Как я могу назначить разрешение активного каталога идентификатору пула приложений по умолчанию [IIS APPPOOL {имя пула приложений}]?
Я пытаюсь сделать это, чтобы разрешить веб-приложению запрашивать активные группы каталогов, пользователей и проверять наличие определенного имени пользователя или имени группы.
Спасибо.
Вы этого не сделаете. Вы можете предоставить разрешения локальным ресурсам для идентификатора IIS APPPOOL {app pool name} для локальных ресурсов за:
Как назначить разрешения учетной записи ApplicationPoolIdentity
В Active Directory удостоверение должно быть либо общеизвестным участником безопасности, либо фактическим участником безопасности пользователя / группы / компьютера, либо сторонним / доверенным участником безопасности.
Однако, если вы используете идентификатор сетевой службы в пуле приложений IIS, пул приложений будет использовать учетную запись компьютера сервера IIS при доступе к сетевым ресурсам. В этом случае вы можете предоставить необходимые разрешения учетной записи компьютера (domain \ computername $) в Active Directory.
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
На компьютере с AD я делегировал управление компьютеру, на котором запущено приложение IIS. Я делегировал только разрешения типа «изменить членство в группе» (или что-то в этом роде), и мое решение заработало.
У меня был поворот в моем приложении, который получил IPrincipal из ADFS, поэтому я не использовал аутентификацию Windows, но кроме этого все работало нормально.
Жаль, что IISExpress не работают так, как IIS, так как это не первый раз, когда у меня возникают проблемы при переходе на производство.