Я использую Windows 2012 и настроил свой пул приложений IIS для использования моего собственного »XXXWeb' учетная запись. На моем веб-сайте используется правильный пул приложений (процесс W3WP также работает как «XXXWeb»). Я настроил пользователя «XXXWeb» так, что у него нет прав на запись в веб-каталог.
К моему удивлению, я увидел, что пользователь может записывать файл журнала в каталог, в котором пользователь XXXWeb не имеет никаких прав. Я проверил с помощью Process Monitor и увидел, что операция «WriteFile» была выполнена с привилегией «XXXWeb» и прошла успешно. Когда я пытаюсь записать точно такой же файл, когда я вошел в систему как «XXXWeb», это не удается.
Кто-нибудь знает, что может быть не так? Я не хочу, чтобы у AppPool были права записи, чтобы предотвратить проблемы с безопасностью, когда мой IIS по какой-то причине взламывается.