Учетная запись процесса в ASP.NET

Переводы статьи Переводы статьи
Код статьи: 317012 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описываются права доступа, предоставленные по умолчанию учетная запись процесса и описание некоторых ситуаций, в которых эти права может быть слишком жесткие ограничения для определенных задач.

В установке по умолчанию ASP.NET на Microsoft Windows 2000 и Microsoft Windows XP, ASP.NET запускает Web код приложения в рабочем процессе. Удостоверение процесса использует локальный учетная запись с именем учетной записи ASPNET (где полное имя — это учетная запись aspnet_wp) по умолчанию. В бета-версиях ASP.NET, удостоверение процесса — это система, которая является мощной административной учетной записью, включает многие права доступа на компьютер. Для обеспечения менее привилегированным установке по умолчанию выпуска версия ASP.NET использует слабые учетной записи ASPNET, которая подходит для большинства Веб-приложения.

Примечание По умолчанию, если вы используете Microsoft Internet Information Службы IIS 6.0 веб-приложения ASP.NET веб-приложения выполняются в безопасности контекст учетной записи NetworkService.

Дополнительная информация

Настройка удостоверения процесса

Настройка удостоверения процесса в <processmodel></processmodel> раздел файла Machine.config в подкаталоге Config корневой каталог установки. В имя пользователя и Пароль атрибуты используются для управления удостоверение процесса. По умолчанию Ниже приведены значения этих атрибутов.
<processModel  userName="machine" password="AutoGenerate" />
				
В машина и Автоматически заполнять значения указать ASP.NET для использования встроенной учетной записи ASPNET и Используйте криптостойких случайных пароль, который хранится в локальном Безопасности (LSA) для этой учетной записи.

Если вы хотите использовать процесс, который имеет больше прав доступа, можно установить имя пользователя для атрибута Система, что приводит к ASP.NET рабочий процесс выполняется с тем же удостоверение процесс Inetinfo.exe. По умолчанию запускается процесс Inetinfo.exe удостоверения System. При настройке приложения ASP.NET рабочий процесс для использования Система идентификации, ASP.NET рабочий процесс может получить доступ практически все ресурсы на локальном компьютере. На компьютерах, работающих под управлением Windows 2000, Windows XP или Microsoft Windows Server 2003 системная учетная запись сетевых учетных данных а также можно получить доступ к сетевые ресурсы как для учетной записи компьютера. Для настройки процесса для запуска в качестве идентификации системы изменить имя пользователя атрибут <processmodel></processmodel> раздел следующим образом:
<processModel  userName="SYSTEM" password="AutoGenerate" />
				

Разрешения по умолчанию для учетной записи ASPNET

Учетная запись ASPNET создана локальная учетная запись при установке ASP.NET. Учетная запись ASPNET относится только к группе пользователей на этом компьютере. Таким образом учетная запись ASPNET имеет все права, связанные с Пользователи, группы и доступны все ресурсы, предоставленные группе «Пользователи» доступ к. Учетная запись ASPNET наследует следующие права пользователей Группа.
Свернуть эту таблицуРазвернуть эту таблицу
Право пользователяОБЪЯСНЕНИЕ
SeChangeNotifyPrivilegeОбход перекрестной проверки.
SeUndockPrivilegeУдаление компьютера из стыковочного узла.
SeInteractiveLogВход в систему.
SeNetworkLogonRightДоступ к этому компьютеру из сети.
Помимо этих прав также предоставляется учетной записи ASPNET следующие права по умолчанию:
Свернуть эту таблицуРазвернуть эту таблицу
Право пользователяОБЪЯСНЕНИЕ
SeServiceLogonRightВойдите в систему как службы.
SeBatchLogonRightВход в качестве пакетного задания.
SeDenyInteractiveLogonRightЗапретите вход в систему локально.
ASP.NET предоставляет разрешения конкретных, полный доступ для ASPNET учетная запись для следующих папок:
  • Временные файлы ASP.NET файлы
  • %windir%\temp
Кроме того ASP.NET предоставляет разрешение на чтение в корпорацию Майкрософт .NET Framework каталог установки.

Следующий список содержит Списки управления доступом (ACL), которые требуются для учетной записи ASPNET. В по умолчанию установки Windows 2000 и Microsoft.NET Framework включают Эти списки управления доступом.
  • Расположение: % installroot%\ASP.NET временные файлы
    Тип доступа: Чтение и запись в папку и Список содержимого папки Содержание в корневой папке диска
    Учетная запись: Учетная запись процесса и настроено олицетворение учетных записей
    Описание: Это место для ASP.NET динамической компиляции. Под Это расположение кода приложения создается в отдельном каталоге для каждого приложения. Можно использовать tempDir атрибут <compilation></compilation> раздел, чтобы настроить корневой каталог.

    Примечание Если изменить файл machine.config для сохранения ASP.NET временные файлы в другом месте, необходимо иметь учетную запись ASPNET Список Содержимое папки Тип доступа в корневом каталоге диска.
  • Расположение: %windir%\temp
    Тип доступа: Чтение и запись
    Учетная запись: Учетная запись процесса
    Описание: Этот веб-узел Extensible Markup Language (XML) — это расположение службы используются для создания учетных записей-посредников для сериализации.
  • Расположение: Каталог приложения
    Тип доступа: Чтение
    Учетная запись: Учетная запись процесса и настроено олицетворение учетных записей
    Описание: Это место для содержимого приложения (доступ только на чтение обязательно).
    Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
    http://msdn2.Microsoft.com/en-us/library/aa302396.aspx
  • Расположение: Корень веб-узла (%systemdrive%\inetpub\wwwroot или путь, Указывает веб-узел по умолчанию)
    Тип доступа: Чтение
    Учетная запись: Учетная запись процесса и настроено олицетворение учетных записей
    Описание: ASP.NET пытается прочитать файлы настройки и отслеживания изменений вДисковод: \inetpub\wwwroot\web.config.
  • Расположение: % корневого_каталога_установки % иерархии
    Тип доступа: Чтение
    Учетная запись: Учетная запись процесса и настроено олицетворение учетных записей
    Описание: ASP.NET должен иметь возможность получить доступ.NET Framework сборки на Файл Machine.config (в подкаталог \Config % корневой_каталог_установки %).
  • Расположение: %windir%\assembly
    Тип доступа: Чтение
    Учетная запись: Учетная запись процесса или настроить учетные записи олицетворения
    Описание: Это глобальный кэш сборок, содержащий общие сборки.
Для получения дополнительных сведений о по умолчанию на основе списков ACL для Windows 2000 компьютеры, см. ссылку «По умолчанию параметры управления доступом в Windows 2000» В диалоговом окне ССЫЛКИ раздел.

Примечание По умолчанию учетной записи ASPNET обычно не имеют правильные права для выполнения некоторых задач, описанных в данном в статье.

Доступ к ресурсам

В следующих разделах описаны способы использования различных ресурсов. Вы доступ ко многим из этих ресурсов локально Если разрешить олицетворение и Предоставьте олицетворенную учетную запись доступа к ресурсу. Тем не менее, олицетворение часто не работает при попытке получить доступ к удаленным ресурсам Если приложение не использует механизм проверки подлинности, который может быть делегировано Например, проверка подлинности Kerberos или Basic. Можно также использовать службы COM + доступ к ресурсам, который описан в Выполнение кода с помощью основного удостоверенияраздел.

Использование файлов ресурсов

Для Включите приложение, которое работает с учетной записью ASPNET для записи файлы, олицетворение конкретного пользователя в коде перед writting к файлы, или можно предоставить разрешения на запись для учетной записи ASPNET. Вы можете предоставить запись разрешения для отдельного файла или каталога иерархий.

Важные При предоставлении разрешения на запись для отдельного файла или иерархии каталогов для учетной записи ASPNET, все приложения ASP.NET веб-приложений работающих под ASPNET учетной записи на сервере, также может записывать это файл или каталог иерархии. Для получения дополнительных сведений о олицетворение определенного пользователя в код щелкните следующий номер статьи базы знаний Майкрософт:
306158Как олицетворение в ASP.NET приложения
Чтобы изменить параметры доступа Элемент управления списка для файла, выполните следующие действия:
  1. Откройте проводник Windows.
  2. Выберите файл или папку, для которой требуется изменить разрешения.
  3. На Файл меню, нажмите кнопку Свойства.
  4. Нажмите кнопку Безопасность TAB. Установите флажки для списков ACL разрешения.
Можно также использовать сценарий или средство командной строки Cacls.exe (который входит в состав Windows) для изменения списков ACL для файла.

ASP.NET 1.1 использование <drivename></drivename>\Documents и Settings\<machinename></machinename>\ASPNET папки для хранения процедура файлы (где <drivename></drivename> является на диске где ASP.NET устанавливается и <machinename></machinename> — имя вашей компьютер).

Включение олицетворения

С олицетворения, выполняются в контексте безопасности объект запроса, как прошедший проверку пользователь или как анонимный пользователь. В ASP.NET, олицетворение является необязательным и по умолчанию не включена. Чтобы включить олицетворение на уровне компьютера или приложения, добавление После директивы конфигурации в <system.web></system.web> раздел файла Web.config или Machine.config.
<identity impersonate="true"/>
				

Использование баз данных

Приложения, использующие проверку подлинности SQL для подключения к базе данных не подвержены обычно коммутатора для учетной записи ASPNET. Это также значение true для приложений, которые используют встроенную проверку подлинности и олицетворения. Однако если приложение не идентифицирует и с помощью Windows Проверка подлинности, необходимо предоставить доступ к базе данных для ASPNET учетная запись.

При попытке нельзя использовать учетную запись ASPNET Проверка подлинности Microsoft SQL Server с помощью встроенной проверки подлинности Windows через именованные каналы. Тем не менее можно использовать учетную запись ASPNET успешно с Встроенная проверка подлинности по протоколу TCP (Transmission Control) транспорт.

Если приложение должно использовать базу данных Microsoft Access учетная запись ASPNET должен иметь возможность записи в файл базы данных. Администраторы соответственно необходимо настроить разрешения для файлов.

С помощью журнала событий

Можно выполнять приложения, которые необходимо записывать в журнал событий приложения Поэтому, хотя они выполняются под учетной записью ASPNET. Если необходимо создать приложение новую категорию журнала событий приложения необходимо создать раздел реестра в разделе HKEY_LOCAL_MACHINE куст реестра, что нельзя сделать учетной записи ASPNET.

Для Создание категории во время выполнения, необходимо включить олицетворение, а затем необходимо выполнять олицетворение учетной записи, которая имеет больше прав доступа. Кроме того Администратор может создать категорию, а приложение может записать в Категория во время выполнения.

Если приложения необходимо создать новый журнал событий категории, создайте категории во время установки. После этой категории создания учетной записи ASPNET может записывать события приложения журнал.

Пространство имен System.DirectoryServices и службы каталогов Active Directory

Если веб-приложение должно получить доступ к Active Directory приложение может использовать олицетворение в среде, поддерживающей делегирования. Кроме того, приложение может предоставлять явные учетные данные DirectoryEntry Конструктор в Пространство имен System.DirectoryServices пространство имен для доступа к Active Directory. Если приложение использует явные учетные данные приложения хранить учетные данные по соответствующим образом с использованием методики, такие как строки для создания COM + или с помощью интерфейса Windows данные защиты прикладного программирования (API).

С помощью счетчиков производительности

Учетная запись ASPNET имеет достаточные разрешения на запись (но не для чтения) данные счетчиков производительности. Если приложение должно прочитать производительности данные счетчика или создания категорий счетчиков, администратор или питания производительности Требуются разрешения пользователя.

Если приложению необходимо создать новый категории счетчиков производительности, создание категорий во время установки. После создаются категории, учетной записи ASPNET можно записать счетчики.

Можно использовать средство системного монитора (Perfmon.exe) для отслеживания ASP.NET счетчики при использовании ASPNET учетная запись.

В Windows 2000 выполните следующие действия.
  1. Запустите редактор реестра.
  2. Найдите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_1.1.4322\Names
  3. Перейдите на вкладку Безопасность.
  4. Добавить удостоверение рабочего процесса с помощью следующих разрешения:
    • Значение запроса
    • Задание значения
    • Создание подраздела
    • Перечисление подразделов
    • Уведомить контроль чтения
В Windows Server 2003 добавьте идентификацию IIS_WPG Группа.

Запуск COM-серверов вне процесса

Приложения, которые необходимо запустить COM-серверов вне процесса во время Работа в качестве учетной записи ASPNET специально можно предоставить разрешения на запуск для учетная запись, с помощью средства Dcomcnfg.exe.

Отладка проблемы

По умолчанию, невозможно выполнить пошаговую отладку вызову XML веб-службы из клиентское приложение. Чтобы зайти в веб-службы XML, необходимо добавить ASPNET учетную запись в группу пользователей отладчика на компьютере, где веб-службы XML запущена.

Выполнение кода с помощью основного удостоверения

В службы COM + можно выполнять код с основного удостоверения. Вы можете Если данный пользователь является членом домена, то при вводе имени пользователя используйте формат ServicedComponent класс Пространства имен System.EnterpriseServices пространство имен, чтобы написать управляемый код компонентов, использующих COM + службы. Привилегированные функции можно включить в класс, производный от ServicedComponent а затем запустите этот класс как серверное приложение COM + с Идентификация.

Компиляция файлов кода для общих папок UNC

В ASP.NET, можно использовать несколько методов для разработки приложений файлы:
  • С помощью языка разметки гипертекста (HTML) в .aspx файл, а затем сохранять код для страницы в предварительно скомпилированных сборок в каталог Bin. Это Microsoft Visual Studio.NET модели.
  • Можно упаковать все кода и HTML-содержимое единый исходный файл компилируется по требованию.
  • Можно поместить презентацию HTML на странице ASP.NET file и затем динамически компилировать любой связанный исходный код для этого файла с помощью src атрибут <%@ Assembly %> директива.
Примечание Если содержимое приложения находится на сетевом ресурсе Компилятор начинает в учетной записи ASPNET и не имеет сетевых учетных данных для доступ к файлу. При использовании общих сетевых ресурсов, нельзя использовать src атрибут указывает на файл. Необходимо использовать один из других методы вместо.

С помощью ASP.NET на основного или резервного контроллера домена


По умолчанию при использовании ASP.NET 1.1 в домене контроллер приложения ASP.NET веб-приложения выполняются в контексте безопасности IWAM_<computername></computername> учетная запись (где <computername></computername> — имя компьютера).

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
315158ИСПРАВИТЬ: ASP.NET не работает с учетная запись ASPNET по умолчанию на контроллере домена
Перейти к началу страницы

Чтение метабазы IIS

Учетная запись ASPNET не удается прочитать сведения О Microsoft Internet Метабаза служб IIS. Если приложению необходимо получить доступ к параметров метабазы пользователь избирательно предоставлять доступ на чтение к метабазе узлов с помощью Metaacl.exe Служебная программа.

Если приложение должно использовать DISCO-файлы, которые полагаются на возможность чтения метабазы IIS для обеспечения обнаружения служб необходимо предоставить Доступ на чтение к метабазе для учетной записи ASPNET.

С помощью System.Management и WMI

Инструментарий управления Windows (WMI) — это мощный, административные функции, которые можно использовать для управления и мониторинга Компьютеры под управлением Windows. Тем не менее, когда ASP.NET запускаются Учетная запись ASPNET, эта учетная запись имеет только те же разрешения доступа по умолчанию, как «Все». Эти разрешения относятся чтения данных WMI, запись поставщика данных и выполнение методов для поставщиков на локальном компьютере. Дополнительные сведения о WMI механизмы обеспечения безопасности можно найти в пакете SDK платформы WMI документации или MSDN.

Примечание В Windows 2000 без службы с пакетом обновления 3 (SP3) или более поздней версии, так и для Windows XP без службы с пакетом обновления 1 (SP1) или более поздней версии ASP.NET веб-приложений, запустить под ASPNET учетной записи могут не работать и появляется доступ" Отказано (0x80041003) «сообщение об ошибке. Это происходит потому, что учетная запись не допускает имеете достаточных полномочий для доступа к определенным пространств имен WMI. Для решения этой проблемы Установка Windows XP с пакетом обновления 1 или более поздней версии, или 3 (SP3) для Windows 2000 или более поздней версии. Для временного решения проблемы, выполните следующие действия:
  1. Откройте консоль управления Microsoft Management компьютера Оснастка (MMC).
  2. Разверните узел Службы и приложения, а затем выберите Элемент управления WMI.
  3. Щелкните правой кнопкой мыши Элемент управления WMI, а затем нажмите кнопку Свойства.
  4. В Свойства элемента управления WMI диалоговое окно, нажмите кнопку Безопасность Вкладка.
  5. Разверните узел Корень, выберите CIMV2, а затем нажмите кнопку Безопасность.
  6. В Безопасность диалоговое окно, нажмите кнопку Дополнительно.
  7. В Параметры управления доступом диалоговое окно, нажмите кнопку Добавить. Выберите localMachineName\ASPNET, а затем нажмите кнопку ОК.
  8. В Запись разрешения диалоговом окне убедитесь, что Применять имеет значение Данное пространство и подпространство имен.
  9. Убедитесь, что Разрешить «Включить учетную запись» и Разрешить «Удаленное Включение» установлены флажки.
  10. Нажмите кнопку ОК в соответствующем диалоговом окне, пока не вернетесь к Свойства элемента управления WMI диалоговое окно.
  11. Повторите шаги с 5 по 10 для пространств имен WMI, доступа к приложению.
  12. Перезапустите IIS. Для этого запуститеIISRESET из командной строки.
По умолчанию приложения ASP.NET создает криптографически строгого пароль для учетной записи ASPNET. Таким образом, данный метод обхода проблемы безопасности предоставляются что не совместно используемые компьютеры или восстановить пароль учетной записи ASPNET значение по умолчанию.

Взаимодействие с рабочим столом

Когда службы IIS настроены на разрешение взаимодействия с настольный компьютер, учетная запись ASPNET имеет правильные права доступа рабочего стола из-за избирательные таблицы управления доступом (DACL) на по умолчанию окно станции и рабочего стола. Администратор может изменить эти списки DACL или процесс можно запустить с учетной записью, имеющей разрешения на доступ к ним объекты.

Удаление ASP.NET

При удалении ASP.NET отключена учетная запись ASPNET и остается в системе. Если не требуется, можно удалить учетной записи ASPNET Чтобы переустановить ASP.NET.

При повторной установке ASP.NET после того как вы явным образом Удаление учетной записи ASPNET, учетной записи ASPNET будет создана новая Идентификатор безопасности (SID). В результате все списки управления доступом, ссылка на предыдущий Учетная запись ASPNET больше не применяется к новой учетной записи ASPNET.

С помощью Windows Server 2003

ASP.NET 1.1 использует <drivename></drivename>\Documents and Settings\<machinename></machinename>\ASPNET папки для хранения файлов процесса. Однако в IIS 6.0 и ASP.NET SP1, может появиться в эти файлы <drivename></drivename>: \Documents and Settings\Default User\Local Settings\Application данные папки. Путь отображается как изменение.

Примечание<drivename></drivename> — это диск, на компьютере где ASP.NET устанавливается. <machinename></machinename> Это имя вашего компьютера.

Профиль пользователя по умолчанию используется в Windows Server 2003. В этом случае по умолчанию удостоверением является NetworkService. Можно настроить NetworkService в пул приложений уровень. Сетевая служба имеет разрешения, которые аналогичны ASPNET учетная запись. Windows Server использует только учетной записи ASPNET для IIS 5.0 В режиме изоляции. При использовании режима изоляции рабочих процессов, все приложения ASP.NET приложения выполняются в рабочем процессе IIS W3wp.exe.

Ссылки

Для получения дополнительных сведений о списков контроля доступа по умолчанию в Windows 2000 см. в следующем техническом документе:
http://TechNet.Microsoft.com/en-us/library/bb742509.aspx
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
329290Как использовать ASP.NET для зашифровать учетные данные и строки соединения состояние сеанса
315158 ИСПРАВЛЕНИЕ: ASP.NET не работает с учетной записью ASPNET по умолчанию в домене контроллер

Свойства

Код статьи: 317012 - Последний отзыв: 7 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
Ключевые слова: 
kbconfig kbhttpruntime kbinfo kbsecurity kbmt KB317012 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:317012

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com