আইআইএস অ্যাপপুলিডেন্টিটি এবং ফাইল সিস্টেমের লেখার অ্যাক্সেস অনুমতি

এখানে আইআইএস 7.5 এবং এএসপি.এনইটের একটি সমস্যা রয়েছে যা আমি গবেষণা করছি এবং এর সাথে কোথাও পাচ্ছি না। কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে।

আমার প্রশ্নটি হল: আইআইএস 7.5 এএসপি.এনইটি ব্যবহার করে, আইআইএস এবং / অথবা অপারেটিং সিস্টেম কীভাবে ওয়েব অ্যাপ্লিকেশনটিকে C:\dumpপুরো বিশ্বস্ততার অধীনে চলার মতো কোনও ফোল্ডারে লেখার অনুমতি দেয় ? অ্যাপ্লিকেশন পুল ব্যবহারকারীর (এই ক্ষেত্রে ApplicationPoolIdentity) স্পষ্টভাবে লেখার অ্যাক্সেস যুক্ত করার দরকার নেই এমনটি কীভাবে হয় ?

এটি আমি জানি:

• আইআইএস 7.5-এ, একটি অ্যাপ্লিকেশন পুলের ডিফল্ট পরিচয় ApplicationPoolIdentity।
• ApplicationPoolIdentity "IIS APPPOOL \ AppPoolName" নামক একটি উইন্ডোজ ব্যবহারকারী অ্যাকাউন্ট উপস্থাপন করে যা অ্যাপ্লিকেশন পুল তৈরি হওয়ার পরে তৈরি হয়, যেখানে অ্যাপপুলনাম অ্যাপ্লিকেশন পুলের নাম।
• "আইআইএস অ্যাপপ্লোল \ অ্যাপপুলনাম" ব্যবহারকারী ডিফল্টরূপে এই IIS_IUSRSগোষ্ঠীর সদস্য ।
• আপনি পূর্ণ ট্রাস্ট অধীনে চালান তাহলে আপনার ওয়েব অ্যাপ্লিকেশন (ব্যতীত ফোল্ডারের মত ফাইল সিস্টেম বেশিরভাগ এলাকায় লিখতে পারেন C:\Users, C:\Windowsইত্যাদি)। উদাহরণস্বরূপ, আপনার অ্যাপ্লিকেশনটিতে কিছু ফোল্ডার, যেমন, লিখতে অ্যাক্সেস থাকবে C:\dump।
• ডিফল্টরূপে, IIS_IUSRSগোষ্ঠীকে পাঠ্য বা লেখার অ্যাক্সেস দেওয়া হয় না C:\dump(উইন্ডোজ এক্সপ্লোরার "সুরক্ষা" ট্যাবের মাধ্যমে দৃশ্যমান যে অ্যাক্সেসটি অন্তত নেই)।
• আপনি যদি লেখার অ্যাক্সেস অস্বীকার IIS_IUSRSকরেন তবে ফোল্ডারে লেখার চেষ্টা করার সময় আপনি একটি সুরক্ষার ধারণা পাবেন (প্রত্যাশার মতো)।

সুতরাং, এই সমস্ত কিছু বিবেচনায় নিয়ে, কীভাবে "আইআইএস অ্যাপ্পল \ অ্যাপপুলনাম" ব্যবহারকারীকে লেখার অ্যাক্সেস দেওয়া হয়? W3wp.exe প্রক্রিয়াটি এই ব্যবহারকারী হিসাবে চলমান, সুতরাং এই ব্যবহারকারীকে এমন কোনও ফোল্ডারে লেখার অনুমতি দেয় যা এতে স্পষ্টভাবে অ্যাক্সেস বলে মনে হয় না?

দয়া করে মনে রাখবেন যে আমি বুঝতে পেরেছি এটি সম্ভবত সুবিধার জন্য করা হয়েছিল, যেহেতু আপনি যদি পুরো ট্রাস্টের অধীনে চলতে থাকেন তবে প্রতিটি ফোল্ডারে এটি লেখার প্রয়োজন হয় এমন প্রতিটি ফোল্ডারে একজন ব্যবহারকারীকে অ্যাক্সেস দেওয়ার পক্ষে ব্যথা হবে। আপনি যদি এই অ্যাক্সেসটিকে সীমাবদ্ধ করতে চান তবে আপনি সর্বদা মিডিয়াম ট্রাস্টের অধীনে অ্যাপ্লিকেশনটি চালাতে পারেন। অপারেটিং সিস্টেম এবং / অথবা আইআইএস যেভাবে এই লেখাগুলি সঞ্চালনের অনুমতি দেয় তা সন্ধান করতে আমি আগ্রহী, যদিও সেখানে কোনও স্পষ্ট ফাইল সিস্টেম অ্যাক্সেস দেওয়া হয়নি বলে মনে হয়।

ApplicationPoolIdentityসদস্যপদ নির্ধারিত হয় Usersগ্রুপ সেইসাথে IIS_IUSRSগ্রুপ। প্রথম নজরে এটি কিছুটা উদ্বেগজনক দেখাচ্ছে, তবে Usersগ্রুপটির কিছুটা এনটিএফএসের অধিকার সীমিত রয়েছে।

উদাহরণস্বরূপ, আপনি যদি চেষ্টা করে C:\Windowsফোল্ডারে কোনও ফোল্ডার তৈরি করেন তবে আপনি দেখতে পাবেন যে আপনি এটি করতে পারবেন না। ApplicationPoolIdentityউইন্ডোজের সিস্টেম ফোল্ডার থেকে ফাইল পড়তে সক্ষম হতে হবে (অন্যথায় কিভাবে অন্য কর্মী প্রক্রিয়ায় পরিবর্তনশীল অপরিহার্য ডিএলএল এর লোড করতে সক্ষম হবে)।

আপনার c:\dumpফোল্ডারে লিখতে সক্ষম হওয়া সম্পর্কে আপনার পর্যবেক্ষণগুলি সম্পর্কে । আপনি যদি উন্নত সুরক্ষা সেটিংসে অনুমতিগুলি একবার দেখে থাকেন তবে আপনি নিম্নলিখিতগুলি দেখতে পাবেন:

বিশেষ অনুমতিটি উত্তরাধিকার সূত্রে প্রাপ্ত হতে দেখুন c:\:

এই কারণেই আপনার সাইটের ফোল্ডারটি ApplicationPoolIdentityপড়তে এবং লিখতে পারে। এই অধিকারটি c:\ড্রাইভ থেকে উত্তরাধিকারসূত্রে প্রাপ্ত হচ্ছে ।

একটি ভাগ করা পরিবেশে যেখানে আপনার সম্ভবত বেশ কয়েকটি শতাধিক সাইট রয়েছে যার প্রত্যেকটির নিজস্ব অ্যাপ্লিকেশন পুল এবং অ্যাপ্লিকেশন পুল পরিচয় রয়েছে, আপনি সাইট ফোল্ডারগুলিকে এমন একটি ফোল্ডার বা ভলিউমে সংরক্ষণ করতে পারবেন যাতে Usersগ্রুপটি সরিয়ে দেওয়া হয়েছে এবং অনুমতিগুলি যেমন কেবল প্রশাসক এবং সিস্টেম অ্যাকাউন্টে অ্যাক্সেস রয়েছে (উত্তরাধিকার সহ)।

তারপরে আপনি পৃথকভাবে IIS AppPool\[name]এর সাইটের রুট ফোল্ডারে প্রতিটিের জন্য প্রয়োজনীয় অনুমতিগুলি নির্ধারণ করবেন ।

আপনারও নিশ্চিত হওয়া উচিত যে আপনি যেখানে সংবেদনশীল ফাইল বা ডেটা সঞ্চয় করবেন সেখানে যে কোনও ফোল্ডার তৈরি করবেন তা Usersগ্রুপ সরিয়ে ফেলেছে। আপনার এও নিশ্চিত হওয়া উচিত যে আপনি যে কোনও অ্যাপ্লিকেশন ইনস্টল করেছেন c:\program files\[app name]সেগুলি তাদের ফোল্ডারে সংবেদনশীল ডেটা সংরক্ষণ করবে না এবং পরিবর্তে তারা ব্যবহারকারীর প্রোফাইল ফোল্ডার ব্যবহার করবে।

সুতরাং হ্যাঁ, প্রথম নজরে দেখে মনে হচ্ছে ApplicationPoolIdentityএটির যত বেশি অধিকার রয়েছে তার চেয়ে বেশি, তবে এটির গোষ্ঠী সদস্যতার নির্দেশ অনুসারে এর কোনও অধিকার নেই।

ApplicationPoolIdentityসিসইন্টার্নালস প্রসেস এক্সপ্লোরার সরঞ্জামটি ব্যবহার করে একটি গ্রুপের সদস্যপদ পরীক্ষা করা যেতে পারে । আপনি আগ্রহী অ্যাপ্লিকেশন পুল পরিচয়ের সাথে চলমান কর্মী প্রক্রিয়াটি সন্ধান করুন (আপনাকে User Nameপ্রদর্শিত কলামগুলির তালিকায় কলামটি যুক্ত করতে হবে :

উদাহরণস্বরূপ, আমার এখানে একটি পুল 900300রয়েছে যার অ্যাপ্লিকেশন পুল পরিচয় রয়েছে IIS APPPOOL\900300। প্রক্রিয়াটির জন্য বৈশিষ্ট্যগুলিতে ডান ক্লিক করে এবং আমরা যে সুরক্ষা ট্যাবটি দেখি তা নির্বাচন করে:

যেমনটি আমরা দেখতে পাচ্ছি গ্রুপটির IIS APPPOOL\900300একজন সদস্য Users।

1. ফোল্ডারে রাইট ক্লিক করুন।

2. বৈশিষ্ট্য ক্লিক করুন

3. সুরক্ষা ট্যাবে ক্লিক করুন। আপনি এরকম কিছু দেখতে পাবেন:

4. উপরের স্ক্রিনে "সম্পাদনা ..." বোতামটি ক্লিক করুন। আপনি এরকম কিছু দেখতে পাবেন:

5. উপরের স্ক্রিনে "যুক্ত করুন ..." বোতামটি ক্লিক করুন। আপনি এরকম কিছু দেখতে পাবেন:

6. উপরের স্ক্রিনে "অবস্থানগুলি ..." বোতামটি ক্লিক করুন। আপনি এরকম কিছু দেখতে পাবেন। এখন, এই গাছের কাঠামোর একেবারে শীর্ষে যান এবং আপনার কম্পিউটারের নাম নির্বাচন করুন, তারপরে ওকে ক্লিক করুন।

7. এখন "iis apppool \ your_apppool_name" টাইপ করুন এবং "নাম পরীক্ষা করুন" বোতামটি ক্লিক করুন। যদি অ্যাপপুলটি বিদ্যমান থাকে তবে আপনি এতে পাঠ্যবক্সে আপনার অ্যাপপুলের নাম এতে আন্ডারলাইন সহ দেখতে পাবেন। ঠিক আছে বোতামটি ক্লিক করুন।

8. আপনার অ্যাকাউন্টে মঞ্জুরি দেওয়ার জন্য যা যা অ্যাক্সেস দরকার তা চেক / চেক করুন

9. প্রয়োগ বোতামটি ক্লিক করুন এবং তারপরে ঠিক আছে।

আইআইএস-এর প্রতিটি অ্যাপ্লিকেশন পুল সি: \ ব্যবহারকারীদের অধীনে ডিফল্টরূপে সম্পূর্ণ পঠন / লেখার অনুমতি দিয়ে নিজস্ব সুরক্ষিত ব্যবহারকারী ফোল্ডার তৈরি করে। আপনার ব্যবহারকারীদের ফোল্ডারটি খুলুন এবং দেখুন অ্যাপ্লিকেশন পুল ফোল্ডারগুলি সেখানে রয়েছে, ডান ক্লিক করুন এবং নির্ধারিত অ্যাপ্লিকেশন পুল ভার্চুয়াল অ্যাকাউন্টের জন্য তাদের অধিকারগুলি পরীক্ষা করুন। আপনার অ্যাপ্লিকেশন পুল অ্যাকাউন্টটি এর শিকড় এবং সাবফোল্ডারগুলিতে নির্ধারিত পাঠ / লেখার অ্যাক্সেসের সাথে ইতিমধ্যে যুক্ত হওয়া দেখতে পাবে।

সুতরাং এই ধরণের ফাইল স্টোরেজ অ্যাক্সেসটি স্বয়ংক্রিয়ভাবে সম্পন্ন হয়ে যায় এবং অ্যাপ্লিকেশন পুলের ব্যবহারকারী অ্যাকাউন্ট ফোল্ডারে কোনও পরিবর্তন না করে আপনি যা খুশি তাই লিখতে সক্ষম হন। এজন্য প্রতিটি অ্যাপ্লিকেশন পুলের জন্য ভার্চুয়াল ব্যবহারকারী অ্যাকাউন্ট তৈরি করা হয়েছিল।

আইআইএস ওয়েবসাইটে অ্যাক্সেসের সমস্যাগুলি ঠিক করার জন্য আমি এটি চেষ্টা করেছি, যা ইভেন্ট লগস → উইন্ডোজ → অ্যাপ্লিকেশনটিতে নিম্নলিখিতগুলির মতো প্রকাশিত হয়েছিল :

লগ নাম: আবেদন
সূত্র: এএসপি.এনইটি 4.0.30319.0
তারিখ: 1/5/2012 4:12:33 অপরাহ্ন
ইভেন্ট আইডি: 1314
কার্য বিভাগ: ওয়েব ইভেন্ট
স্তর: তথ্য
কীওয়ার্ড: ক্লাসিক
ব্যবহারকারী: এন / এ
কম্পিউটার: স্যালটিআইএস 01

বর্ণনা:
ইভেন্ট কোড: 4008 
ইভেন্ট বার্তা: অনুরোধের জন্য ফাইল অনুমোদন ব্যর্থ। 
ইভেন্টের সময়: 1/5/2012 4:12:33 অপরাহ্ন 
ইভেন্টের সময় (ইউটিসি): 1/6/2012 12:12:33 এএম 
ইভেন্ট আইডি: 349fcb2ec3c24b16a862f6eb9b23dd6c 
ইভেন্ট ক্রম: 7 
ইভেন্ট ঘটনা: 3 
ইভেন্ট বিশদ কোড: 0 

আবেদনের তথ্য: 
    আবেদনের ডোমেন: / এলএম / ডাব্লু 3 এসভিসি / 2 / রুট / অ্যাপ্লিকেশন / এসএনসিডিডাব্লু -19-129702818025409890 
    আস্থার স্তর: পূর্ণ 
    অ্যাপ্লিকেশন ভার্চুয়াল পাথ: / অ্যাপ্লিকেশন / SNCDW 
    অ্যাপ্লিকেশন পাথ: ডি: ites সাইটগুলি \ ডাব্লুসিএফ \ অ্যাপ্লিকেশন \ এসএনসিডিডাব্লু \ 
    যন্ত্রের নাম: SALTIIS01 

প্রক্রিয়ার তথ্য: 
    প্রক্রিয়া আইডি: 1896 
    প্রক্রিয়া নাম: w3wp.exe 
    অ্যাকাউন্টের নাম: iisservice 

অনুরোধ তথ্য: 
    ইউআরএল অনুরোধ করুন: http: //webservicestest/ প্রয়োগ //NNWW/PC.svc 
    অনুরোধের পথ: / প্রয়োগ / এসএনসিডিডাব্লু / পিসি.এসভিসি 
    ব্যবহারকারীর হোস্ট ঠিকানা: 10.60.16.79 
    ব্যবহারকারী: js3228 
    সত্যায়িত: সত্য 
    প্রমাণীকরণের ধরণ: আলোচনা করুন 
    থ্রেড অ্যাকাউন্টের নাম: iisservice 

শেষ পর্যন্ত আমাকে উইন্ডোজ Everyoneগ্রুপটি সঠিকভাবে কাজ করার জন্য সেই ফোল্ডারে অ্যাক্সেস দিতে হয়েছিল ।