Мне нужно создать учетную запись пользователя, которая: A) не входит в группу IIS_WPG, которая будет записывать в папки, и B) используется в качестве учетной записи Identity DefaultAppPool. Целью B является предотвращение передачи анонимных HTTP-файлов с сервера 1 на сервер 2.
Мне удалось создать учетную запись пользователя для AppPool, но служба работает, только если она связана с IIS_WPG. Могу ли я создать учетную запись другого типа?
Вы не могу не иметь идентификатор пула, который не является членом IIS_WPG и быть удостоверением пула приложений. В IIS_WPG Группа настроена с правильным количеством разрешений NTFS и привилегий пользователя, чтобы позволить членам группы быть удостоверениями пула приложений.
Видеть: IIS и встроенные учетные записи (IIS 6.0) и в частности: Настройка удостоверения пула приложений в IIS 6.0 (IIS 6.0)
Если вы хотите создать другую группу или пользователя с таким же минимальным набором разрешений, это будет идентично тому, что IIS_WPG есть.
Одна вещь, которую вам не следует делать, - это назначать IIS_WPG группируйте любые разрешения в своих веб-папках. IIS_WPG - это просто удобная группа, позволяющая администраторам разрешать настраиваемым учетным записям пользователей быть идентификаторами пула.
Права, которые вы должны назначать своим веб-папкам IIS, должны быть самой учетной записью пула, где учетная запись пула также является анонимным пользователем сайта.
Или, если вы запускаете несколько сайтов в одном пуле, но вам нужны разные анонимные идентификаторы, вы должны настроить дополнительные учетные записи Windows и установить их как анонимного пользователя.