Назад | Перейти на главную страницу

Почему назначение разрешений на чтение и выполнение для IIS_IUSRS предоставляет доступ к СЕТЕВОЙ СЛУЖБЕ?

У меня есть классический сайт ASP, который я пытаюсь настроить с помощью анонимной аутентификации. Ниже моя текущая настройка:

Назначение разрешений на чтение и выполнение для IUSR счет и NETWORK SERVICE учетная запись в каталоге сайта позволяет анонимный доступ. Однако почему-то NETWORK SERVICE разрешения могут быть назначены IIS_IUSRS и достигается тот же эффект. Мне это кажется странным, учитывая, что пул приложений работает с выбранным идентификатором NetworkService, а не с идентификатором ApplicationPoolIdentity. И используя net localgroup IIS_IUSRS показывает, что NETWORK SERVICE не является членом IIS_IUSRS группа на машине.

Так зачем назначать разрешения для IIS_IUSRS дать доступ к NETWORK SERVICE учетная запись?

Я подумал, может быть, есть какая-то странная логика отката, когда он пытается использовать виртуальную учетную запись пула приложений, если он не может аутентифицироваться с NETWORK SERVICE, но запущенный Process Monitor показывает, что процесс w3wp.exe успешно аутентифицируется с помощью NT Authority\NETWORK SERVICE. Любые идеи?

Вот некоторая информация о сервере, если это поможет:

Любая учетная запись, на которой запущен пул приложений IIS, автоматически добавляется в IIS_IUSRS группа во время выполнения.

Или, вернее, токен безопасности для IIS_IUSRS группа добавляется к токенам безопасности для процесса, выполняющего любой пул приложений.

Глядя на статическое членство IIS_IUSRS группа дает вам неправильное представление о том, что происходит.

Если вы посмотрите на вкладку безопасности в Process Explorer, вы должны увидеть BUILTIN\IIS_IUSRS как одна из групп w3wp.exe обработать.