Proces a žiadosť totožnosť v ASP.NET

Preklady článku Preklady článku
ID článku: 317012 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

SUHRN

Tento článok opisuje prístupové práva, ktoré sú udelené predvolené procesu účet a popisuje niektoré situácie, v ktorých tieto práva môžu byť príliš obmedzujúce pre určité úlohy.

V predvolenej inštalácii ASP.SIEŤ v systéme Microsoft Windows 2000 a Microsoft Windows XP, ASP.NET beží Web kód aplikácie v procese pracovníka. Totožnosť tento proces používa miestne konto s názvom ASPNET účtu (ak celé meno je aspnet_wp účet) v predvolenom nastavení. V beta verziách ASP.NET, identity procese je systém, ktorý je mocný, administratívne účet, ktorý zahŕňa mnohé prístupové práva na počítač. Poskytovať menej privilegovaného predvolenú inštaláciu, uvoľnenie verzia ASP.NET používa slabšie ASPNET účet, ktorý je vhodný pre väčšinu Webové aplikácie.

Poznámka Štandardne, ak používate program Microsoft Internet informácie Služby (IIS) 6.0, vaša ASP.NET Web aplikácie bude prebiehať v oblasti bezpečnosti kontexte konto NetworkService.

DALSIE INFORMACIE

Konfigurovať identity procese

Môžete nakonfigurovať identity procese v <processModel></processModel> v súbore Machine.config v podadresári Config zariadenia koreňového adresára. The userName a heslo atribúty kontrolu identity procese. Predvolené hodnoty pre tieto atribúty sú takto:
<processModel  userName="machine" password="AutoGenerate" />
				
The stroj a Autogenerovanie hodnoty prikázať ASP.NET použiť vstavané konto ASPNET a Použite kryptograficky silné, náhodné heslo uložené v miestnej Úradu zabezpečenia (LSA) pre dané konto.

Ak chcete použiť proces, ktorý má viac prístupových práv, môžete nastaviť userName pripisovať Systém, ktorý spôsobuje ASP.ČISTÝ pracovník procesu spustiť s rovnakým identita ako Inetinfo.exe procesu. Inetinfo.exe proces sa spúšťa na základe predvoleného nastavenia ako systém totožnosť. Ak nakonfigurujete ASP.Proces ČISTEJ pracovník používať Systém identity, ASP.ČISTÝ pracovník proces prístup k takmer všetkým zdroje na lokálnom počítači. Na počítačoch so systémom Windows 2000, Windows XP alebo Microsoft Windows Server 2003, konto System má tiež sieťové poverenia a prístup k sieťovým prostriedkom ako konta počítača. Ak chcete nakonfigurovať procesu spustiť ako systém identity, zmeniť userName atribúte <processModel></processModel> bod takto:
<processModel  userName="SYSTEM" password="AutoGenerate" />
				

Predvolené povolenia pre konto ASPNET

ASPNET konto je vytvorená ako lokálne konto pri inštalácii ASP.NET. ASPNET konto patrí len do skupiny používateľov na počítači. Preto ASPNET konto má všetky práva, ktoré sú spojené s Užívatelia skupiny a môže pristupovať k prostriedkom, ktoré je udelené skupine používateľov prístup k. ASPNET konto zdedí týchto práv používateľa od užívateľov skupina.
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Používateľské právoVysvetlenie
SeChangeNotifyPrivilegeObísť kontrolu prechádzania.
SeUndockPrivilegeVytiahnuť počítač z doku.
SeInteractiveLogonRightPrihlásiť sa lokálne.
SeNetworkLogonRightSprístupniť tento počítač zo siete.
Popri týchto práv sa poskytuje aj na ASPNET účet tieto práva v predvolenom nastavení:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Používateľské právoVysvetlenie
SeServiceLogonRightPrihlásiť sa ako služba.
SeBatchLogonRightPrihlásiť sa ako dávková úloha.
SeDenyInteractiveLogonRightPoprieť denníka na miestnej úrovni.
ASP.NET granty špecifické, plný prístup povolenia pre ASPNET úvahy do nasledovných priečinkov:
  • Dočasné ASP.NET Files
  • %windir%\Temp
Okrem toho ASP.NET udeľuje povolenie čítanie Microsoft .NET Framework inštalačného adresára.

Nasledovný text vymedzuje zoznam Zoznamy na riadenie prístupu (zoznamy ACL) ktoré sú potrebné na ASPNET účet. The predvoleným inštalácií systému Windows 2000 a Microsoft.NET Framework zahŕňajú zoznamy ACL.
  • Umiestnenie: % installroot%\ASP.NET dočasné súbory
    Typ prístupu: Čítanie a zápis pre priečinok a Zobraziť zoznam priečinka Obsah na hlavného priečinka jednotky
    Účet: Proces účet a nakonfigurovaný zosobnenie účtov
    Popis: Toto je miesto pre ASP.ČISTÝ dynamickej kompilácie. Pod Toto umiestnenie kódu aplikácie je generovaný vo diskrétnych adresára pre každého aplikácia. Môžete použiť tempDir atribúte <compilation></compilation> oddiel nakonfigurovať koreňovým umiestnením.

    Poznámka Ak zmeníte machine.config uložiť ASP.NET dočasné súbory v inom umiestnení, na ASPNET účte musia mať Zoznam Obsah priečinka typ prístupu na úrovni koreň jednotky.
  • Umiestnenie: %windir%\temp
    Typ prístupu: Čítanie a zápis
    Účet: Procesu účet
    Popis: Tento je umiestnenie že Web Extensible Markup Language (XML) služby sa používa na generovanie serializácie proxy.
  • Umiestnenie: Adresár aplikácií
    Typ prístupu: Čítať
    Účet: Proces účet a nakonfigurovaný zosobnenie účtov
    Popis: Toto je miesto pre obsah aplikácie (iba čítanie požadované).
    Pre viac informácií, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
    http://msdn2.Microsoft.com/en-us/library/aa302396.aspx
  • Umiestnenie: Web site root (%systemdrive%\inetpub\wwwroot alebo na cestu, že predvolenej webovej lokality poukazuje na)
    Typ prístupu: Čítať
    Účet: Proces účet a nakonfigurovaný zosobnenie účtov
    Popis: ASP.NET pokúša čítať konfiguračné súbory a sledovať zmeny najednotka: \inetpub\wwwroot\web.config.
  • Umiestnenie: % installroot % hierarchia
    Typ prístupu: Čítať
    Účet: Proces účet a nakonfigurovaný zosobnenie účtov
    Popis: ASP.NET musia mať prístup.NET Framework zostáv na Machine.config súbor (v podadresári \Config pod % installroot %).
  • Umiestnenie: %windir%\assembly
    Typ prístupu: Čítať
    Účet: Proces účet alebo nakonfigurovaný zosobnenie účtov
    Popis: Toto je globálnych zhromaždení cache, ktoré obsahuje zdieľané montážne celky.
Ďalšie informácie o predvolené systémom prístupových práv pre Windows 2000 počítače, pozri odkaz na „Predvolené nastavenia kontroly prístupu v systéme Windows 2000 ” v ODKAZY sekcia.

Poznámka V predvolenom nastavení ASPNET konto vo všeobecnosti nemá správne prístupové práva robiť niektoré úlohy, ktoré sú opísané v tomto článok.

Prístup k prostriedkom

Nasledujúce časti popisujú ako používať rôzne zdroje. Ste prístup k mnohé z týchto zdrojov lokálne Ak povolíte zosobnenia a ak pridelíte zosobnený úvahy prístup k prostriedku. Avšak, zosobnenie často nefunguje pri pokuse o prístup k vzdialeným prostriedkom Ak aplikácia používa autentifikačný mechanizmus, ktoré môžu byť delegované, napríklad overovania Kerberos alebo Basic. Môžete použiť aj COM + služby prístup k prostriedkom, ktorý je načrtnutý v Spustený kód s pevné totožnostisekcia.

Pomocou súboru zdrojov

Na umožniť aplikáciu, ktorá je spustená s ASPNET účet písať súborov, môže stelesniť konkrétne užívateľa v kóde pred písanie na súbory, alebo si môžete udeliť povolenie na zápis na ASPNET účet. Môžete udeliť písať povolenia pre určitý súbor alebo adresár hierarchie.

Dôležité Keď pridelíte písať povolenia pre určitý súbor alebo adresára, ktoré sú hierarchií na ASPNET účte, všetky ASP.NET webových aplikácií ktoré sú spustené pod ASPNET sú tiež schopný napísať na toto konto na serveri súbor alebo adresár hierarchie. Ďalšie informácie o používaných existujúcimi inštitúciami konkrétne užívateľa v kóde nájdete po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
306158Ako implementovať zosobnenie v ASP.SIEŤOVÉ aplikácie
Ak chcete zmeniť prístup Kontrolu zoznam pre súbor, postupujte nasledovne:
  1. Otvorte program Windows Prieskumník.
  2. Vyberte súbor alebo priečinok, pre ktorý chcete zmeniť povolenia.
  3. Na Súbor ponuky, kliknite na tlačidlo Vlastnosti.
  4. Kliknite na tlačidlo Zabezpečenia Kreslenie začiarknite políčka pre ACL povolenia.
Môžete tiež použiť skript alebo nástroj príkazového riadka Cacls.exe (ktorý je súčasťou systému Windows) zmeniť ACL pre súbor.

ASP.NET 1.1 použitia <DriveName></DriveName>\Documents a Settings\<MachineName></MachineName>\ASPNET priečinok na ukladanie proces súbory (kde <DriveName></DriveName> je disk vo vašom počítači kde ASP.Čistý inštalovaný a <MachineName></MachineName> je názov vášho počítač).

Umožňujúce zosobnenia

S zosobnenie, spustíte v kontexte zabezpečenia požiadať subjekt, buď ako overený používate? alebo ako anonymný používateľ. V ASP.NET, zosobnenie je nepovinný a nie je predvolene zapnutá. Aby sa umožnilo pridať zosobnenie na úrovni počítača alebo aplikácie, Po konfigurácii smernice v <system.web></system.web> oddiel Machine.config alebo súbor Web.config:
<identity impersonate="true"/>
				

Pomocou databáz

Aplikácie, ktoré používajú SQL overovania na pripojenie k databáze nie sú vo všeobecnosti ovplyvnené prechod na ASPNET účet. To je tiež pravda pre aplikácie, ktoré používajú integrované overenie a zosobnenia. Avšak, ak žiadosť nie je vydáva a používa Windows overovanie, musíte prideliť prístup k databáze pre ASPNET účet.

Nemôžete použiť na ASPNET účte pri pokuse overenie na server Microsoft SQL Server použitím overovanie integrovaného systému Windows nad rozhrania named pipes. Avšak, konto môžete použiť ASPNET úspešne s Integrované overovanie systémom Windows cez protokol TCP (Transmission Control) doprava.

Ak žiadosť použiť databázu programu Microsoft Access ASPNET konto musí byť schopný napísať na súbor databázy. Správcovia musia prispôsobiť povolenia pre súbor zodpovedajúcim spôsobom.

Pomocou denníka udalostí

Aplikácie, ktoré musia zapisovať do denníka udalostí aplikácie môžete urobiť Takže, keď sú spustené v konte ASPNET. Ak žiadosť musí vytvoriť nová kategória denníka udalostí, žiadosť musí vytvoriť kľúč databázy registry podľa HKEY_LOCAL_MACHINE podregister databázy Registry, ktoré na ASPNET účte nemôžu urobiť.

Na vytvoriť kategórie v čase spustenia, musíte zapnúť zosobnenie, a potom musí zosobniť účtu, ktorý má viac prístupových práv. Alternatívne, Správca môže vytvoriť kategórie a uplatňovanie môžete napísať na Kategória v čase spustenia.

Ak žiadosti musí vytvoriť nový denník udalostí kategórií, vytvoriť kategórie na inštaláciu. Po kategórie je vytvorili, ASPNET účtu môžete napísať na uplatňovanie udalosť denník.

Pomocou System.DirectoryServices a služby Active Directory

Ak webová aplikácia musí prístup k službe Active Directory aplikáciu môžete použiť zosobnenie v prostredí, ktoré podporuje delegácie. Alternatívne, žiadosť možno zadania explicitných poverení na DirectoryEntry konstruktoru v System.DirectoryServices priestor názvov pre prístup k službe Active Directory. Ak aplikácia používa explicitných poverení aplikácie mali uložiť poverenia vhodne prostredníctvom pomocou techniky, ako COM + výstavby reťazce alebo pomocou Windows údaje ochrany používania programového rozhrania (API).

Pomocou počítadlá výkonu

ASPNET konto má dostatočné povolenie na zápis do (ale nie čítať) údaje počítadla výkonu. Ak žiadosť musí prečítať výkon Počítadlo údajov alebo vytvoriť výkonu počítadla kategórií, správcu alebo Power Povolenia používateľov sú potrebné.

Ak žiadosť musí vytvoriť nový výkonnosti spoluručenie kategórií, vytvoriť kategórie na inštaláciu. Po kategórie sú vytvorené, na ASPNET účet môžete napiš počítadlá.

Naďalej môžete používať nástroj na sledovanie výkonu (Perfmon.exe) monitorovať ASP.Počítadlá čistého výkonu pri použití ASPNET účet.

V systéme Windows 2000, postupujte nasledovne:
  1. Spustite Editor databázy Registry.
  2. Vyhľadajte nasledovný kľúč databázy registry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASP.NET_1.1.4322\Names
  3. Kliknite na kartu zabezpečenie.
  4. Pridať proces totožnosť pracovníka s nasledujúcim povolenia:
    • Hodnota dotazu
    • Nastavenej hodnoty
    • Vytvoriť podkľúč
    • Vypočítať podkľúče
    • Oznámiť riadenie čítania
Windows Server 2003, pridajte totožnosť na IIS_WPG skupina.

Východiskovým von procesu COM servery

Aplikácie, ktoré sa musia spustiť z procesu COM servery zároveň beží ako na ASPNET účet môžete špecificky prideliť povolenia spustenie konto pomocou nástroja Dcomcnfg.exe.

Ladenie otázky

Podľa predvoleného nastavenia nemôžu krok do XML Web Servisné volanie z klientska aplikácia. Krok do webových služieb XML, musíte pridať ASPNET konto do skupiny Debugger používateľov na počítači kde XML webová služba je spustený.

Spustený kód s pevné totožnosti

COM + služieb, môžete spustiť kód s pevné identitou. môžeš použitie ServicedComponent Trieda System.EnterpriseServices namespace napísať spravovaný kód komponenty, ktoré používajú COM + služby. Privilegované funkčnosť môžete zabaľte do triedy, ktorá je odvodená z ServicedComponent a potom spustite túto triedu ako server aplikácie COM + s nakonfigurovanú totožnosť.

Zostavenie kód pozadu súbory na UNC akcií

V ASP.NET, môžete použiť niekoľko metód vyvíjať aplikácie súbory:
  • V .aspx môžete Hypertext Markup Language (HTML) súbor, a potom môžete uložiť kód stránky v predkompilovaný zhromaždenie v adresára Bin. Toto je Microsoft Visual Studio.ČISTÝ vzor.
  • Môžete zbaliť všetky kód a HTML obsah v jeden zdrojový súbor, ktorý je zostavené na požiadanie.
  • Môžete umiestniť HTML prezentácie v ASP.ČISTÝ súbor, a potom si môžete dynamicky zostaviť akékoľvek súvisiace zdrojový kód pre tento súbor pomocou src atribúte <%@ Assembly %> smernica.
Poznámka Ak obsah aplikácie nachádza na zdieľanej sieťovej kompilátor začína na ASPNET účte a nemá žiadne sieťové poverenia na prístup k súboru. Ak používate sieť akcií, nemôžete použiť src atribút bodu do súboru. Musíte použiť jeden z druhej metódy namiesto.

Pomocou ASP.NET na primárneho alebo záložný radič domény


V predvolenom nastavení, ak používate ASP.NET 1.1 v doméne radič, vaša ASP.NET Web aplikácie bude prebiehať v kontexte zabezpečenia IWAM_<ComputerName></ComputerName> konto (ak <ComputerName></ComputerName> je názov počítača).

Ďalšie informácie získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
315158OPRAVIŤ: ASP.NET nefunguje s predvolené ASPNET konto na radiči domény
Späť na začiatok

Čítanie metabázy IIS

Na ASPNET účte nemôžu prečítať informácie o Microsoft Internet Metabázy služby (IIS). Ak žiadosť musí prístup k metabázy nastaveniam, môžete môžete selektívne udeliť prístupové metabázy uzlom pomocou Metaacl.exe pomôcka.

Ak žiadosť musí používať .disco súbory, ktoré sa spoliehajú na schopnosť čítať metabázy IIS poskytovať objav služby, musíte prideliť Prístup na čítanie ku metabázy na ASPNET účet.

Pomocou System.Management a WMI

Windows Management Instrumentation (WMI) je silný, administratívne funkcie, ktoré môžete použiť na riadenie a monitorovanie Počítače so systémom Windows. Avšak, keď ASP.ČISTÝ aplikácie spustené pod ASPNET účtu, toto konto má iba tie isté predvolené povolenia prístupu ako Všetci. Tieto povolenia zahŕňajú čítanie údajov služby WMI, písomne poskytovateľa údajov, a vykonávajúci metódy za poskytovateľov na lokálnom počítači. Ďalšie informácie o WMI bezpečnostné mechanizmy možno nájsť v Platform SDK služby WMI dokumentáciu alebo na lokalite MSDN.

Poznámka V systéme Windows 2000 bez služby pack 3 (SP3) alebo novší, alebo na Systém Windows XP bez služby pack 1 (SP1) alebo novší, ASP.NET Web aplikácie, spustiť pod ASPNET úvahy nemusia fungovať a môžu získať prístup" Odmietnutý (0x80041003) "chybové hlásenie. To sa vyskytuje, pretože konto nemá mať dostatočné oprávnenia na prístup k určitým priestoru názvov WMI. Ak chcete vyriešiť problém, nainštalujte balík Windows XP SP1 alebo novším, alebo Windows 2000 SP3 alebo novší. Obísť problém, postupujte nasledovne:
  1. Otvorte konzolu počítač Management Microsoft Management Console (MMC) modulu.
  2. Rozbaľte Služby a aplikácie, a potom vyberte Ovládanie služby WMI.
  3. Kliknite pravým tlačidlom myši Ovládanie služby WMI, a potom kliknite na tlačidlo Vlastnosti.
  4. V Vlastnosti ovládacieho prvku WMI dialógové okno, kliknite na tlačidlo Zabezpečenia kartu.
  5. Rozbaľte Root, vyberte CIMV2, a potom kliknite na tlačidlo Zabezpečenia.
  6. V Zabezpečenia dialógové okno, kliknite na tlačidlo Rozšírené.
  7. V Nastavenia kontroly prístupu dialógové okno, kliknite na tlačidlo Pridať. Vyberte Názov_lokálneho_počítača\ASPNET, a potom kliknite na tlačidlo ok.
  8. V Položka povolenia dialógové okno, uistite sa, že Uplatňovať na je nastavený na Tento priestor názvov a podradené priestory názvov.
  9. Skontrolujte, či Povoliť "Enable účet" a Povoliť "Vzdialený zapnúť" sú začiarknuté políčka.
  10. Kliknite na tlačidlo ok v každej dialógovom dovtedy, kým sa nevrátite na Vlastnosti ovládacieho prvku WMI dialógové okno.
  11. Zopakujte kroky 5 až 10 pre iných priestoroch názvov služby WMI, vaša žiadosť bude prístup.
  12. Reštartujte službu IIS. Na tento účel spustiteIISRESET z príkazového riadka.
Predvolene ASP.NET generuje kryptograficky silné heslo pre konto ASPNET. Preto toto riešenie je bezpečné poskytnuté že ASPNET heslo konta nie je zdieľaná medzi počítačmi alebo obnoviť hodnota iných ako predvolené.

Interakcia s pracovnej plochy

Keď IIS služby sú nakonfigurované tak, aby umožnili vzájomné pôsobenie s pracovnej plochy, ASPNET konto nemá správne práva na prístup k z dôvodu diskrečné zoznamy na riadenie prístupu (voliteľných) na pracovnej ploche predvolené window station a pracovnej plochy. Správcovia môžu zmeniť tieto zoznamy DACL, alebo môžete spustiť proces s účtom, ktorý má povolenie na prístup do týchto objekty.

Odstránenie ASP.NET

Keď odstránite ASP.ČISTÉ, ASPNET konto je deaktivované a zostáva v systéme. ASPNET konto môžete odstrániť, ak si ne|eláte robi† Preinštalovanie ASP.NET.

Ak preinštalujete ASP.NET po vás výslovne Odstrániť konto ASPNET, je vytvoriť nový účet ASPNET, ktorý má nové identifikátor zabezpečenia (SID). V dôsledku toho všetky zoznamy ACL uvedené na predchádzajúcu ASPNET úvahy sa už neuplatňujú na nový ASPNET účet.

Pomocou systému Windows Server 2003

ASP.NET 1.1 používa <DriveName></DriveName>\Documents and Settings\<MachineName></MachineName>\ASPNET priečinok na ukladanie súborov procesu. Avšak v IIS 6.0 a ASP.NET SP1, môže sa zobraziť tieto súbory v <DriveName></DriveName>: \Documents and Settings\Default User\Local Settings\Application Data priečinok. Cesta sa zdá byť zmena.

Poznámka<DriveName></DriveName> je disk vo vašom počítači kde ASP.Čistý inštalovaný. <MachineName></MachineName> je názov počítača.

Predvolený profil používateľa sa používa v systéme Windows Server 2003. V tomto prípade sa predvolené identita je NetworkService. Môžete nakonfigurovať NetworkService v bazéne aplikácie úroveň. NetworkService má povolenia, ktoré sú podobné ASPNET účet. Windows Server používa iba na ASPNET účet pre server IIS 5.0 Izolácia režim. Ak používate pracovník proces izolácia režime, všetky ASP.NET aplikácie spustiť v procese pracovník IIS W3wp.exe.

ODKAZY

Ďalšie informácie o predvolené zoznamy na riadenie prístupu v systéme Windows 2000 nájdete nasledujúce Microsoft bielej knihe:
http://Technet.Microsoft.com/en-us/library/bb742509.aspx
Ďalšie informácie získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
329290Ako používať ASP.ČISTÝ utility šifrovať poverenia a relácie štátu pripojenie reťazce
315158 OPRAVIŤ: ASP.NET nepracuje s predvolené ASPNET konto na doméne radič

Vlastnosti

ID článku: 317012 - Posledná kontrola: 8. novembra 2011 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft ASP.NET 1.1
  • Microsoft ASP.NET 1.0
Kľúčové slová: 
kbconfig kbhttpruntime kbinfo kbsecurity kbmt KB317012 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:317012

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com