IIS7.5用于Server身份验证的域帐户应用程序池标识

Question

在Windows 2003/IIS6 6中，我们通常创建一个应用程序池，该应用程序池作为一个AD帐户的标识运行，该帐户仅为此目的而创建的权限最小。该域用户还将被授予对Server的访问权限，以便该应用程序池中的任何ASP.NET应用程序都能够通过集成Security=SSPI连接到Server。

我们正在向Windows 2008 R2/IIS7.5的世界迈出勇敢的一步，并希望复制此模型，但我很难将IIS7.5中的应用程序池作为AD帐户的身份运行？我知道这听起来很简单，希望是这样，但到目前为止，我的尝试都没有结果。

• 应用程序池标识应该是域帐户的“自定义帐户”吗？
• 是否需要将域帐户添加到任何组？

Answer 1

是的，域帐户将在“自定义帐户:高级设置”->标识下添加。以下信息来自了解IIS7.0中内置的用户和组帐户

IIS7.0在运行时自动向工作进程令牌添加IIS_IUSRS成员资格。通过这样做，被定义为“应用程序池标识”运行的帐户不再需要显式地成为IIS_IUSRS组的一部分。

如果要禁用此功能并将帐户手动添加到IIS_IUSRS组中，请通过将manualGroupMembership值设置为“true”来禁用此新功能。下面是如何对defaultAppPool执行此操作的示例：

<applicationPools>
    <add name="DefaultAppPool">
       <processModel manualGroupMembership="true" />
    </add>
</applicationPools >