|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
减少客户内IT专业人才缺乏带来的影响。ASP的客户员工利用浏览器进入相关的应用软件,简单易用,无需专业技术支持。access|asp.net|会见|数据|数据库一样是一个罕见成绩,特别在WIN2003下常常有人问起。
呈现毗连非常一般是由磁盘权限引发,体系默许ASP.NET帐户关于NTSF分区只具有最小特权,因而大概引发会见非常。办理举措是于体系中修改响应权限。
另:毗连字符串中指定的独有会见体例也大概引发毗连非常。此情形只需修改毗连字符串便可。
如:
conx.ConnectionString="Provider=Microsoft.Jet.OLEDB.4.0;Password=;UserID=Admin;DataSource="+Server.MapPath("DATA高雅假期.mdb")+";";
便可
附MSDN关于创立自界说帐户来运转ASP.NET的文章,便利懂得平安部署ASP.NET项目。
----------------------------------------------------------------------------------
怎样创立一个自界说帐户来运转ASP.NET
MicrosoftCorporation
方针
本模块用于:
•创立一个具有充足权限准确运转ASP.NET使用程序的最小特权帐户。
•设置ASP.NET,使其利用自界说的最小权限帐户来运转。
合用于:
本模块合用于以下产物和手艺:
•Microsoft_Windows_XP或Windows2000Server(带ServicePack3)和更高版本的操纵体系
•Microsoft.NETFramework版本1.0(带ServicePack2)和更高版本
•Internet信息服务(IIS)5.0或6.0(仅当利用IIS5.0断绝形式时)
本模块的利用办法
要最年夜水平的使用本模块:
•必需有开辟ASP.NETWeb使用程序的履历并熟习machine.config文件的用处和布局。
•必需有利用Windows办理工具创立和办理自力或基于域的Windows用户帐户的履历。
•浏览模块“ASP.NETSecurity”。本模块将向您供应以下各项的具体信息:ASP.NET平安性是怎样事情的,ASP.NET帮助历程标识对一个正在实行的使用程序的权限有哪些影响,和怎样利用摹拟来轻松地向Web使用程序的用户授与得当的权限级别。
择要
默许情形下,每一个ASP.NET帮助历程在名为ASPNET的最小特权帐户的高低文中运转。假如ASP.NET使用程序部署在基于域的服务器上,或必要会见远程服务器上的资本,则能够经由过程设置ASP.NET以运转在分歧帐户的高低文中来简化办理。
本模块形貌了怎样将ASP.NET设置为在自界说当地帐户或域帐户的高低文中运转,并形貌了分派此帐户以使其一般事情的权限。
准备常识
在入手下手利用本模块之前,应懂得以下内容:
ASP.NET帮助历程标识
用于运转ASP.NET的默许帐户(在安装时创立)是一个最小特权的当地帐户,并在machine.config中以以下体例指定:
<processModelenable="true"userName="machine"password="AutoGenerate"/>
此帐户在当地用户和组下标识为ASPNET,并有一个在LocalSystemAuthority(LSA)中遭到平安回护的强暗码。
当您必要利用ASP.NET历程标识会见收集资本(如数据库)时,能够实行以下任一操纵:
•利用域帐户。
•利用“镜像”当地帐户(即在两台盘算机上用户名和暗码婚配的帐户)。在盘算机位于没有信托干系的分歧域中时,或盘算机由防火墙离隔而没法翻开NTLM或Kerberos身份考证所需的端口时,必要利用此办法。
最复杂的办法是在Web服务器大将ASPNET帐户的暗码改成一个已知的值,然后在方针盘算机上用不异的暗码创立一个名为ASPNET的帐户。在Web服务器上,必需起首变动当地用户和组中的ASPNET帐户暗码,然后交换machine.config中<processModel>元素上的凭证。不该将纯文本暗码存储在machine.config中,而应改用aspnet_setreg.exe将加密暗码存储在注册表中。有关具体信息,请参阅模块8“ASP.NET平安性”。
<processModelenable="true"
userName="registry:HKLMSOFTWAREYourSecureAppprocessModel
ASPNET_SETREG,userName"
password="registry:HKLMSOFTWAREYourSecureAppprocessModel
ASPNET_SETREG,password".../>
可使用本模块中供应的步骤创立一个最小特权的当地帐户。
摹拟流动标识
经由过程在web.config中接纳以下设置,您能够为特定的假造目次设置流动标识。利用aspnet_setreg.exe将加密凭证存储在注册表中。
<identityimpersonate="true"
userName="registry:HKLMSOFTWAREYourSecureApp
identityASPNET_SETREG,userName"
password="registry:HKLMSOFTWAREYourSecureApp
identityASPNET_SETREG,password"/>
假如在统一个Web服务器上有多个Web站点,而这些Web站点必要以分歧的身份运转,则一般利用此办法;比方,在使用程序宿主计划中就必要接纳这类办法。
本模块了形貌怎样创立最小特权的当地帐户。假如您次要举行办理事情,则可使用一个具有强暗码的最小特权受限域帐户。
当思索用于运转ASP.NET的帐户时,则请记着以下几点:
•默许情形下,ASP.NET不举行摹拟。因而,Web使用程序所实行的任何资本会见都利用ASP.NET历程身份。在此情形下,Windows资本必需有一个向ASP.NET历程帐户授与会见权的会见把持列表(ACL)。
•假如启用了摹拟,则使用程序利用原始挪用方的平安高低文来会见资本,或假如设置了IIS举行匿名身份考证,则利用匿名Internet用户帐户(默许情形下为IUSR_MACHINE)。在此情形下,资本必需有基于原始挪用方身份(或IUSR_MACHINE)的ACL。
•在创立自界说帐户时,应一直遵守最小特权准绳―只供应最小限制的所需特权和权限。
•制止利用SYSTEM帐户运转ASP.NET。
•制止向此帐户授与“作为部分操纵体系”的特权。
创立一个新的当地帐户
此历程创立一个新的当地帐户。默许情形下,这个新帐户将被增加到当地Users组中。
要创立一个新的当地帐户,请实行以下操纵:
1.创立一个当地帐户(比方“CustomASPNET”)。
确保对此帐户利用强暗码。强暗码应最少包括七个字符,并接纳巨细写字母、数字和其他字符(如*、?或$)的夹杂体例。
2.扫除Usermustchangepasswordatnextlogon选项。
3.选择Passwordneverexpires选项。
分派最小特权
此历程分派运转ASP.NET所需的一组最小的特权。
要分派最小特权,请实行以下操纵:
1.从AdministrativeTools程序组中,启动LocalSecurityPolicy工具。
2.睁开LocalPolicies,然后选择UserRightsAssignment。
右窗格中会显现出一个特权列表。
3.向新帐户分派以下特权:
•从收集会见此盘算机
•作为批处置功课登录
•作为服务登录
•回绝当地登录
•回绝经由过程终端服务登录
注重要向帐户分派特权,请双击此特权,然后单击Add来选择所需的帐户。
4.封闭此工具。
分派NTFS权限
此历程在当地文件体系中向自界说的ASP.NET帐户授与所需的NTFS权限。
注重此过程当中的步骤合用于Web服务器上的文件体系(而不合用于远程盘算机上的文件体系,为了举行收集身份考证,能够在远程盘算机上复制此帐户)。
要分派NTFS权限,请实行以下步骤:
•启动Windows资本办理器,并向表1中指定的文件夹分派得当的权限。
表1中提到的流动摹拟帐户是指可使用web.config中的<identity>元素有选择地设置的帐户,以下所示。
<identityimpersonate="true"
userName="registry:HKLMSOFTWAREYourSecureApp</p>SQLServer是基于服务器端的中型的数据库,可以适合大容量数据的应用,在功能上管理上也要比Access要强得多。在处理海量数据的效率,后台开发的灵活性,可扩展性等方面强大。 |
|