远程管理行为矩阵
介绍
本文档介绍 IIS 管理器远程管理的方案矩阵以及每个方案的运行时行为。 它有助于了解不同的管理方案和故障排除问题 (401)。
通过 IIS UI 进行远程管理的先决条件是在服务器计算机上启动远程管理服务 (WMSVC)。 一篇很好的相关文章是 IIS 管理器的远程管理。
一般经验规则,这些规则对矩阵中的每个项都有效:
Redirection.config、applicationHost.config 和 administration.config 始终被读取(即使是网站和应用连接)。
Redirection.config 始终使用运行服务 WMSVC 的身份(默认情况下:NT Service\WMSVC)读取。
如果在 Redirection.config 中启用了 configurationRedirection,则:
- 服务器配置文件(applicationHost.config、administration.config)始终使用 redirection.config 中指定的用户名和密码进行读取
如果禁用 configurationRedirection,则:
- 服务器配置文件(applicationHost.config、administration.config)始终使用运行 WMSVC 的身份(默认为 NT Service\WMSVC)读取
尝试读取 root web.config(ASP.NET applicationHost.config 的对应项)时,UI 不执行任何特殊操作
远程管理行为矩阵
连接身份: | Windows 管理员 | Windows 用户 | IIS 管理器用户 |
---|---|---|---|
默认体验 | 服务器连接: - 在写入服务器配置文件(applicationHost.config、administration.config 和根 web.config)时,UI 模拟为 Windows 管理员 | 服务器连接: - N/A | 服务器连接: - N/A |
网站连接: - 在从网站 web.config 读取和写入时,UI 模拟为 Windows 管理员 | 网站连接: - 在从网站 web.config 读取和写入时,UI 模拟为 Windows 用户 | 网站连接: - 在从网站 web.config 文件读取和写入时使用运行 WMSVC 的身份 (NT Service\WMSVC) | |
应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 | |
UNC 上的网站或应用 | 服务器连接: - 在写入服务器配置文件(applicationHost.config、administration.config 和根 web.config)时,UI 模拟为 Windows 管理员 | 服务器连接: - N/A | 服务器连接: - N/A |
网站连接: - 如果为 UNC 共享指定了 UNC 凭据,则 UI 将使用这些 UNC 凭据读取网站的 web.config 文件,并以 Windows 管理员身份写入 - 如果没有为 UNC 共享指定 UNC 凭据,则 UI 将以 Windows 管理员身份读取和写入网站的 web.config 文件 | 网站连接: - 如果为 UNC 共享指定了 UNC 凭据,则 UI 将使用这些 UNC 凭据读取网站的 web.config 文件,并以 Windows 用户身份写入 - 如果没有为 UNC 共享指定 UNC 凭据,则 UI 将以 Windows 用户身份读取和写入网站的 web.config 文件 | 网站连接: - 如果为 UNC 共享指定了 UNC 凭据,则 UI 将使用这些 UNC 凭据读取网站 Web.config 文件,并使用运行 WMSVC 的身份 (NT Service\WMSVC) 进行写入 - 如果没有为 UNC 共享指定 UNC 凭据,则 UI 将使用运行 WMSVC 的身份 (NT Service\WMSVC) 读取和写入网站 web.config *请参阅以下说明 | |
应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 *请参阅以下说明 | |
配置重定向在以下 Redirection.Config 配置文件中启用:applicationHost.config administration.config | 服务器连接: - 使用 redirection.config 中指定的用户名和密码读取服务器文件 - 在写入服务器配置文件(applicationHost.config、administration.config 和 root web.config)时,UI 将模拟为 Windows 管理员 | 服务器连接: - N/A | 服务器连接: - N/A |
网站连接: - 在从网站 web.config 读取和写入时,UI 模拟为 Windows 管理员 | 网站连接: - 在从网站 web.config 读取和写入时,UI 模拟为 Windows 用户 | 网站连接: - 在从网站 Config 读取和写入时以运行 WMSVC 的身份 (NT Service\WMSVC) 进行 | |
应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 | 应用连接: - 与网站连接相同 |
注意
如果 NT Service\WMSVC 不具有 UNC 共享的权限(即另一台计算机上的 UNC 共享的情况)(WMSVC 在本地计算机领域之外没有任何意义),请将 Web 管理服务 (services.msc) 的身份更新为有权访问服务器和 UNC 共享的域用户。
重要
请勿使用网络服务身份 - 这构成了潜在的安全风险,因为这是运行 ASP.NET 应用程序所使用的身份。 如果将 ACL 用于此帐户,则会允许任何人通过 aspx 页面访问内容/配置。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈