Windows "Network Service"账户权限问题
baobao1270 · 2019-04-25 08:51:54 +08:00 via Android · 2511 次点击这是一个创建于 2024 天前的主题,其中的信息可能已经有所发展或是发生改变。
系统 Win10 Home 64 位 1809
笔记本电脑电池用尽后自动关机,再次启动后,MySQL 服务无法启动,IIS 报 503 错误。所有使用 Network Service 账户登录的非系统服务都无法启动。
查看 HTTPERR 日志,显示 AppOffline
查看事件日志,显示"http"侦听器上的错误
尝试重启 IIS,重启应用程序池,但不到几秒应用程序池就自动停止
尝试重装 IIS,问题依然存在
怀疑是权限问题,将 MySQL 服务登录账户改为我自己的用户名,启动成功。
尝试将 AppPool 的应用程序标识改为"指定账户:<我的用户名>",IIS 正常运行。
尝试将 AppPool 以 LocalSystem 身份运行,IIS 正常运行。
遂怀疑是权限出了问题,由于是家庭版系统,无法使用"本地用户和组",使用"net localgroup"命令将 NetworkService 账户加入 Admininistors 组。MysSQL 可正常运行,但 IIS AppPool 必须以 NetworkService 账户运行才能正常访问,使用 ApplicationPoolIdentity 则报 503。
出于安全原因,还是应当使用 ApplicationPoolIdentity 作为应用程序标识,而非 NetworkService,请问应该如何解决这个问题?
另外,给将 NetworkService 账户加入 Admininistors 组的操作是否正确,是否会有安全隐患?
 |
1
geelaw 2019-04-25 09:22:04 +08:00 via iPhone
把 NT AUTHORITY\NetworkService 加入 BUILTIN\Administrators 是一个非常、非常糟糕的事情。
我觉得你应该先尝试删干净 C:\Windows\Temp 里面的东西(不要删除这个文件夹本身),然后尝试用 WMI 删除 NetworkService 的 profile (这可能需要用 WinRE )。 IIS 有错误日志可以看。 |
|
2
geelaw 2019-04-25 09:24:10 +08:00 via iPhone
另外 IIS 默认的 AppPool 的 profile 可以用 sysdm.cpl 删除
|
 |
3
ysc3839 2019-04-25 09:44:22 +08:00 via Android
初步怀疑是意外断电导致系统什么地方损坏了。对于这种问题我一般会选择重装系统,尝试解决的话可能花费大量时间精力。
|
Select Language