为 IIS 站点创建 Windows 用户，仅此而已

Posted 2023-02-19

【中文标题】为 IIS 站点创建 Windows 用户，仅此而已

【英文标题】：Create a Windows user for an IIS site and nothing else

【发布时间】：2019-10-03 23:25:12

【问题描述】：

我想在 IIS 中为网站添加基本身份验证，仅限 https。为此，我需要创建一个 Windows 用户。此用户只能访问本网站，这一点很重要。所以我需要在Local Computer Policy 中将他添加到Deny log on locally 和Deny log on through Remote Desktop Services。

但是我无法将他添加到Deny access to this computer from the network，或者他无法访问该网站。 Microsoft says关于这个权限：

可以通过网络登录设备的用户可以枚举帐户名、组名和共享资源的列表。

有权访问共享文件夹和文件的用户可以通过网络连接并可能查看或修改数据。

我可以做些什么来创建一个我可以 100% 确定只能访问该网站而绝对不能访问其他内容的用户？

【参考方案1】：

为了解决您对“拒绝从网络访问此计算机”政策的担忧，该政策不应禁止该帐户用于对网站进行身份验证，因为“从网络访问”不包括 HTTP/ S 协议和 WWW 服务。因此，您可以根据需要将基本身份验证用户帐户添加到“拒绝访问”策略中。

来源...

https://www.itprotoday.com/compute-engines/understanding-access-computer-network-user-right

“尽管名称听起来很宽泛，但“从网络访问此计算机”用户权限仅适用于服务器服务及其提供的资源。服务器服务主要提供对文件和打印机的远程访问，但也提供对您在 Microsoft 管理控制台 (MMC) 计算机管理管理单元中看到的资源的远程访问，包括事件日志、共享文件夹、本地用户和组、逻辑磁盘管理以及使用命名管道的应用程序。但是访问此计算机网络用户权限对万维网发布、Telnet 和终端服务等服务没有影响。要控制对这些服务的访问，您必须根据需要实施特定于每个服务的安全设置。"

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/access-this-computer-from-the-network

“从网络访问此计算机策略设置确定哪些用户可以从网络连接到设备。许多网络协议都需要此功能，包括基于服务器消息块 (SMB) 的协议， NetBios、通用 Internet 文件系统 (CIFS) 和 Component Object Model Plus (COM+)。”

希望这会有所帮助。

【讨论】：

我试过了，但是一旦用户被拒绝这个权限，它就不能再访问该网站了。

您能否确认在 IIS 身份验证设置下为您的站点禁用了“Windows 身份验证”？

我没有“Windows 身份验证”选项，估计没有安装。

【参考方案2】：

也许您应该使用其他帐户类型。用户帐户类型只能用于真人（以及有缺陷的应用程序）。

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/service-accounts

https://docs.microsoft.com/en-us/iis/manage/configuring-security/application-pool-identities

【讨论】：

前者似乎专门用于服务。对于后者，我看不到如何为身份提供密码，将其用于基本身份验证。

托管服务帐户可用于几乎所有类型的事情，包括计划任务和 IIS 应用程序池：hansstan.wordpress.com/2017/07/05/…

我无法从您的文章中弄清楚如何实际创建服务帐户，并将它们用于基本身份验证。给你赏金，因为它可能会起作用。

如果您需要更多信息，也许 docs.microsoft.com/en-us/previous-versions/windows/it-pro/… 或 docs.microsoft.com/en-us/powershell/module/addsadministration/… 可以帮助您。