Como atribuir permissão do diretório ativo à identidade padrão do pool de aplicativos [IIS APPPOOL {nome do pool de aplicativos}]?
Estou tentando fazer isso para permitir que um aplicativo Web consulte grupos, usuários do Active Directory e verifique a existência de um nome de usuário ou nome de grupo específico.
Obrigado.
Respostas:
Você não Você pode conferir permissões a recursos locais para a identidade do IIS APPPOOL {nome do pool de aplicativos} para recursos locais por:
Como atribuir permissões à conta ApplicationPoolIdentity
No Active Directory, a identidade precisa ser uma entidade de segurança conhecida, uma entidade de segurança de usuário / grupo / computador real ou uma entidade de segurança estrangeira / confiável.
No entanto, se você usar a identidade do Serviço de Rede no IIS AppPool, o pool de aplicativos usará a conta da máquina do servidor IIS ao acessar os recursos de rede. Nesse caso, você pode conferir as permissões necessárias à conta do computador (domínio \ nome_do_computador $) no Active Directory.
http://www.iis.net/learn/manage/configuring-security/application-pool-identities
O que fiz no computador AD foi delegar o controle ao computador que está executando o IIS que hospeda o aplicativo. Eu deleguei apenas o tipo de permissão "modificar a associação ao grupo" (ou algo parecido) e fiz minha solução funcionar.
Eu tive uma reviravolta no meu aplicativo que obteve o IPrincipal do ADFS, então não usei a autenticação do Windows, mas, além disso, tudo funcionou bem.
Pena que o IISExpress não funciona da maneira que o IIS funciona, pois não é a primeira vez que tenho problemas ao ir para a produção.