2013-06-24 3 views
2

У меня есть веб-приложение, которое работает в IIS AppPool под учетной записью NT AUTHORITY\NETWORK SERVICE. WebApp подключается к SQL Server 2008 R2 db с Integrated Security = True;Как управлять разрешениями базы данных для веб-сайта, работающего под NETWORK SERVICE?

Когда я запускаю SQL Profiler, при работе с сайтом, я могу видеть его с помощью NT AUTHORITY\NETWORK SERVICE.

Но я не вижу соответствующего входа в разделе Безопасность> Логины.

Мои вопросы:

  • К какому SQL Server Войти, NT AUTHORITY\NETWORK SERVICE отображается к?
  • Как управлять разрешениями для NETWORK SERVICE?
  • Является ли хорошей практикой снижение разрешений для учетной записи NETWORK SERVICE в SQL SERVER?

ответ

1

Служба NT AUTHORITY \ NETWORK не отображена на сервере Sql. Вы должны сделать это сами. Сетевая служба олицетворяет учетную запись компьютера при попытке подключения к автономному ресурсу. Предоставление разрешений для DOMAIN \ Servername $ обычно работает.

После создания сопоставления сервера Sql вы управляете разрешениями, как и для всех остальных учетных записей. Это тоже самое.

Personnaly, я думаю, что это не очень хорошая практика для интеграции интегрированной системы безопасности &, потому что это встроенная учетная запись. Вероятно, это нормально для многих сред, но у вас нет высокой степени безопасности. Например, если многие веб-сайты, обращающиеся к db, развернуты в веб-ферме, вы полностью потеряете контроль над разрешениями. Также больно управлять.

У вас есть два варианта, чтобы избежать этого:

  • Используйте проверку подлинности SQL

Это относительно небезопасно. Недовольный экс-сотрудник может использовать эту информацию злонамеренно, посетитель может увидеть код на экране где-то, или исходный код может случайно выйти в дикую природу.

  • Изменить идентификатор пула приложений.

Просто создайте/повторно используйте отдельную учетную запись Windows, предоставите минимальный доступ к ней на SQL Server, а затем измените приложение для запуска в контексте этой новой учетной записи. Подробнее here.