IS7.5的ApplicationPoolIdentity用户权限
Question
-
请教个问题:
在Windows Server 2008 R2中的IIS 7.5中新建一个web站点使用的默认用户标识应该是ApplicationPoolIdentity,这个也就是应用程序池自己名称这个虚拟账户;我把web站点根目录从父项继承的权限都删除了,取消了该根目录从父项继承权限的设置,然后只保留了administrator这一个用户对站点根目录的完全控制权限,结果再访问这个站点就无法访问了,报权限不足,后来我通过这种格式“IIS AppPool\应用程序池名称”把应用程序池标识用户添加到了站点根目录,授予完全控制的权限,还是无法访问;后来又吧users组添加到该web站点根目录,授予普通的读取权限,结果该站点页面就可以正常访问了;麻烦问一下为什么在站点根目录下面添加了“ApplicationPoolIdentity用户标识”完全控制的权限站点还是不能正常访问?为什么在站点根目录添加了users组的普通读取权限,站点就可以访问了,是因为“ApplicationPoolIdentity用户标识”这个内置的虚拟账户默认属于users组吗?
谢谢Friday, 24 May, 2013 8:25 AM
Answers
-
谢谢;从这个看的话“applicationpoolidentity”这个用户应该属于USERS、IIS_IUSRS等多个组是吧?那为什么通过“IIS_AppPool\应用程序池名称”方法把这个用户添加到web站点根目录,并授予完全控制的权限的时候,站点不能正常访问那?
再次拿出另一个Sysinternls工具ProcessMonitor,我看到是这样的。你呢?
然后,我往网站目录的NTFS里加IUSR读权限后,就可以访问了
---------------------------------------------------------------------
最后发现,只要把站点的匿名身份验证的凭据(原本默认是特定用户 IUSR)改为applicationpoolidentity,那么站点目录的NTFS里把IUSR去掉,只剩applicationpoolidentity的读权限,也OK了
- Proposed as answer by Finy Saturday, 25 May, 2013 2:31 AM
- Edited by Finy Saturday, 25 May, 2013 3:54 AM
- Marked as answer by Tom Zhang – MSFTMicrosoft contingent staff, Moderator Monday, 27 May, 2013 9:36 AM
Friday, 24 May, 2013 10:27 AM
All replies
-
通过ProcessExplorer,可以看到它是隶属于Users组
