Matrice de comportement d’administration à distance
par Nitasha Verma
Introduction
Ce document contient la matrice des scénarios d’administration à distance pour le Gestionnaire IIS et le comportement d’exécution de chacun d’eux. Il permet de comprendre les différents scénarios d’administration et de résoudre les problèmes (401).
Un prérequis pour l’administration à distance via l’interface utilisateur IIS est le démarrage du service d’administration à distance (WMSVC) sur le serveur. L’article approprié pour plus d’informations à ce sujet est Administration à distance pour le Gestionnaire IIS.
Règles générales valides pour chaque élément de la matrice :
Redirection.config, applicationHost.config et administration.config sont toujours lus (même pour les connexions de site et d’application).
Redirection.config est toujours lu à l’aide de l’identité dans laquelle le service WMSVC s’exécute (par défaut : NT Service\WMSVC).
Si configurationRedirection est activé dans Redirection.config, alors :
- Les fichiers de configuration du serveur (applicationHost.config, administration.config) sont toujours lus à l’aide du nom d’utilisateur et du mot de passe spécifiés dans redirection.config
Si configurationRedirection est désactivé, alors :
- Les fichiers de configuration du serveur (applicationHost.config, administration.config) sont toujours lus à l’aide de l’identité dans laquelle WMSVC s’exécute (NT Service\WMSVC par défaut).
L’interface utilisateur ne fait rien de spécial lors d’une tentative de lecture du fichier web.config racine, l’équivalent ASP.NET d’applicationHost.config.
Matrice de comportement d’administration à distance
Connexion en tant que : | Administrateur de Windows | Utilisateur Windows | Utilisateur du Gestionnaire IIS |
---|---|---|---|
Expérience par défaut | Connexion serveur : L’interface utilisateur emprunte l’identité de l’administrateur Windows lors de l’écriture dans les fichiers de configuration du serveur (applicationHost.config, administration.config et web.config racine). | Connexion serveur : Non applicable | Connexion serveur : Non applicable |
Connexion de site : L’interface utilisateur emprunte l’identité de l’administrateur Windows lors de la lecture et de l’écriture dans le fichier web.config du site. | Connexion de site : L’interface utilisateur emprunte l’identité de l’utilisateur Windows lors de la lecture et de l’écriture dans le fichier web.config du site. | Connexion de site : Le fichier web.config du site est lu et écrit à l’aide de l’identité dans laquelle WMSVC s’exécute (NT Service\WMSVC). | |
Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site | |
Site ou application sur UNC | Connexion serveur : L’interface utilisateur emprunte l’identité de l’administrateur Windows lors de l’écriture dans les fichiers de configuration du serveur (applicationHost.config, administration.config et web.config racine). | Connexion serveur : Non applicable | Connexion serveur : Non applicable |
Connexion de site : – Si les informations d’identification UNC sont spécifiées pour le partage UNC, l’interface utilisateur lit le fichier web.config du site à l’aide de ces informations d’identification UNC et écrit en tant qu’administrateur Windows. – Si les informations d’identification UNC ne sont pas spécifiées pour le partage UNC, l’interface utilisateur lit et écrit dans le fichier web.config du site en tant qu’administrateur Windows. | Connexion de site : – Si les informations d’identification UNC sont spécifiées pour le partage UNC, l’interface utilisateur lit le fichier web.config du site à l’aide de ces informations d’identification UNC et écrit en tant qu’utilisateur Windows. – Si les informations d’identification UNC ne sont pas spécifiées pour le partage UNC, l’interface utilisateur lit et écrit dans le fichier web.config du site en tant qu’utilisateur Windows. | Connexion de site : – Si les informations d’identification UNC sont spécifiées pour le partage UNC, L’interface utilisateur lit le fichier web.config du site à l’aide de ces informations d’identification UNC et écrit à l’aide de l’identité dans laquelle WMSVC s’exécute (NT Service\WMSVC). – Si les informations d’identification UNC ne sont pas spécifiées pour le partage UNC, l’interface utilisateur lit et écrit dans le fichier web.config du site à l’aide de l’identité dans laquelle WMSVC s’exécute (NT Service\WMSVC). *Voir la remarque ci-dessous. | |
Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site *Voir la remarque ci-dessous. | |
La redirection de la configuration est activée dans les fichiers de configuration Redirection.Config : applicationHost.config et administration.config. | Connexion serveur : – Les fichiers serveur sont lus à l’aide du nom d’utilisateur et du mot de passe spécifiés dans redirection.config. – L’interface utilisateur emprunte l’identité de l’administrateur Windows lors de l’écriture dans les fichiers de configuration du serveur (applicationHost.config, administration.config et web.config racine). | Connexion serveur : Non applicable | Connexion serveur : Non applicable |
Connexion de site : L’interface utilisateur emprunte l’identité de l’administrateur Windows lors de la lecture et de l’écriture dans le fichier web.config du site. | Connexion de site : L’interface utilisateur emprunte l’identité de l’utilisateur Windows lors de la lecture et de l’écriture dans le fichier web.config du site. | Connexion de site : La configuration du site est lue et écrite à l’aide de l’identité dans laquelle WMSVC s’exécute (NT Service\WMSVC). | |
Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site | Connexion d’application : Identique à la connexion de site |
Remarque
Si NT Service\WMSVC n’a pas d’autorisations pour le partage UNC, ce qui sera le cas pour les partages UNC situés sur un autre ordinateur (WMSVC ne signifie rien en dehors du domaine d’une machine locale), mettez à jour l’identité du Service de gestion Web (services.msc) pour devenir un utilisateur de domaine qui a accès au serveur ainsi qu’au partage UNC.
Important
N’utilisez pas d’identité de service réseau : cela représente un risque pour la sécurité, car il s’agit de l’identité sous laquelle les applications ASP.NET s’exécutent. Si vous utilisez des listes de contrôle d’accès pour ce compte, vous rendez votre contenu/configuration accessible à toute personne par le biais d’une page aspx.