Одной из новых функций в IIS 7 является возможность делегации прав доменному пользователю не обладающему правами администратора на управление сайтом . Эта статья довольно подробно описывает процесс передачи прав доменному пользователю на управление сайтом в IIS.
Особенность делегация состоит из четырех частей:
- Разрешить удаленные подключения через сервис управления.
- Добавить пользователя(ей) AD / группу(ы) для отдельных сайтов, перечисленных в IIS, используя IIS Разрешения диспетчера
- Делегировать функций IIS на вышеуказанных пользователей с помощью функции делегирования.
- Подключение к IIS, не как администратор
Включение удаленного доступа
Загрузите диспетчер IIS.
Дважды щелкните мышкой Management Service (Служба управления) в правом нижнем углу.
Установите галку Enable remote connections (разрешить удаленные подключения).
Отметьте Windows credentials only (Только учетные данные Windows).
Нажмите Apply (Применить), а затем нажмите кнопку Start (Пуск).
Делегирование прав доменным пользователям
Из списка сайтов выберете сайт, управление которым вы хотите делегировать пользователю либо группе пользователей, в правом экране, в режиме просмотра возможностей щелкните мышкой IIS Manager Permissions (Разрешения диспетчера IIS).
Далее, в правой части окна щелкните мышкой Allow User (Разрешить пользователю).
В окне Allow User (Разрешить пользователю): введите имя пользователя в формате домен\имя пользователя (Contoso\App админ), либо нажмите Select (Выбрать) и выберете пользователя или группу, а затем нажмите OK.
Повторите эти действия для каждого сайта, на которые вы хотели бы делегировать управление IIS.
Делегирование прав на компоненты
Выделите ваш сервер и в правом окне выберете Feature Delegation (Делегирование компонента)
В окне Feature Delegation (Делегирование компонента), нажмите Autentification Windows (Проверка подлинности Windows), а затем щелкните правой кнопкой мыши и из выпадающего меню выберите: Read/Write (Чтение и запись).
Повторите делегирование прав на Logging (Ведение журнала) и SSL settings (Параметры SSL) и на любые другие необходимые вам компоненты. Когда это будет сделано, ваш экран должен выглядеть так, как на изображении ниже.
Подключение к диспетчеру IIS, с учетной записью пользователя
Подключитесь к серверу, используя пользовательскую учетную запись и загрузите диспетчер IIS.
Щелкните правой кнопкой мыши на главной странице и нажмите Connetc to Site (Подключиться к сайту).
Введите Server name (Имя сервера) и Site name (Имя сайта), а затем нажмите Next (Далее).
Введите соответствующие User name (Имя пользователя) и Password (Пароль) нажмите Next (Далее),
Нажмите Next (Далее), укажите Имя подключения, затем нажмите Finish (Готово). Теперь вы можете видеть ваше подключение к сайту.
Повторите эти действия для других сайтов, если это необходимо и вам делегировано управление ими.
Примечание : Помните, что вы не можете управлять пулом приложений.
Не запускается служба Managment service (wmsvc). Говорит что то про неправильно настроенный сертификат SSL. Что делать?
Александр, доброе утро, прошу прощения, был в отъезде. Я думаю исправить проблему с сертификатом.
Алексей здравствуйте! У меня в IIS два сайта.,программист должен работать с одним из них. Настроил все как описано, программист подключается и не может перезагрузить нужный сайт, в правом меню кнопки перезагрузить, запустить, остановить не активны. При этом при выборе самого сервера те же кнопки для управления всем сервером активны. Нужно управлять только одним сайтом, подскажите пожалуйста как это сделать?
Дмитрий, доброе утро! К сожалению насколько я помню так сделать нельзя. Перезапуск сайтов глобальная функция и доступна только администратору, но могу и ошибаться. Я не большой знаток IIS.
Алексей, решили данную проблему следующим образом.
Ищем SIDы локальных групп на сервере при помощи wmic
wmic:root\cli>group where(domain=’BS-FT-TST’) get name,sid
Name SID
….
TARGET_GROUP S-1-5-21-3910521993-3985954492-725375040-1007
…
Смотрим текущие права на сервере
PS C:\Windows\system32> sc.exe sdshow w3svc
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
Даем доступ группе группе TARGET_GROUP
PS C:\Windows\system32> sc.exe sdset w3svc «D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-3910521993-3985954492-725375040-1007)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)»
[SC] SetServiceObjectSecurity: успех
примечание: в Windows старше 2003 sc и sc.exe это разные команды. В данном случае надо использовать последнюю.
Дмитрий, спасибо за решение! Думаю оно будет полезно не только нам с Вами 🙂