Κατανόηση ταυτοτήτων στις υπηρεσίες IIS

Εισαγωγή

Αυτό το άρθρο παρέχει βασικές πληροφορίες σχετικά με τις ταυτότητες στις υπηρεσίες πληροφοριών Internet (IIS).

Πίνακας περιεχομένων

Περισσότερες πληροφορίες

Ταυτότητες χώρου συγκέντρωσης εφαρμογών

Για να κατανοήσετε τις ταυτότητες χώρου συγκέντρωσης εφαρμογών, πρέπει να καταλάβετε τι είναι μια ταυτότητα. Με απλούς όρους, ηταυτότητα n είναι ένας λογαριασμός των Windows. Κάθε διεργασία που εκτελείται στα Windows εκτελείται με μια ταυτότητα. Οι εφαρμογές διοργανώνονται από τη διεργασία εργασίας χρησιμοποιώντας μια ταυτότητα των Windows. Η ταυτότητα των Windows που χρησιμοποιείται εξαρτάται από την ταυτότητα του χώρου συγκέντρωσης εφαρμογών, η οποία μπορεί να είναι οποιοσδήποτε από τους ακόλουθους λογαριασμούς:

Application Pool identities

  • Τοπικό σύστημα: εντελώς αξιόπιστος λογαριασμός που έχει πολύ υψηλά προνόμια και έχει επίσης πρόσβαση σε πόρους δικτύου.

  • Υπηρεσία δικτύου: περιορισμένος ή περιορισμένος λογαριασμός υπηρεσίας που χρησιμοποιείται γενικά για την εκτέλεση τυπικών υπηρεσιών με ελάχιστο προνόμιο. Αυτός ο λογαριασμός έχει λιγότερα προνόμια από έναν τοπικό λογαριασμό συστήματος. Αυτός ο λογαριασμός έχει πρόσβαση σε πόρους δικτύου.

  • Τοπική υπηρεσία: περιορισμένος ή περιορισμένος λογαριασμός υπηρεσίας που είναι πολύ παρόμοιος με την υπηρεσία δικτύου και προορίζεται για την εκτέλεση τυπικών υπηρεσιών με ελάχιστο προνόμιο. Αυτός ο λογαριασμός δεν έχει πρόσβαση σε πόρους δικτύου.

  • ApplicationPoolIdentity: όταν δημιουργείται ένας νέος χώρος συγκέντρωσης εφαρμογών, οι υπηρεσίες IIS δημιουργούν έναν εικονικό λογαριασμό που έχει το όνομα του νέου χώρου συγκέντρωσης εφαρμογών και ο οποίος εκτελεί τη διαδικασία εργασίας του χώρου συγκέντρωσης εφαρμογών σε αυτόν το λογαριασμό. Αυτός είναι επίσης ένας λογαριασμός με ελάχιστο προνόμιο.

  • Προσαρμοσμένος λογαριασμός: εκτός από αυτούς τους ενσωματωμένους λογαριασμούς, μπορείτε επίσης να χρησιμοποιήσετε έναν προσαρμοσμένο λογαριασμό, καθορίζοντας το όνομα χρήστη και τον κωδικό πρόσβασης.

Διαφορές μεταξύ των ταυτοτήτων χώρου συγκέντρωσης εφαρμογών

Σενάριο 1: πρόσβαση σε αρχείο καταγραφής συμβάντων

Σε αυτό το σενάριο, έχετε μία εφαρμογή Web που δημιουργεί ένα προσαρμοσμένο αρχείο καταγραφής συμβάντων (MyWebAppZone) και μια προέλευση αρχείου καταγραφής συμβάντων (MyWebAppZone.com) κατά το χρόνο εκτέλεσης. Οι εφαρμογές που εκτελούνται με χρήση οποιασδήποτε από τις ταυτότητες μπορούν να γράψουν στο αρχείο καταγραφής συμβάντων χρησιμοποιώντας υπάρχουσες προελεύσεις συμβάντων. Ωστόσο, εάν εκτελούνται με μια ταυτότητα εκτός του τοπικού συστήματος, δεν μπορούν να δημιουργήσουν νέες προελεύσεις συμβάντων λόγω ανεπαρκούς πρόσβασης στο μητρώο.

My Web App Zone

Για παράδειγμα, εάν εκτελέσετε την εφαρμογή στην περιοχή Network Service, λαμβάνετε την ακόλουθη εξαίρεση ασφαλείας:

Server error

Όταν εκτελείτε την ανίχνευση ProcMon ταυτόχρονα, συχνά διαπιστώνετε ότι η υπηρεσία NT AUTHORITY\NETWORK δεν διαθέτει τα απαιτούμενα δικαιώματα ανάγνωσης και εγγραφής στο ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\

Αυτή είναι η θέση στο μητρώο όπου αποθηκεύονται όλες οι ρυθμίσεις ενός αρχείου καταγραφής συμβάντων.

Process Monitor 1

Σενάριο 2: πρόσβαση στο μητρώο

Εκτός από το τοπικό σύστημα, καμία άλλη ταυτότητα χώρου συγκέντρωσης εφαρμογών δεν έχει πρόσβαση εγγραφής στο μητρώο. Σε αυτό το σενάριο, έχετε αναπτύξει μια απλή εφαρμογή Web που μπορεί να αλλάξει και να εμφανίσει το όνομα του διακομιστή ώρας του Internet στον οποίο συγχρονίζονται αυτόματα τα Windows. Εάν εκτελέσετε αυτήν την εφαρμογή στην περιοχή τοπική υπηρεσία, θα λάβετε μια εξαίρεση. Εάν επιλέξετε την ανίχνευση ProcMon, θα διαπιστώσετε ότι η ταυτότητα του χώρου συγκέντρωσης εφαρμογών "NT Authority\Local Service" δεν έχει πρόσβαση ανάγνωσης και εγγραφής στο ακόλουθο δευτερεύον κλειδί μητρώου:

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers.

Process Monitor 2

Εάν επιλέξετε το αρχείο καταγραφής συμβάντων MyWebAppZone (από το σενάριο 1), μπορείτε να εντοπίσετε το ακόλουθο συμβάν σφάλματος που έχει καταγραφεί. Περιέχει ένα μήνυμα σφάλματος "δεν επιτρέπεται η πρόσβαση στο μητρώο που ζητήθηκε".

Τύπος εξαίρεσης: SecurityException Μήνυμα: δεν επιτρέπεται η πρόσβαση στο μητρώο που ζητήθηκε. Ανίχνευση στοίβας    στο Microsoft. Win32. RegistryKey. OpenSubKey (όνομα συμβολοσειράς, δυνατότητα εγγραφής Boolean)    στο Identities.ChangeTimeServer.Page_Load (Αποστολέας αντικειμένου, EventArgs e)    στο System. Web. UI. Control. LoadRecursive ()    στο System. Web. UI. Page. ProcessRequestMain (Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)    στο System. Web. UI. Page. ProcessRequest (Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)    στο System. Web. UI. Page. ProcessRequest ()    στο System. Web. UI. Page. ProcessRequest (περιβάλλον HttpContext)    στο ASP.changetimeserver_aspx. ProcessRequest (περιβάλλον HttpContext) στο c:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\fd06117a\f8c94323\ App_Web_ysqbhk00.2. CS: line 0    στο System. Web. HttpApplication. CallHandlerExecutionStep. System. Web. HttpApplication. IExecutionStep. Execute ()    στο System. Web. HttpApplication. ExecuteStep (IExecutionStep Step, Boolean& completedSynchronously)  

Σενάριο 3: προσαρμοσμένος λογαριασμός στον έλεγχο ταυτότητας Kerberos και περιβάλλον εξισορρόπησης φόρτου

Έχετε ήδη δει στα σενάρια 1 και 2 ορισμένες από τις διαφορές μεταξύ των ενσωματωμένων λογαριασμών. Τώρα, ας συζητήσουμε τι είναι ένας προσαρμοσμένος λογαριασμός και πώς έχει πλεονεκτήματα σε σχέση με τους ενσωματωμένους λογαριασμούς όταν εργάζεστε με τον έλεγχο ταυτότητας Kerberos σε εξισορρόπηση φόρτου-περιβάλλοντος.

Χρησιμοποιώντας αυτήν την προσέγγιση, εκτελείτε την εφαρμογή σας σε ένα χώρο συγκέντρωσης εφαρμογών που έχει ρυθμιστεί ώστε να εκτελείται με χρήση μιας συγκεκριμένης ταυτότητας των Windows. Εξετάστε το ακόλουθο διάγραμμα, στο οποίο μια εφαρμογή φιλοξενείται σε ένα περιβάλλον εξισορρόπησης φόρτου, το οποίο περιλαμβάνει δύο διακομιστές και χρησιμοποιεί τον έλεγχο ταυτότητας Kerberos για την αναγνώριση του προγράμματος-πελάτη.

Load Balancer  

Προτεινόμενη ανάγνωση

Πριν να προχωρήσετε περαιτέρω σε αυτό το σενάριο, συνιστούμε να έχετεδιαβάσει αυτό το ιστολόγιο σχετικά με τον τρόπο λειτουργίας του Kerberos.

Για να λειτουργήσει ο έλεγχος ταυτότητας Kerberos, πρέπει να ρυθμίσετε το SPN και για τους δύο διακομιστές χρησιμοποιώντας τον λογαριασμό του υπολογιστή τους. Εάν ο χώρος συγκέντρωσης εφαρμογών εκτελείται σε έναν ενσωματωμένο λογαριασμό, παρουσιάζει τα διαπιστευτήρια του υπολογιστή στο δίκτυο. Για παράδειγμα, εάν το όνομα του υπολογιστή είναι "Server1", παρουσιάζεται ως "Server1 $". Αυτός ο λογαριασμός υπολογιστή δημιουργείται αυτόματα όταν ένας υπολογιστής συμμετέχει σε έναν τομέα. Επομένως, εάν υπάρχουν διακομιστές N, πρέπει να καθορίσετε τον αριθμό N του SPN που αντιστοιχεί στον αντίστοιχο λογαριασμό του υπολογιστή.

Καταχώρηση ενός SPN σε έναν λογαριασμό υπολογιστή:

setspn –a HTTP/HOSTNAME MachineAccount$

Παράδειγμα

setspn –a HTTP/MyWebAppZone.com Server1$

Για να αντιμετωπίσετε αυτό το μειονέκτημα, μπορείτε να εκτελέσετε την εφαρμογή κάτω από μια προσαρμοσμένη ταυτότητα των Windows (τομέα) και, στη συνέχεια, να θέσετε το SPN μόνο σε αυτόν το συγκεκριμένο λογαριασμό τομέα στον ελεγκτή τομέα.

Καταχώρηση ενός SPN σε ένα λογαριασμό τομέα:

setspn –a HTTP/HOSTNAME domain\account

Παράδειγμα

setspn –a HTTP/MyWebAppZone.com contoso.com\account_alias

Επιστροφή στην κορυφή

Προεπιλεγμένα δικαιώματα και δικαιώματα χρήστη στο wwwroot

Οι υπηρεσίες IIS 7,0 και νεότερες εκδόσεις διευκολύνουν επίσης τη ρύθμιση παραμέτρων μιας ταυτότητας χώρου συγκέντρωσης εφαρμογών και κάνουν όλες τις απαραίτητες αλλαγές. Όταν οι υπηρεσίες IIS ξεκινούν μια διεργασία εργασίας, πρέπει να δημιουργήσουν ένα διακριτικό που θα χρησιμοποιεί η διεργασία. Όταν δημιουργηθεί αυτό το διακριτικό, οι υπηρεσίες IIS προσθέτουν αυτόματα το IIS_IUSRS ιδιότητα μέλους στο διακριτικό διεργασιών εργασίας κατά το χρόνο εκτέλεσης. Οι λογαριασμοί που εκτελούνται ως "ταυτότητες χώρου συγκέντρωσης εφαρμογών" δεν χρειάζεται πλέον να αποτελούν ρητό τμήμα της ομάδας IIS_IUSRS. Εάν δημιουργήσετε μια τοποθεσία Web και, στη συνέχεια, τοποθετείτε το δείκτη του ποντικιού στη φυσική θέση στο C:\Inetpub\Wwwroot, οι ακόλουθοι χρήστες και ομάδες προστίθενται αυτόματα στιςλίστες ελέγχου του ccess της τοποθεσίας.

Χρήστες/ομάδες

Επιτρεπόμενα δικαιώματα

ΚΆΤΟΧΟς ΔΗΜΙΟΥΡΓΟΎ

Ειδικά δικαιώματα

ΣΥΣΤΉΜΑΤΟς

Πλήρης έλεγχος

Διαχειριστές

Πλήρης έλεγχος

Χρήστες

Ανάγνωση & εκτέλεση, λίστα περιεχομένων φακέλου, ανάγνωση

IIS_USRS

Ανάγνωση & εκτέλεσης

TrustedInstaller

Πλήρης έλεγχος

Εάν θέλετε να απενεργοποιήσετε αυτήν τη δυνατότητα και να προσθέσετε λογαριασμούς με μη αυτόματο τρόπο στην ομάδα IIS_IUSRS, ορίστε την τιμή manualGroupMembership σε True στο αρχείο ApplicationHost. config. Το παρακάτω παράδειγμα δείχνει τον τρόπο με τον οποίο μπορεί να γίνει αυτό στον προεπιλεγμένο χώρο συγκέντρωσης εφαρμογών:

<applicationPools>
    <add name="DefaultAppPool">
        <processModel manualGroupMembership="true" />
    </add>
</applicationPools>

Επιστροφή στην κορυφή

Κατανόηση της απομόνωσης παραμέτρων

Οι διεργασίες εργασίας των υπηρεσιών IIS δεν έχουν πρόσβαση ανάγνωσης στο αρχείο ApplicationHost. config. Έτσι, μπορεί να αναρωτιέστε πώς μπορούν να διαβάσουν οποιοδήποτε από τα σύνολα παραμέτρων σε αυτό το αρχείο.

Η απάντηση είναι με τη χρήση της δυνατότητας απομόνωσης ρύθμισης παραμέτρων στο IIS 7,0 και σε νεότερες εκδόσεις. Αντί να ενεργοποιήσει τις διεργασίες εργασίας των υπηρεσιών IIS για την απευθείας ανάγνωση του ApplicationHost. config κατά την ανάγνωση της ιεραρχίας του αρχείου ρύθμισης παραμέτρων, η υπηρεσία ενεργοποίησης διεργασιών των Windows (WAS) δημιουργεί φιλτραρισμένα αντίγραφα αυτού του αρχείου. Κάθε διεργασία εργασίας των υπηρεσιών IIS χρησιμοποιεί αυτά τα αντίγραφα ως αντικατάσταση του ApplicationHost. config όταν γίνεται ανάγνωση της ρύθμισης παραμέτρων μέσα στη διεργασία εργασίας των υπηρεσιών IIS. Αυτά τα αρχεία δημιουργούνται από προεπιλογή στον κατάλογο % SYSTEMDRIVE%\inetpub\Temp\appPools και ονομάζονται {AppPoolName}. config. Αυτά τα αρχεία έχουν ρυθμιστεί ώστε να επιτρέπουν την πρόσβαση μόνο στις διεργασίες εργασίας των υπηρεσιών IIS στον αντίστοιχο χώρο συγκέντρωσης εφαρμογών, χρησιμοποιώντας το αναγνωριστικό ασφαλείας (SID)του χώρου συγκέντρωσης ΕΦΑΡΜΟΓΏΝ IIS ταυτότητα \AppPoolName .

Σημείωση Για να μάθετε περισσότερα σχετικά με το SID, ανατρέξτε στο θέμα "αναγνωριστικά ασφαλείας" στην τοποθεσία Web του Microsoft docs.

Application Pool

Αυτό γίνεται για να αποτρέψετε τις διεργασίες εργασίας των υπηρεσιών IIS από το χώρο συγκέντρωσης εφαρμογών να μπορούν να διαβάσουν πληροφορίες ρύθμισης παραμέτρων στο αρχείο ApplicationHost. config που προορίζεται για το χώρο συγκέντρωσης εφαρμογών B.

Το ApplicationHost. config μπορεί να περιέχει ευαίσθητες προσωπικές πληροφορίες, όπως το όνομα χρήστη και τον κωδικό πρόσβασης για τις προσαρμοσμένες ταυτότητες χώρου συγκέντρωσης εφαρμογών ή το όνομα χρήστη και τον κωδικό πρόσβασης για εικονικούς καταλόγους. Επομένως, επιτρέποντας σε όλους τους χώρους συγκέντρωσης εφαρμογών να έχουν πρόσβαση στο ApplicationHost. config θα έσπαγε την απομόνωση του χώρου συγκέντρωσης εφαρμογών. Εάν σε κάθε χώρο συγκέντρωσης εφαρμογών δόθηκε άμεση πρόσβαση στο αρχείο ApplicationHost. config, αυτές οι πισίνες θα μπορούσαν εύκολα να χαράξουν ευαίσθητες πληροφορίες από άλλους χώρους συγκέντρωσης εφαρμογών, εκτελώντας την ακόλουθη εντολή:

appcmd list APPPOOL "DefaultAppPool" /text:*

appcmd

Επιστροφή στην κορυφή

IUSR – ανώνυμος έλεγχος ταυτότητας

Ο ανώνυμος έλεγχος ταυτότητας επιτρέπει στους χρήστες να έχουν πρόσβαση σε δημόσιες περιοχές της τοποθεσίας Web χωρίς να τους ζητείται όνομα χρήστη ή κωδικός πρόσβασης. Στο IIS 7,0 και σε νεότερες εκδόσεις, χρησιμοποιείται ένας ενσωματωμένος λογαριασμός, IUSR, για την παροχή ανώνυμης πρόσβασης. Αυτός ο ενσωματωμένος λογαριασμός δεν απαιτεί κωδικό πρόσβασης. Θα είναι η προεπιλεγμένη ταυτότητα που χρησιμοποιείται όταν είναι ενεργοποιημένος ο ανώνυμος έλεγχος ταυτότητας. Στο αρχείο ApplicationHost. config, μπορείτε να δείτε τον ακόλουθο ορισμό:

<authentication>     <anonymousAuthentication enabled="true" userName="IUSR" /> </authentication> Αυτό υποδεικνύει στις υπηρεσίες IIS να χρησιμοποιούν τον νέο ενσωματωμένο λογαριασμό για όλες τις αιτήσεις ανώνυμου ελέγχου ταυτότητας. Τα μεγαλύτερα πλεονεκτήματα για να το κάνετε αυτό είναι τα εξής:

  • Δεν χρειάζεται πλέον να ανησυχείτε για τους κωδικούς πρόσβασης που λήγουν για αυτόν το λογαριασμό.

  • Μπορείτε να χρησιμοποιήσετε την εντολή Xcopy /α για να αντιγράψετε αρχεία μαζί με τις πληροφορίες κατοχής και ACL σε διαφορετικούς υπολογιστές απρόσκοπτα.

Μπορείτε επίσης να παρέχετε ανώνυμο έλεγχο ταυτότητας στην τοποθεσία Web σας χρησιμοποιώντας έναν συγκεκριμένο λογαριασμό των Windows ή μια ταυτότητα χώρου συγκέντρωσης εφαρμογών αντί για ένα λογαριασμό IUSR.

ISUR έναντι σύνδεσης ως

Η επιλογή σύνδεση όπως είναι μια επιλογή στις υπηρεσίες IIS που σας επιτρέπει να αποφασίσετε ποια διαπιστευτήρια θέλετε να χρησιμοποιήσετε για να αποκτήσετε πρόσβαση στην τοποθεσία Web. Μπορείτε να χρησιμοποιήσετε τα διαπιστευτήρια χρήστη με έλεγχο ταυτότητας ή συγκεκριμένα διαπιστευτήρια χρήστη. Για να καταλάβετε τη διαφορά, εξετάστε το ακόλουθο σενάριο:

Έχετε μια προεπιλεγμένη τοποθεσία Web που έχει ρυθμιστεί ώστε να χρησιμοποιεί ανώνυμο έλεγχο ταυτότητας. Ωστόσο, τα περιεχόμενα της τοποθεσίας Web σας βρίσκονται σε άλλο διακομιστή και χρησιμοποιείτε την ενότητα σύνδεση ως για να αποκτήσετε πρόσβαση σε αυτόν τον πόρο μέσω ενός χρήστη τομέα"δοκιμή". Όταν ο χρήστης συνδέεται, γίνεται έλεγχος ταυτότητας με χρήση ενός λογαριασμού IUSR. Ωστόσο, το περιεχόμενο της τοποθεσίας Web είναι προσβάσιμο μέσω των διαπιστευτηρίων χρήστη που αναφέρονται στην ενότητα σύνδεση ως .

Για να το θέσετε πιο απλά, ο ανώνυμος έλεγχος ταυτότητας είναι ο μηχανισμός που χρησιμοποιείται από την τοποθεσία Web για την αναγνώριση ενός χρήστη. Ωστόσο, όταν χρησιμοποιείτε αυτήν τη δυνατότητα, ο χρήστης δεν χρειάζεται να παρέχει διαπιστευτήρια. Ωστόσο, μπορεί να υπάρχει ένα παρόμοιο σενάριο στο οποίο τα περιεχόμενα βρίσκονται σε ένα κοινόχρηστο στοιχείο δικτύου. Σε αυτές τις περιπτώσεις, δεν μπορείτε να χρησιμοποιήσετε ενσωματωμένους λογαριασμούς για να αποκτήσετε πρόσβαση στο κοινόχρηστο στοιχείο δικτύου. Αντί για αυτό, πρέπει να χρησιμοποιήσετε έναν συγκεκριμένο λογαριασμό (τομέα) για να το κάνετε αυτό.

Επιστροφή στην κορυφή

Απομίμηση ASP.NET

Κυριολεκτικά, η μίμηση σημαίνει την πράξη του να προσποιείσαι ότι είσαι ένα άλλο άτομο. Με τεχνικούς όρους, πρόκειται για μια δυνατότητα ασφαλείας του ASP.NET που παρέχει τη δυνατότητα ελέγχου της ταυτότητας κάτω από την οποία εκτελείται ο κώδικας εφαρμογής. Η απομίμηση παρουσιάζεται όταν το ASP.NET εκτελεί κώδικα στο περιβάλλον ενός προγράμματος-πελάτη με έλεγχο ταυτότητας και εξουσιοδότησης. Οι υπηρεσίες IIS παρέχουν ανώνυμη πρόσβαση σε πόρους με τη χρήση ενός λογαριασμού IUSR. Αφού η αίτηση μεταβιβαστεί στο ASP.NET, ο κώδικας της εφαρμογής εκτελείται χρησιμοποιώντας την ταυτότητα του χώρου συγκέντρωσης εφαρμογών.

Η απομίμηση μπορεί να ενεργοποιηθεί τόσο μέσω του κώδικα IIS όσο και μέσω του κώδικα ASP.NET, εάν η εφαρμογή χρησιμοποιεί ανώνυμο έλεγχο ταυτότητας και εάν ισχύει μία από τις ακόλουθες συνθήκες:

  • Εάν η απομίμηση είναι απενεργοποιημένη, η ταυτότητα του χώρου συγκέντρωσης εφαρμογών χρησιμοποιείται για την εκτέλεση του κώδικα της εφαρμογής.

  • Εάν είναι ενεργοποιημένη η απομίμηση, χρησιμοποιείται το "NT AUTHORITY\IUSR" για την εκτέλεση του κώδικα της εφαρμογής.

Όταν η απομίμηση είναι ενεργοποιημένη μέσω των υπηρεσιών IIS, προσθέτει την ακόλουθη ετικέτα στο αρχείο Web. config της εφαρμογής για την απομίμηση του λογαριασμού ή του χρήστη με έλεγχο ταυτότητας των υπηρεσιών IIS:

<identity impersonate="true" />

Για να μιμηθείτε έναν συγκεκριμένο χρήστη για όλες τις αιτήσεις σε όλες τις σελίδες μιας εφαρμογής του ASP.NET, μπορείτε να καθορίσετε τα χαρακτηριστικά όνομα χρήστη και κωδικός πρόσβασης στην ετικέτα <ταυτότητας> του αρχείου Web. config για τη συγκεκριμένη εφαρμογή.

<identity impersonate="true" userName="accountname" password="password" />

Για να υλοποιήσετε την απομίμηση μέσω του κώδικα ASP.NET, ανατρέξτε στο ακόλουθο άρθρο της βάσης Knoledge:

306158 Τρόπος υλοποίησης της απομίμησης σε μια εφαρμογή του ASP.NET

Ανοίξτε τη διαδικασία εργασίας των υπηρεσιών IIS μιας δοκιμαστικής τοποθεσίας Web που μιμείται έναν τοπικό χρήστη "δοκιμή" και ελέγξτε εάν μπορείτε να εντοπίσετε τον λογαριασμό απομίμησης κάτω από τον οποίο εκτελείται ο κωδικός της εφαρμογής.

Η ταυτότητα του χώρου συγκέντρωσης εφαρμογών της εφαρμογής έχει καθοριστεί σε "ApplicationPoolIdentity" και ο ανώνυμος έλεγχος ταυτότητας παρέχεται με τη χρήση του λογαριασμού IUSR. Μπορείτε εύκολα να ανιχνεύσετε την ταυτότητα απομίμησης χρησιμοποιώντας το ProcMon. Για παράδειγμα, εάν εξετάσετε ένα από τα συμβάντα "CreateFile" που αντιστοιχούν στη διαδικασία W3wp. exe που εξετάζετε, μπορείτε να εντοπίσετε τον λογαριασμό απομίμησης, όπως φαίνεται στο παρακάτω στιγμιότυπο οθόνης.

Event properties

Επιστροφή στην κορυφή

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×