Website, die keine Berechtigung zum Schreiben in einen Ordner unter Windows 2012R2 mit IIS 8.5 erhält, obwohl 'IIS APPPOOL \ PoolName' richtig eingestellt ist

1079
horace

Ich habe spezielle Probleme in Bezug auf IIS 8.5, Berechtigungen und Überwachung. Ich habe eine PHP-Anwendung, die unter der KanboardPool-Identität ausgeführt wird, und habe die Berechtigungen für den Anwendungsdatenordner ordnungsgemäß auf "IIS APPPOOL \ KanboardPool" festgelegt.

Außerdem habe ich IIS_IUSRS auf Lesen, Ausführen und Auflisten für denselben Ordner einschließlich des übergeordneten Elements festgelegt. Ungeachtet; Ich bekomme immer noch die Erlaubnis, dass Fehler versagt werden.

Ich habe versucht, Dateizugriffsfehler ohne viel Glück AUDIT zu überprüfen: Zuerst über GPO-Domänenrichtlinie -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachung -> Erfolg und Fehler des Dateizugriffs überwachen. Welche keine Audit-Fehler protokolliert haben. Gleiches Verfahren über die Domänencontrollerrichtlinie und zuletzt über die lokale Richtlinie, aus welchen Gründen auch immer. Prüfrichtlinienänderung wird hinzugefügt und später in der Folge entfernt.

Über ACL habe ich einen Effective Access-Test mit dem ausgewählten Principal 'IIS APPPOOL \ KanboardPool' durchgeführt, der mit Bravour bestanden hat. Jetzt bin ich nur noch verkümmert?

0

1 Antwort auf die Frage

0
horace

Das Problem war besonders schwer zu diagnostizieren, da dies unter der Standardwebsite nicht reproduzierbar war . Wenn ich denselben Antrag C:\inetpub\wwwroot\subfoldeer\phpapplicationunter DefaultAppPoolIdentität gestellt habe.

Es war sehr einfach für mich, Full Control für C:\inetpub\wwwroot\subfolder\phpapplication\datafor hinzuzufügen, DefaultAppPoolund es hat einfach funktioniert.

Nach dem Lesen von http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls ; mit fcgi.impersonateeingeschaltetem in php.ini; es wird automatisch der authentifizierte Benutzer. Viola, wenn Sie diese Funktion ausschalten, hat der PHP-Prozess die AppPoolIdentity übernommen und funktioniert wie erwartet.

Das erklärt, warum ich für KanboardPool keine Dateizugriffsfehler erhalten habe. Es erklärt jedoch nicht, fcgi.impersonatedass dies unter Default Web Site aktiviert war und nicht dasselbe Verhalten reproduzierte.

Verwandte Probleme