none
creare utente IWAM o altri fuori dal dominio RRS feed

  • Domanda

  • Seguendo una guida alla configurazione di IIS per un nuovo sito, durante la guida viene suggerito di creare un utente specifico IWAM per quel sito invece di usare IWAM_NOMESERVER, ma avendo a che fare con Windows SBS 2003 premium R2 non riesco a definire un nuovo utente IWAM che non sia appartenente al dominio configurato. Infatti neanche in "gestione computer" appare la lista degli "utenti e gruppi locali", per cui vi chiedo: COME FACCIO A CREARE UN UTENTE FUORI DAL DOMINIO CON DIRITTI LIMITATISSIMI E APPARTENENTE AL GRUPPO DI PROTEZIONE IIS_WPG ????
    lunedì 7 marzo 2011 13:53

Risposte

  • Allora : SBS è un domain controller, e in quanto tale non permette di gestire gruppi "locali".

    Puoi creare il tuo nuovo utente per l'application pool, e inserirlo nel gruppo IIS_WPG il tutto a livello di dominio.

    Ovviamente dovrai dargli anche i permessi di esecuzione e lettura sulle cartelle del sito web.

    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/12a3d96c-65ea-4210-96ad-86a801f6a88c.mspx?mfr=true

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 15:16
  • Se l'utente "web_user" nuovo che andrai a creare non è inserito nel gruppo users o domain users, di per se non ha accessi.

    E' chiaro che, se sulle cartelle dai i permessi ad everyone, allora il problema c'è a prescindere da questo caso specifico.

    Ti basterebbe dare gli accessi solo ai domain users per migliorare il livello di sicurezza (da tutti i punti di vista).

    Il problema con gli utenti "locali" di SBS è il seguente : gli utenti locali vengono creati sul SAM, il database di sicurezza che ogni macchina ospita.

    Quanto sopra vale con l'esclusione dei Domain Controllers che, per motivi di sicurezza, non hanno un SAM attivo (altrimenti si creerebbe una seconda via d'accesso meno sicura di A.D.)

    Visto che SBS è un domain controller, non c'è utenza locale.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 8 marzo 2011 10:17

Tutte le risposte

  • Mi risulta un po' strano.

    Hai un riferimento per la guida di cui parliamo ?


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 14:15
  • Innanzitutto grazie per il tempestivo interessamento.

    il link in questione è una guida di VisivaGroup: http://www.visivagroup.it/showthread.php?t=10168&highlight=Server

    visto la mia scarsa conoscenza di IIS 6 ho letto per diversi mesi varie guide su come installare e configurare un nuovo sitoweb con SBS 2003 ma ho sempre e solo trovato guide per Windows Server 2003 ma non SBS (come anche la guida in questione).

    L'idea di creare un utente IWAM e un AppPool specifico per ciascun sitoweb mi è apparsa alquanto intelligente, solo che il mio server essendo SBS sembra non prevedere la creazione degli utenti non in dominio. Per cui vi chiedo, come si fa?

    Ringrazio in anticipo... :-)

    lunedì 7 marzo 2011 15:05
  • Allora : SBS è un domain controller, e in quanto tale non permette di gestire gruppi "locali".

    Puoi creare il tuo nuovo utente per l'application pool, e inserirlo nel gruppo IIS_WPG il tutto a livello di dominio.

    Ovviamente dovrai dargli anche i permessi di esecuzione e lettura sulle cartelle del sito web.

    http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/12a3d96c-65ea-4210-96ad-86a801f6a88c.mspx?mfr=true

     


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 7 marzo 2011 15:16
  • quindi, da quanto ho capito, SBS permette la creazione solo di utenti appartenenti al dominio. Al massimo posso creare un utente "User" senza casella exchange e appartenente al gruppo di protezione IIS_WPG ma resterà comunque appartenente al dominio...giusto?

    ma guardando le proprietà dell'utente IWAM_NOMESERVER e IUSR_NOMESERVER sembrano utenti non appartenenti al dominio, non riesco a crearne un'altro copiandolo?

    perchè il rischio di creare un utente IWAM appartente al dominio (anche se solo "user" e non "powerUser") è che può esplorare le cartelle condivise come un qualsiasi altro utente del dominio che utilizza i miei colleghi dai loro client. E poi, quando vorrò creare un utente speciale IUSR per autentificarsi per accedere ad un'area riservata (configurata come protezione di una cartella o file) come faccio? creo un'utente appartenente al dominio per ogni mio cliente?

    lunedì 7 marzo 2011 15:54
  • Se l'utente "web_user" nuovo che andrai a creare non è inserito nel gruppo users o domain users, di per se non ha accessi.

    E' chiaro che, se sulle cartelle dai i permessi ad everyone, allora il problema c'è a prescindere da questo caso specifico.

    Ti basterebbe dare gli accessi solo ai domain users per migliorare il livello di sicurezza (da tutti i punti di vista).

    Il problema con gli utenti "locali" di SBS è il seguente : gli utenti locali vengono creati sul SAM, il database di sicurezza che ogni macchina ospita.

    Quanto sopra vale con l'esclusione dei Domain Controllers che, per motivi di sicurezza, non hanno un SAM attivo (altrimenti si creerebbe una seconda via d'accesso meno sicura di A.D.)

    Visto che SBS è un domain controller, non c'è utenza locale.


    Fabrizio Volpe
    MVP Directory Services
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    martedì 8 marzo 2011 10:17
  • la guida che hai linkato parla infatti di win2k3 e non di sbs2k3 (che è una brutta bestia, imho).
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 11 marzo 2011 08:59
    Moderatore
  • Carissimo Edoardo...

    che piacere risentirti...io sono Marcello, il ragazzo al quale l'anno scorso hai aiutato a risolvere il problema del SINGLE LABEL DOMAIN per la sincronizzazione dei profili utenti...

    ora, visto che ti ho ritrovato, che ne pensi del mio problema? hai qualche link con guida per una corretta configurazione di SBS2003?

    mi sono reso conto che gli utenti IWAM_NOMESERVER e IUSR_NOMESERVER non hanno il suffisso @NOMEDOMINIO e non fanno parte degli utenti in SBSusers per cui domando, se esite in qualche modo si potrà creare un utente senza @NOMEDOMINIOWINDOWS ma come faccio?

    saluti

    Marcello

    martedì 15 marzo 2011 11:51
  • Carissimo Edoardo...

    che piacere risentirti...io sono Marcello, il ragazzo al quale l'anno scorso hai aiutato a risolvere il problema del SINGLE LABEL DOMAIN per la sincronizzazione dei profili utenti...

    mi fa molto piacere ritrovarti qui.

    ora, visto che ti ho ritrovato, che ne pensi del mio problema? hai qualche link con guida per una corretta configurazione di SBS2003?

    mi sono reso conto che gli utenti IWAM_NOMESERVER e IUSR_NOMESERVER non hanno il suffisso @NOMEDOMINIO e non fanno parte degli utenti in SBSusers per cui domando, se esite in qualche modo si potrà creare un utente senza @NOMEDOMINIOWINDOWS ma come faccio?

    non puoi creare un account fuori dominio in un sbs perchè sbs dev'essere per forza di cose domain controller per cui segui le indicazioni e i link che Fabrizio ti ha dato qui sopra.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 16 marzo 2011 13:47
    Moderatore