दिलचस्प पोस्ट
LINQ में समूह द्वारा ArrayList बनाम सूची <> में सी # * ngFor का उपयोग करके वस्तु की कुंजी और मूल्य का उपयोग क्यों स्विच वक्तव्य स्ट्रिंग पर लागू नहीं किया जा सकता है? PHP एक्सएमएल को JSON कन्वर्ट एक स्थान के साथ कई स्थान बदलने के लिए Regex जावास्क्रिप्ट नामकरण सम्मेलनों मैं अपने उपयोगकर्ताओं के पासवर्ड को सुरक्षित रूप से कैसे स्टोर कर सकता हूं? दो धागे को "बिल्कुल" एक ही समय में कैसे प्रारंभ करें JSON रूपांतरण के दौरान सीएसवी में JSON कुंजी के क्रम को रखें एक एसवीजी सर्कल आकार में पृष्ठभूमि छवि (.पीएनजी) जोड़ें सी # का उपयोग करते हुए Google Chrome से वर्तमान टैब के URL प्राप्त करना जांचें कि क्या रूबी में कोई मान मौजूद है पायथन / मेटप्लोलिब – क्या असंतत अक्ष बनाने का कोई तरीका है? जावास्क्रिप्ट का उपयोग कर पेज को कैसे पुनः लोड करें?

IIS8 में IIS_IUSRS और IUSR अनुमतियाँ

मैं बस IIS6 से Win2003 से IIS8 को Win2012 पर ASP.NET अनुप्रयोगों की मेजबानी के लिए स्थानांतरित कर दिया है।

मेरे आवेदन में एक विशेष फ़ोल्डर के भीतर मुझे फ़ाइलों को बनाने और हटाने की आवश्यकता है I फ़ाइलों को नए सर्वर पर कॉपी करने के बाद, मैंने निम्न त्रुटियों को देखकर रखा जब मैंने फ़ाइलों को हटाने की कोशिश की:

पथ 'डी: \ वेबसाइट्स \ myapp.co.uk \ companydata \ filename.pdf' से प्रवेश निषेध है।

जब मैं आईआईएस की जांच करता हूं, तो मैं देख रहा हूं कि यह अनुप्रयोग DefaultAppPool खाते के तहत चल रहा है, हालांकि, मैंने इस फ़ोल्डर पर आईआईएस AppPool \ DefaultAppPool को शामिल करने के लिए कभी भी Windows अनुमतियां सेट नहीं की हैं I

इसके बजाय, चिल्लाने वाले ग्राहकों को रोकने के लिए मैंने फ़ोल्डर पर निम्नलिखित अनुमतियां दीं:

IUSR

  • पढ़ें और निष्पादित करें
  • सूची फ़ोल्डर सामग्री
  • पढ़ना
  • लिखना

IIS_IUSRS

  • संशोधित करें
  • पढ़ें और निष्पादित करें
  • सूची फ़ोल्डर सामग्री
  • पढ़ना
  • लिखना

ऐसा लगता है कि काम किया है, लेकिन मुझे चिंतित है कि बहुत सारे विशेषाधिकार स्थापित किए गए हैं। मैंने परस्पर विरोधी जानकारी ऑनलाइन पढ़ी है कि क्या वास्तव में यहां IUSR की आवश्यकता है या नहीं क्या कोई यह स्पष्ट कर सकता है कि कौन-से उपयोगकर्ता / अनुमतियां इस फ़ोल्डर में दस्तावेज़ बनाने या हटाने के लिए पर्याप्त होंगी? इसके अलावा, IIS_IUSRS समूह का IUSR हिस्सा है?

अद्यतन और समाधान

कृपया नीचे मेरा उत्तर देखें मुझे यह दुख की बात है क्योंकि कुछ हालिया सुझावों को अच्छी तरह से सोचा नहीं था, या यहां तक ​​कि सुरक्षित (आईएमओ) भी नहीं था।

वेब के समाधान से एकत्रित समाधान "IIS8 में IIS_IUSRS और IUSR अनुमतियाँ"

मुझे अपना जवाब पोस्ट करने से नफरत है, परन्तु कुछ जवाब हाल ही में हाल ही में मैंने अपने स्वयं के प्रश्न में जो समाधान पोस्ट किया है, उन सुझावों को अनदेखा कर दिया है जो कि मूर्खता से कम नहीं हैं।

संक्षेप में – आपको किसी भी Windows उपयोगकर्ता खाते के विशेषाधिकारों को बिल्कुल भी संपादित करने की आवश्यकता नहीं है । ऐसा करना केवल जोखिम का परिचय देता है प्रक्रिया पूरी तरह से आईआईएस में विरासत में मिली विशेषाधिकारों का उपयोग करते हुए प्रबंधित होती है।

सही उपयोगकर्ता खाते में संशोधित / लिखना अनुमतियां लागू करना

  1. डोमेन पर राइट-क्लिक करें, जब यह साइट्स सूची के अंतर्गत प्रकट होता है, और संपादन अनुमतियां चुनें

    यहां छवि विवरण दर्ज करें

    सुरक्षा टैब के अंतर्गत, आप देखेंगे MACHINE_NAME\IIS_IUSRS सूचीबद्ध है इसका अर्थ है कि आईआईएस ने स्वचालित रूप से निर्देशिका पर केवल पढ़ने की अनुमति दी है (उदाहरण के लिए साइट में एएसपी.नेट चलाने के लिए)। आपको इस प्रविष्टि को संपादित करने की आवश्यकता नहीं है

    यहां छवि विवरण दर्ज करें

  2. संपादित करें बटन पर क्लिक करें, फिर जोड़ें …

  3. टेक्स्ट बॉक्स में, IIS AppPool\MyApplicationPoolName टाइप करें, MyApplicationPoolName को आपके डोमेन नाम से प्रतिस्थापित कर रहा है, जैसे IIS AppPool\mydomain.com

    यहां छवि विवरण दर्ज करें

  4. चेक नाम बटन दबाएं आपके द्वारा लिखे गए पाठ को बदलना होगा (रेखांकित करें):

    यहां छवि विवरण दर्ज करें

  5. उपयोगकर्ता को जोड़ने के लिए ठीक दबाएं

  6. नए उपयोगकर्ता (आपका डोमेन) चुनने के साथ, अब आप सुरक्षित रूप से किसी भी संशोधित या लेखन अनुमतियां प्रदान कर सकते हैं

    यहां छवि विवरण दर्ज करें

IUSR IIS_IUSER समूह का हिस्सा है। इसलिए मुझे लगता है कि आप बिना किसी चिंता के IUSR के लिए अनुमतियों को निकाल सकते हैं। आगे की पढाई

हालांकि, समय के साथ एक समस्या उत्पन्न हुई क्योंकि अधिक से अधिक विंडोज सिस्टम सेवाओं ने नेटवर्क्स सेवा के रूप में चलाने के लिए शुरू किया था। ऐसा इसलिए है क्योंकि NETWORKSERVICE के रूप में चलने वाली सेवाएं अन्य सेवाओं के साथ छेड़छाड़ कर सकती हैं जो समान पहचान के तहत चलती हैं। चूंकि आईआईएस वर्कर प्रक्रिया डिफ़ॉल्ट रूप से तृतीय-पक्ष कोड (क्लासिक एएसपी, एएसपी.नेट, पीएचपी कोड) चलाती है, यह अन्य विंडोज सिस्टम सेवाओं से आईआईएस वर्कर प्रक्रियाओं को अलग करने और अद्वितीय पहचान के तहत आईआईएस वर्कर प्रक्रियाओं को चलाने का समय था। विंडोज ऑपरेटिंग सिस्टम "वर्चुअल अकाउंट्स" नामक एक सुविधा प्रदान करता है जो आईआईएस को अपने प्रत्येक अनुप्रयोग पूल के लिए अद्वितीय पहचान बनाने की अनुमति देता है। DefaultAppPool डिफ़ॉल्ट पूल है जिसे आपके द्वारा बनाए गए सभी अनुप्रयोग पूल को सौंपा गया है।

इसे अधिक सुरक्षित बनाने के लिए आप IIS DefaultAppPool पहचान को ApplicationPoolIdentity में बदल सकते हैं।

अनुमति के बारे में, बनाएं और हटाएं जो सभी अधिकार दिए जा सकते हैं तो IIS_USERS समूह को जो कुछ भी आपने सौंपा है, वह है कि उन्हें आवश्यकता होगी। न कुछ ज्यादा, न कुछ कम।

उम्मीद है की यह मदद करेगा।

जब मैंने साइट फ़ोल्डर में IIS_IUSRS अनुमति जोड़ दी – संसाधन, जैसे जेएस और सीएसएस, अभी भी अप्राप्य (त्रुटि 401, निषिद्ध) थे। हालांकि, जब मैंने आईयूएसआर जोड़ दिया – यह ठीक हो गया। तो सुनिश्चित करने के लिए "आप चिंता के बिना IUSR के लिए अनुमतियों को नहीं हटा सकते हैं", प्रिय @Travis G @

@ ईविलड्रा आप अपने एडी परिवेश में एक IUSR_ [पहचानकर्ता] खाते बना सकते हैं और IUSR_ [पहचानकर्ता] खाते के अंतर्गत विशेष अनुप्रयोग पूल चला सकते हैं:

"एप्लिकेशन पूल"> "उन्नत सेटिंग"> "पहचान"> "कस्टम खाता"

उन्नत सेटिंग्स में "वेबसाइट उपयोगकर्ता (पास-थ्रू प्रमाणीकरण)" और "विशिष्ट उपयोगकर्ता" नहीं करने के लिए अपनी वेबसाइट सेट करें।

अब दें IUSR_ [पहचानकर्ता] फाइलों और फ़ोल्डरों पर उचित NTFS अनुमतियाँ, उदाहरण के लिए: companydata पर संशोधित करें

मैं विशिष्ट उपयोगकर्ता (और नहीं उपयोगकर्ता उपयोगकर्ता) का उपयोग करेगा तब मैं आवेदन में प्रतिरूपण को सक्षम करेगा। एक बार जब आप ऐसा करते हैं कि जो भी खाता विशिष्ट उपयोगकर्ता के रूप में सेट किया जाता है, तो वे क्रेडेंशियल्स उस सर्वर पर स्थानीय संसाधनों (बाहरी संसाधनों के लिए) तक पहुंचने के लिए उपयोग की जाती थीं

विशिष्ट उपयोगकर्ता सेटिंग विशेष रूप से स्थानीय संसाधनों तक पहुंचने के लिए होती है

IIS_IUser अनुमति फ़ाइलें बनाने या हटाने के लिए पर्याप्त से अधिक है IUser की अनुमति के लिए कोई ज़रूरत नहीं। मैं 20 से अधिक फ़ोल्डर्स के लिए यह अनुमति दे रहा हूँ मैं यह करने के लिए वैकल्पिक तरीके के लिए भी खोज रहा हूं अगर कोई विकल्प उपलब्ध है तो मुझे सुझाव दें

आईआईएस_आईयूएसआरएस समूह में केवल तभी प्राप्ति होती है, जब आप एप्लीकेशनपुल पहचान का उपयोग कर रहे हों। हालांकि आपके पास यह समूह रन टाइम पर खाली दिखता है IIS इस समूह में माइक्रोसॉफ्ट साहित्य के अनुसार कार्यकर्ता प्रक्रिया को चलाने के लिए जोड़ता है I