¿Cómo puedo asignar permiso de directorio activo a la identidad predeterminada del grupo de aplicaciones [IIS APPPOOL {nombre del grupo de aplicaciones}]?
Estoy tratando de hacer esto para habilitar una aplicación web para consultar grupos de usuarios activos del directorio y verificar la existencia de un nombre de usuario o nombre de grupo en particular.
Gracias.
Respuestas:
Usted no Puede conferir permisos a los recursos locales para la identidad IIS APPPOOL {nombre del grupo de aplicaciones} para los recursos locales por:
Cómo asignar permisos a la cuenta ApplicationPoolIdentity
En Active Directory, la identidad debe ser una entidad de seguridad conocida, una entidad de seguridad de usuario / grupo / computadora real o una entidad de seguridad extranjera / de confianza.
Sin embargo, si usa la identidad del servicio de red en el AppPool de IIS, el grupo de aplicaciones usará la cuenta de la máquina del servidor IIS al acceder a los recursos de la red. En ese caso, puede conferir los permisos necesarios a la cuenta del equipo (dominio \ nombre de equipo $) en Active Directory.
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
Lo que hice en la computadora AD fue delegar el control a la computadora que ejecuta el IIS que aloja la aplicación. Delegué solo permisos de "modificar membresía de grupo" (o algo así) y conseguí que mi solución funcionara.
Tuve un giro en mi aplicación que obtuvo IPrincipal de ADFS, por lo que no utilicé la autenticación de Windows, pero aparte de eso, todo funcionó bien.
Lástima que IISExpress no funcione de la manera en que funciona IIS, ya que esta no es la primera vez que tengo problemas al ir a producción.