我在IIS7上运行了一个站点。应用程序池在本地计算机帐户下运行。我们使用Windows身份验证对用户进行身份验证,但这是失败的,因为本地帐户似乎没有权限向域控制器发出Kerberos请求,因为事件日志似乎表明:
帐户已成功登录。
主题: 安全ID: NULL SID
帐户名称: -
帐户域名: -
登录ID:0x0
登录类型:3
新登录:
Security ID: MyDomain\mark
Account Name: Mark
Account Domain: MyDomain
Logon ID: 0x2ed3554
Logon GUID: {4a4f0c3f-2232-c2d9-9868-3a020042810f}
如果我使用帐户网络服务,本地服务或本地系统,则一切正常。那么,我需要多少权限来授予我的本地计算机帐户,以便它可以支持使用Kerberos进行Windows身份验证?
感谢!
答案 0 :(得分:0)
经过一些研究后,我认为使用Kerberos的本地计算机帐户基本上是一个有缺陷的想法。似乎没有办法将本地帐户添加到AD中,那么它如何与域控制器通信?因此,我选择在本地帐户下运行的网站上禁用Kerberos:
cscript C:\inetpub\adminscripts\adsutil.vbs set w3svc/1/root/MyVirtualDirectory/NTAuthenticationProviders "NTLM"
希望这有助于某人。