usuario que permisos iis_iusrs carpeta iis permissions asp.net-4.5 windows-server-2012 iis-8

que - usuario iis permisos



Permisos de IIS_IUSRS e IUSR en IIS8 (7)

@EvilDr Puede crear una cuenta IUSR_ [identificador] dentro de su entorno AD y dejar que el grupo de aplicaciones particular se ejecute bajo esa cuenta IUSR_ [identificador]:

"Grupo de aplicaciones"> "Configuración avanzada"> "Identidad"> "Cuenta personalizada"

Configure su sitio web como "Usuario de Applicaton (autenticación PassThrough)" y no como "Usuario específico", en la Configuración avanzada.

Ahora proporcione a IUSR_ [identificador] los permisos NTFS apropiados en los archivos y carpetas, por ejemplo: modificar en companydata.

Me acabo de mudar de IIS6 en Win2003 a IIS8 en Win2012 para alojar aplicaciones ASP.NET.

Dentro de una carpeta en particular en mi aplicación, necesito crear y eliminar archivos. Después de copiar los archivos al nuevo servidor, seguí viendo los siguientes errores cuando traté de eliminar archivos:

Se deniega el acceso a la ruta ''D: / WebSites / myapp.co.uk / companydata / filename.pdf''.

Cuando reviso IIS, veo que la aplicación se está ejecutando bajo la cuenta DefaultAppPool, sin embargo, nunca configuré permisos de Windows en esta carpeta para incluir IIS AppPool / DefaultAppPool

En cambio, para dejar de gritar a los clientes, otorgué los siguientes permisos en la carpeta:

IUSR

  • Leer y ejecutar
  • Lista de contenidos en la carpeta
  • Leer
  • Escribir

IIS_IUSRS

  • Modificar
  • Leer y ejecutar
  • Lista de contenidos en la carpeta
  • Leer
  • Escribir

Esto parece haber funcionado, pero me preocupa que se hayan establecido demasiados privilegios. He leído información conflictiva en línea sobre si IUSR realmente se necesita aquí. ¿Alguien puede aclarar qué usuarios / permisos serían suficientes para Crear y Eliminar documentos en esta carpeta, por favor? Además, ¿IUSR es parte del grupo IIS_IUSRS?

Actualización y solución

Por favor, mira mi respuesta a continuación . He tenido que hacer esto tristemente ya que algunas sugerencias recientes no fueron bien pensadas, o incluso seguras (IMO).

Cuando agregué el permiso IIS_IUSRS a la carpeta del sitio, los recursos, como js y css, aún no eran accesibles (error 401, prohibido). Sin embargo, cuando agregué IUSR, se volvió correcto. Entonces, con seguridad "NO PUEDE eliminar los permisos para IUSR sin preocuparse", querido @Travis G @

El grupo IIS_IUSRS tiene importancia solo si usa la Identidad de ApplicationPool. Aunque tiene este grupo se ve vacío en tiempo de ejecución IIS agrega a este grupo para ejecutar un proceso de trabajo de acuerdo con la literatura de Microsoft.

El permiso IIS_IUser es más que suficiente para crear o eliminar archivos. No es necesario permiso de IUser. Estoy dando este permiso para más de 20 carpetas. Estoy buscando una forma alternativa de hacer esto también. Sugerirme si hay alguna opción disponible

IUSR es parte del grupo IIS_IUSER. Así que supongo que puede eliminar los permisos para IUSR sin preocuparse. Otras lecturas

Sin embargo, surgió un problema con el tiempo a medida que más y más servicios del sistema de Windows comenzaron a ejecutarse como NETWORKSERVICE. Esto se debe a que los servicios que se ejecutan como NETWORKSERVICE pueden alterar otros servicios que se ejecutan con la misma identidad. Dado que los procesos de trabajo de IIS ejecutan código de terceros de forma predeterminada (ASP clásico, ASP.NET, código PHP), llegó el momento de aislar los procesos de trabajo de IIS de otros servicios de sistema de Windows y ejecutar procesos de trabajo de IIS con identidades únicas. El sistema operativo Windows proporciona una función llamada "Cuentas virtuales" que permite a IIS crear identidades únicas para cada una de sus agrupaciones de aplicaciones. DefaultAppPool es el grupo predeterminado que se asigna a todo el grupo de aplicaciones que crea.

Para hacerlo más seguro, puede cambiar la identidad de IIS DefaultAppPool a ApplicationPoolIdentity.

Con respecto al permiso, Crear y Eliminar resume todos los derechos que se pueden otorgar. Entonces, lo que haya asignado al grupo IIS_USERS es que lo requerirán. Nada más y nada menos.

espero que esto ayude.

Odio publicar mi propia respuesta, pero algunas respuestas han ignorado recientemente la solución que publiqué en mi propia pregunta, sugiriendo enfoques que son temerarios.

En resumen: no necesita editar ningún privilegio de cuenta de usuario de Windows . Hacerlo solo introduce riesgo. El proceso se gestiona completamente en IIS utilizando privilegios heredados.

Aplicación de permisos de modificación / escritura a la cuenta de usuario correcta

  1. Haga clic con el botón derecho en el dominio cuando aparezca debajo de la lista Sitios y elija Editar permisos.

    En la pestaña Seguridad , verá MACHINE_NAME/IIS_IUSRS lista. Esto significa que IIS tiene automáticamente permiso de solo lectura en el directorio (por ejemplo, para ejecutar ASP.Net en el sitio). No necesita editar esta entrada .

  2. Haga clic en el botón Editar , luego Agregar ...

  3. En el cuadro de texto, escriba IIS AppPool/MyApplicationPoolName , sustituyendo MyApplicationPoolName con su nombre de dominio, por ejemplo, IIS AppPool/mydomain.com

  4. Presione el botón Comprobar nombres . El texto que escribió se transformará (observe el subrayado):

  5. Presione OK para agregar al usuario

  6. Con el nuevo usuario (su dominio) seleccionado, ahora puede proporcionar de manera segura cualquier permiso de modificación o escritura

Utilizaría un usuario específico (y NO usuario de la aplicación). Luego habilitaré la suplantación en la aplicación. Una vez que hace eso, cualquiera que sea la cuenta configurada como el usuario específico, esas credenciales se usarían para acceder a los recursos locales en ese servidor (no para recursos externos).

La configuración específica del usuario está específicamente diseñada para acceder a los recursos locales.