IIS-toepassingspool van Secret Server uitvoeren met een serviceaccount

Om de Secret Server IIS Application Pool uit te voeren met een serviceaccount:

• Een lokale gebruiker of domeingebruiker maken
• IIS openen

De identiteit van uw applicatiepool wijzigen In IIS

• Zoek de applicatiepool die Secret Server gebruikt
• Klik er met de rechtermuisknop op
• Klik op “geavanceerde instellingen”.”
• Klik op het vakje “Identiteit” in het gedeelte “Procesmodel
• Klik op de drie stippen rechts van het vak
• Klik op het keuzerondje “Aangepaste account
• Klik op “Instellen”.”
• Voer uw serviceaccountnaam en wachtwoord in
• Klik op “OK”.”

Open de opdrachtconsole

• Wijzig de directory in uw .NET framework installatiedirectory met behulp van het commando "cd" commando
  (bijvoorbeeld: C:\WindowsMicrosoft.NETFrameworkv4.0.30319 of C:\WindowsMicrosoft.NETFramework64\v4.0.30319).
• Type in ".aspnet_regiis -ga "
• Druk op enter
• Vervang de velden door de relevante waarden en laat de domeinnaamparameter weg voor lokale accounts
• Geef je serviceaccount “modify” toegang tot C:\WindowsTEMP
• Geef je serviceaccount “lezen & uitvoeren”, “mapinhoud weergeven” en “lezen” rechten op de bestandsmap waar Secret Server is geïnstalleerd (meestal c:\inetpub\wwwrootSecretServer). Als je ervoor kiest om niet geef het “schrijf” en “wijzig” toegang, je hebt een andere account nodig voor het installatieproces.

Geef batchaanmeldrechten aan je serviceaccount met een van de volgende opties:

• Voor een lokaal beleid opent u de Console voor lokaal beveiligingsbeleid, vouwt u “Lokaal beleid” uit, klikt u op “Toewijzing gebruikersrechten”, klikt u met de rechtermuisknop op “Aanmelden als een batchtaak“, klik op “eigenschappen”, klik op “Gebruiker of groep toevoegen”, voeg je serviceaccount toe en klik vervolgens op “OK”. Je kunt dit ook doen als domeingebruiker als je deze rechten niet wilt toevoegen aan het standaard domeinbeleid zoals beschreven in het volgende opsommingsteken.
• Voor een domeinbreed beleid logt u in op uw domeincontroller, opent u de Group Policy Management Console, klikt u met de rechtermuisknop op “Default Domain Policy” onder uw domein - of maakt u een nieuw beleid aan -, klikt u op Bewerken, vouwt u “Computer Configuration” uit, vouwt u “Policies” uit, vouwt u “Windows Settings” uit, vouwt u “Security Settings” uit, vouwt u “Local Policies” uit, klikt u op “User Rights Assignment”, klikt u met de rechtermuisknop op “.“Aanmelden als een batchtaak“, klik op “eigenschappen”, vink het vakje “deze beleidsinstellingen definiëren” aan, voeg uw serviceaccount toe en klik op “OK”.”

OPMERKING: Als je Groepsbeleid gebruikt om “Aanmelden als een batchtaak” af te dwingen en als je groepbeheerde serviceaccounts hebt, overschrijft dit alle lokale machtigingen voor “Aanmelden als een batchtaak” op alle computers waarop het beleid is toegepast. Het gebruik van het lokale beveiligingsbeleid is een veiligere optie als je niet zeker bent van het gebruik in je domein.

• Grant “Een client nadoen na authenticatie” toestemming aan de serviceaccount onder “User Rights Assignment” op dezelfde manier als “Aanmelden als een batchjob” hierboven is toegewezen.
• Als je nu een “Service Unavailable” krijgt na het toepassen van “Aanmelden als een batchtaak” machtigingen, dan moet je de instellingen van je groepsbeleid bijwerken (Open de opdrachtconsole, typ in gpupdate /force) en start de Windows Process Activation Service opnieuw.

Voor meer informatie en algemeen advies over onze producten en diensten kunt u terecht op contact met ons opnemen.

Heb je meer ondersteuning nodig?

Alles zoeken Kennisbank artikelen

Stuur een Ondersteuningsverzoek naar het Idency-ondersteuningsteam