L'essentiel de IIS

Gérer les permissions des pools d'applications

Testez gratuitement nos 1300 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Dans cette vidéo, vous allez apprendre à gérer la permission sur les fichiers de votre serveur web par pool d'applications.
07:19

Transcription

Je vous entends d'ici. Vous êtes en train de vous dire : il a changé le pool d'applications du site nanipabulophiles. Maintenant on est d'accord, sur mes pools d'applications, le DefaultAppPool a une application, celle-ci, et .NET v4.5 a une application, donc nanipabulophiles. Mais alors vous êtes peut-être en train de vous dire : pourquoi ça marche ? C'est-à-dire, pourquoi est-ce que j'ai toujours mon site ? Vous vous posez peut-être la question parce que si ce que je vous dis est vrai, ce qui est le cas d'ailleurs, DefaultAppPool et .NET v4.5 ce sont deux comptes différents puisque ce sont deux process différents qui tournent sur, chacun, leur compte virtuel. Alors comment se fait-il que, en ayant changé de process, changé de compte, on puisse toujours accéder aux ressources ? Qui sont les pages web finalement, qui sont dans le répertoire ici de mon site web. Attention, vous vous accrochez bien parce que c'est pas la partie la plus facile du cours. Par exemple DefaultAppPool, si je vais dans les Paramètres avancés, ApplicationPoolIdentity, si je vais regarder, si je l'ai toujours, je l'ai toujours, parce qu'il peut s'arrêter au bout d'un moment, c'est bien .NET v4.5, et il a accès, donc, à ceci et il peut aller lire ceci. Parce que bien entendu, c'est mon pool d'applications et c'est ce compte qui va accéder à cette ressource, prendre la page HTML et la renvoyer au client. C'est son boulot, c'est le pool d'applications qui sert ces pages. Donc il faut qu'il ait des permissions sur ce répertoire et sur ce fichier. Alors on va aller regarder quelles sont les permissions attribuées à ce répertoire. Je vais ici dans Sécurité, et je m'aperçois que j'ai Utilisateurs, Administrateurs, c'est à peu près tout. D'accord, Utilisateurs. Qu'est-ce que c'est que ce groupe ? On va jeter un coup d'œil. Je vais dans le gestionnaire de serveurs. Dans les Outils. Gestion de l'ordinateur. Je vais dans la gestion des utilisateurs et des groupes. Dans les Groupes. Je cherche donc mon groupe Utilisateurs. Et je vois que j'ai un AUTORITE NT, donc il s'agit là de comptes système, Utilisateurs authentifiés, avec ce SID qui est toujours le même. Donc ces utilisateurs authentifiés, c'est qui ? Et bien ce sont mes comptes virtuels. Je peux vous le montrer d'ailleurs. J'ai téléchargé et installé quelque chose de très bien qui s'appelle « Process Explorer ». C'est un outil fait par Mark Russinovich qui avait créé une société en son temps qui s'appelait Sysinternals si ma mémoire est bonne, et qui créé des outils très bien faits pour analyser différentes parties de Windows. De façon assez profonde. Ça a été racheté par Microsoft, Mark Russinovich travaille donc maintenant pour Microsoft, et ces outils sont disponibles sur le site de Microsoft. Donc Process Explorer, je vous montre. Je l'ai lancé. C'est quelque chose qui vous permet d'afficher beaucoup plus d'informations sur les processus en train de tourner. Ici je vois par exemple que dans services.exe, svchost.exe, j'ai un peu plus bas svchost.exe, un w3wp donc c'est IIS worker process toujours, qui tourne sous IIS APPPOOL\.NET v4.5. Je double-clique. Je vais regarder, j'y suis déjà ici, sur Sécurité. Et dans Sécurité, je m'aperçois que cet utilisateur, il fait partie de quel groupe ? Utilisateurs authentifiés. Donc parfait ! Le compte qui tourne ce process, qui sert mes pages web, c'est .NET v4.5 et il est dans Utilisateurs authentifiés. Et donc c'est pour ça que finalement, tous les pools d'applications vont avoir des permissions sur mon répertoire. Il faudrait que je gère un petit peu mieux la sécurité que ça. Je viens de vous dire que l'avantage des pools d'applications c'était de pouvoir gérer séparément des répertoires dans lesquels on met des applications web différentes. Donc il faut quand même que je change quelque chose ici pour améliorer ma sécurité, n'est-ce pas ? Alors on va faire ça, mais c'est pas aussi simple que ça. Vous allez voir, il y a un petit piège. Donc je viens ici, je prends mon nanipabulophiles.site, je vais changer les permissions, je vais aller dans Avancé parce que je vais casser l'héritage. Pourquoi est-ce que nanipabulophiles.site a ce type de permission ? Parce que C:\inetpub, qui est son parent, les a. Et qu'il y a un héritage d'ASL, c'est-à-dire de permission, sur les dossiers et les fichiers. Donc je casse l'héritage. Windows me demande gentiment : oui d'accord, alors est-ce que tu veux prendre toutes les permissions qui sont héritées et les transformer en autorisations explicites sur cet objet ? Je vais dire Oui, merci. Et je vais enlever Utilisateurs, vous vous souvenez pourquoi, parce que c'est un groupe dans lequel se trouve Utilisateurs authentifiés dans lequel se trouve mon compte de pool d'applications. Donc je l'enlève et je vais mettre spécifiquement ici mon compte de pool d'applications. Donc j'ajoute. Je sélectionne un principal. Je fais bien entendu bien attention à prendre l'emplacement correct, ici je suis sur un domaine. Donc le compte virtuel est un compte local de la machine, je change mon emplacement. Il me demande de m'authentifier sur le domaine, j'en ai pas besoin. Je vais chercher l'emplacement de la machine elle-même, de mon serveur. Ok. Et ici pour trouver mon compte virtuel, je dois le préfixer par « IIS espace A-P-P-P-O-O-L », donc IIS APPPOOL, barre oblique inversée, backslash, et si on se souvient de son nom c'est pas toujours évident, « .NET espace v4.5 ». Ok. NET v4.5. Je vérifie, tout va bien. Je dis OK. Je fais Lecture et exécution, Affichage du contenu et Lecture. OK et OK. Et OK. Je vérifie, alors je peux vérifier à partir d'ici d'ailleurs. Si je vais sur Sites et sur nanipabulophiles, je clique-droit et je fais Modifier les autorisations. Ce qui m'amène en fait directement aux autorisations du répertoire sous-jacent sur mon disque. Donc je modifie les autorisations. Juste pour voir. Je vais dans Sécurité et je vois qu'ici ça me parait pas mal. Si je veux vraiment être sûr, j'affiche le contenu, je regarde mon index.htm, même chose. Sécurité, Lecture et exécution, Lecture ça me parait pas mal du tout. Alors, et bien c'est pas fini. Rendez-vous dans la vidéo suivante.

L'essentiel de IIS

Administrez IIS (Internet Information Server) en toute confiance. Abordez les notions de site, d'application, l’attribution de permissions sur les répertoires de l'espace web, etc.

3h45 (43 vidéos)
Aucun commentaire n´est disponible actuellement
 
Logiciel :
IIS IIS 8.5
Spécial abonnés
Date de parution :10 mai 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !