默认情况下,ASP.NET使用网络服务帐户,这是我应该在 生产环境 中使用ASP.NET的帐户吗?与ASP.NET使用的帐户相关的最佳实践是什么?
问候
编辑:如果这有任何区别,我将在Windows 2008服务器上使用ASP.NET
对于 生产环境 ,您应该创建一个仅具有最低权限的服务帐户,以便运行Web应用程序 .
Microsoft模式和实践团队提供以下指导:
How To: Create a Service Account for an ASP.NET 2.0 Application
你会得到很多“它取决于”的答案,但无论如何这里是我的2美分 .
考虑密码更改管理,通过妥协造成的潜在损害以及应用程序需求,例如:可信连接 .
在大多数情况下,网络服务在这些方面表现最佳 .
它没有密码,永不过期 - 无需更改管理
它不能在其他机器上用作交互式登录
它可用于可信连接和ACL通过凭证访问其他主机 <domain>\<machinename>$
<domain>\<machinename>$
当然,您的应用可能有不同的需求 - 但通常我们会尽可能使用网络服务 - 我们运行10,000台机器 .
除非你有其他需要 - 比如要求对SQL Server使用集成身份验证进行数据库连接 - 我会坚持使用默认帐户 . 它具有比许多其他帐户更少的权限,但启用了运行Web应用程序所需的权限 . 请注意:我们通常不会对网络服务帐户进行任何权限更改,并且通常会为每个 生产环境 应用程序(或一组相关应用程序)启动VM,而不是为每个服务器配置多个应用程序 . 如果您为每个服务器运行多个应用程序或由于其他原因更改网络服务帐户的权限,您可能需要考虑为每个应用程序使用单独的服务帐户 . 如果这样做,请确保此服务帐户具有运行ASP.NET应用程序和执行所需的任何其他任务所需的最少权限 .
您应该使用较低权限的帐户
1)为每个应用程序创建特定的用户帐户
2)创建在此帐户下运行的应用程序池
3)应将网站配置为在此应用程序池下运行 .
4)在SQL Server中,使用Windows身份验证并为此用户授予数据库权限 .
5)在连接字符串中使用此用户(即连接字符串中没有密码)
6)使用此用户根据需要为其他资源分配权限 .
5 回答
对于 生产环境 ,您应该创建一个仅具有最低权限的服务帐户,以便运行Web应用程序 .
Microsoft模式和实践团队提供以下指导:
How To: Create a Service Account for an ASP.NET 2.0 Application
你会得到很多“它取决于”的答案,但无论如何这里是我的2美分 .
考虑密码更改管理,通过妥协造成的潜在损害以及应用程序需求,例如:可信连接 .
在大多数情况下,网络服务在这些方面表现最佳 .
它没有密码,永不过期 - 无需更改管理
它不能在其他机器上用作交互式登录
它可用于可信连接和ACL通过凭证访问其他主机
<domain>\<machinename>$当然,您的应用可能有不同的需求 - 但通常我们会尽可能使用网络服务 - 我们运行10,000台机器 .
除非你有其他需要 - 比如要求对SQL Server使用集成身份验证进行数据库连接 - 我会坚持使用默认帐户 . 它具有比许多其他帐户更少的权限,但启用了运行Web应用程序所需的权限 . 请注意:我们通常不会对网络服务帐户进行任何权限更改,并且通常会为每个 生产环境 应用程序(或一组相关应用程序)启动VM,而不是为每个服务器配置多个应用程序 . 如果您为每个服务器运行多个应用程序或由于其他原因更改网络服务帐户的权限,您可能需要考虑为每个应用程序使用单独的服务帐户 . 如果这样做,请确保此服务帐户具有运行ASP.NET应用程序和执行所需的任何其他任务所需的最少权限 .
您应该使用较低权限的帐户
1)为每个应用程序创建特定的用户帐户
2)创建在此帐户下运行的应用程序池
3)应将网站配置为在此应用程序池下运行 .
4)在SQL Server中,使用Windows身份验证并为此用户授予数据库权限 .
5)在连接字符串中使用此用户(即连接字符串中没有密码)
6)使用此用户根据需要为其他资源分配权限 .