Матрица поведения удаленного администрирования
Введение
Этот документ содержит матрицу сценариев удаленного администрирования для диспетчера IIS и поведение среды выполнения для каждого из них. Это помогает понять различные сценарии администрирования и устранить неполадки (401s).
Предварительным условием для удаленного администрирования через пользовательский интерфейс IIS является запуск службы удаленного администрирования (WMSVC) на серверном компьютере. Хорошей статьей для этих сведений является удаленное администрирование для диспетчера IIS.
Общие правила для большого пальца, допустимые для каждого элемента в матрице:
Redirection.config, applicationHost.config и administration.config всегда считываются (даже для подключений к сайтам и приложениям).
Redirection.config всегда считывается с помощью удостоверения, в котором выполняется служба WMSVC (по умолчанию: NT Service\WMSVC).
Если configurationRedirection включено в Redirection.config, выполните приведенные далее действия.
- Файлы конфигурации сервера (applicationHost.config, administration.config) всегда считываются с использованием имени пользователя и пароля, указанных в redirection.config
Если configurationRedirection отключен, выполните приведенные далее действия.
- Файлы конфигурации сервера (applicationHost.config, administration.config) всегда считываются с помощью удостоверения, в котором выполняется WMSVC (служба NT\WMSVC по умолчанию).
Пользовательский интерфейс не делает ничего особенного при попытке чтения корневого web.config, ASP.NET аналога applicationHost.config
Матрица поведения удаленного администрирования
| Подключиться как: | Администратор Windows | Пользователь Windows | Пользователь диспетчера СЛУЖБ IIS |
|---|---|---|---|
| Интерфейс по умолчанию | Подключение к серверу. Пользовательский интерфейс олицетворяет себя администратором Windows при записи в файлы конфигурации сервера (applicationHost.config, administration.config и корневые web.config). | Подключение к серверу: - Н/Д | Подключение к серверу: - Н/Д |
| Подключение к сайту: пользовательский интерфейс олицетворяет себя как администратор Windows при чтении и записи в web.config сайта | Подключение к сайту: пользовательский интерфейс олицетворяет пользователя Windows при чтении и записи в web.config сайта. | Подключение к сайту: web.config файл сайта считывается из и записывается в с помощью удостоверения, в котором выполняется WMSVC (NT Service\WMSVC). | |
| Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: совпадает с подключением к сайту. | |
| Сайт или приложение в UNC | Подключение к серверу: пользовательский интерфейс олицетворяет себя администратором Windows при записи в файлы конфигурации сервера (applicationHost.config, administration.config и корневые web.config). | Подключение к серверу: - Н/Д | Подключение к серверу: - Н/Д |
| Подключение к сайту. Если для общей папки UNC указаны учетные данные UNC, пользовательский интерфейс считывает файл web.config сайта с помощью этих учетных данных UNC и записывает данные от имени администратора Windows. Если учетные данные UNC не указаны для unc-ресурса, пользовательский интерфейс будет считывать и записывать в файл web.config сайта от имени администратора Windows. | Подключение к сайту. Если для общей папки UNC указаны учетные данные UNC, пользовательский интерфейс считывает файл web.config сайта с помощью этих учетных данных UNC и записывает данные от имени пользователя Windows. Если учетные данные UNC не указаны для общей папки UNC, пользовательский интерфейс будет считывать и записывать в файл web.config сайта от имени пользователя Windows. | Подключение к сайту. Если для общей папки UNC указаны учетные данные UNC, пользовательский интерфейс считывает файл web.config сайта с использованием этих учетных данных UNC и записывает данные с помощью удостоверения, в котором выполняется WMSVC (NT Service\WMSVC). Если учетные данные UNC не указаны для общей папки UNC, пользовательский интерфейс будет считывать и записывать данные из web.config сайта с помощью удостоверения, в котором выполняется WMSVC (NT Service\WMSVC) *см. примечание ниже | |
| Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: — то же, что и подключение к сайту * см. примечание ниже | |
| Перенаправление конфигурации включено в файлах конфигурации Redirection.Config: applicationHost.config administration.config | Подключение к серверу. Серверные файлы считываются с использованием имени пользователя и пароля, указанных в redirection.config — пользовательский интерфейс олицетворяет себя как администратор Windows при записи в файлы конфигурации сервера (applicationHost.config, administration.config и корневые web.config). | Подключение к серверу: - Н/Д | Подключение к серверу: - Н/Д |
| Подключение к сайту: пользовательский интерфейс олицетворяет себя как администратор Windows при чтении и записи в web.config сайта | Подключение к сайту: пользовательский интерфейс олицетворяет пользователя Windows при чтении и записи в web.config сайта. | Подключение к сайту: конфигурация сайта считывается из и записывается в как удостоверение, в котором выполняется WMSVC (NT Service\WMSVC). | |
| Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: совпадает с подключением к сайту. | Подключение к приложению: совпадает с подключением к сайту. |
Примечание
Если NT Service\WMSVC не имеет разрешений на общий ресурс UNC, что будет иметь значение для общих папок UNC на другом компьютере (WMSVC не означает ничего за пределами области локального компьютера), обновите удостоверение веб-службы управления (services.msc), чтобы он был пользователем домена, который имеет доступ к серверу, а также к UNC-ресурсу.
Важно!
Не используйте удостоверение сетевой службы. Это может быть угрозой безопасности, так как это удостоверение, под которым ASP.NET запускаются приложения. Если вы используете списки ACL для этой учетной записи, вы откроете содержимое или конфигурацию, чтобы любой пользователь мог получить доступ через aspx-страницу.