我正在设置一个Web服务器,并注意到它给出了IIS_IUSRS读取和执行(并作为结果列表文件夹内容)权限的wwwroot。 我试图确保它尽可能安全,只是想知道它是否可以离开?
在我的最后一台服务器(Win2003)上,我只给wwwroot上的用户授予“读取”权限,然后根据需要在文件夹上手动添加写入/执行权限。
只是想知道如果其他人都离开的权限,因为他们是?
你可以阅读文章http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/ 。 正如TomTom所说,是的安全性已经从IIS 6.0中改变了很多。 本文深入介绍了IIS 7.0中发生的用户和组级别更改。
以下是网站链接和IIS 7中提供的帮助的一部分。
IIS_IUSRS组已被授予访问所有必需的文件和系统资源的权限,以便在添加到该组时可以无缝地充当应用程序池标识。 默认情况下,selectApplicationPoolIdentity帐户。 ApplicationPoolIdentity帐户是在应用程序池启动时dynamic创build的,因此该帐户为您的应用程序提供最高的安全性。
这是我的理解:
据此:
IIS 7还使configuration应用程序池标识和更轻松地进行所有必要更改的过程。 当IIS启动一个工作进程时,它需要创build一个进程将使用的令牌。 创build此令牌时,IIS 7会在运行时自动将IIS_IUSRS成员身份添加到工作进程令牌。 以“应用程序池标识”运行的帐户不再需要成为IIS_IUSRS组的明确部分。 这种改变可以帮助您设置更less的障碍,让您的整体体验更有利。
所以,无论我们将哪个帐户用作应用程序池标识,都可以说这个帐户将在运行时被dynamic和隐式地授予IIS_IUSRS组权限。 据称这种所谓的便利性是最为安全的。 无论如何,如果帐户作为应用程序池标识运行,谁不需要IIS_IUSRS权限。 但我只是喜欢一切都在阳光下。
谢谢
我build议您仔细阅读IIS 7中的权限处理 – 与您所知的完全不同。 完全;)
我通常设置:*每个网站一个用户*一个网站的应用程序池,运行在用户身份*这就是 – 权利去应用程序的用户。