Я пытаюсь сделать свой сервер IIS более безопасным и заблокировал отдельные папки приложений, чтобы только соответствующий пул приложений мог получить к ним доступ. Пулам приложений был предоставлен доступ для чтения, но я также пробовал использовать доступ для чтения и записи. Я также переместил wwwroot на другой диск.
Если я не укажу учетную запись администратора домена в качестве идентификатора AppPool, я получаю сообщение об ошибке ниже о том, что файл webconfig не читается.
An error occurred loading a configuration file: Failed to start monitoring changes to 'D:\wwwroot\web.config' because access is denied.
Я могу обойти эту конкретную ошибку, сделав следующее:
Advanced Properties
. Под ProcessModel
->Identity
, выберите Identity
. Custom Account
Проблема в том, что теперь мой веб-сайт, который смотрит на текущего пользователя, вошедшего в систему, видит учетную запись домена, указанную в пуле приложений, а не вошедшего в систему пользователя.
Также кажется немного бессмысленным устанавливать разрешения NTFS для папок моих приложений, если я все равно собираюсь переопределить их с помощью учетной записи администратора домена в пуле приложений.
Какие-либо предложения?
Я исправил это, дав servername\IIS_IUSRS
групповой доступ на чтение к каталогу wwwroot и всем подпапкам. Это, вероятно, сводит на нет мои улучшения безопасности, но заставляет его работать, так что неважно