Great question—manual RDP tweaks are never a sustainable solution, especially when you’re deploying via VSTS. Let’s break down the most reliable ways to automate setting file/folder permissions for your Azure Cloud Service during deployment:

启动任务是Azure云服务的原生功能，会在角色实例启动前以管理员权限运行，完美适配这种需要在部署后自动配置的场景。

1. 创建权限设置脚本
   在你的云服务Web角色项目中，新建一个startup文件夹，然后添加一个SetPermissions.cmd文件，内容如下：

   :: 设置Web.config的权限，替换为你的应用池身份更安全，比如IIS APPPOOL\DefaultAppPool
   icacls "E:\siteroot\1\Web.config" /grant "Everyone":F /T /C
   :: 如果需要设置整个文件夹的权限，比如SiteRoot
   :: icacls "E:\siteroot\1" /grant "Everyone":F /T /C
   

   • /grant "Everyone":F：授予指定主体完全控制权限（建议替换为你的应用池身份，比如IIS APPPOOL\YourAppPoolName，减少安全风险）
   • /T：递归处理所有子文件和文件夹
   • /C：忽略错误，继续执行其他操作

2. 配置启动任务到服务定义
   打开角色的ServiceDefinition.csdef文件，在<WebRole>节点下添加启动任务配置：

   <WebRole name="YourWebRoleName" vmsize="Standard_D1_v2">
     <!-- 其他现有配置 -->
     <Startup>
       <Task commandLine="startup\SetPermissions.cmd" executionContext="elevated" taskType="simple" />
     </Startup>
   </WebRole>
   

   • executionContext="elevated"：必须设置，因为修改权限需要管理员权限
   • taskType="simple"：表示脚本执行完成后才会启动角色

如果不想修改云服务项目，可以直接在VSTS部署流程中添加一个步骤，远程执行权限配置命令到云服务实例：

1. 在你的VSTS发布管道中，添加一个Azure PowerShell任务
2. 选择对应的Azure订阅，脚本类型选择「Inline Script」
3. 输入以下PowerShell代码（替换你的资源组和云服务名称）：

   # 获取目标云服务的所有角色实例
   $cloudService = Get-AzureRmCloudService -ResourceGroupName "YourResourceGroup" -Name "YourCloudServiceName"
   
   foreach ($instance in $cloudService.RoleInstances) {
       # 远程执行icacls命令设置权限
       Invoke-AzureRmRemoteCommand -ResourceGroupName "YourResourceGroup" `
                                   -CloudServiceName "YourCloudServiceName" `
                                   -Name $instance.Name `
                                   -Command "icacls 'E:\siteroot\1\Web.config' /grant 'IIS APPPOOL\DefaultAppPool':F /T /C"
   }
   

   注意：确保你的VSTS服务主体拥有云服务的管理权限，且实例允许远程命令（默认开启）

如果你的Web.config写入需求是因为需要动态修改配置项，建议改用Azure云服务的原生配置机制，完全绕开文件写入权限问题：

1. 在ServiceConfiguration.cscfg中添加自定义配置项：

   <ConfigurationSettings>
     <Setting name="YourCustomConfigKey" value="DefaultValue" />
   </ConfigurationSettings>
   

2. 在代码中通过角色环境获取配置值：

   string configValue = Microsoft.WindowsAzure.ServiceRuntime.RoleEnvironment.GetConfigurationSettingValue("YourCustomConfigKey");
   

这种方式不需要修改Web.config文件，平台会自动加载配置，而且可以在VSTS部署时直接更新cscfg中的值，更安全也更易维护。

额外注意事项 #

• 尽量避免使用Everyone权限，优先使用应用池身份或特定服务账户，降低安全风险
• 启动任务的执行日志可以在实例的C:\Resources\Directory\<RoleName>\<DeploymentID>\logs\startup路径下查看，方便排查问题
• 如果需要在部署后随时调整权限，可以使用Azure云服务的自定义脚本扩展，和启动任务逻辑类似，但支持按需触发

内容的提问来源于stack exchange，提问作者MikeW