Делегирование администрирования IIS доменным пользователям

Одной из новых функций в IIS 7 является возможность делегации прав доменному пользователю не обладающему правами администратора на управление сайтом . Эта статья довольно подробно описывает процесс передачи прав доменному пользователю на управление сайтом в IIS.

Особенность делегация состоит из четырех частей:

  • Разрешить удаленные подключения через сервис управления.
  • Добавить пользователя(ей) AD / группу(ы) для отдельных сайтов, перечисленных в IIS, используя IIS Разрешения диспетчера
  • Делегировать функций IIS на вышеуказанных пользователей с помощью функции делегирования.   
  • Подключение к IIS, не как администратор

Включение удаленного доступа

Загрузите диспетчер IIS.

IIS Load

Дважды щелкните мышкой Management Service (Служба управления) в правом нижнем углу.

IIS mgmt service

Установите галку Enable remote connections (разрешить удаленные подключения).

Remote Connections

Отметьте Windows credentials only (Только учетные данные Windows).

Windows Cred only

Нажмите Apply (Применить), а затем нажмите кнопку Start (Пуск).

wmsvc start

Делегирование прав доменным пользователям

Из списка сайтов выберете сайт, управление которым вы хотите делегировать пользователю либо группе пользователей, в правом экране, в режиме просмотра возможностей щелкните мышкой IIS Manager Permissions (Разрешения диспетчера IIS).

IIS Manage делегирование прав

Далее, в правой части окна щелкните мышкой Allow User (Разрешить пользователю).

IIS Manage Permissions. allow user

В окне Allow User (Разрешить пользователю): введите имя пользователя в формате домен\имя пользователя (Contoso\App админ), либо нажмите Select (Выбрать) и выберете пользователя или группу, а затем нажмите OK.

IIS Manage Permissions. allow user Pop Up

Повторите эти действия для каждого сайта, на которые вы хотели бы делегировать управление IIS.

Делегирование прав на компоненты

Выделите ваш сервер и в правом окне выберете Feature Delegation (Делегирование компонента)

feature делегирования

В окне Feature Delegation (Делегирование компонента), нажмите Autentification Windows (Проверка подлинности Windows), а затем щелкните правой кнопкой мыши и из выпадающего меню выберите: Read/Write (Чтение и запись).

Повторите делегирование прав на Logging (Ведение журнала) и SSL settings (Параметры SSL) и на любые другие необходимые вам компоненты. Когда это будет сделано, ваш экран должен выглядеть так, как на изображении ниже.

Настройка делегирования

Подключение к диспетчеру IIS, с учетной записью пользователя

Подключитесь к серверу, используя пользовательскую учетную запись и загрузите  диспетчер IIS.

Щелкните правой кнопкой мыши на главной странице и нажмите Connetc to Site (Подключиться к сайту).

IIS COnnect to Site

Введите Server name (Имя сервера) и Site name (Имя сайта), а затем нажмите Next (Далее).

Site Connection Details

Введите соответствующие User name (Имя пользователя) и Password (Пароль) нажмите Next (Далее),

IIS Credentials

Нажмите Next (Далее), укажите Имя подключения, затем нажмите Finish (Готово). Теперь вы можете видеть ваше подключение к сайту.

WebSIte Connections

Повторите эти действия для других сайтов, если это необходимо и вам делегировано управление ими.

Примечание : Помните, что вы не можете управлять пулом приложений.

Делегирование администрирования IIS доменным пользователям: 6 комментариев

  1. Александр

    Не запускается служба Managment service (wmsvc). Говорит что то про неправильно настроенный сертификат SSL. Что делать?

  2. Дмитрий

    Алексей здравствуйте! У меня в IIS два сайта.,программист должен работать с одним из них. Настроил все как описано, программист подключается и не может перезагрузить нужный сайт, в правом меню кнопки перезагрузить, запустить, остановить не активны. При этом при выборе самого сервера те же кнопки для управления всем сервером активны. Нужно управлять только одним сайтом, подскажите пожалуйста как это сделать?

    1. Алексей Орлов Автор записи

      Дмитрий, доброе утро! К сожалению насколько я помню так сделать нельзя. Перезапуск сайтов глобальная функция и доступна только администратору, но могу и ошибаться. Я не большой знаток IIS.

      1. Дмитрий

        Алексей, решили данную проблему следующим образом.

        Ищем SIDы локальных групп на сервере при помощи wmic

        wmic:root\cli>group where(domain=’BS-FT-TST’) get name,sid

        Name SID
        ….
        TARGET_GROUP S-1-5-21-3910521993-3985954492-725375040-1007

        Смотрим текущие права на сервере

        PS C:\Windows\system32> sc.exe sdshow w3svc
        D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

        Даем доступ группе группе TARGET_GROUP

        PS C:\Windows\system32> sc.exe sdset w3svc «D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;RPWPCR;;;S-1-5-21-3910521993-3985954492-725375040-1007)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)»
        [SC] SetServiceObjectSecurity: успех

        примечание: в Windows старше 2003 sc и sc.exe это разные команды. В данном случае надо использовать последнюю.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *