當前,我們所有的Web應用程序都將其應用程序池標識設置爲ApplicationPoolIdentity。現在,當應用程序需要訪問某些服務器上的某些資源時,比如添加/讀取某個文件時,應用程序會對代碼執行模擬操作,以便有權執行此操作的用戶。但現在,我們正在考慮爲每個應用創建一個特定的用戶,並將其應用池標識設置爲其特定的新用戶。但是我注意到在高級設置對話框,微軟建議使用的應用程序池標識,如圖所示如下圖:IIS應用程序池中的哪個Identity選項被認爲是最好的
爲什麼Microsoft建議使用這種身份,並通過一個特定的用戶不是最佳做法還是錯誤舉動?
感謝,
ashilon
ApplicationPoolIdentity使用一種稱爲Virtual Accounts 概念和實施有應用程序池隔離。 This博客詳細解釋了 。
ApplicationPoolIdentity是推薦的方法讓每個網站/應用程序池之間的適當隔離在IIS7 + onwards.So你可以有代碼或文件運行一個網站或應用不能被沒有其他人訪問。
但對於您的情況,您需要到另一臺服務器上訪問的資源,當您使用ApplicationPoolIdentity它使用機器身份只有always.So最好的辦法是使用託管服務帳戶
託管服務帳戶管理需要網絡訪問的服務 的好方法。讓Windows照顧密碼和結節 爲您
但是,這僅作爲一個託管服務帳戶可以被分配到一個Server.Even與應用程序池標識問題它將使用$ machineaccount來訪問網絡資源。
如果您必須爲每個網站/應用程序隔離網絡資源,那麼您只能爲每個網站創建單獨的用戶帳戶並管理該帳戶。
希望這會有所幫助!
感謝您的信息Rohith。你已經提供了一些很好的參考。我會看看那些。再次感謝。 – ashilon