Какой из них я должен использовать для «анонимного пользователя»? «конкретный пользователь: IUSR» или «идентификатор пула приложений»?

Question

На центральной панели диспетчера IIS есть значок «Аутентификация», как показано ниже:

Нажав на иконку, мы получим 3 элемента следующим образом:

Щелкните правой кнопкой мыши Anonymous Authentication и выберите edit, у нас есть:

Вопрос: какую мне использовать? В чем разница?

Answer 1

«Идентификационный номер пула приложений - это имя учетной записи, под которой запускается рабочий процесс пула приложений. По умолчанию пулы приложений работают под учетной записью сетевой службы, которая обладает низкоуровневыми правами доступа пользователей».Определенный пользователь - это пользователь, которого вы можете настроить самостоятельно, чтобы указать, какая учетная запись будет выдавать себя за ваш сервер, когда пользователи заходят на ваш сайт.Я бы пошел с IUSR и дал бы учетной записи необходимые привилегии. идентификатор пула приложений

Answer 2

Этот совет обычно работает для IIS6, но я думаю, что то же самое относится и к IIS7.

Процесс, который IIS использует для обработки входящих запросов, запускается ОС и запускается как IUSR_MachineName. Это очень привилегированная учетная запись, которая в принципе ничего не может сделать. Затем ваш запрос передается в .Net, который выполняется как другой процесс (W3WP на IIS6) в пуле приложений. Пул приложений имеет назначенный идентификатор, по умолчанию networkservice, который является достаточно привилегированной учетной записью, например, он может устанавливать сетевые подключения, чего не может делать другая встроенная учетная запись. Вы можете изменить удостоверение пула приложений на любую учетную запись, но выбранной учетной записи потребуются определенные привилегии ОС.

Что все это значит для вас? Хорошо используйте NetworkService, если у вас нет каких-либо неизменных требований в противном случае. Вам нужно читать файлы, скажем, как конкретный пользователь? Игнорировать учетную запись IUSR. Это способ получить низкую привилегию, если вы действительно не хотите заблокировать свой сервер, но будьте готовы к тому, что он заработает много времени.

Саймон

Answer 3

Вы в основном выбираете, какой будет личность анонимного пользователя. Вы можете выбрать конкретного пользователя или идентификацию пула приложений. Какой из них использовать, зависит от вашего приложения. Если вашему приложению требуются определенные пользовательские разрешения или доступ, вы можете выбрать этого пользователя, в противном случае можно использовать пользователя пула приложений. Не зная, что делает ваше приложение, трудно так или иначе направить вас.

Answer 4

В IIS 7 и более поздних версиях, по сути, есть 3 места, которые управляют пользователями, которые управляют вашим сайтом

Дополнительные настройки пула приложений

Вы найдете в области конфигурации пула приложений в верхней части диспетчера IIS, затем выберите используемый пул приложений и нажмите Дополнительные параметры на панели действий.

Этоэто пользователь, который запускает процесс w3wp.exe, который запускает каждое приложение.В общем, именно здесь я предлагаю всем настроить своего пользователя и оставить все как есть.При использовании чего-либо, кроме ASP.net Impersonation, этот пользователь будет подключаться к SQL Server при подключении с использованием режима Trusted / Windows auth.

«Подключиться как» пользователь

Это можно найти, выбрав сайт или приложение, а затем щелкнув Основные настройки на панели действий.Он также доступен при создании сайта.

Этот пользователь используется только для подключения к файлам, в которых хранится сайт.Например, если вы храните их в отдельном сетевом ресурсе и вам необходимо предоставить логин только для доступа к нему.

Анонимный пользователь

Это пользователь, который задает вопросспрашивать о.Обратите внимание, как это происходит в разделе IIS панели функций.Это пользователь, который IIS передает в приложение .Если вы используете анонимную аутентификацию, то вы, вероятно, используете отдельный механизм для обработки входов в систему (если вообще).

Только в одном случае я пытался изменить это, и я думаю, что это былоПриложение PHP, использующее URL Переписать перенаправление на файл изображения и вернуть 401 Unauthorized.