Zpracování a vyžádání identity v prostředí ASP.NET

Překlady článku Překlady článku
ID článku: 317012 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje přístupová práva udělená výchozí účet procesu a popisuje některé situace, ve kterých práva může být příliš omezující pro určité úkoly.

Výchozí instalace prostředí ASP.SÍŤ Microsoft Windows 2000 a Microsoft Windows XP v prostředí ASP.NET spuštěn Web kód aplikace pracovního procesu. Totožnost tohoto procesu používá místní účet s názvem účtu ASPNET (kde úplný název je aspnet_wp účtu) ve výchozím nastavení. V beta verzích prostředí ASP.NET, identita procesu je systém, který je výkonná, správní účet, který zahrnuje mnoho přístupových práv na počítač. Poskytnout výchozí méně privilegovaném instalaci vydání verze prostředí ASP.NET používá slabší účet ASPNET, který je vhodný pro většinu Webové aplikace.

Poznámka: Ve výchozím nastavení, pokud používáte aplikaci Microsoft Internet Information Služba (IIS) 6.0, skripty ASP.NET webové aplikace poběží v zabezpečení kontextu účtu NetworkService.

Další informace

Konfigurace identity procesu

Můžete konfigurovat identitu procesu v <processmodel></processmodel> část souboru Machine.config v podadresáři Config kořenový adresář instalace. Na uživatelské jméno a heslo atributy určit totožnost procesu. Výchozí hodnoty těchto atributů jsou následující:
<processModel  userName="machine" password="AutoGenerate" />
				
Na počítač a Automaticky generovat hodnoty se udávají ASP.NET použít předdefinovaný účet ASPNET a pomocí kryptograficky silné náhodné heslo uložené v místním Úřadu zabezpečení (LSA) pro tento účet.

Chcete-li použít proces, který má více oprávnění, můžete nastavit uživatelské jméno atribut do Systém, což způsobuje, že ASP.ČISTÉ pracovní proces spuštěn se stejnými Identita jako proces Inetinfo.exe. Ve výchozím nastavení spuštěn proces Inetinfo.exe jako identita System. Nakonfigurujete-li prostředí ASP.ČISTÉ pracovní proces použití Identita systému ASP.ČISTÉ pracovní proces téměř všechny přístup prostředky v místním počítači. V počítačích se systémem Windows 2000, Windows XP nebo Microsoft Windows Server 2003 účet System také síťová pověření a přístup síťové prostředky jako účet počítače. Konfigurace proces spuštěn jako identita System změnit uživatelské jméno atribut v <processmodel></processmodel> část takto:
<processModel  userName="SYSTEM" password="AutoGenerate" />
				

Výchozí oprávnění pro účet ASPNET

Účet ASPNET je vytvořena jako místní účet při instalaci PROSTŘEDÍ ASP.NET. Účet ASPNET patří pouze do skupiny uživatelů v daném počítači. Proto má účet ASPNET všech práv spojených s Uživatelé skupiny a může přístup k prostředkům, udělená skupině Users přístup k. Účet ASPNET zdědí následující uživatelská práva uživatelů skupina.
Zmenšit tuto tabulkuRozšířit tuto tabulku
Uživatelská právaVysvětlení
SeChangeNotifyPrivilegeObejít křížovou kontrolu.
SeUndockPrivilegeOdebrání počítače z dokovací stanice.
SeInteractiveLogonRightPřihlaste se místně.
SeNetworkLogonRightPřístup k tomuto počítači ze sítě.
Vedle těchto práv je také uděleno účtu ASPNET ve výchozím nastavení následující práva:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Uživatelská právaVysvětlení
SeServiceLogonRightPřihlásit se jako služba.
SeBatchLogonRightPřihlásit jako dávkovou úlohu.
SeDenyInteractiveLogonRightOdepřete místní přihlášení.
PROSTŘEDÍ ASP.NET udělí oprávnění zvláštní, úplný přístup ASPNET účtu do následující složky:
  • Dočasné ASP.ČISTÉ soubory
  • %windir%\Temp
Navíc ASP.NET Microsoft uděluje oprávnění ke čtení .NET Framework instalačního adresáře.

Následující seznam obsahuje Seznamů řízení přístupu (ACL), jsou požadovány pro účet ASPNET. Na výchozí instalace systému Windows 2000 a Microsoft.NET Framework patří Tyto seznamy ACL.
  • Umístění: % installroot%\ASP.NET dočasné soubory
    Typ přístupu: Čtení a zápis ke složce a Seznam složek Obsah v kořenové složce jednotky
    Účet: Zpracovat účet a konfigurovat účty zosobnění
    Popis: Toto je umístění pro prostředí ASP.NET dynamické kompilace. Pod Toto umístění kód aplikace je generována v samostatné adresáře pro každou aplikace. Můžete použít tempDir atribut v <compilation></compilation> oddíl konfigurace umístění kořenového adresáře.

    Poznámka: Pokud změníte machine.config uložit ASP.NET, dočasné soubory v jiném umístění, musí mít účet ASPNET Seznam Obsah složky Typ přístupu na kořenové úrovni jednotky.
  • Umístění: %windir%\temp
    Typ přístupu: Čtení/zápis
    Účet: Účet proces
    Popis: Tomto je umístění webu Extensible Markup Language (XML) služby se používá ke generování proxy serializace.
  • Umístění: Adresář aplikace
    Typ přístupu: Pro čtení
    Účet: Zpracovat účet a konfigurovat účty zosobnění
    Popis: Toto je umístění pro obsah aplikace (pouze přístup pro čtení povinné).
    Další informace naleznete na webu společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa302396.aspx
  • Umístění: Kořenový adresář webového serveru (%systemdrive%\inetpub\wwwroot nebo cestu, Výchozí webový server odkazuje na)
    Typ přístupu: Pro čtení
    Účet: Zpracovat účet a konfigurovat účty zosobnění
    Popis: ASP.NET se pokusí načíst konfigurační soubory a sledovat změny vjednotky: \inetpub\wwwroot\web.config.
  • Umístění: % kořenová_složka_instalace % hierarchie
    Typ přístupu: Pro čtení
    Účet: Zpracovat účet a konfigurovat účty zosobnění
    Popis: ASP.NET musí mít přístup.Sestavení .NET Framework na Soubor Machine.config (v podadresáři \Config pod kořenová_složka_instalace %).
  • Umístění: %windir%\assembly
    Typ přístupu: Pro čtení
    Účet: Zpracovat účet nebo nakonfigurované zosobnění účty
    Popis: Toto je globální mezipaměť sestavení (GAC), která obsahuje sdílené sestavení.
Další informace o výchozí seznamy ACL pro systém Windows 2000 systémem počítače, viz odkaz na "Výchozí nastavení řízení přístupu v systému Windows 2000" v ODKAZY sekce.

Poznámka: Ve výchozím účtem ASPNET obecně nemá správná přístupová práva provést některé úkoly, které jsou popsány v tomto článek.

Přístup k prostředkům

Následující části popisují, jak použít různé zdroje. Jste přístup mnoho z těchto prostředků místně v případě, že povolení zosobnění a můžete udělit přístup zosobněného účtu k prostředku. Však zosobnění často nefunguje při pokusu o přístup ke vzdáleným prostředkům Pokud aplikace používá ověřovací mechanismus, který může být delegován, jako je například ověřování Kerberos nebo Basic. Můžete použít také na služby modelu COM + přístup k prostředkům, které je uvedeno v Spuštění kódu s pevné identitysekce.

Použití souboru prostředků.

K Povolte aplikaci, která je spuštěna s účtem ASPNET zapisovat do soubory, může zosobnit v kódu před neurčí k určitému uživateli soubory, nebo můžete udělit oprávnění k zápisu pro účet ASPNET. Můžete udělit zápisu oprávnění pro jednotlivý soubor nebo adresář hierarchie.

Důležité Pokud udělíte oprávnění k zápisu pro jednotlivý soubor nebo adresář hierarchie účet ASPNET prostředí ASP.NET webových aplikací se systémem podle ASPNET účet na serveru jsou také možnost zápisu do této soubor nebo adresář hierarchie. Další informace o zosobnění určitého uživatele v kódu klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
306158Způsob implementace zosobnění v ASP.NET aplikací
Změna přístupu Seznam řízení pro soubor, postupujte takto:
  1. Spusťte Průzkumníka Windows.
  2. Vyberte soubor nebo složku, pro kterou chcete změnit oprávnění.
  3. V Soubor nabídky, klepněte na tlačítko Vlastnosti.
  4. Klepněte Zabezpečení Klepnutím zaškrtněte políčka pro seznam ACL kartu. oprávnění.
Můžete také použít skript nebo nástroj příkazového řádku programu Cacls.exe (která je součástí systému Windows) změna seznamu řízení přístupu pro soubor.

PROSTŘEDÍ ASP.NET 1.1 používá <drivename></drivename>\Documents a Settings\<machinename></machinename>\ASPNET složku pro ukládání proces soubory (kde <drivename></drivename> je jednotky v počítači kde ASP.NET je nainstalován a <machinename></machinename> je název vašeho počítač).

Povolení zosobnění

Zosobnění, spuštěn v kontextu zabezpečení Entita požadavku, jako ověřený uživatel nebo jako anonymní uživatel. V PROSTŘEDÍ ASP.NET, zosobnění je volitelné a není ve výchozím nastavení povolena. Povolit zosobnění na úrovni počítače nebo aplikace, přidejte Po konfiguraci směrnice <system.web></system.web> oddíl souboru Machine.config nebo Web.config soubor:
<identity impersonate="true"/>
				

Použití databází

Aplikace, které používají ověřování SQL Server k připojení k databázi nejsou ovlivněny obecně přepnout na účet ASPNET. Toto je také Chcete-li hodnotu true pro aplikace, které používají integrované ověřování a zosobnění. Nicméně pokud aplikace není zosobnění a pomocí systému Windows ověření, je nutné udělit přístup k databázi pro ASPNET účet.

Při pokusu nelze použít účet ASPNET Microsoft SQL Server ověřování pomocí integrovaného ověřování systému Windows přes pojmenované kanály. Můžete však použít účet ASPNET úspěšně s Integrované ověřování systému Windows prostřednictvím protokolu TCP (Transmission Control Protocol) přeprava.

Pokud aplikace musí používat databázi aplikace Microsoft Access účet ASPNET, musí být možné zapisovat do souboru databáze. Správci oprávnění k souboru je nutné odpovídajícím způsobem upravit.

Pomocí protokolu událostí

Aplikace, které se musí zapsat do protokolu událostí aplikací můžete provést. Ano, spuštěna pod účtem ASPNET. Pokud je nutné vytvořit aplikaci Nová kategorie protokolu událostí aplikace musí vytvořit klíč registru pod HKEY_LOCAL_MACHINE podregistr registru, které není možné účet ASPNET.

K vytvořit kategorii za běhu, je nutné povolit zosobnění a pak musí představovat účtu, který má více přístupových práv. Alternativně Správce může vytvořit kategorii a aplikace mohly zapisovat do kategorie v době běhu.

Pokud aplikace, musíte vytvořit nový protokol událostí kategorie, vytvoření kategorií při instalaci. Po kategorie události aplikace vytvořili, můžete napsat účet ASPNET protokol.

Pomocí System.DirectoryServices a služby Active Directory

Je-li webové aplikace musí přístup ke službě Active Directory, aplikace může použít zosobnění v prostředí, které podporuje delegování. Případně aplikace můžete zadat explicitní pověření DirectoryEntry Konstruktor System.DirectoryServices obor názvů pro přístup k adresáři Active Directory. Pokud aplikace používá explicitní pověření aplikace by uložení pověření přiměřeně podle pomocí techniky, jako je například řetězce konstrukce modelu COM + nebo pomocí systému Windows data ochrany aplikačních programovacích rozhraní (API).

Pomocí čítačů výkonu

Účet ASPNET nemá dostatečná oprávnění k zápisu do (nikoli čtení) dat čítače výkonu. Pokud aplikace musí přečíst výkonu čítače dat nebo vytvoření výkonu kategorií čítače, správce nebo napájení Uživatelská oprávnění jsou vyžadována.

Pokud aplikace musí vytvořit nový kategorie čítače výkonu, vytvoření kategorií při instalaci. Po kategorie jsou vytvořeny, účet ASPNET může zapsat čítače.

Stále můžete použít nástroj Sledování výkonu (Perfmon.exe) pro sledování prostředí ASP.Čítače netto výkon při použití ASPNET účet.

V systému Windows 2000 postupujte takto:
  1. Spusťte Editor registru.
  2. Vyhledejte následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_1.1.4322\Names
  3. Klepněte na kartu zabezpečení.
  4. Přidat identitu pracovního procesu s následujícími oprávnění:
    • Hodnota dotazu
    • Nastavit hodnotu
    • Vytvořit podklíč
    • Vytvořit výčet podklíčů
    • Oznámit ovládat čtení
V systému Windows Server 2003 přidejte identitu IIS_WPG skupina.

Spuštění serverů COM out-of-process

Aplikace, které musí být spuštěny servery COM mimo proces při jako účet ASPNET můžete výslovně udělit oprávnění spustit účet pomocí nástroje Dcomcnfg.exe.

Ladění problémů

Ve výchozím nastavení nelze do volání webové XML služby z krok klientské aplikace. Krok do webových služeb XML, musíte přidat ASPNET účet do skupiny Debugger Users v počítači, kde webové služby XML je spuštěn.

Spuštění kódu s pevné identity

V modelu COM + služby můžete spustit kód s pevné identity. Je možné použít ServicedComponent Třída Služby System.EnterpriseServices obor názvů psaní spravovaného kódu komponent, které používají model COM + služby. Ve třídě, která je odvozena od může obtékat privilegované funkce ServicedComponent a potom spusťte tuto třídu jako aplikace modelu COM + serveru s umožňuje konfigurovat identity.

Kompilace kódu na pozadí soubory ve sdílených složkách UNC

V prostředí ASP.NET, můžete použít několik metod pro vývoj aplikací soubory:
  • Jazyk HTML (HTML) můžete použít v aspx soubor a pak můžete uložit kód stránky v předkompilovaný sestavení v adresář Bin. Toto je Microsoft Visual Studio.NET model.
  • Můžete sbalit všechny kód a v obsahu HTML soubor jediný zdroj je kompilován na požádání.
  • Prezentace ve formátu HTML můžete umístit do ASP.NET file a pak můžete dynamicky Kompilovat všechny přidružené zdrojový kód pro tento soubor pomocí src atribut v <%@ Assembly %> směrnice.
Poznámka: Pokud obsah aplikace je umístěn ve sdílené síťové položce Kompilátor spuštěn v účtu ASPNET a nemá síťová pověření přístup k souboru. Používáte-li sdílené síťové položky, nelze použít src atribut přejděte na příkaz soubor. Je nutné použít jednu z druhé metody místo.

Pomocí prostředí ASP.NET na primární nebo záložní řadič domény


Ve výchozím nastavení, pokud používáte prostředí ASP.NET 1.1 v doméně Řadič skripty ASP.NET webové aplikace bude spuštěna v kontextu zabezpečení IWAM_<computername></computername> účtu (kde <computername></computername> je název počítače).

Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
315158OPRAVA: PROSTŘEDÍ ASP.NET nefunguje výchozí účet ASPNET v řadiči domény
zpět na začátek

Čtení metabáze služby IIS

Účet ASPNET nelze číst informace O Microsoft Internet Metabáze služby IIS. Pokud aplikace musí přístup k nastavení metabáze, které můžete selektivně udělit přístup pro čtení k uzlům metabáze pomocí Metaacl.exe nástroj.

Pokud aplikace musí používat .disco soubory, které spoléhají schopnost číst poskytovat služby zjišťování musí udělit metabáze služby IIS Přístup pro čtení metabáze pro účet ASPNET.

Pomocí System.Management a WMI

Služba WMI (Windows Management Instrumentation) je výkonné, funkce pro správu, který můžete použít ke správě a sledování Počítače se systémem Windows. Nicméně, když prostředí ASP.NET aplikace spouštěna Účet ASPNET tento účet pouze má stejná výchozí přístupová oprávnění jako Všichni uživatelé. Tato oprávnění patří čtení dat služby WMI, zápis zprostředkovatele dat, a spouštění metod pro poskytovatele v místním počítači. Další informace o služby WMI lze nalézt mechanismy zabezpečení v sadě Platform SDK služby WMI dokumentaci nebo na webu MSDN.

Poznámka: V systému Windows 2000 bez service pack 3 (SP3) nebo novější, nebo Systém Windows XP bez service pack 1 (SP1) nebo novější, ASP.NET webových aplikací, spustit pod ASPNET účet pravděpodobně fungovat a obdržíte přístup" Odepřen (0x80041003) "chybová zpráva. Účet není důvodem máte dostatečná oprávnění k přístupu k určitým oborech názvů služby WMI. K vyřešení tohoto problému instalace systému Windows XP s aktualizací SP1 nebo novější, nebo Windows 2000 SP3 nebo novější. Řešení problém, postupujte takto:
  1. Spusťte počítač Management konzola Microsoft Management Console Modul snap-in (konzoly MMC).
  2. Rozbalit Služby a aplikacea pak vyberte Řízení služby WMI.
  3. Klepněte pravým tlačítkem myši Řízení služby WMIa klepněte na tlačítko Vlastnosti.
  4. V Vlastnosti ovládacího prvku rozhraní WMI Dialogové okno, klepněte Zabezpečení na kartě.
  5. Rozbalit Kořenový adresář, vyberte CIMV2a klepněte na tlačítko Zabezpečení.
  6. V Zabezpečení Dialogové okno, klepněte na tlačítko Upřesnit.
  7. V Nastavení řízení přístupu Dialogové okno, klepněte na tlačítko Přidat. Vybrat Název_místního_počítače\ASPNETa klepněte na tlačítko OK.
  8. V Položka oprávnění Dialogové okno pole, ujistěte se, že Použít na je nastavena na hodnotu Tento obor názvů a podobory.
  9. Zkontrolujte, zda Umožňují povolit účet a "Povolit vzdálené" Povolit jsou zaškrtnuta políčka.
  10. Klepněte na tlačítko OK v každém dialogovém až se vrátíte do Vlastnosti ovládacího prvku rozhraní WMI Dialogové okno.
  11. Opakujte kroky 5 až 10 pro jiné obory názvů služby WMI, aplikace bude přístup.
  12. Restartování služby IIS. Chcete-li to provést, spusťte následující příkaz:IISRESET z příkazového řádku.
Ve výchozím nastavení prostředí ASP.NET generuje kryptograficky silné heslo pro účet ASPNET. Toto řešení je tedy bezpečné poskytované není sdílena mezi počítači nebo obnovit heslo účtu ASPNET jinou hodnotu než výchozí.

Interakce s plochou

Při konfiguraci služeb IIS umožňuje interakci s pracovní plocha, účet ASPNET nemá správná práva pro přístup z důvodu volitelné seznamy řízení přístupu (DACL) na ploše výchozí pracovní stanice a plochy. Správci mohou změnit tyto seznamy DACL, nebo můžete spustit proces s účtem, který má oprávnění k přístupu k těmto objekty.

Odebrání ASP.NET

Po odebrání ASP.ČISTÁ, je zakázán účet ASPNET a zůstává v systému. Pokud nezamýšlíte můžete odstranit účet ASPNET Přeinstalujte prostředí ASP.NET.

Pokud přeinstalujete ASP.NET po můžete explicitně odstranit účet ASPNET, je vytvořen nový účet ASPNET, který má nový identifikátor zabezpečení (SID). Následkem toho všechny seznamy ACL, uvedené v předchozím Účet ASPNET se již vztahuje na nový účet ASPNET.

Pomocí systému Windows Server 2003

PROSTŘEDÍ ASP.NET 1.1 používá <drivename></drivename>\Documents and Settings\<machinename></machinename>\ASPNET složku pro ukládání souborů pro proces. Však ve Službě IIS 6.0 a ASP.NET SP1, může se zobrazit tyto soubory <drivename></drivename>: \Documents and Settings\Default User\Local Settings\Application Data složky. Cesta jeví jako změna.

Poznámka:<drivename></drivename> je jednotka, na počítači kde ASP.NET je nainstalován. <machinename></machinename> je název vašeho počítače.

Výchozí uživatelský profil se používá v systému Windows Server 2003. V tomto případě výchozí identita je NetworkService. Je možné konfigurovat NetworkService na fond aplikací úroveň. NetworkService má oprávnění, které jsou podobné ASPNET účet. Windows Server používá účet ASPNET pouze pro službu IIS 5.0 Režim izolace. Pokud používáte režim izolace pracovního procesu, prostředí ASP.NET aplikace jsou spuštěny v pracovního procesu služby IIS W3wp.exe.

Odkazy

Další informace o seznamech řízení přístupu výchozí v systému Windows 2000 naleznete v následujícím dokumentu white paper společnosti Microsoft:
http://technet.microsoft.com/en-us/library/bb742509.aspx
Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
329290Jak používat ASP.SÍŤOVÉ nástroje šifrování pověření a řetězce připojení stavu relace
315158 OPRAVA: PROSTŘEDÍ ASP.NET nefunguje s výchozím účtem ASPNET v doméně Řadič

Vlastnosti

ID článku: 317012 - Poslední aktualizace: 19. května 2011 - Revize: 14.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
Klíčová slova: 
kbconfig kbhttpruntime kbinfo kbsecurity kbmt KB317012 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:317012

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com