理解IUSR_<machine>账户

Question

也就是说，设置此帐户的读/写权限与在IIS中授予读/写访问权限(Windows 2003，所以如果我没有弄错的话应该是IIS6 )有何不同。

问题是:看起来我们进行了一次安全扫描，作为IUSR帐户的一部分，到处都失去了写访问权。很多传统的ASP网站都不喜欢.

我表面上的理解是，只要拒绝IIS控制台中的写访问，就可以保护网站不被人随意丢弃文件，而IUSR访问只对运行服务器端的应用程序脚本有影响，因此可以安全地给予写访问权。

编辑：

这些应用程序显然需要对它们自己的web文件夹进行写访问，否则这根本不是一个问题。问题是如何配置IIS/应用程序以满足安全性并使其工作。我的第一反应是改变帐户，这是用来运行应用程序池。然而，这已经被设置为NETWORK_SERVICE，并且那个家伙已经可以完全访问有问题的文件夹了。

Answer 1

大多数人很难理解IIS匿名用户之间的区别(IUSR_.)以及用于执行二进制文件的帐户(应用程序池帐户)。

如果用户没有在服务器上进行身份验证，则使用IUSR帐户--对于“正常”网站来说，这是默认的用例。对于intranet站点，可以禁用对IIS服务器的匿名访问，并允许用户(自动)提交其网络/域凭据。

匿名帐户对文件和文件夹的权限确定普通web用户可以在该服务器上访问哪些资源(文件)。通常，所有(静态)文件都是只读的，您不允许列出文件夹内容。

应用程序池标识(例如，网络服务帐户)是不同的。它是执行脚本或程序集的帐户，进程标识。例如，如果应用程序想要写入某个文件夹(例如C:\temp)，则该帐户必须具有文件系统权限才能修改该文件夹中的文件。

以下是其他信息的一些链接：

• 理解IIS 7中内置的用户和组帐户 (learn.iis.net)
• IUSR和在IIS中的帐户是什么？ (服务器故障)

Answer 2

IUSR帐户是一个内置用户帐户，默认情况下作为IIS6中的匿名用户使用。默认情况下，它不是一个强大的帐户，通常我建议我的用户如果可能的话不要使用它。造成这种情况的主要原因是孤立原则。你不希望其他管理员的溢出效应让你的应用程序不开心。