Konfigurace identity procesu pro ��et ASPNET v ASP.NET 1.1 p�i pou�it� re�imu izolace IIS 5 ve slu�b� IIS 6.0 v syst�mu Windows Server 2003

Tento �l�nek popisuje postup konfigurace identity procesu pro ��et ASPNET v Microsoft ASP.NET 1.1 p�i pou�it� Internetov� informa�n� slu�ba (IIS) 5 re�imu izolace slu�by IIS 6.0 v po��ta�i se syst�mem Microsoft Windows Server 2003.

Pozn�mky

• Windows Server 2003 pou��v� ��et ASPNET pouze pro re�im izolace IIS 5.
• Re�im izolace IIS 5 je funkce kompatibility. Standardn� je tato funkce nainstalov�na, ale nen� povolena p�i instalaci slu�by IIS 6.0.

V syst�mu Microsoft Windows Server 2003 v�choz� instalace ASP.NET spust� k�d webov� aplikace v pracovn� proces. Pokud pou�it� re�imu izolace pracovn�ch proces� spustit v�echny aplikace se syst�mem Windows, kter� jsou zalo�eny na Microsoft .NET Framework v pracovn�ch proces� IIS 6.0 W3wp.exe.

Pozn�mka: P�i spu�t�n� aplikace syst�mu Windows v pracovn�m procesu W3wp.exe, je v�choz� identita procesu NetworkService. V�choz� identity procesu m��ete konfigurovat na �rovni aplikace fondu.

Ve slu�b� IIS 5 aspnet_wp.exe pracovn� proces spu�t�n pod m�stn�m ��tem ASPNET. Identity pracovn�ho procesu Aspnet_wp.exe v beta verz�ch ASP.NET pou��t syst�mov� ��et. Syst�mov� ��et je ��et spr�vce v m�stn�m po��ta�i. Tento ��et obsahuje mnoho opr�vn�n� a u�ivatelsk� pr�va v po��ta�i. Pracovn� proces pou��v� ve v�choz�m nastaven� ��et ASPNET v verzi ASP.NET. Tato konfigurace vytvo�� v�choz� m�n� privilegovan�m instalace. ��et ASPNET m� m�n� opr�vn�n� a u�ivatelsk� pr�va. ��et ASPNET je v�ak st�le hod� pro v�t�inu webov�ch aplikac�.

IIS 6.0 re�im izolace pracovn�ho procesu

P�i pou�it� re�imu izolace pracovn�ho procesu ve slu�b� IIS 6.0 m��ete konfigurovat v�choz� identitu procesu pracovn�ho procesu. Dal�� informace o vestav�n� ��ty Windows a v�choz� opr�vn�n�mi, kter� jsou p�idru�eny ka�d� ��et na tomto webu spole�nosti Microsoft:

Re�im izolace IIS 5

V IIS 6 p�eddefinovan� ��et u�ivatele ASPNET je pou��v� ke spu�t�n� pracovn�ho procesu ASP.NET v re�imu izolace IIS 5.0.

Identita procesu

M��ete konfigurovat identitu procesu v odd�lu processModel souboru je slu�ba spu�t�na v re�imu izolace IIS 5.

Pozn�mka: P�i spu�t�n� ASP.NET v re�imu izolace pracovn�ch proces� IIS 6.0 jsou ignorov�na nastaven� v odd�lu processModel. Konfigurace identity procesu recyklace nebo jin� hodnoty modelu proces konfigurace pracovn�ho procesu slu�by IIS pro aplikace pou�ijte Spr�vce slu�by IIS.

Soubor Machine.config je um�st�n v n�sleduj�c� slo�ce: Pozn�mka:Version p�edstavuje .NET Framework verze.

Atribut userName a atribut heslo ��zen� identity procesu. V�choz� hodnoty t�chto atribut� jsou n�sleduj�c�. Strojn� hodnotu a hodnotu AutoGenerate pokyn ASP.NET pou�it� p�eddefinovan�ho ��tu ASPNET. Nav�c tyto hodnoty pokyn ASP.NET pou��t kryptograficky siln� n�hodn� heslo. Toto heslo je ulo�eno v LSA (Local Security Authority) pro ��et ASPNET.

Chcete-li pou��t proces, kter� m� v�ce opr�vn�n� a u�ivatelsk� pr�va lze nastavit atribut userNamesyst�mu. P�i pou�it� ��tu syst�m spust� pracovn� proces ASP.NET pomoc� stejn� identity jako proces Inetinfo.exe.

Ve v�choz�m nastaven� je proces Inetinfo.exe spu�t�n jako identita System. P�i konfiguraci pracovn� proces ASP.NET pou��t identita System pracovn� proces ASP.NET lze p��stup v�t�inu prost�edk� v m�stn�m po��ta�i. V po��ta�i se syst�mem Windows Server 2003 syst�mov� ��et m� stejn� opr�vn�n� a u�ivatelsk� pr�va jako ��et po��ta�e. Syst�mov� ��et lze tedy p��stup stejn� s�ov� prost�edky jako ��et po��ta�e.

Konfigurovat proces spu�t�n jako identita System zm�nit atribut userName v odd�lu processModel n�sleduj�c�.

V�choz� opr�vn�n� pro ��et ASPNET

P�i instalaci ASP.NET ��et ASPNET je vytvo�ena jako m�stn� ��et. ��et ASPNET pat�� pouze do skupiny Users v po��ta�i. ��et ASPNET m� opr�vn�n� a u�ivatelsk� pr�va, kter� jsou p�idru�eny skupiny Users. ��et ASPNET proto lze p��stup k prost�edk�m, ke kter�m je ud�len p��stup skupiny Users.

Dal�� informace o v�choz� opr�vn�n� a u�ivatelsk� pr�va na serveru nov� nainstalovanou aplikaci, kter� je spu�t�na slu�ba IIS 6.0 klepn�te na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base: Pozn�mka: Ve v�choz�m ��tem ASPNET nem� spr�vn� opr�vn�n� a u�ivatelsk� pr�va prov�st n�kter� �koly popsan� v tomto �l�nku.

P��stup k prost�edku

N�sleduj�c� ��sti popisuj� zp�sob pou�it� r�zn�ch zdroj�. M��ete z�skat p��stup mnoho tyto prost�edky m�stn� Pokud povolen� zosobn�n� a ud�lit zosobn�n�ho ��tu p��stup k prost�edku. V�ak zosobn�n� �asto nefunguje p�i pokusu o p��stup ke vzd�len�m prost�edk�m, pokud aplikace pou��v� mechanismus ov��ov�n� m��e b�t delegov�n, jako je nap��klad Kerberos nebo z�kladn�ho ov��ov�n�.

Soubor prost�edk�

Povolit aplikaci, kter� je spu�t�na pod ��tem ASPNET zapisovat soubory, m��e spr�vce ud�lit opr�vn�n� k z�pisu pro ��et ASPNET. Spr�vce m��e ud�lit opr�vn�n� k z�pisu pro jednotliv� soubor nebo slo�ku hierarchie.

Zm�na seznamu ��zen� p��stupu pro soubor, postupujte takto:

1. Spus�te aplikaci Pr�zkumn�k Windows.
2. Vyberte soubor nebo slo�ku, pro kter� chcete zm�nit opr�vn�n�.
3. V nab�dce soubor klepn�te na tla��tko Vlastnosti.
4. Klepn�te na kartu zabezpe�en�. Klepnut�m za�krtn�te pol��ka pro opr�vn�n�, kter� chcete.

Zm�na opr�vn�n� souboru m��ete tak� pou��t skript nebo n�stroj p��kazov�ho ��dku Cacls.exe.

Zosobn�n�

S zosobn�n� aplikace spu�t�na v kontextu zabezpe�en� entita po�adavku jako ov��en� u�ivatel nebo jako anonymn� u�ivatel. Ve v�choz�m nastaven� zosobn�n� je nepovinn� a v ASP.NET nen� povoleno. Povolen� zosobn�n� na �rovni po��ta�e, nebo na �rovni aplikace, p�idat v odd�lu <system.web> souboru nebo souboru web.config n�sleduj�c� direktivy konfigurace.

databases

Aplikace, kter� p�ipojen� k datab�zi pomoc� ov��ov�n� SQL jsou obecn� neovlivn� pomoc� ��tu ASPNET. Aplikace, kter� pou��vaj� integrovan� ov��ov�n� a zosobn�n� nen� tak� obecn� ovlivn�ny. Pokud aplikace nen� zosobn�n� a pomoc� integrovan�ho ov��ov�n�, je v�ak nutn� ud�lit p��stup do datab�ze pro ��et ASPNET.

P�i pokusu o ov��en� Microsoft SQL Server pomoc� integrovan�ho ov��ov�n� p�es pojmenovan� kan�ly nelze pou��t ��et ASPNET M��ete v�ak pou��t ��et ASPNET spole�n� s integrovan� ov��ov�n� pomoc� p�enosov�ho Transmission Control Protocol (TCP).

Aplikace mus� pou��vat datab�zi Microsoft Access, mus� b�t schopen zapisovat do souboru datab�ze ��et ASPNET. Spr�vci mus� zm�nit opr�vn�n� souboru umo�n� toto pou�it�.

Do protokolu aplikace

Aplikace mus� zapsat do protokolu aplikace lze prov�st spu�t�n� pod ��tem ASPNET. Pokud aplikace mus� vytvo�it novou kategorii protokolu ud�lost�, mus� aplikace vytvo�it kl�� registru pod podregistru . Ve v�choz�m nastaven� nelze vytvo�it ��et ASPNET kl��e registru pod podregistru .

Vytvo�it kategorii v dob� spu�t�n�, je nutn� povolit zosobn�n�. Potom mus� zosobnit ��et, kter� m� v�ce opr�vn�n� a u�ivatelsk� pr�va. Spr�vce m��e tak� vytvo�it kategorii. Potom aplikace m��e zapisovat do kategorie v dob� spu�t�n�.

Pokud aplikace mus� vytvo�it nov� kategorie protokolu ud�lost�, vytvo�it kategorie na instalaci. Po vytvo�en� kategorie ��et ASPNET m��e zapisovat do protokolu aplikace.

Obor n�zv� System.DirectoryServices a slu�by Active Directory

Pokud webov� aplikace mus� z�skat p��stup k adres��ov� slu�b� Active Directory, m��e aplikace pou��vat zosobn�n� v prost�ed�, kter� podporuje delegov�n�. Aplikace lze tak� zadat explicitn� pov��en� konstruktor DirectoryEntry v oboru n�zv� System.DirectoryServices p��stup k adres��ov� slu�b� Active Directory. Pokud aplikace pou��v� explicitn� pov��en�, aplikace by m�ly ukl�dat pov��en� odpov�daj�c�m zp�sobem technika nap��klad Stavba �et�zce COM + nebo ochrany dat Windows API.

��ta�e v�konu

��et ASPNET m� dostate�n� opr�vn�n� k z�pisu do data ��ta�� v�konu. ��et ASPNET nem� dostate�n� opr�vn�n� ��st data ��ta�� v�konu. Pokud aplikace mus� p�e��st data ��ta�� v�konu nebo mus� vytvo�it v�kon ��ta� kategorie, je nutn� ud�lit opr�vn�n� Administrator nebo Users ��et ASPNET.

Pokud aplikace mus� vytvo�it nov� v�kon ��ta� kategori�, vytvo�it kategorie p�i instalaci. Po vytvo�en� kategori� m��ete zapisovat ��et ASPNET ��ta�e.

Pomoc� n�stroje Sledov�n� v�konu (Perfmon.exe) je st�le lze sledovat ��ta�e v�konu ASP.NET p�i pou�it� ��tu ASPNET. Pokud chcete sledovat ��ta�e v�konu ASP.NET v syst�mu Windows Server 2003, p�idejte do skupiny IIS_WPG identita procesu.

Servery COM Out-of-process

Aplikace, kter� mus� p�i spu�t�n� jako ��et ASPNET spustit servery COM out-of-process konkr�tn� m��e ud�lit zah�jen� opr�vn�n� ��tu pomoc� n�stroje Dcomcnfg.exe.

Ladic� program probl�my

Ve v�choz�m nelze krok do vol�n� slu�by XML web z aplikace klienta. Krok do vol�n� slu�by XML web, je nutn� p�idat ��et ASPNET do skupiny Debugger Users v po��ta�i, kde je spu�t�n webov� slu�by XML.

Pevn� identity

V slu�by COM + spustit k�d pomoc� pevn� identity. Pomoc� t��dy ServicedComponent oboru n�zv� slu�by System.EnterpriseServices m��ete napsat spravovan� k�d sou��sti, kter� pou��vaj� slu�by COM +. Privilegovan� funkce zalomen� v t��dy odvozen� od t��dy ServicedComponent. Potom m��ete spustit tuto t��du jako aplikace COM + serveru, kter� m� zkonfigurovan� identita.

Soubory ve sd�len�ch polo�k�ch UNC k�dem na pozad�

V aplikaci ASP.NET m��ete pou��t n�kolik metod vyvinout soubory aplikace. Obsah je ulo�en v k�dem na pozad� soubory na sd�len� slo�ky Universal Naming Convention (UNC), v n�sleduj�c�ch metod:

• HTML m��ete pou��t v souboru ASPX. Potom m��ete ulo�it k�d str�nky v p�edkompilovan� sestaven� ve slo�ce Ko�. Tato metoda je model Microsoft Visual Studio .NET.
• M��ete bal��ek v�echny k�d a obsahu HTML v jedin� zdrojov� soubor, kter� je kompilov�n na po��d�n�.
• Prezentace HTML m��ete um�stit do souboru ASP.NET. Potom m��ete dynamicky Kompilovat v�echny p�idru�en� zdrojov� k�d, soubor pomoc� atributu src v < % @ Sestaven� %> direktivy.

Pokud aplikace obsah um�st�n na s�ov� sd�len� polo�ce, kompil�tor spust� v ��tu ASPNET. Kompil�tor proto nem� s�ov� pov��en� pro p��stup k souboru. Pokud pou��v�te sd�len� s�ov� polo�ky, nem��ete pou��t atribut src p�ejd�te do souboru. Jeden z jin�ch metod je nutn� pou��t m�sto.

ASP.NET na �adi�i dom�ny prim�rn�ho nebo z�lo�n�ho

Ve v�choz�m nastaven� Pokud pou��v�te ASP.NET 1.1 v �adi�i dom�ny va�e webov� aplikace ASP.NET bude spu�t�na v kontextu zabezpe�en� ��tu IWAM_ ComputerName.

Pozn�mka:ComputerName je n�zev po��ta�e, kde je um�st�n ��et IWM_ ComputerName.

Dal�� informace naleznete n�sleduj�c�m �l�nku znalostn� datab�ze Microsoft Knowledge Base:

Metab�ze IIS

��et ASPNET nelze p�e��st metab�ze Internetov� informa�n� slu�ba (IIS). Pokud aplikace mus� z�skat p��stup k nastaven� metab�ze, m��ete pou��t n�stroj Metaacl.exe selektivn� ud�lit opr�vn�n� �ten� uzl� metab�ze.

Aplikace mus� pou��vat soubory .disco, je nutn� ud�lit opr�vn�n� pro �ten� k metab�ze pro ��et ASPNET. Soubory .disco mus� p�e��st metab�ze IIS poskytuj� slu�by zji��ov�n�.

Spr�va syst�mu a WMI

Windows Management Instrumentation (WMI) m��ete pou��t ke spr�v� a sledov�n� po��ta�� pou��vaj�c�ch opera�n� syst�my Microsoft Windows. V�ak p�i aplikac�, spustit v opera�n�m syst�mu Windows spustit pod ��tem ASPNET ��et ASPNET pouze m� stejn� opr�vn�n� jako Everyone v�choz� ��et. Tato opr�vn�n� pat�� �ten� dat WMI, z�pisu zprost�edkovatele dat a spu�t�n� metody pro zprost�edkovatel� v m�stn�m po��ta�i.

Dal�� informace o mechanismy zabezpe�en� WMI naleznete v dokumentaci WMI Platform SDK nebo nav�tivte n�sleduj�c� web spole�nosti Microsoft Developer Network (MSDN): Ve v�choz�m nastaven� generuje ASP.NET kryptograficky siln� heslo pro ��et ASPNET. Pokud heslo ��tu ASPNET nen� sd�len� mezi po��ta�i nebo nen� vynulov�n hodnotu ne� v�choz�, toto chov�n� pom�h� chr�nit syst�m po ud�lit dal�� opr�vn�n� a u�ivatelsk� pr�va ��tu ASPNET.

Interakce s plochou

Pokud slu�by IIS jsou nakonfigurov�ny tak, aby Povolit interakci s plochou, ��et ASPNET nelze z�skat p��stup k plo�e. K tomuto chov�n� doch�z�, kdy� voliteln� seznamy ��zen� p��stupu (DACL) objektu stanice v�choz� okna a na plo�e objektu v�choz� nejsou nakonfigurov�ny k ud�len� pr�v ��tu ASPNET. Spr�vci mohou zm�nit tyto DACL. Nebo m��ete spustit proces pomoc� ��tu, kter� m� u�ivatelsk� pr�va pro tyto objekty.

Odebrat ASP.NET

P�i odebr�n� ASP.NET ��et ASPNET je zak�z�n. ��et v�ak z�stane v syst�mu. Pokud chcete p�einstalovat ASP.NET, m��ete odstranit ��et ASPNET.

Pokud po explicitn� odstranit ��et ASPNET p�einstalovat ASP.NET, je vytvo�en nov� ��et ASPNET, kter� m� nov� identifik�tor zabezpe�en� (SID). ACL, kter� ozna�uje p�edchoz� ��et ASPNET ji� proto plat� pro nov� ��et ASPNET.

Dal�� informace o v�choz� seznamy ��zen� p��stupu v syst�mu Windows 2000 naleznete v n�sleduj�c�m dokumentu white paper Microsoft: Dal�� informace o �ifrov�n� pov��en� a �et�zc� p�ipojen� klepn�te na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base: Dal�� informace o ��tu ASPNET klepnut�m na n�sleduj�c� ��slo �l�nku datab�ze Microsoft Knowledge Base: