Benutzer und Gruppenberechtigungen in Rechtelisten austauschen
Wenn Sie z.B. einen Benutzer in einer Domäne löschen und in einer anderen neu erstellen ist das ja nicht mehr derselbe Benutzer, trotzdem er vielleicht den gleichen Namen hat. Das hat natürlich auch Auswirkungen auf die ACL (Access Control Lists, die sich in DACL und SACL aufteilen). Nun möchten Sie Beispielsweise auf einer Freigabe, dass der Benutzer weiterhin zugreifen kann. Insbesondere bei NTFS kann das recht mühsam werden. Nicht mit SubInACL.exe, dass Sie bei Microsoft herunterladen können. Damit können Sie einfach ein Benutzer- oder Gruppenkonto aus der Rechteliste einer Verzeichnisstruktur gegen ein anderes austauschen lassen, ohne dabei die bestehende Rechteliste zu zerschießen. Nur da eine Konto wird gegen ein anderes ausgetauscht.
Was ist beim IIS 7.5 unter Server 2008 R2 die Application Pool Identität?
Unter IIS 7 bei Windows Server 2008 ist die Standardidentität unter welcher der Workerprocess (w3wp.exe) ausgeführt wird der Netzwerkdienst. Die Identität des Workerprocess wird am Applicationpool bzw. zu Deutsch Anwendungspool eingestellt. Bei IIS 7.5 unter Windows Server 2008 R2 ist dies standardmäßig die Identität ApplicationPoolIdentity.
Diese Einstellung ist noch sicherer als Netzwerkdienst, aber auch etwas problematischer. Denn wie gebe ich dieser Identität Berechtigungen auf die Dateien? Diese Identitäten werden nämlich erst beim starten des jeweiligen Applicationpools von WAS erzeugt und dies wiederum passiert nur, wenn ein Benutzer auf die Website/Anwendung zugreift. Zudem werden die Identitäten immer wieder neu generiert und tauchen weder im AD noch in der lokalen Benutzerverwaltung auf.
Um der ApplicationPoolIdentity Berechtigungen am Dateisystem zu geben müssen Sie zunächst wie gewohnt vorgehen, wenn Sie dann den Benutzer/Gruppe auswählen möchten müssen Sie unter Pfad den lokalen Computer angeben (nicht AD) und dann „IIS APPPOOL\DefaultAppPool“ eintippen, da die Benutzer in der grafischen Auswahl nicht angezeigt werden. Je nachdem um welchen ApplicationPool es sich handelt müssen Sie natürlich „DefaultAppPool“ durch den Namen Ihrer selbst erstellen Applicationpools austauschen.
Wie man mit IIS eigenen Benutzern im IIS 7 und 7.5 die Remoteverwaltung konfiguriert
Ab IIS 7 unter Windows Server 2008 und R2 (IIS 7.5) hat man die Möglichkeit im IIS selbst Benutzer anzulegen um ihnen die Remoteverwaltung zu ermöglichen, statt auf lokale Benutzerkonten oder Konten aus dem Active Directory zurück zu greifen.
Da IIS 7 seine Konfiguration der Websites in der Datei web.config hinterlegt stellt die Remoteverwaltung ein kleines Problem dar. Wem gebe ich die Berechtigungen auf die Datei web.config, damit ein IIS Benutzer die Konfiguration ändern kann, denn die IIS Benutzer werden ja bei der NTFS-Rechtevergabe nicht angezeigt. Dort sieht man nur die Benutzer aus dem AD und die lokalen Benutzerkonten. Um den Benutzer des IIS Ändern Berechtigung auf die jeweilige web.config zu geben muss man dem Dienst die Berechtigung Ändern geben. Somit ist es mit NTFS-Berechtigungen nicht möglich für die verschiedenen IIS-Benutzer unterschiedliche NTFS-Berechtigungen einzuräumen. Um den Dienst zu autorisieren müssen sie den lokalen Computer (nicht AD) bei der Rechtevergabe auswählen und „NT Service\WMSvc“ eintippen (Anklicken/Auswählen ist nicht, weil es ja keine lokalen Benutzer sind und Dienstekonten auch nicht gelistet werden!) und auf „OK“ klicken. Anschliessend sehen Sie WMSvc in der Rechteliste. Nun können Sie die Berechtigungen auf „Ändern“ wie gewohnt erweitern. Ab nun sollten Sie von einem anderen Server aus die Verbindung mit der IIS-Verwaltungskonsole unter dem erstellen Benutzerkonto herstellen können und auch Einstellungen vornehmen können.
Ein weiterer Stolperstein ist, dass der Webverwaltungsdienst zwar aktiviert wird, aber nach dem Reboot nicht automatisch neu startet. Also ist unter Diensten die Startart für den Webverwaltungsdienst vom „Manuell“ auf „Automatisch“ umzustellen.
Dies ist nur eine Beschreibung wie man den Haken bei der ganzen Geschichte beseitigt, sollten Sie eine komplette Anleitung wünschen hinterlassen Sie doch bitte einen Kommentar oder schicken Sie mir eine e-Mail, dann schreibe ich den Rest auch noch dazu.