如何为ApplicationPoolIdentity帐户分配权限

#1 楼

更新：最初的问题是针对Windows Server 2008的，但是对于Windows Server 2008 R2和Windows Server 2012（以及Windows 7和8），该解决方案更容易。您可以通过直接在NTFS UI中键入用户来添加用户。该名称的格式为IIS APPPOOL \ {应用程序池名称}。例如：IIS APPPOOL \ DefaultAppPool。

IIS APPPOOL\{app pool name}

注意：在下面的注释中，有两点需要注意：


直接在“选择用户或组”中而不是在搜索字段中输入字符串。

在域环境中，您需要首先将“位置”设置为本地计算机。

参考Microsoft Docs文章：应用程序池标识>保护资源

原始响应：（对于Windows Server 2008）这是一个很棒的功能，但是正如您提到的，它尚未完全实现。您可以从命令提示符处添加带有icacls之类的应用程序池标识，然后可以从GUI对其进行管理。例如，在命令提示符下运行以下命令：

icacls c:\inetpub\wwwroot /grant "IIS APPPOOL\DefaultAppPool":(OI)(CI)(RX)

然后，在Windows资源管理器中，转到wwwroot文件夹并编辑安全权限。您将看到一个名为DefaultAppPool的组（组图标）。现在，您可以编辑权限。

但是，您根本不需要使用它。如果您愿意，可以使用它。您可以使用旧的方式为每个应用程序池创建自定义用户，并将自定义用户分配给磁盘。它具有完整的UI支持。

这种SID注入方法非常好，因为它允许您使用单个用户，但将每个站点彼此完全隔离，而不必为每个应用程序池创建唯一的用户。

注意：如果找不到应用程序池用户，请检查名为Application Host Helper Service的Windows服务是否正在运行。该服务将应用程序池用户映射到Windows帐户。

#2 楼

您必须确保将From this location字段设置为local machine而不是域。

我遇到了同样的问题，一旦更改，它就可以正常工作。

#3 楼

您实际上应该按照“角色”创建组，并在文件系统上分配该组访问权限。然后根据需要将应用程序池添加到特定于角色的组中。这样，即使以后删除应用程序池（并且虚拟用户陷入困境），也不必担心重做所有权限，只需将替换应用程序池添加到现有组即可。

#4 楼

阅读@Scott Forsyth-MVP答案后，我尝试重新启动Application Host Helper服务。为我解决了问题。

#5 楼

我正在运行WS8 R2，但无法通过Windows资源管理器添加IIS APPPOOL\DefaultAppPool。它起作用的唯一方法是通过命令行：


cacls [文件路径] / T / E / G“ IIS APPPOOL \ DefaultAppPool”：C

#6 楼

如果此问题是关于如何在msdb数据库中执行_sp_send_dbmail（使用msdb中的SQL send Database Mail存储过程），则可以解决此问题。
将数据库的.net应用程序用户名（在.net应用程序中的连接字符串上定义）添加到具有“ DatabaseMailUserRole”角色成员身份的msdb用户中。