pipe理其他应用程序池所需的应用程序池标识有哪些权限?

我有一个网站(用于pipe理我们软件的各个部分),需要启动/停止其他应用程序池所需的权限

我创build了一个用户并将应用程序池标识设置为自定义,但是该Web应用程序仍然无法启动/停止应用程序池。 我得到以下错误:

System.UnauthorizedAccessException: Filename: redirection.config Error: Cannot read configuration file due to insufficient permissions at Microsoft.Web.Administration.Interop.AppHostWritableAdminManager.GetAdminSection(String bstrSectionName, String bstrSectionPath) at Microsoft.Web.Administration.Configuration.GetSectionInternal(ConfigurationSection section, String sectionPath, String locationPath) at Microsoft.Web.Administration.ServerManager.get_ApplicationPoolsSection() at Microsoft.Web.Administration.ServerManager.get_ApplicationPools() 

这里的讨论build议将应用程序池设置为本地系统或pipe理员,这是行不通的,但我不想这样做是出于安全原因(外部支持将需要访问此网站)。

我确实给了用户更高的权限( 如这里所build议的那样 ),首先将其设置为本地pipe理员组的一部分,但最初这不起作用,并且赋予用户对C:\ Windows \ System32 \ inetsrv \ config也没有工作。 现在当地的pipe理员工作时,我一定做错了,但这仍然不是我想要的。

所以任何人都可以build议我需要添加到这个用户的权限,我怎样才能应用它们?

一个答案我的问题(但不同的问题) 在这里 ,但澄清,我认为我需要给个人用户“IIS运行时操作权限”,有没有人知道如何做到这一点,如果确实这是我所要求的权限?

如果您正在尝试的是允许他们说出回收应用程序池或执行任何运行时操作(启动,停止,查询状态等),那么您需要成为pipe理员组的一部分。 这是因为RSCA API受保护只允许pipe理员组的成员。

正如在链接问题中所build议的,ACLconfiguration文件(和目录,甚至是encryption密钥)能够读/写configuration,但是为了允许运行时访问,您需要修改我们的RSCA api的DCOM权限。

我可能会反而build议也许你在运行你需要的代码之前,只需要模拟一个pipe理员帐户就可以保护你网站中需要的操作。 您还可以考虑实施Gatekeeper模式,其中高度特权的操作仅在以pipe理员身份运行的一个应用程序中暴露,并且其中一个受保护只能从已知和有限的IP地址访问,并且要求强authentication,并且从其他pipe理现场。