IIS 7.5應用程序池用戶需要的用戶權限（域用戶，而不是AppPoolIdentity）

我們有一個用於IIS應用程序池標識的活動目錄域（我們稱之爲foodomain）和一個域用戶帳戶（foodomain\fooAppPoolUser）。IIS 7.5應用程序池用戶需要的用戶權限（域用戶，而不是AppPoolIdentity）

我們要運行此用戶帳戶的應用程序池，而不是Network Service或新AppPoolIdentity下，因爲我們要訪問SQL服務器，並且對IIS多個應用程序（用自己的應用程序池）訪問不同的數據庫。

的問題是，我無法找到一個明確的HOW-TO解釋，其用戶權限爲這個用戶帳戶設置和IIS必須如何設置，使這將工作。

首先我得到了錯誤（不幸的是我不記得哪些錯誤），然後我將fooAppPoolUser添加到本地管理組（Administrators，我知道，只是爲了測試），然後它工作。現在我再次刪除用戶，重新啓動IIS，它仍然有效。

所以我很困惑了一下，想知道，在配置/設置如何必須是有它的工作。

Somwhere我讀到，該帳戶需要具有「模擬客戶端驗證後」用戶權限。這就是我將帳戶添加到管理員組的原因（用戶權限分配通過組策略被阻止，但是如果真的需要，這肯定會被更改。

我希望我已經清楚問題是什麼，希望有人有一個答案

2011-07-01 Arjen

由於某些安全管理員似乎喜歡更改默認策略設置以阻止在IIS中安裝應用程序，所以這種信息很難找到，這很令人沮喪。

這裏是什麼，我相信你應該做的，使帳戶作爲ApplicationPool身份的工作：

運行aspnet_regiis -ga DOMAIN\USER添加權限來訪問IIS元數據庫。（正好這是什麼意思，誰知道？）aspnet_regiis reference
將用戶添加到IIS_IUSRS組。這可能會自動完成，具體取決於IIS配置設置processmodel.manualGroupMembership，但最容易自己添加它。
如果安全策略使用與其相關的Windows默認值。如果安全策略被鎖定，您可能需要爲該帳戶啓用特定的用戶權限。你有ApplicationPoolIdentities的那些默認情況下（這似乎是一個良好的開端，但不一定是全部需要）：從網絡
- 訪問這臺計算機調整內存配額過程
- 允許本地登錄
- 跳過遍歷檢查
- 生成安全審覈詳情
- 認證後模擬客戶端 - （通常不是AV （通常默認不可用的鎖定環境）
- 登錄作爲服務 - - 在默認情況下鎖定環境）
- 登錄作爲批處理作業 ailable （我不知道這是需要）
- 如果你正在使用Windows身份驗證和Kerberos（供應商= Negotiate）則根據URL，如果內核模式身份驗證替換進程級令牌
是你可能需要建立一個SPN。如果可能，我建議切換到NTLM。否則，請參閱下面的關於SPN的文章，並找到一個友好的域管理員爲您添加它們。

趣味閱讀：

Default permissions and user rights for IIS 7.0, 7.5, 8.0。這是最好的參考，請參閱底部的用戶權限。
User Rights（在Windows Server 2008，但仍有趣和有益的，因爲它是一個很長的文章，你可以CTRL + F查找IIS相關評論）
User Rights Assignment Server 2008 R2的+上。你必須鑽取每個權利，看看它提到的IIS。
How To: Create a Service Account for an ASP.NET 2.0 Application - 可惜這裏沒有最新版本的這篇文章。
SPN Checklist for Kerberos on IIS7/7.5
How to use SPNs - 適用於IIS6或在內核模式身份驗證關閉的情況下適用於7/8。