Berechtigung der IIS Pool-Identität auf Filesystem-Ressourcen
Webapplikationen können im Internet Information Server (IIS) unter verschiedenen Identitäten ausgeführt werden. Dies kann sinnvoll oder notwendig sein, um Zugriff auf das Active Directory oder andere geschützte Systeme zugreifen will. Dafür muss man allerdings die exakte Bezeichnung kennen.
IIS kennt zu diesem Zweck Application-Pools, die eine gemeinsame Prozess-Infrastruktur bilden:
- Jeder Web-Anwendung ist genau ein Pool zugeordnet
- Ein Pool kann aber für mehrere Applikationen zuständig sein
- Jeder Pool besitzt wiederum eine Pool-Identität (Application Pool Identity)
Bei der Pool-Identität handelt es sich um
- einen selbst angelegten lokalen Benutzer
- einen Active Directory Benutzer oder
- um eine virtuelle Pool-Identität (seit IIS 7)
Index
Pool-Identität und Sicherheit
Diese Pool-Identität ist sehr niedrig berechtigt und ermöglicht somit einen guten Schutz vor Angriffen. Neue Pools kann man sehr leicht erstellen und jeder Pool erhält automatisch eine eigene, virtuelle Identität. Dadurch ist eine Abschottung der Anwendungen untereinander ebenfalls sichergestellt.
Pool-Identität im Filesystem berechtigen
Bei der Pool-Identität handelt es sich allerdings um keinen Benutzer im klassischen Sinn. Man findet ihn auch nicht unter „Lokale Benutzer“.
Um der ApplicationPoolIdentity nun Berechtigungen im Filesystem zuweisen zu können, kommt man leider nicht umher, den genauen Namen zu kennen.
Bezeichnung der Pool-Identität
Der setzt sich wie folgt zusammen (Leerzeichnen beachten!):
1 |
<h2>IIS AppPool\[AppPoolName]</h2> |
für den Default-Pool wäre das z.B.:
1 |
IIS AppPool\DefaultAppPool |
1 Comment
Leave your reply.