Я настраиваю веб-сервер и замечаю, что он дает IIS_IUSRS чтение и выполнение (и, как следствие, список содержимого папки) разрешения на wwwroot. Я пытаюсь убедиться, что это возможно, и просто задаюсь вопросом, можно ли оставить это?
На моем последнем сервере (Win2003) я давал пользователям только права на чтение в wwwroot, а затем вручную добавлял разрешения на запись / выполнение для папок по мере необходимости.
Просто интересно, все ли остальные оставляют разрешения как есть?
Вы можете просмотреть статью http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/. Как сказал TomTom, да, безопасность сильно изменилась по сравнению с IIS 6.0. В статье подробно рассказывается об изменениях на уровне пользователей и групп, произошедших в IIS 7.0.
Ниже приведена часть ссылки на веб-сайт и справки, доступной в IIS 7.
Группе IIS_IUSRS предоставлен доступ ко всем необходимым файловым и системным ресурсам, так что учетная запись, добавленная в эту группу, может беспрепятственно действовать как удостоверение пула приложений. По умолчанию выбрана учетная запись ApplicationPoolIdentity. Учетная запись ApplicationPoolIdentity создается динамически при запуске пула приложений, поэтому эта учетная запись обеспечивает максимальную безопасность для ваших приложений.
Вот мое понимание:
В соответствии с Вот:
IIS 7 также упрощает процесс настройки удостоверения пула приложений и внесения всех необходимых изменений. Когда IIS запускает рабочий процесс, ему необходимо создать токен, который этот процесс будет использовать. Когда этот токен создается, IIS 7 автоматически добавляет членство IIS_IUSRS к токену рабочих процессов во время выполнения. Учетные записи, которые работают как «удостоверения пула приложений», больше не должны быть явной частью группы IIS_IUSRS. Это изменение поможет вам настроить ваши системы с меньшим количеством препятствий и сделает ваше общее впечатление более благоприятным.
Таким образом, можно сказать, что независимо от того, какую учетную запись мы используем в качестве идентификатора пула приложений, этой учетной записи будет предоставлено разрешение группы IIS_IUSRS во время выполнения. динамически и неявно. это так называемый Утверждается, что удобство обеспечивает большинство безопасность. В любом случае, кому не нужны разрешения IIS_IUSRS, если учетная запись работает как удостоверение пула приложений. Но мне просто нравится, чтобы все было на солнышке.
Спасибо
Я предлагаю вам действительно ознакомиться с обработкой разрешений в IIS 7 - она ПОЛНОСТЬЮ отличается от той, которую вы знаете. Полностью;)
Обычно я настраиваю: * одного пользователя для каждого веб-сайта * один пул приложений для веб-сайта revery, работающий под именем пользователя * Вот и все - права переходят к пользователю приложения.