Привет всем!

Есть домен, в нем есть веб-сервер (IIS 7.5) и сервер баз данных (MS SQL 2014).
На сервере баз данных разрешена только Windows Authentication.
Имеется доменный акаунт для доступа к субд.
Чтобы веб-приложение ходило в базу, получается, нужно сделать так, чтобы AppPool
работал из-под этого самого акаунта.
Но на веб-сервере у этого акаунта никаких прав нет.

Как сделать так, чтобы на веб-сервере у акаунта было прав как у стандартного
ApplicationPoolIdentity ну или как у NETWORK SERVICE?

Спасибо.

Здравствуйте, SergASh, Вы писали:

SAS>Чтобы веб-приложение ходило в базу, получается, нужно сделать так, чтобы AppPool
SAS>работал из-под этого самого акаунта.

Не-не-не. Это в БД надо дать доступ AppPool. А по-хорошему нужен отдельный дб-юзер.

Здравствуйте, SergASh, Вы писали:

SAS>Как сделать так, чтобы на веб-сервере у акаунта было прав как у стандартного
SAS>ApplicationPoolIdentity ну или как у NETWORK SERVICE?

SAS>Спасибо.
Нужно добавить этот аккаунт в группу IIS_IUSRS на веб-сервере.
Подробнее тут: https://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

Здравствуйте, vmpire, Вы писали:

SAS>>Как сделать так, чтобы на веб-сервере у акаунта было прав как у стандартного
SAS>>ApplicationPoolIdentity ну или как у NETWORK SERVICE?

SAS>>Спасибо.
V>Нужно добавить этот аккаунт в группу IIS_IUSRS на веб-сервере.
V>Подробнее тут: https://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis
Поправка: это нужно только если <processModel manualGroupMembership="true" />
Если false — то IIS всё сделает сам, ничего специально на веб сервере делать не надо.

Здравствуйте, _Raz_, Вы писали:

_R_>Не-не-не. Это в БД надо дать доступ AppPool. А по-хорошему нужен отдельный дб-юзер.

Так этот акаунт, про который я говорил, и есть дб-юзер, админ домена его мне выдал исключительно для доступа к БД

Здравствуйте, vmpire, Вы писали:

V>Нужно добавить этот аккаунт в группу IIS_IUSRS на веб-сервере.
V>Подробнее тут: https://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

После добавления аккаунта в группу IIS_IUSRS сайт все равно не заводится. Пишет вот что:

Description: The application attempted to perform an operation not allowed by the security policy.  
             To grant this application the required permission please contact your system administrator 
             or change the application's trust level in the configuration file. 
Exception Details: System.Security.SecurityException: Request for the permission of type 
                   'System.Web.AspNetHostingPermission, System, Version=2.0.0.0, Culture=neutral' failed.

Что бы это могло означать?

Здравствуйте, SergASh, Вы писали:

SAS>После добавления аккаунта в группу IIS_IUSRS сайт все равно не заводится. Пишет вот что:
SAS>

SAS>Description: The application attempted to perform an operation not allowed by the security policy.  
SAS>             To grant this application the required permission please contact your system administrator 
SAS>             or change the application's trust level in the configuration file. 
SAS>Exception Details: System.Security.SecurityException: Request for the permission of type 
SAS>                   'System.Web.AspNetHostingPermission, System, Version=2.0.0.0, Culture=neutral' failed.
SAS>

SAS>Что бы это могло означать?
Application pool сконфигурирован для правильной версии .NET?

Здравствуйте, vmpire, Вы писали:

V>Application pool сконфигурирован для правильной версии .NET?

Был сконфигурирован правильный, второй, потому что система написана на MSVS 2008 / .NET 3.5. Для очистки совести
переставил пул на четвертый. Конечно же ничего не заработало. Вернул назад на второй и — о чудо! — все работает.
Не знаю что цензурного сказать...