Comprensione delle autorizzazioni IIS6, dell'ACL e dell'identità: come posso limitare l'accesso?
https://stackoverflow.com/questions/154735
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Quando un'applicazione ASP.NET è in esecuzione sotto IIS6.0 in Windows 2003 Server con rappresentazione, quale account utente è rilevante per decidere i privilegi di accesso in lettura / scrittura / esecuzione dei file? Ho due scenari in cui sto cercando di capire quale accesso concedere / revocare. Ho pensato che l'utente più rilevante fosse probabilmente l'identità specificata nel Pool di applicazioni, ma non sembra essere l'intera storia.
Il primo problema riguarda l'esecuzione di un file batch locale tramite System.Diagnostics.Process.Start () - Non posso farlo quando AppPool è impostato sull'utente IWAM_WIN2K3WEB, ma funziona bene se è impostato sulla rete Identità del servizio. Naturalmente mi sono assicurato che l'utente IWAM avesse i diritti di esecuzione sul file.
Il secondo riguarda la scrittura su un file sul disco rigido locale: mi piacerebbe essere in grado di impedirlo tramite l'elenco di controllo degli accessi tramite le proprietà della cartella, ma anche quando imposto tutto utenti nella cartella come " leggi " (nessun utente / gruppo con " write " affatto), il nostro ASP.NET continua a scrivere il file senza problemi. Come può se non ha accesso in scrittura?
La ricerca di Google presenta frammenti ma mai l'intera storia.
Soluzione
quale account utente è rilevante per [..] l'accesso in lettura / scrittura / esecuzione al file
Di norma: sempre l'account utente in cui viene eseguita l'applicazione / pagina.
L'account IWAM è piuttosto limitato. Non credo che disponga delle autorizzazioni per avviare un processo esterno. I diritti di accesso ai file sono irrilevanti a questo punto.
Se un account utente (nel tuo caso il servizio di rete) possiede un file (ovvero lo ha creato), può fare qualsiasi cosa per questo file, anche se non esplicitamente consentito. Controlla chi possiede il tuo file.
Process Monitor di Microsoft è un ottimo strumento per rintracciare sottigliezze come questa.
Altri suggerimenti
Un po 'più di ricerca rivela che l'utente IWAM non è così ben documentato e dovremmo attenerci al SERVIZIO DI RETE o a un'identità fornita manualmente se vogliamo specificare le autorizzazioni per quell'utente.
