Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Введение
В более ранних версиях IIS во время установки создается локальная учетная запись с именем IUSR_MachineName. Службы IIS использовали учетную запись IUSR_MachineName по умолчанию при включении анонимной аутентификации. Это использовалось как службами FTP, так и HTTP.
Существовала также группа с именем IIS_WPG, которая использовалась в качестве контейнера для всех удостоверений пула приложений. Во время установки IIS всем соответствующим ресурсам в системе были назначены корректные права доступа для группы IIS_WPG, чтобы администратору нужно было только добавить своё удостоверение в эту группу при создании нового аккаунта пула приложений.
Эта модель работала хорошо, но имела свои недостатки: учетная запись IUSR_MachineName и группа IIS_WPG, были локальными для системы, на которой они были созданы. Каждая учетная запись и группа в Windows присваивается уникальному номеру, называемому идентификатором безопасности (SID), который отличает его от других учетных записей. При создании ACL используется только SID (идентификатор безопасности). В рамках разработки в более ранних версиях IIS IUSR_MachineName был включен в файл metabase.xml, чтобы при попытке скопировать metabase.xml с одного компьютера на другой, он не будет работать. Учетная запись на другом компьютере будет иметь другое имя.
Кроме того, нельзя было использовать команду xcopy /o для копирования списков управления доступом с одного компьютера на другой, поскольку идентификаторы SID отличались на разных компьютерах. Одним из обходных решений было использование учетных записей домена, но это требовало добавления Active Directory в инфраструктуру. Группа IIS_WPG имела аналогичные проблемы с правами пользователя. Если вы настроили списки управления доступом (ACL) на файловой системе одного компьютера для IIS_WPG и попытались скопировать их с помощью команды 'xcopy /o' на другой компьютер, это приведет к сбою. Эта возможность улучшена в IIS 7 и более поздних версиях с помощью встроенной учетной записи и группы.
Встроенная учетная запись и группа операционной системой гарантируются всегда иметь уникальный идентификатор безопасности. IIS 7 и более поздние версии пошли ещё дальше, обеспечив, чтобы фактические имена, используемые новой учетной записью и группой, никогда не локализовывались. Например, независимо от языка установленных windows, имя учетной записи IIS всегда будет IUSR, а имя группы будет IIS_IUSRS.
В итоге IIS 7 и более поздних версий предлагают следующее:
- Встроенная учетная запись IUSR заменяет учетную запись IUSR_MachineName.
- Встроенная группа IIS_IUSRS заменяет группу IIS_WPG.
Учетная запись IUSR больше не требует пароля, так как это встроенная учетная запись. Логически вы можете думать об этом как о том же, что и учетные записи NETWORKSERVICE или LOCALSERVICE. Новая учетная запись IUSR и группа IIS_IUSRS подробно рассматриваются в разделах ниже.
Общие сведения о новой учетной записи IUSR
Учетная запись IUSR заменяет учетную запись IUSR_MachineName в IIS 7 и выше. Учетная запись IUSR_MachineName по-прежнему будет создана и используется, если установить сервер, совместимый с FTP 6, включенный в Windows Server 2008. Если вы не устанавливаете FTP-сервер, включенный в Windows Server 2008, эта учетная запись не будет создана.
Эта встроенная учетная запись не требует пароля и будет удостоверением по умолчанию, используемым при включенной анонимной проверке подлинности. При просмотре файла applicationHost.config вы увидите следующее определение:
<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />
Это сообщает IIS использовать новую встроенную учетную запись для всех анонимных запросов проверки подлинности. Самые большие преимущества заключаются в том, что вы можете:
- Задайте разрешения файловой системы для учетной записи IUSR с помощью проводника Windows или любого из многих средств командной строки.
- Больше не нужно беспокоиться о истечении срока действия паролей для этой учетной записи.
- Используйте xcopy /o для копирования файлов вместе с их правами владения и информацией ACL на разные компьютеры.
Замечание
Учетная запись IUSR похожа на LOCALSERVICE так, как она действует анонимно в сети. Учетные записи NETWORKSERVICE и LOCALSYSTEM могут выступать в качестве удостоверения компьютера, но учетная запись IUSR не может, так как для этого требуется повышение прав пользователя. Если вам нужна анонимная учетная запись для получения прав в сети, необходимо создать новую учетную запись пользователя и вручную задать имя пользователя и пароль, как и в прошлом для анонимной проверки подлинности.
Чтобы предоставить анонимные права учетной записи в сети с помощью диспетчера IIS:
- Нажмите кнопку "Пуск", введите INetMgr.exeи нажмите клавишу ВВОД. Если появится запрос, нажмите кнопку "Продолжить ", чтобы повысить уровень разрешений.
- В разделе "Подключения" нажмите + кнопку рядом с именем компьютера.
- В диспетчере IIS дважды щелкните сайт, который требуется администрировать.
- В режиме отображения функций дважды щелкните Проверка подлинности.
- Выберите анонимную проверку подлинности и нажмите кнопку "Изменить " на панели "Действия ".
- В диалоговом окне "Изменить анонимные учетные данные проверки подлинности" выберите параметр "Конкретный пользователь " и нажмите кнопку "Задать".
- В диалоговом окне "Задать учетные данные" введите нужное имя пользователя и пароль, а затем нажмите кнопку "ОК".
Общие сведения о новой группе IIS_IUSRS
Группа IIS_IUSRS заменяет группу IIS_WPG. Эта встроенная группа имеет доступ ко всем необходимым ресурсам файловой и системной системы, чтобы учетная запись, добавляемая в эту группу, легко действовала в качестве удостоверения пула приложений.
Как и в встроенной учетной записи, эта встроенная группа решает несколько препятствий развертывания xcopy. Если вы настроили разрешения на файлы для группы IIS_WPG (доступной в системах IIS 6.0) и попытались скопировать эти файлы на другой компьютер Windows, идентификатор безопасности группы будет отличаться на компьютерах, а конфигурации сайта будут нарушены.
Так как идентификатор безопасности группы в IIS 7 и выше совпадает со всеми системами, работающими под управлением Windows Server 2008, можно использовать xcopy /o для сохранения сведений о правах доступа и владения при перемещении файлов с компьютера на компьютер. Это упрощает развертывание xcopy.
IIS 7 и выше также упрощает настройку удостоверения пула приложений и делает процесс внесения всех необходимых изменений проще. При запуске рабочего процесса IIS необходимо создать маркер, который будет использоваться процессом. При создании этого маркера IIS автоматически добавляет членство IIS_IUSRS в маркер рабочих процессов в процессе выполнения. Учетные записи, которые выполняются в качестве удостоверений пула приложений, больше не должны быть явной частью группы IIS_IUSRS. Это изменение помогает настроить системы с меньшим количеством препятствий и сделать общий опыт более благоприятным.
Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу IIS_IUSRS, отключите эту новую функцию, установив для параметра manualGroupMembership значение true. В следующем примере показано, как это можно сделать для defaultAppPool:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools >