我之前帮不少开发者处理过.NET Core下的ACL配置问题，其实它和你熟悉的.NET Framework核心逻辑是相通的，只是API的封装方式略有调整。结合你部署到IIS 8（Windows Server 2012 R2）的场景，重点要围绕IIS应用池身份来配置权限，因为你的Web应用是跑在应用池账户下的。

1. 确认依赖与核心类 #

首先你已经引入了System.IO.FileSystem.AccessControl包，这是对的，.NET Core把ACL相关的API单独放在这个包中，确保你的包版本和.NET Core 2.x兼容（比如选择2.x系列的稳定版）。

核心操作类和.NET Framework类似：

• DirectorySecurity：用于目录的ACL管理
• FileSecurity：用于单个文件的ACL管理
• FileSystemAccessRule：定义具体的权限规则（用户/组、权限类型、控制类型）

2. 目录ACL操作示例（给IIS应用池添加权限） #

假设你需要给应用的某个数据目录（比如wwwroot/uploads）添加应用池账户的读写权限，代码示例如下：

using System.IO;
using System.Security.AccessControl;
using System.Security.Principal;
using System;

public static void SetDirectoryAclForIisAppPool(string directoryPath, string appPoolName)
{
    // 检查目录是否存在，不存在则创建
    if (!Directory.Exists(directoryPath))
    {
        Directory.CreateDirectory(directoryPath);
    }

    // 获取目录的Security对象
    var dirSecurity = new DirectorySecurity(directoryPath, AccessControlSections.Access);

    // 构造IIS应用池身份（格式：IIS APPPOOL\应用池名称）
    var appPoolIdentity = new NTAccount($"IIS APPPOOL\\{appPoolName}");

    // 定义权限规则：允许应用池账户读写、修改目录及子项
    var accessRule = new FileSystemAccessRule(
        appPoolIdentity,
        FileSystemRights.ReadAndExecute | FileSystemRights.Write | FileSystemRights.Modify,
        InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit,
        PropagationFlags.None,
        AccessControlType.Allow);

    // 添加规则（避免重复添加）
    bool isRuleExists = false;
    foreach (FileSystemAccessRule existingRule in dirSecurity.GetAccessRules(true, true, typeof(NTAccount)))
    {
        if (existingRule.IdentityReference.Value.Equals(appPoolIdentity.Value, StringComparison.OrdinalIgnoreCase) &&
            existingRule.FileSystemRights == accessRule.FileSystemRights &&
            existingRule.AccessControlType == accessRule.AccessControlType)
        {
            isRuleExists = true;
            break;
        }
    }

    if (!isRuleExists)
    {
        dirSecurity.AddAccessRule(accessRule);
        // 应用ACL设置到目录
        Directory.SetAccessControl(directoryPath, dirSecurity);
    }
}

代码关键点说明： #

• 应用池身份格式：必须是IIS APPPOOL\你的应用池名称，比如默认应用池就是IIS APPPOOL\DefaultAppPool
• 权限继承：InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit确保子目录和文件也会继承这个权限
• 避免重复添加：先检查现有规则，防止多次执行代码导致ACL规则冗余

3. 文件ACL操作示例 #

如果是单个文件的ACL配置，逻辑几乎一致，只是把DirectorySecurity换成FileSecurity：

public static void SetFileAclForIisAppPool(string filePath, string appPoolName)
{
    if (!File.Exists(filePath))
    {
        // 按需创建文件或抛出异常
        using (File.Create(filePath)) {}
    }

    var fileSecurity = new FileSecurity(filePath, AccessControlSections.Access);
    var appPoolIdentity = new NTAccount($"IIS APPPOOL\\{appPoolName}");

    var accessRule = new FileSystemAccessRule(
        appPoolIdentity,
        FileSystemRights.Read | FileSystemRights.Write,
        AccessControlType.Allow);

    // 检查并添加规则
    bool isRuleExists = false;
    foreach (FileSystemAccessRule existingRule in fileSecurity.GetAccessRules(true, true, typeof(NTAccount)))
    {
        if (existingRule.IdentityReference.Value.Equals(appPoolIdentity.Value, StringComparison.OrdinalIgnoreCase) &&
            existingRule.FileSystemRights == accessRule.FileSystemRights &&
            existingRule.AccessControlType == accessRule.AccessControlType)
        {
            isRuleExists = true;
            break;
        }
    }

    if (!isRuleExists)
    {
        fileSecurity.AddAccessRule(accessRule);
        File.SetAccessControl(filePath, fileSecurity);
    }
}

4. 常见问题排查 #

• 权限不足报错：操作ACL需要管理员权限！如果是在应用启动时执行这段代码，要确保应用池账户有管理员权限（不推荐），或者更安全的方式是在部署阶段用管理员身份运行这段代码（比如部署脚本、控制台程序）
• 应用池身份不生效：确认你的Web应用确实使用了指定的应用池，并且应用池的身份设置正确（默认是ApplicationPoolIdentity，对应IIS APPPOOL\AppPoolName）
• 权限枚举值错误：根据实际需求选择FileSystemRights的组合，比如如果只需要上传文件，给Write权限即可，不要过度授权

内容的提问来源于stack exchange，提问作者Andrey Bushman