Comprensión de los permisos, la ACL y la identidad de IIS6: ¿cómo puedo restringir el acceso?
https://stackoverflow.com/questions/154735
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Cuando una aplicación ASP.NET se ejecuta bajo IIS6.0 en Windows 2003 Server con suplantación, ¿qué cuenta de usuario es relevante para decidir los privilegios de acceso de lectura / escritura / ejecución de archivos? Tengo dos escenarios en los que estoy tratando de entender qué acceso conceder / revocar. Pensé que el usuario más relevante es probablemente la identidad especificada en el grupo de aplicaciones, pero esa no parece ser la historia completa.
El primer problema se refiere a la ejecución de un archivo por lotes local a través de System.Diagnostics.Process.Start (): no puedo hacerlo cuando AppPool está configurado como usuario de IWAM_WIN2K3WEB, pero funciona bien si está configurado en la red Identidad de servicio. Por supuesto, me aseguré de que el usuario de IWAM tenga derechos de ejecución en el archivo.
El segundo consiste en escribir en un archivo en el disco duro local. Me gustaría poder evitar hacerlo a través de la lista de control de acceso a través de las propiedades de la carpeta, pero incluso cuando configuro todo usuarios en la carpeta como " leer " (no hay usuarios / grupos con " escriba " en absoluto), nuestro ASP.NET aún no escribe ningún problema. ¿Cómo puede hacerlo si no tiene acceso de escritura?
La búsqueda de Google muestra partes y partes, pero nunca la historia completa.
Solución
qué cuenta de usuario es relevante para [..] acceso de lectura / escritura / ejecución de archivos
Como regla general: siempre la cuenta de usuario con la que se ejecuta la aplicación / página.
La cuenta IWAM es bastante limitada. No creo que tenga permisos para iniciar un proceso externo. Los derechos de acceso a los archivos son irrelevantes en este punto.
Si una cuenta de usuario (Servicio de red en su caso) posee un archivo (es decir, lo ha creado), puede hacer cualquier cosa en este archivo, incluso si no se permite explícitamente. Compruebe quién es el propietario de su archivo.
Process Monitor de Microsoft es una excelente herramienta para rastrear sutilezas como esta.
Otros consejos
Un poco más de búsqueda revela que el usuario de IWAM no está tan bien documentado y deberíamos quedarnos con el SERVICIO DE RED o una identidad suministrada manualmente si queremos especificar permisos para ese usuario.
