Kategorieauswahl

WinRM

Wie man mit IIS eigenen Benutzern im IIS 7 und 7.5 die Remoteverwaltung konfiguriert

Ab IIS 7 unter Windows Server 2008 und R2 (IIS 7.5) hat man die Möglichkeit im IIS selbst Benutzer anzulegen um ihnen die Remoteverwaltung zu ermöglichen, statt auf lokale Benutzerkonten oder Konten aus dem Active Directory zurück zu greifen.

Da IIS 7 seine Konfiguration der Websites in der Datei web.config hinterlegt stellt die Remoteverwaltung ein kleines Problem dar. Wem gebe ich die Berechtigungen auf die Datei web.config, damit ein IIS Benutzer die Konfiguration ändern kann, denn die IIS Benutzer werden ja bei der NTFS-Rechtevergabe nicht angezeigt. Dort sieht man nur die Benutzer aus dem AD und die lokalen Benutzerkonten. Um den Benutzer des IIS Ändern Berechtigung auf die jeweilige web.config zu geben muss man dem Dienst die Berechtigung Ändern geben. Somit ist es mit NTFS-Berechtigungen nicht möglich für die verschiedenen IIS-Benutzer unterschiedliche NTFS-Berechtigungen einzuräumen. Um den Dienst zu autorisieren müssen sie den lokalen Computer (nicht AD) bei der Rechtevergabe auswählen und „NT Service\WMSvc“ eintippen (Anklicken/Auswählen ist nicht, weil es ja keine lokalen Benutzer sind und Dienstekonten auch nicht gelistet werden!) und auf „OK“ klicken. Anschliessend sehen Sie WMSvc in der Rechteliste. Nun können Sie die Berechtigungen auf „Ändern“ wie gewohnt erweitern. Ab nun sollten Sie von einem anderen Server aus die Verbindung mit der IIS-Verwaltungskonsole unter dem erstellen Benutzerkonto herstellen können und auch Einstellungen vornehmen können.

Ein weiterer Stolperstein ist, dass der Webverwaltungsdienst zwar aktiviert wird, aber nach dem Reboot nicht automatisch neu startet. Also ist unter Diensten die Startart für den Webverwaltungsdienst vom „Manuell“ auf „Automatisch“ umzustellen.

Dies ist nur eine Beschreibung wie man den Haken bei der ganzen Geschichte beseitigt, sollten Sie eine komplette Anleitung wünschen hinterlassen Sie doch bitte einen Kommentar oder schicken Sie mir eine e-Mail, dann schreibe ich den Rest auch noch dazu.