IIS7アクセス許可の概要-ApplicationPoolIdentity

最近、コアWebサーバーとしてIIS7にアップグレードしました。権限の概要を知る必要があります。以前は、ファイルシステムに書き込む必要がある場合、AppPoolユーザー（ネットワークサービス）にディレクトリまたはファイルへのアクセス権を与えていました。

IIS7では、デフォルトでAppPoolユーザーがに設定されていApplicationPoolIdentityます。タスクマネージャーを確認すると、「WebSite.com」というユーザーアカウントがIISプロセスを実行していることがわかります（「Website.com」はIISのWebサイトの名前です）

ただし、これを使用してアクセス許可を付与しようとすると、このユーザーアカウントは存在しません。では、どのユーザーにアクセス許可を与えるかをどのように決定すればよいでしょうか？

編集================================================= =============================

スクリーンショットの問題については、以下を参照してください。当社のウェブサイト（www.silverchip.co.uk）は、ユーザー名SilverChip.co.ukで実行されています。ただし、権限を追加すると、このユーザーは存在しません。

================================= AppPool画像を参照

ApplicationPoolIdentityは、実際にはIIS7 +で使用するベストプラクティスです。動的に作成された、特権のないアカウントです。特定のアプリケーションプールにファイルシステムセキュリティを追加するには、IIS.netの「アプリケーションプールID」を参照してください。クイックバージョン：

アプリケーションプールの名前が "DefaultAppPool"の場合（名前が異なる場合は、以下のテキストを置き換えてください）

1. Windowsエクスプローラーを開く
2. ファイルまたはディレクトリを選択します。
3. ファイルを右クリックして「プロパティ」を選択します
4. 「セキュリティ」タブを選択します
5. 「編集」をクリックし、「追加」ボタンをクリックします
6. [場所]ボタンをクリックし、ローカルマシンを選択していることを確認します。（サーバーが属している場合、Windowsドメインではありません。）
7. 「IIS AppPool \ DefaultAppPool」と入力します[選択するオブジェクト名を入力してください：]テキストボックスに」と入力します。（ここで "DefaultAppPool"をアプリケーションプールに付けた名前に変更することを忘れないでください。）
8. 「名前の確認」ボタンをクリックし、「OK」をクリックします。

名前を解決するときは、ドメイン名ではなく、サーバーのローカル名を使用することを忘れないでください。

IIS AppPool\DefaultAppPool

（これは少しつまずきましたので注意してください）：

IIS AppPool \ YourAppPoolNameユーザーにアクセス権を付与するだけでは、IISのデフォルト構成では不十分な場合があります。

私の場合、AppPoolユーザーを追加した後もエラーHTTPエラー401.3-Unauthorizedが発生し、IUSRユーザーに権限を追加した後にのみ修正されました。

デフォルトでは、匿名アクセスはIUSRを使用して行われるため、これが必要です。別の特定のユーザーであるアプリケーションプールを設定するか、IUSRを引き続き使用できますが、適切なアクセス許可を設定することを忘れないでください。

この回答のクレジット：HTTPエラー401.3-不正

Windows Server 2008（r2）では、[プロパティ]-> [セキュリティ]を使用して、フォルダーにアプリケーションプールIDを割り当てることはできません。ただし、次のコマンドを使用して、adminコマンドプロンプトから実行できます。

icacls "c:\yourdirectory" /t /grant "IIS AppPool\DefaultAppPool":(R)

パートA：アプリケーションプールの構成

アプリケーションプールの名前が「MyPool」であるとします。IISマネージャーからアプリケーションプールの「詳細設定」に移動します。

1. [ID]までスクロールします。値を編​​集しようとすると、ダイアログボックスが表示されます。「ビルトインアカウント」を選択し、その下で「ApplicationPoolIdentity」を選択します。

2. 「ID」の下の数行に、「ユーザープロファイルの読み込み」が表示されます。この値は「True」に設定する必要があります。

パートB：ウェブサイトの構成

1. ウェブサイト名：SiteName（単なる例）
2. 物理パス：C：\ Whatever（単なる例）
3. 次のように接続...：アプリケーションユーザー（パススルー認証）（上記の設定は、IISマネージャーのサイトの[基本設定]にあります）
4. 基本設定を構成したら、サイトのメインコンソールの[IIS]で[認証]構成を探します。それを開く。「匿名認証」のオプションが表示されます。有効になっていることを確認してください。次に、右クリックして「編集...」します。「アプリケーションプールID」を選択します。

パートC：フォルダーの構成

問題のフォルダはC：\ Whateverです

1. [プロパティ]-[共有]-[詳細共有]-[アクセス許可]に移動し、[このフォルダを共有する]を選択します
2. 同じダイアログボックスに、「許可」ボタンがあります。クリックして。
3. 新しいダイアログボックスが開きます。「追加」をクリックします。
4. 新しいダイアログボックス「ユーザーまたはグループの選択」が開きます。[この場所から]で、名前がローカルホストコンピュータと同じであることを確認します。次に、「オブジェクト名を入力してください」の下に「IIS AppPool \ MyPool」と入力し、「名前の確認」をクリックしてから「OK」をクリックします。
5. 「MyPool」ユーザーに完全な共有権限を付与します。それを適用し、フォルダのプロパティを閉じます
6. フォルダのプロパティをもう一度開きます。今回は、[セキュリティ]-[詳細]-[許可]に移動し、[追加]をクリックします。上部に[プリンシパルを選択]オプション、またはユーザーを選択する他のオプションがあります。クリックして。
7. [ユーザーまたはグループの選択]ダイアログボックスが再び開きます。手順4を繰り返します。
8. 'MyPool'ユーザーに必要なすべての権限を付与します。
9. 「すべての子オブジェクトのアクセス権を置き換える...」にチェックを入れ、適用して閉じます。

これで、Webサイトの閲覧を使用できるようになります。

Jon Adamsからのトップの回答

これは、PowerShellの人々にこれを実装する方法です

$IncommingPath = "F:\WebContent"
$Acl = Get-Acl $IncommingPath
$Ar = New-Object  system.security.accesscontrol.filesystemaccessrule("IIS AppPool\DefaultAppPool","FullControl","ContainerInherit, ObjectInherit", "None", "Allow")
$Acl.SetAccessRule($Ar)
Set-Acl $IncommingPath $Acl

混乱を増すために、（Windowsエクスプローラー）[有効なアクセス許可]ダイアログはこれらのログインに対して機能しません。パススルー認証を使用するサイト「Umbo4」があり、サイトのルートフォルダーでユーザーの有効なアクセス許可を確認しました。名前の確認テストでは "IIS AppPool \ Umbo4"という名前が解決されましたが、有効なアクセス許可は、ユーザーがフォルダに対してまったくアクセス許可を持っていないことを示しています（すべてのチェックボックスがオフ）。

次に、[エクスプローラのセキュリティ]タブを使用して、このユーザーをフォルダから明示的に除外しました。これにより、予期したとおり、サイトがHTTP 500.19エラーで失敗しました。ただし、有効なアクセス許可は以前とまったく同じように見えました。

私はすべてのasp.netの問題を修正しました。パスワードを使用してIUSERと呼ばれる新しいユーザーを作成し、ネットワークサービスとユーザーグループに追加しました。次に、すべての仮想サイトとアプリケーションを作成し、パスワードを使用して認証をIUSERに設定します。IUSERとBAMを含めるように高レベルのファイルアクセスを設定し、これを含めて少なくとも3〜4の問題を修正しました。

デイブ