Назад | Перейти на главную страницу

Для чего нужны учетные записи IUSR и IWAM в IIS?

Я ищу хорошее объяснение учетных записей IUSR и IWAM, используемых IIS, чтобы помочь мне лучше настроить нашу среду хостинга:

Почему они там?
В чем разница между ними?
Означают ли имена что-то значимое?
Следует ли мне внести какие-либо изменения в передовой опыт?
IIS также дает мне возможность запускать пулы приложений в качестве сетевой службы, локальной службы или локальной системы. Нужно ли мне?
Мой веб-сервер является частью домена, как это меняет ситуацию?

Кажется обычным создавать свои собственные версии этих учетных записей при развертывании нескольких сайтов на сервере, что вызывает некоторые дополнительные вопросы:

Когда я могу создать свои собственные учетные записи IUSR и IWAM?
Как мне создать эти дополнительные учетные записи, чтобы у них были правильные разрешения?

Я использую IIS 6 и IIS 7 в основном с конфигурациями по умолчанию.

IUSR и IWAM восходят к самым ранним дням IIS, когда вы устанавливали их отдельно (а не как компонент ОС). По умолчанию, если веб-сайт разрешает анонимную аутентификацию, учетная запись IUSR используется с учетом разрешений в ОС. Это можно изменить по умолчанию. Есть несколько рекомендаций по безопасности, чтобы хотя бы переименовать учетную запись, чтобы это не «известная» учетная запись, как и рекомендация переименовать учетную запись администратора на сервере. Вы можете узнать больше о IUSR и аутентификация в MSDN.

IWAM был разработан для любых приложений вне процесса и используется только в IIS 6.0, когда вы находитесь в режиме изоляции IIS 5.0. Обычно вы видели это с объектами COM / DCOM.

Что касается удостоверений пула приложений, по умолчанию используется сетевая служба. Вы не должны запускать в качестве локальной системы, потому что эта учетная запись имеет больше прав, чем у администратора. Таким образом, вы в основном перейдете к сетевой службе, локальной службе или локальной / доменной учетной записи, отличной от этих двух.

Что делать, это зависит от обстоятельств. Одно из преимуществ сохранения сетевой службы - это учетная запись с ограниченными правами на сервере. Однако, когда он обращается к ресурсам в сети, он отображается как Domain \ ComputerName $, что означает, что вы можете назначить разрешения, которые разрешают учетной записи сетевой службы получать доступ к ресурсам, таким как SQL Server, запущенный в другом компьютере. Кроме того, поскольку он отображается как учетная запись компьютера, если вы включите проверку подлинности Kerberos, SPN уже будет на месте, если вы заходите на веб-сайт по имени сервера.

Случай, когда вы могли бы подумать об изменении пула приложений на конкретную учетную запись домена Windows, если вы хотите, чтобы конкретная учетная запись имела доступ к сетевым ресурсам, таким как учетная запись службы для доступа к SQL Server для веб-приложения. В ASP.NET есть другие варианты, позволяющие сделать это без изменения идентификатора пула приложений, поэтому в этом больше нет необходимости. Еще одна причина, по которой вам следует рассмотреть возможность использования учетной записи пользователя домена, заключается в том, что вы выполняли проверку подлинности Kerberos и у вас было несколько веб-серверов, обслуживающих веб-приложение. Хорошим примером является наличие двух или более веб-серверов, обслуживающих службы отчетов SQL Server. Внешний интерфейс, вероятно, будет использовать общий URL-адрес, такой как reports.mydomain.com или Reporting.mydomain.com. В этом случае SPN можно применить только к одной учетной записи в AD. Если у вас есть пулы приложений, работающие в сетевой службе на каждом сервере, это не сработает, потому что, когда они покидают серверы, они отображаются как Domain \ ComputerName $, что означает, что у вас будет столько учетных записей, сколько у вас было серверов, обслуживающих приложение. Решение состоит в том, чтобы создать учетную запись домена, установить для удостоверения пула приложений на всех серверах одну и ту же учетную запись пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае такого приложения, как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, потому что тогда вам придется настроить делегирование Kerberos.

Я знаю, что это много, но краткий ответ: за исключением локальной системы, это зависит.

IUSR = Интернет-пользователь, то есть любой анонимный посетитель вашего сайта без аутентификации (то есть почти все)

IWAM = Internet Web Application Manager, т.е. все ваши приложения ASP и .NET будут работать под этой учетной записью.

Как правило, IUSR и IWAM должны иметь доступ ТОЛЬКО к тому, что им нужно. Им никогда не следует предоставлять доступ к чему-либо еще, в случае взлома этих учетных записей они не смогут получить доступ к чему-либо критически важному.

Это почти все, с чем я могу помочь из вашего списка вопросов, другие, более опытные в администрировании IIS, могут помочь вам в дальнейшем!

Я всегда прибегаю к этому руководству -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

Вы можете найти много на iis.net

Проще говоря, IUSR - это просто стандартные гостевые учетные записи, которые по умолчанию имеют разрешения на c: \ inetpub \ wwwroot.