QA@IT

IISワーカープロセス実行アカウントユーザでのサービス実行について

15780 PV

IISのverUP(6.0→8.5)に伴い、
IISワーカープロセスの実行アカウント(アプリケーションプールID)を
ビルドインドメイン(NETWORKSERVICE)からMS推奨のIIS8.5デフォルト設定のapplicationpoolidentity(IIS AppPool\DefaultAppPool)に変更しました。

IIS6.0環境でビルドインアカウント(NETWORKSERVICE)で動かしていた、windowsサービスについて、IISのワーカープロセスと同様にapplicationpoolidentity(IIS AppPool\DefaultAppPool)に変える必要が出てきました。

しかしながら現状、対象サービスのプロパティでログオンタブのアカウント欄にIIS AppPool\DefaultAppPoolを入力してもエラー※1で弾かれている状態です。

アプリケーションプールIDをビルドインドメインに戻す以外はIISの実行アカウントユーザとサービスユーザを一致※2させる方法はないのでしょうか。

※2
一致の観点としては、各種権限が同一であれば見た目上別名になっても問題ございません。(ディレクトリへのアクセス、レジストリの読み込み、ファイル書き込み許可設定等をDefaultAppPoolをしているため。)

【参考にしたサイト】
http://awoni.net/tips/iis_acl/
http://blog.shibayan.jp/entry/20150127/1422369253. 
http://www.atmarkit.co.jp/ait/spv/0905/08/news095.html

4月30日追記(エラー内容について明記しました)

※1
エラーポップアップ(ユーザの選択)
次の名前のオフジェクト(ユーザーまたはビルドイン セキュリティ プリンシパル)が見つかりません:"IIS AppPool\DefaultAppPool"。
選択したオフジェクトの種類と場所が正確で、
オフジェクト名が正しく入力されていることを確認してください。または選択した項目からこのオブジェクトを削除してください。

回答

どういうエラーか書いてないので(ちゃんと書いてくださいね)はっきりしませんが、そういうケースは大体ワーカープロセスに適切な権限が与えられていないから・・・ということは認識されているのですよね。

IIS_IUSRS 組み込みグループに必要な権限を与えたらどうなりますか?

IIS_IUSRS が何かは以下のページを見てください。"ワーカー プロセスのトークンに対して実行時に IIS_IUSRS メンバーシップが自動的に追加されるようになりました" というところがポイントです。

IIS 7.0 での組み込みユーザーとグループ アカウントとは
https://technet.microsoft.com/ja-jp/library/dd939094.aspx

編集 履歴 (0)
  • >エラー内容
    記載が漏れておりました。質問欄に追記しております。

    >ご提示いただいたURL
    IIS_USRSグループとIUSR アカウントとアプリケーションプールIDの関連性が見えていないため何を準備しないといけないかが不透明になっています。読み深めてみます。
    -
  • 不明点がありましたら質問してください。 -
  • リンクのアカウントやグループに関する知識はこれはこれで重要ですので理解しておくことをおすすめしますが、今回のエラーとは関係ありません。あくまで、ASP.NETなどIIS側の動作の話です。他のサービスのアカウントとして設定できないのは別で書きましたが仮想アカウントだからです。 -

アプリケーションプールIDは仮想アカウントなので、サービスのアカウントには設定できない気がします。
専用にグループを作成して双方を追加するか、両方専用のアカウントにするか、くらいになる気がします。

編集 履歴 (0)
  • グループ追加は普通にできたんだったかな?それもちょっといまいち覚えてないですね…
    アプリケーションプールIDが推奨な理由は、他のサービスやアプリケーションプール単位でアカウントを独立させることですので、専用のアカウントを作成するのであればそれでいいんじゃないかとは思いますが。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。