[IIS] 응용 프로그램 풀 구성(3):응용프로그램 ID 구성
WINDOWS/IIS 2012/07/03 21:45응용프로그램 단위로 프로세스 실행 계정을 할당할 수 있다.
웹 응용프로그램의 성격에 따라 worker process 계정을 달리 하여 응용프로그램의 권한을 유기적으로 관리할 수 있다
또한 각각 다른 계정으로 실행되는 worker process 를 작업관리자의 프로세스 항목에서도 쉽게 식별 할 수 있어
어떤 worker process 가 프로세스를 많이 차지하는 지 등의 모니터링을 쉽게 할 수 있다.
응용프로그램의 worker process 를 어떤 계정 권한으로 실행할지 결정
기본 : Network Service (제한된 권한)
1.미리 정의된 보안 계정
미리 정의된 Network Service, Local Service, Local System 계정 선택
2.보안 계정 구성
다른 계정 사용
계정은 IIS_WPG 그룹의 멤버여야 함
별도의 계정을 만들어 그 계정을 사용할때 주의 할 점은 그 계정이 실행하여야 하는 응용프로그램의 권한을 먼저 확인 해 보는 것이다. 기본적으로 ASP.NET 의 Temp 폴더 및 그외 임시 실행 폴더의 액세스 권한을 확인 하고 별도의 권한체계가 있다면 이 역시 이 계정에 부여 할지 고려 되어야 한다.
아래와 같은 사항을 점검하자
= 사용자 지정 계정 사용 =
A. 전역적 지정
machine.config 에 processModel 섹션에 다음을 수정
enable = “true” , userName=“domain\user”, password=“비밀번호”
B. 풀별 지정
1. IIS_WPG 그룹의 멤버여야 함
2. %installroot%\ASP.NET 임시 파일 디렉터리에 읽기/쓰기 권한 부여
(동적으로 컴파일 되는 출력을 위해 사용) ex:C:\WINDOWS/Microsoft.Net/…
3. %temp% 디렉터리에 읽기/쓰기 권한 부여
(컴파일러에서 동적 컴파일을 수행하는 동안 사용) ex:C:\WINDOWS\Temp
4. 다음 디렉터리에 읽기 권한 부여
- 응용프로그램 디렉터리
- 전역 어셈블리 캐시(%windir%\assembly)
- 웹사이트 루트 디랙터리
- %installroot% 계층. 시스템 어셈블리에 액세스 하기 위해 필요
5. 기타 폴더(사용자 지정 로그를 저장하는 폴더등에 적합한 권한 부여)
6. 적용
바로 적용 : 풀을 재시작.