在我们的2003服务器上,我们有一个使用标准IUSR
匿名访问运行的网站。
在这个站点内部有几个虚拟目录,都指向本地Web服务器上的相同物理目录(这样我们只有一个代码库可以在我们升级所有客户时进行更新)。
在每个vdirs中,我们创建了另一个指向DFS网络共享的vdir。当我们设置这些vdirs时,我们明确告诉他们 Connect As 一个具有DFS共享所需的所有安全/权限的域用户。
但每次我们尝试加载网页时,我们对DFS共享上的文件执行的Server.Execute
都会失败。
当我打开DFS目录的审核时,我看到两个失败审核,这两个审核都表示尝试与DFS共享建立连接的是IUSR
帐户。
为什么当我们明确告诉vdir Connect As 特定域用户时会发生这种情况?
Server.Execute
是否运行不同于您告诉网站始终连接到远程目录的凭据?
答案 0 :(得分:0)
在这些vdirs中,我们创建了 另一个指向DFS的vdir 网络共享。当我们建立这些 vdirs,我们明确告诉他们 Connect作为拥有所有权限的域用户 所需的安全/权限 DFS分享。
这仅适用于文件安全性,并且不会更改IIS模拟的帐户。
默认情况下,默认应用程序池使用NETWORK SERVICE作为其安全帐户并模拟IUSR_MACHINENAME。
确保 NT AUTHORITY \ NETWORK SERVICE 完全控制所有已映射的文件夹。