Я пытаюсь понять модель учетной записи пользователя IIS 8.5.
IUSR: анонимный пользователь по умолчанию (можно изменить). это идентификатор, который запрашивает веб-ресурс
ApplicationPoolIdentity: специальный идентификатор, используемый для пулов приложений
IIS_IUSRS: это группа, в которой все специальные ApplicationPoolIdentity находятся в
IIS_IUSRS имеет разрешение на чтение / выполнение в папке wwwroot
Я не понимаю, почему IUSR не имеет разрешения на папку wwwroot
Как любой веб-запрос может не привести к 401 ???
Если вы посмотрите на разрешение по умолчанию для C:\inetpub\wwwroot:
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
вы можете увидеть Users группа имеет доступ на чтение, IUSR автоматически является членом Users group, поэтому он может получить доступ к файлам.
Если вы удалите разрешения для Users ты должен получить 401.3
Поскольку IUSR счет помещен в users группа в силу NT Authority\Authenticated Users группа.
В основном эти два существуют по причинам наследия, но служат двум различным целям.
IUSR учетная запись используется для анонимной аутентификацииIIS_IUSRS группа используется для обеспечения контроля безопасности для пользователей пула приложенийЕсть некоторые рецензии на историю и некоторые приличные информация об использовании учетной записи IUSR и его предшественник IUSR_computername доступный.