IIS 7.5 / ASP.NET - 匿名访问除一个目录之外的所有内容 - 如何?

时间:2010-08-01 12:53:34

标签: asp.net iis-7 ntfs iis-7.5

我们正在使用相同的应用程序从IIS 6和.NET 3.5升级到IIS 7.5(Windows Server 2008 R2 Enterprise)。我无法让我们之前的IIS 6设置正常工作。

在IIS 6下,我可以将网站本身设置为使用IIS本身的特定域用户(例如mydomain \ webuser)。这控制了对所有文件的初始访问,包括HTML,图像等,并形成了初始请求,该请求转到ASP.NET页面,然后.NET引擎接管,运行.NET的用户是另一个域用户(例如我们的域名) dotnetuser)。然后,我们将从IIS用户mydomain \ webuser的一个文件夹(例如/ lockdown /)中获取所有NTFS权限。只要有人试图访问该目录中的文件,IIS就会说“无法访问,启动Windows身份验证访问”并提示他们输入凭据。这仍然导致任何底层.NET代码作为我们的域\ dotnetuser运行。

我无法在IIS 7.5下使用相同的设置工作,并确信这只是一些愚蠢的疏忽。它...想要工作但不完全。这就是我所做的:

站点的应用程序池设置为.NET Framework v2.0.50727,并选择“Integrated”作为托管管道模式选项。然后将标识设置为ourdomain \ dotnetuser,以便池以该特定用户的身份运行。

网站设置为IIS>身份验证连接为“ourdomain \ webuser”,所有似乎都很好。麻烦的是我去了这个特殊/锁定/目录。我尝试将其设置为与IIS 6完全相同的方式(只需从ourdomain \ webuser中删除对该文件夹的访问权限)。当我这样做时,我确实获得了访问的标准提示,但在提供我的凭据后,我仍然得到:

Error message 401.3: You do not have permission to view this directory 
or page using the credentials you supplied (access denied due to Access 
Control Lists). Ask the Web server's administrator to give you access to 
'C:\ourwebsite\lockdown\default.aspx'.

我的帐户位于此计算机上的本地管理员组中(此处我是域管理员),并且管理员组已获得对此文件夹的完全访问权限。我在应用程序事件查看器中看到以下内容为“信息”事件:

Event code: 4008 
Event message: File authorization failed for the request. 
Event time: 8/1/2010 8:45:18 AM 
Event time (UTC): 8/1/2010 12:45:18 PM 
Event ID: 0f8a5de692e74e67bb4e3c65a867586c 
Event sequence: 32 
Event occurrence: 1 
Event detail code: 0 

Application information: 
    Application domain: /LM/W3SVC/1/ROOT-1-129251371048714102 
    Trust level: Full 
    Application Virtual Path: / 
    Application Path: C:\ourwebsite\ 
    Machine name: TESTWEB3 

Process information: 
    Process ID: 3008 
    Process name: w3wp.exe 
    Account name: ourdomain\dotnetuser 

Request information: 
    Request URL: http://localhost/lockdown/default.aspx 
    Request path: /lockdown/default.aspx 
    User host address: ::1 
    User: ourdomain\myuser 
    Is authenticated: True 
    Authentication Type: Negotiate 
    Thread account name: ourdomain\dotnetuser

这里有任何建议或想法吗?

2 个答案:

答案 0 :(得分:5)

您可以使用授权规则,只需使用以下内容在要保护的目录中创建web.config:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <security>
            <authorization>
                <remove users="*" roles="" verbs="" />
                <add accessType="Deny" users="?" />
                <add accessType="Allow" roles="Administrators" />
            </authorization>
        </security>
    </system.webServer>
</configuration>

这将阻止对匿名用户的访问,并且仅允许来自Admnistrators组的用户。您可以使用角色或用户。

答案 1 :(得分:1)

在带有IIS 7.5的Windows Server 2008 R2上,您需要执行以管理员身份运行的Windows资源管理器,右键单击它以获取管理员权限以修改该文件夹中的任何内容。将应用程序池标识添加到具有读取和执行权限的c:\ inetpub \ wwwroot ...文件夹的ACL中。

相关问题
最新问题