У меня есть классический сайт ASP, который я пытаюсь настроить с помощью анонимной аутентификации. Ниже моя текущая настройка:
Назначение разрешений на чтение и выполнение для IUSR
счет и NETWORK SERVICE
учетная запись в каталоге сайта позволяет анонимный доступ. Однако почему-то NETWORK SERVICE
разрешения могут быть назначены IIS_IUSRS
и достигается тот же эффект. Мне это кажется странным, учитывая, что пул приложений работает с выбранным идентификатором NetworkService, а не с идентификатором ApplicationPoolIdentity. И используя net localgroup IIS_IUSRS
показывает, что NETWORK SERVICE
не является членом IIS_IUSRS
группа на машине.
Так зачем назначать разрешения для IIS_IUSRS
дать доступ к NETWORK SERVICE
учетная запись?
Я подумал, может быть, есть какая-то странная логика отката, когда он пытается использовать виртуальную учетную запись пула приложений, если он не может аутентифицироваться с NETWORK SERVICE
, но запущенный Process Monitor показывает, что процесс w3wp.exe успешно аутентифицируется с помощью NT Authority\NETWORK SERVICE
. Любые идеи?
Вот некоторая информация о сервере, если это поможет:
Любая учетная запись, на которой запущен пул приложений IIS, автоматически добавляется в IIS_IUSRS
группа во время выполнения.
Или, вернее, токен безопасности для IIS_IUSRS
группа добавляется к токенам безопасности для процесса, выполняющего любой пул приложений.
Глядя на статическое членство IIS_IUSRS
группа дает вам неправильное представление о том, что происходит.
Если вы посмотрите на вкладку безопасности в Process Explorer, вы должны увидеть BUILTIN\IIS_IUSRS
как одна из групп w3wp.exe
обработать.