visual ver tiene suficientes studio sitios privilegios permisos permiso para operacion obtener los llevar forbidden este esta error equipo directorio cabo acceso iis virtual-directory sharing network-share

iis - ver - 401.1 Error al acceder al directorio virtual que apunta a la red compartida



no tiene privilegios suficientes para obtener acceso a los sitios web de iis en su equipo (4)

IIS5 se ejecuta en SERVER1.

Uno de los directorios virtuales en IIS, myfiles, apunta a "Una ubicación compartida en otra computadora", // SERVER2 / myfilesshare

Cuando intento acceder a la página: http: // SERVER1 / myfiles

... Recibo el error:

Usted no está autorizado para ver esta página

HTTP 401.1 - No autorizado: error de inicio de sesión

Servicios de Información de Internet

He comprobado tres veces la configuración "Conectar como ..." en IIS. Las credenciales que estoy usando para acceder al recurso compartido son correctas, funcionan cuando se conectan al recurso compartido en el Explorador de Windows, pero no a través del directorio virtual de IIS. He intentado otorgar permiso completo a Todos en la carpeta en SERVER2, pero no tuve suerte.

¿Alguna idea?

Los problemas de permisos pueden ser complicados. Intenta ejecutar Filemon en la ''otra computadora''. Se puede descargar aquí: http://technet.microsoft.com/en-us/sysinternals/bb896642.aspx (no es una gran aplicación, solo una pequeña herramienta liviana)

Después de iniciar Filemon, detenga el proceso del monitor (creo que está activado de manera predeterminada cuando inicie la aplicación), borre los datos registrados y cree un filtro para la carpeta a la que tenga problemas para acceder. Comience el proceso del monitor. Solicite su página web Detenga el proceso del monitor y busque mensajes de "acceso denegado" en filemon. Cuando se encuentre, filemon también mencionará el nombre del usuario real que está tratando de obtener acceso. Esto podría ayudarte a llegar a una solución.

Por cierto, al usar Windows Server 2008, necesitará processmon en su lugar: http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

intente habilitar la autenticación de Windows en la pestaña de seguridad del directorio virtual (en IIS).

Imagine un escenario en el que, por el motivo que sea, desee que su servidor IIS acceda a un servidor Share on a File y no estén en el mismo dominio.

Si puede seguir y hacer que esto funcione para usted (lo he hecho Win2008-R1 Servidor de archivos de 32 bits y Win2008-R2 de 64 bits con IIS 7), entonces debería estar en buena forma para cualquier situación.

  • Cuenta local de mismo nombre en ambos servidores con la misma contraseña
  • En IIS, use aspnet_regiis -ga MyAccount para otorgar acceso a la cuenta local a las tripas de IIS
  • Ahora usa eso como la identidad del grupo de aplicaciones del sitio web
  • Uso de la Política de seguridad local (Herramientas de administración) habilite la confianza para la delegación de la cuenta local
  • Reinicie el servidor IIS
  • En el servidor de archivos, use la política de seguridad local para habilitar el acceso desde la red para la cuenta local
  • Cree Compartir otorgando los permisos deseados a la cuenta local (también permisos de la pestaña Seguridad según sea necesario)
  • Abra los puertos de Compartir archivos e impresoras en ambos (lo más restrictivo posible) para señalar dónde funciona para usted cuando está utilizando Windows Explorer entre los dos
  • Volver a IIS, crear un directorio virtual utilizando la ruta de acceso UNC a la carpeta compartida desde el servidor de archivos
  • Simplemente utilice la autenticación PassThrough (que usaría su cuenta local)
  • Puede indicar la configuración de autenticación anónima del directorio virtual para usar también la identidad del grupo de aplicaciones.

Use algo que pruebe / verifique. La clave es realmente la confianza para la delegación que usa una Service Account (dominio o de otro tipo), y que IIS use la cuenta que desea que use en lugar del servidor local o el servicio de red.

Esto me llevó todo el día averiguarlo. Varios hilos en y otras fuentes de Internet me ayudaron a señalar varios recursos pero no encontraron mi respuesta exacta en ninguna parte. Afortunadamente, la próxima persona que tenga este problema obtendrá un impulso de velocidad en el camino hacia la resolución con mi descripción de lo que funcionó para mí.

Así fue como resolví mi problema, podría ayudarte.

De manera predeterminada, IIS utiliza un usuario local llamado IUSR para directorios virtuales cuando usa autenticación anónima. No utiliza la identidad de la aplicación , lo que debería ser obvio, si usa procmon .

¿Cómo puede obligarlo a usar la identidad de la aplicación?

Fácil, bajo el administrador de IIS:

1) ve a Autenticación

2) Editar "Autenticación anónima"

3) Seleccione "Identidad del grupo de aplicaciones"

4) Reinicie IIS y debería funcionar.

Lo mismo logra con PS: Set-WebConfigurationProperty -filter /system.WebServer/security/authentication/AnonymousAuthentication -name username -value ""

Este enlace contiene los pros / contras: http://blogs.technet.com/b/tristank/archive/2011/12/22/iusr-vs-application-pool-identity-why-use-either.aspx