Есть ли способ получить IIS7 на компьютере, не являющемся доменом (в данном случае на виртуальной машине разработки Windows 7), чтобы использовать учетную запись домена для удостоверения AppPool? Я могу ввести учетные данные (домен / имя пользователя и т. Д.), Но тогда AppPool выдает ошибку о том, что учетная запись не имеет «прав на пакетный вход».
Я не могу найти в Google ничего, что могло бы помочь мне разобраться в этом, поэтому я думаю, что это может быть невозможно.
Мне кажется, что это почти невозможно. «Присоединение к домену» создает отношения доверия между компьютером (объектом) и доменом (службами).
Например, самый простой способ настроить права пользователя - использовать локальную политику безопасности (настройки безопасности / локальные политики mmc snapin).
Но вы можете использовать ntrights.exe. У меня здесь один домен, но проверить аналогичную ситуацию несложно:
Я на КОМПЬЮТЕРЕ. Я создал учетную запись dummyuser на COMPUTERB (также известный как компьютер computerb \ dummyuser)
Когда я бегу:
NTRIGHTS +r SeBatchLogonRight -u computerb\dummyuser
Я получаю сообщение об ошибке:
Granting SeBatchLogonRight to computerb\dummyuser ... failed (GetAccountSid(computerb\dummyuser)=1332
C:\>net helpmsg 1332 возвращает: No mapping between account names and security IDs was done.
Это довольно просто. Даже если вы работаете как пользователь, являющийся администратором домена (следовательно, этот пользователь по своей природе является частью локальной группы администраторов на компьютереb), учетные данные, для которых я выполняю операцию, не пройдут.
Хороший способ проверить это просто ... при запуске виртуальной машины:
runas /user:domain\administrativeuser cmd.exe
Я ожидал, что это не сработает с 1326: Logon failure: unknown user name or bad password, поскольку локальная машина не знает, что domain есть, и / поэтому он определенно не заслуживает доверия.
На самом деле все это означает, что независимо от того, есть ли у вас запись или нет, локальный компьютер не знает и не будет знать, кем является пользователь, когда он пытается выполнить какую-либо операцию, если только он не сможет аутентифицировать этого пользователя в базе данных, для которой является частью (AD вашего домена).
Я хотел бы посмотреть, есть ли у кого-нибудь еще решение.
Тогда почему вам нужно использовать пользователя домена в качестве идентификатора пула приложений?
Вы можете создать зеркальную локальную учетную запись пользователя и использовать ее, и если ей когда-нибудь понадобится получить учетные данные вне коробки, он может их использовать ...
Но есть и другие ключевые особенности того, чтобы быть пользователем домена, которые он не сможет уловить.
Я не могу придумать для этого хороший вариант использования; почему бы просто не присоединить виртуальную машину к домену?