Веб-сайт не может получить правильное разрешение на запись в папку под Windows 2012R2 с IIS 8.5, даже если «IIS APPPOOL \ PoolName» установлен правильно

980
horace

У меня возникают конкретные проблемы в отношении IIS 8.5, Разрешения и Аудит. У меня есть приложение PHP, работающее под идентификатором KanboardPool, и я правильно установил разрешения для папки «data» приложения в «IIS APPPOOL \ KanboardPool» для полного контроля.

Кроме того, я установил для IIS_IUSRS значение «Чтение», «Выполнение» и «Список» в той же папке, включая родительский. Несмотря на; Я все еще получаю разрешение отказано в неудачах.

Я пытаюсь АУДИРОВАТЬ сбои доступа к файлам без особой удачи: сначала через Политику домена GPO -> Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Расширенный аудит -> Аудит доступа к файлу и неудачи. Который не регистрировал никаких ошибок аудита. Та же самая процедура через Политику Контроллера домена и наконец через Локальную Политику по любой причине. Изменение политики аудита добавляется, а затем удаляется позже.

Через ACL я выполнил тест «Эффективный доступ» для выбранного принципала «IIS APPPOOL \ KanboardPool», который прошел в плавающих цветах. Теперь я просто в тупик?

0

1 ответ на вопрос

0
horace

What made this issue particualy difficult to diagnose is that this wasn't reproducible under Default Web Site. When I placed the same application under C:\inetpub\wwwroot\subfoldeer\phpapplication under DefaultAppPool identity.

It was very easy for me to simply add Full Control to C:\inetpub\wwwroot\subfolder\phpapplication\data for DefaultAppPool and it simply worked.

After reading http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls; with fcgi.impersonate turned on in php.ini; it will automatically impersonate the authenticated user. Viola, turning this feature off, the PHP process assumed the AppPoolIdentity and work as expected.

Which explain why I wasn't getting file access failures for KanboardPool. However it doesn't explain while fcgi.impersonate that was turned on under Default Web Site initially wasn't reproducing the same behavior.

Похожие вопросы