У нас есть Windows Server 2008, работающий в качестве вторичного контроллера домена, нашим основным контроллером домена является компьютер с Windows Server 2003, а функциональные уровни домена и леса установлены на 2003. Впоследствии мы установили IIS7 для некоторых внутренних тестовых проектов, однако когда При настройке первого сайта мы обнаружили, что в коробке, похоже, не хватает встроенных учетных записей IUSR и IIS_IUSRS. Очевидно, нам нужны эти учетные записи, чтобы правильно устанавливать разрешения для любых веб-приложений, которые мы выбираем для настройки.
После некоторого расследования я обнаружил Эта статья, со связанным файлом JScript, который необходимо запустить для решения проблемы, к сожалению, после запуска сценария и перезагрузки учетная запись IUSR все еще отсутствует. (Учетная запись IIS_IUSRS восстановлена)
Мы будем очень благодарны за любые идеи о том, как решить эту проблему.
Обратный инжиниринг скрипта дает некоторые подсказки о том, что он делает, но в конечном итоге поведение, которое он пытается вызвать, происходит внутри «черного ящика» самого кода контроллера домена Active Directory, поэтому устранение неполадок будет трудным (если вы не получил исходный код доступ к AD ...> :) <).
По сути, скрипт подготавливает домен к runSamUpgradeTasks вызов, а затем выполняет его. Это включает добавление значения к атрибуту otherWellKnownObjects объекта «CN = Server, CN = System. DC = domain ...» в каталоге, а затем выполнение вызова LDAP для изменения атрибута runSamUpgradeTasks. Это предполагаемый чтобы контроллер домена W2K8 автоматически создавал свои группы и пользователей по умолчанию в каталоге и, как таковой, вызывал создание отсутствующей учетной записи и группы.
Я немного сомневаюсь в этом сценарии, потому что ссылка runSamUpgradeTasks требует, чтобы балу был добавлен к атрибуту otherWellKnownObjects и заканчивался на «...: X», тогда как сценарий этого не делает. Тем не менее, вы указываете, что группа «IIS_IUSRS» была создана, это означает, что, предположительно, контроллер домена W2K8 «получил сообщение» и создал группы.
Это довольно сбивает с толку, и я бы предпочел обратиться в службу поддержки продуктов Microsoft. Вы не собираетесь тратить много денег, но, учитывая странность поведения, которое вы наблюдаете, они, вероятно, лучшие люди на планете, которые могут вам помочь.