向 IIS_IUSRS 授予对 ASP.NET 网站根文件夹的完全控制权限有何安全影响?
为什么我不能仅向属于 IIS_IUSER 组的 IUSR 授予完全控制权限?
任何澄清这一冲突的答案,我们都非常感激。
最佳答案
由于名称的原因,IUSR 和 IIS_IUSRS 很容易混淆,但它们是两个不同的东西:
- IIS_IUSRS 是 IIS 工作进程帐户组。这意味着应用程序池本身运行的身份。
- IUSR 是匿名用户身份。这意味着 IIS 认为正在访问该站点的用户的身份。默认情况下,此用户不是 IIS_IUSRS 组的成员。
In IIS 7.0, a built-in account (IUSR) replaces the IUSR_MachineName account. Additionally, a group that is named IIS_IUSRS replaces the IIS_WPG group. [...] The IUSR account resembles a network or local service account. The IUSR_MachineName account is created and used only when the FTP 6 server that is included on the Windows Server 2008 DVD is installed. If the FTP 6 server is not installed, the account is not created. http://support.microsoft.com/kb/981949
IIS_IUSRS 是一个内置组,可以访问所有必需的文件和系统资源,以便帐户在添加到该组后可以无缝充当应用程序池身份。
阅读similar thread这解释了为什么授予对 IIS_IUSRS 的访问权限与授予对 IUSR 的相同访问权限具有不同的效果:
Here是有关 IIS 7 中使用的组和用户的很好的文档。
默认情况下,IIS_IUSRS 在 wwwroot 上仅具有读取和执行(并因此列出文件夹内容)权限。完全控制可能太多了。
关于asp.net - 授予 IIS_IUSRS 完全控制权限有哪些安全影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23319955/