为新创建的IIS AppPool标识设置的权限

Question

我需要为创建的IIS应用程序池的logs文件夹设置权限.设置权限的代码:

<CreateFolder Directory="SiteLogsFolder">
    <util:PermissionEx User="Everyone" Read="yes" GenericRead="yes"/>
    <util:PermissionEx User="[IisSiteUser]" GenericRead="yes" GenericWrite="yes" GenericExecute="yes" Delete="yes" DeleteChild="yes"/>
</CreateFolder>

<CustomAction Id="SetIis6SiteUser" Property="IisSiteUser" Value="NT AUTHORITY\NetworkService"/>
<CustomAction Id="SetIis7SiteUser" Property="IisSiteUser" Value="IIS AppPool\[SITE_APP_POOL]"/>

<InstallExecuteSequence>
  <Custom Action="SetIis7SiteUser" Before="InstallInitialize">IISMAJORVERSION>="#7"</Custom>
  <Custom Action="SetIis6SiteUser" Before="InstallInitialize">IISMAJORVERSION="#6"</Custom>
</InstallExecuteSequence>

这适用于Windows Server 2003上的IIS 6,但Windows Server 2008上的IIS 7.5无效.我收到错误:

ExecSecureObjects:  Error 0x80070534: failed to get sid for account: IIS AppPool\MyAppPool

调查细节:

• 我也试过"IIS APPPOOL"域 - 结果相同.
• 还尝试设置PermissionEx元素的Domain和User属性,而不是在User属性中合并它们.同样的错误.
• 在PermissionEx中使用活动目录帐户工作正常.此外,活动目录帐户在设置时可以正常使用IIS站点池.
• 如果我尝试为另一个AppPool设置权限(而不是我的安装程序创建一个,例如IIS AppPool\DefaultAppPool),那么一切正常.仅当我为安装程序创建的AppPool设置权限时才会出现此问题.
• 我检查了ConfigureIIs,SchedSecureObjects和ExecSecureObjects的排序,并尝试强制ConfigureIIs在其他两个之前执行(在此线程中推荐).不幸的是,这也没有帮助.

Answer 1

在 Server 2012 上进行测试，我确认帐户可用之前可能会有延迟。使用以下脚本，我在大约 30 次尝试中重现了 3 次查找失败的情况。看来我们需要在创建应用程序池和查找 SID 之间有一个延迟。在我的测试中，它从来没有超过 1 秒。

param ($id)
if (!$id) {write-host "specify an id"; return}
c:\windows\system32\inetsrv\appcmd add apppool /name:$id /managedRuntimeVersion:"v4.0" /managedPipelineMode:"Integrated"
$objUser = New-Object System.Security.Principal.NTAccount("IIS APPPOOL\$id")
$sid=""
while (!$sid)
{
  $sid = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
  if (!$sid) {write-host "$id not found"} else {$sid}
  sleep 1
}