2019年4月17日 星期三

[研究] IUSR 與 IIS_USRS 差別

[研究] IUSR 與 IIS_USRS 差別

2019-04-17

預設權限和使用者權限,IIS 7.0 與更新版本的描述
https://support.microsoft.com/zh-hk/help/981949/description-of-default-permissions-and-user-rights-for-iis-7-0-and-lat

在 IIS 6.0 和 IIS 7.0/7.5/8.0/8.5 之間的權限的變更

在 IIS 6.0 中,在安裝 IIS 時,會建立本機帳戶 (IUSR_MachineName)。「 IUSR_MachineName 」 帳戶是啟用匿名驗證時,由 IIS 的預設識別。FTP 服務和 HTTP 服務會使用匿名驗證。IIS 6.0 也會包含名為 IIS_WPG 群組。IIS_WPG 群組作為容器中,所有的應用程式集區身分的。

在 IIS 7.0 與更新的版本,內建的帳戶 (IUSR) 會取代 「 IUSR_MachineName 」 帳戶。此外,名為 IIS_IUSRS 的群組會取代 IIS_WPG 群組。因為 IUSR 帳戶是內建帳戶,IUSR 帳戶就不再需要密碼。網路或本機服務帳戶,類似於 IUSR 帳戶。IUSR_MachineName 帳戶建立,並將包含在 Windows Server 2008 DVD 的 FTP 6 伺服器安裝時,才使用。如果未安裝 FTP 6 伺服器,將不會建立帳戶。

從 IIS 7.5,新的安全性功能會加入這些規則就稱為應用程式集區識別。這項功能可讓您在唯一的帳戶下執行應用程式集區,而不必建立及管理網域或本機帳戶。應用程式集區帳戶的名稱會對應到應用程式集區名稱。

************************************************************

IIS 應用時 IUSR、IIS_IUSRS 有什麼區別呢?
http://www.cftea.com/c/2013/05/5835.asp

本文只適用於 Windows Server 2003。

在默認情況下,注意在默認情況下:

運行 ASP.NET 以外的文件是以 IUSR 用戶來運行的;
運行 ASP.NET 文件是以 IIS_IUSRS 用戶來運行的。

************************************************************



(完)

相關

了解在 IIS 中的識別身份
https://support.microsoft.com/zh-tw/help/4466942/understanding-identities-in-iis

windows IIS的IUSR和IIS_IUSRS 2
http://blog.51cto.com/tenderrain/1969186

Understanding Built-In User and Group Accounts in IIS 7
2007/11/22
https://docs.microsoft.com/zh-tw/iis/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

IIS的帳戶安全性
2011年2月9日
https://atifans.net/articles/account-security-for-iis/
而網頁有寫入需求的時候,只要把目錄的NTFS權限加上"IUSR"的寫入許可就行了


沒有留言:

張貼留言