IIS7內建帳號,應用程序池

在IIS7之前的IIS版本中有一個本地賬號,是在安裝時建立的,叫作 IUSR_MachineName。一旦啓用匿名身份認證,這個IUSR_MachineName賬號就是IIS默認使用的身份(identity),它 同時在FTP和HTTP服務中使用。另外還有一個叫作IIS_WPG的組,它是全部應用程序池賬號的容器。在IIS安裝期間,必須保證全部的系統可用資源 已經爲IIS_WPG設置了適當的權限,當管理員建立一個新的應用程序池賬號時,只須要把新賬號(身份)加入這個組便可。安全

這個模型運轉 得很好,可是和其餘任何設計同樣,它們有他們的缺點,主要的缺點是IUSR_MachineName賬號和IIS_WPG組對於建立它們的系統來講都是本 地的。 Windows中的每一個賬號或組都有一個惟一的號碼叫作SID(安全識別號Security Identifiers),這樣就能夠區別於其它的賬號或組。服務器

而在IIS 7.0中:網絡

1. IUSR內建賬號替代了IUSR_MachineName賬號
2. IIS_IUSRS內建組替代了IIS_WPG組 ide

由於IUSR是一個內建賬號,它再也不須要密碼。邏輯上你能夠認爲它就是NETWORKSERVICE或LOCALSERVICE賬號。 post

應 用程序池(w3wp.exe工做進程)是以咱們指定的用戶身份運行的,IIS須要使用這個用戶身份訪問各類系統資源和網絡資源,如訪問磁盤資源、執行某些 系統功能、訪問寄存器,以及訪問網絡資源等。IIS默認的用戶身份是Network Service帳號,這個帳號對Web服務器和網絡只有有限的訪問權限,可是在運行標準Web網站時具備徹底的權限。 網站

IIS 7.0爲用戶提供了3種內置的帳號,此外,咱們還能夠建立自定義帳號。內置的帳號包括:Network Service,Local Service ,Local System 設計

  1. 應用程序池的默認用戶是內置的Network Service帳號。Network Service帳號對本地計算機和網絡資源只擁有最小訪問權限。
  2. 內置的Local Service帳號沒法像Network Service帳號那樣訪問網絡資源,可是具備與Network Service帳號相似的本地資源訪問權限。
  3. 內 置的Local System帳號具備對本地系統的徹底訪問權限。可是,當咱們使用Local System帳號時,務必加以當心,儘量地避免使用這個帳號。當一個未受權的用戶瀏覽服務器中的某個網站時,或者當這個未受權的用戶上傳本身的內容時, 若是應用程序池以Local System帳號身份運行,那麼這個用戶能夠在Web服務器中執行任何操做。

須要使用應用程序池身份訪問一個網絡資源--若是須要訪問一個網絡資源,那麼能夠建立一個自定義的域用戶,並將應用程序池的用戶標識指派爲這個自定義用戶。這樣一來,若是以這個應用程序池的用戶標識運行的程序須要訪問一個網絡資源,那麼,程序將使用這個自定義用戶身份訪問網絡資源。 blog

爲每一個網站新建一個應用程序池是一種合理的部署方式,特別是若是須要在一臺服務器中運行多個Web網站時,這種作法尤爲有益。這樣能夠確保每一個Web應用程序僅在本身的進程中運行,這樣,若是一個應用程序發生失效,那麼也不會對其餘網站形成影響。
應用程序池必須可以時常地回收使用,這樣纔可以解決應用程序掛起的問題,此外,這樣還能夠在添加新的文件、同時IIS沒法知道已經添加了新文件的狀況下,從新加載一個網站。進程

相關文章
相關標籤/搜索