,但是我正在努力如何让IIS7.5中的应用程序池以AD帐户的身份运行? 我知道这听起来很简单,希望是这样,但是迄今为止我的尝试都是徒劳的。
是的,域帐户将被添加到自定义帐户下:在高级设置 – >身份。 以下信息来自于了解IIS 7.0中的内置用户和组帐户
IIS 7.0会在运行时自动将IIS_IUSRS成员添加到工作进程令牌。 通过这样做,被定义为以“应用程序池标识”运行的帐户不再需要明确地成为IIS_IUSRS组的一部分。
如果要禁用此function并手动将帐户添加到IIS_IUSRS组,请通过将manualGroupMembership值设置为“true”来禁用此新function。 下面是一个如何对defaultAppPool进行操作的例子:
<applicationPools> <add name="DefaultAppPool"> <processModel manualGroupMembership="true" /> </add> </applicationPools > 我经历了几次迭代之后将自定义帐户添加到IIS7也遇到同样的问题。
我回到Control Panel – > User Accounts – > Manage User Accounts – > Advanced – > Users , 双击我想要添加的用户名作为自定义帐户,并确保该帐户既不禁用也不locking出。 更改设置为密码后永不过期,它完美的工作