Запуск iis от имени другого пользователя

Запуск iis от имени другого пользователя

Назначение: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Учетную запись пользователя Диспетчер IIS в диспетчере Диспетчер IIS следует добавить, если необходимо разрешить пользователю подключаться к сайту или приложению на сервере, но нет необходимости создавать учетную запись пользователя Windows или добавлять пользователя в группу Windows. Учетные данные пользователя Диспетчер IIS состоят из имени пользователя и пароля, которые создаются в диспетчере Диспетчер IIS и используются исключительно в диспетчере Диспетчер IIS для доступа к файлам конфигурации IIS.

После создания учетной записи пользователя диспетчера Диспетчер IIS можно разрешить этому пользователю подключаться к сайтам и приложениям. Затем пользователь может настроить делегированные компоненты в этих сайтах и приложениях.

Предварительные требования

Сведения об уровнях, на которых можно выполнить эту процедуру, а также о модулях, обработчиках и разрешениях, требуемых для выполнения этой процедуры, см. в разделе Требования к компоненту пользователей диспетчера (IIS 7).

Исключения из требований

Чтобы добавить пользователя диспетчера IIS

Откройте Диспетчер IIS. Сведения об открытии Диспетчер IIS см. в разделе Открытие диспетчера IIS (IIS 7).

На панели Подключения щелкните узел сервера.

В представлении Просмотр возможностей дважды щелкните Пользователи диспетчера IIS.

На панели Действия страницы Пользователи диспетчера IIS нажмите кнопку Добавить пользователя.

В поле Имя пользователя диалогового окна Добавление пользователя введите имя пользователя.

В полях Пароль и Подтверждение пароля введите пароль.

Добрый день, сложно в заголовке описать мою задачу, если подробнее то она следующая
Имеется Windows Server 2012R2, на нём IIS и CGI
Настроен PHP через CGI

Необходимо установить на сервер Drupal, но нужно чтобы каждый сайт друпала был в отдельном пуле, т.е. один пул — один сайт, вроде бы не проблема пул настроить на каждый сайт. Проблема в другом, по идее для друпала (хотя и не только для него, а для многих cms и других php приложений) нужно настроить на папку default права на изменение, и сделать такие права нужна для того юзера, или службы или что там, от чего имени запускается сайт, а именно в моём случае php-cgi.exe.

Читайте также:  Что такое размер буфера журнала

И вот тут я теряюсь, как правильно делать, несколько мыслей
вроде как многие делают пользователю iis_iusrs права на изменение, это что то типа вроде какого то пользователя самого iis
но опять же я думаю, что наверное правильно сделать служебного пользователя в Active Directory от которого запускать всё это добро, и которому давать эти права на изменение
другой вариант вычитал здесь www.iis.net/learn/application-frameworks/scenario-.
где пишут что для каждого создаваемого пользователя есть некий тоже location которому можно также давать права во вкладке security

в общем я в замешательстве, помогите пожалуйста

Каждый пул приложений в IIS использует свой собственный рабочий процесс (IIS Worker Process). Удостоверение пула приложений (Application Pool Identities) представляет из себя имя учетной записи, под которой выполняется рабочий процесс этого пула.

В IIS 6.0 и IIS 7.0 пул приложений по умолчанию работал под встроенной системной учетной записью NetworkService. Эта запись не требует пароля и имеет на локальном компьютере ограниченные права, что является хорошей практикой с точки зрения безопасности. Однако под этой учетной записью могут одновременно работать разные системные службы Windows, и при использовании одного и того же идентификатора одни службы могут воздействовать на работу других.

Начиная с Windows Server 2008 SP2 для того, чтобы изолировать рабочие процессы IIS от других системных служб, можно использовать виртуальные учетные записи (Virtual Accounts). Они позволяют запускать рабочий процесс для каждого пула приложений под собственной уникальной учетной записью ApplicationPoolIdentity. Эта учетная запись не требует управления и создается автоматически при создании каждого нового пула. Также она не имеет практически никаких привилегий в системе и не использует профиль пользователя, что повышает безопасность веб-сервера.

Для примера возьмем Application Pool с именем PubSite1. Открываем Task Manager и находим рабочий процесс IIS (w3wp.exe), выполняющийся от имени PubSite1. Как видите, имя учетной записи совпадает с именем пула приложений. Дело в том, что начиная с IIS 7.5 для каждого вновь созданного пула приложений по умолчанию создается виртуальная учетная запись с именем этого пула, и его рабочий процесс запускается из под этой записи.

Читайте также:  Не удалось подключиться к серверам warface ps4

Настройка типа удостоверения пула приложений

При необходимости тип идентификации пула приложений можно изменить. Для этого запускаем IIS Manager, переходим в раздел Application Pools, выбираем нужный пул и открываем его свойства (Advanced Settings).

В свойствах выбираем пункт Identity.

Здесь мы указываем учетную запись, от имени которой будет работать данный пул приложений:

• ApplicationPoolIdentity — учетная запись удостоверения пула приложений. Создается автоматически при запуске пула приложений и имеет самые минимальные права на локальном компьютере. Это наиболее безопасный вариант, начиная с IIS 7.5 используется по умолчанию;
• LocalService – встроенная учетная запись, которая имеет ограниченные права на локальном компьютере. Примерно то же самое, что и NetworkService, но ограничена только локальным компьютером;
• LocalSystem – системная учетная запись, имеющая неограниченные права на локальном компьютере. Наименее безопасный вариант, по возможности не рекомендуется ее использовать;
• NetworkService — учетная запись, которая имеет ограниченные права на локальном компьютере, а также может использоваться для доступа к ресурсам в сети Active Directory на основании учетной записи компьютера.

Кроме того, в качестве удостоверения можно использовать и обычную учетную запись пользователя. Для этого надо выбрать Custom Account, нажать кнопку Set и ввести имя пользователя и пароль. Можно указать любого доменного или локального пользователя.

Примечание. При использовании учетной записи пользователя надо отслеживать срок действия пароля и своевременно менять его.

То же самое можно сделать с помощью утилиты командной строки appcmd. Чтобы указать учетную запись, которая будет использоваться для пула приложений, используется следующий синтаксис:

appcmd set config /section:applicationpools /[name=″имя пула приложений″].processModel.identityType:SpecificUser|NetworkService|LocalService|LocalSystem

Для примера изменим тип удостоверения для пула приложений PubSite1 на NetworkService:

appcmd set config /section:applicationpools
/[name=″PubSite1″].processModel.identityType:NetworkService

Профиль пользователя

По умолчанию IIS не использует профиль пользователя, но некоторые приложения могут потребовать использование профиля, например для хранения временных файлов. Профиль для учетной записи NetworkService создается системой и всегда доступен. Стандартные пулы приложений (DefaultAppPool, Classic .NET AppPool и т.п.) также имеют профиль пользователя на диске, однако при использовании ApplicationPoolIdentity профиль не создается автоматически.

Читайте также:  Формула не охватывает смежные ячейки что значит

Если вы хотите настроить ApplicationPoolIdentity на использование пользовательского профиля, то надо зайти в расширенные свойства пула и перевести параметр Load User Profile в состояние True.

Настройка доступа к ресурсам

Иногда веб-приложению может потребоваться доступ к определенной папке или файлу на диске. Чтобы добавить ApplicationPoolIdentity в Access Control List (ACL):

• Запускаем Windows Explorer;
• Выбираем нужный файл или директорию, кликаем по ней правой клавишей мыши и выбираем пункт Свойства (Properties);
• Переходим на вкладку Безопасность (Security),
• Кликаем по кнопке Изменить (Edit), затем Добавить (Add);
• В поле Размещение (Locations) выбираем локальную машину;
• Вводим имя пользователя в виде ″IIS AppPoolимя пула приложений″. Так для пула приложений PubSite1 имя пользователя будет выглядеть ″IIS AppPoolPubSite1″;
• Проверяем имя клавишей Проверить имена (Check Names) и жмем ОК.

Также при желании можно воспользоваться утилитой командной строки ICACLS. Для примера дадим права на изменение для PubSite1:

ICACLS C:WebPubsite1 /grant ″IIS AppPoolPubSite1″:M

Список разрешений выглядит следующим образом:

D – удаление;
F – полный доступ;
M – изменение;
RX – чтение и выполнение;
R – чтение;
W – запись.

Если ресурс находится в сети, то для доступа к нему лучше всего использовать учетную запись NetworkService. Рабочий процесс, запущенный под этим аккаунтом, для доступа к ресурсам использует учетные данные компьютера, сгенерированные при добавлении компьютера в домен. Для того, чтобы дать процессу доступ к сетевому ресурсу, в качестве пользователя указываем компьютер:

• Выбираем тип объекта (Object Type) Computers;
• В поле Размещение (Locations) выбираем домен;
• Вводим имя пользователя в виде domainnamemachinename$, например contosoSRV12$;
• Проверяем имя и жмем ОК.

Очень удобный способ предоставлять доступ к сетевым ресурсам типа файловых шар или баз данных SQL Server. Однако работает он только при наличии домена AD.

Ссылка на основную публикацию
Если уменьшить массу колеблющегося груза на 30
Задание 4. Период вертикальных свободных колебаний пружинного маятника равен 0,5 с. Каким станет период свободных колебаний этого маятника, если массу...
Гранд смета eexportexception не удалось запустить msexcel
ПРИ ИСПОЛЬЗОВАНИИ ПРОГРАММЫ ГРАНД-СМЕТА НЕ ПОЛУЧАЕТСЯ ЭКСПОРТИРОВАТЬ ВЫХОДНЫЕ ФОРМЫ В WORD ИЛИ EXCEL 2000. ВЫДАЮТСЯ СООБЩЕНИЯ: «ГРАНД-СМЕТА ВЫПОЛНИЛА НЕВЕРНОЕ ОБРАЩЕНИЕ...
Гсп 1 кемерово расшифровка
Городская служебная почта Индекс: 650991 Адрес: КЕМЕРОВСКАЯ ОБЛАСТЬ, КЕМЕРОВО Телефон горячей линии Почты России: В подчинении у 650999 Кемерово почтамт...
Закройте автоподатчик оригиналов kyocera ошибка что делать
Основная процедура копирования Для изменения настроек аппарата по умолчанию обратитесь к руководству Настройки системы. Включите аппарат. Когда аппарат прогреется, появится...
Adblock detector