Общие сведения об учетных записях пользователей и групп Built-In в IIS 7
Введение
В более ранних версиях IIS во время установки создается локальная учетная запись с именем IUSR_MachineName. СЛУЖБЫ IIS использовали учетную запись IUSR_MachineName по умолчанию при включенной анонимной проверке подлинности. Он использовался службами FTP и HTTP.
Существовала также группа под названием IIS_WPG, которая использовалась в качестве контейнера для всех удостоверений пула приложений. Во время установки IIS всем соответствующим ресурсам в системе были предоставлены правильные права пользователя для IIS_WPG группы, поэтому администратору нужно было добавить свое удостоверение в группу только при создании учетной записи пула приложений.
Эта модель работала хорошо, но имела свои недостатки: учетная запись IUSR_MachineName и группа IIS_WPG были локальными для системы, в которую они были созданы. Каждой учетной записи и группе в Windows присваивается уникальный номер, называемый идентификатором безопасности (SID), который отличает их от других учетных записей. При создании ACL используется только идентификатор безопасности. В рамках проектирования в более ранних версиях IIS IUSR_MachineName были включены в файл metabase.xml, поэтому при попытке скопировать metabase.xml с одного компьютера на другой он не будет работать. Учетная запись на другом компьютере будет иметь другое имя.
Кроме того, нельзя было использовать списки управления доступом xcopy /o от одного компьютера к другому, так как идентификаторы безопасности отличались от компьютера к компьютеру. Одним из обходных решений было использование учетных записей домена, но для этого требовалось добавить Active Directory в инфраструктуру. У группы IIS_WPG были аналогичные проблемы с правами пользователя. Если вы задали списки управления доступом в файловой системе одного компьютера для IIS_WPG и попытались перенаправить их xcopy /o на другой компьютер, произойдет сбой. Эта возможность была улучшена в IIS 7 и более поздних версий с помощью встроенной учетной записи и группы.
Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный идентификатор безопасности. Службы IIS 7 и более поздних версий повысят это и гарантируют, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от устанавливаемого языка Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.
Таким образом, СЛУЖБЫ IIS 7 и более поздних версий предлагают следующее:
- Встроенная учетная запись IUSR заменяет учетную запись IUSR_MachineName.
- Встроенная группа IIS_IUSRS заменяет группу IIS_WPG.
Для учетной записи IUSR больше не требуется пароль, так как это встроенная учетная запись. Логически его можно рассматривать как то же, что и учетные записи NETWORKSERVICE или LOCALSERVICE. Как новая учетная запись IUSR, так и группа IIS_IUSRS рассматриваются более подробно в разделах ниже.
Общие сведения о новой учетной записи IUSR
Учетная запись IUSR заменяет учетную запись IUSR_MachineName в IIS 7 и более поздних версиях. Учетная запись IUSR_MachineName будет по-прежнему создана и использоваться при установке сервера, совместимого с FTP 6, который входит в состав Windows Server 2008. Если не установить FTP-сервер, который входит в состав Windows Server 2008, эта учетная запись не будет создана.
Эта встроенная учетная запись не требует пароля и будет удостоверением по умолчанию, которое используется при включенной анонимной проверке подлинности. Если вы заглянете в файл applicationHost.config, вы увидите следующее определение:
<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />
Это указывает службам IIS использовать новую встроенную учетную запись для всех анонимных запросов проверки подлинности. Самыми большими преимуществами является то, что вы можете:
- Настройте разрешения файловой системы для учетной записи IUSR с помощью windows Обозреватель или любого из множества программ командной строки.
- Больше не нужно беспокоиться об истечении срока действия паролей для этой учетной записи.
- Используйте xcopy /o для удобного копирования файлов вместе с информацией об их владельцах и ACL на разные компьютеры.
Примечание
Учетная запись IUSR похожа на LOCALSERVICE тем, как она анонимно действует в сети. Учетные записи NETWORKSERVICE и LOCALSYSTEM могут выступать в качестве удостоверения компьютера, но учетная запись IUSR не может, так как для этого потребуется повышение прав пользователя. Если анонимная учетная запись должна иметь права в сети, необходимо создать новую учетную запись пользователя и задать имя пользователя и пароль вручную, как это было в прошлом для анонимной проверки подлинности.
Чтобы предоставить анонимные права учетной записи в сети с помощью диспетчера IIS, выполните следующие действия.
- Нажмите кнопку Пуск, введитеINetMgr.exe, а затем нажмите клавишу ВВОД. При появлении запроса нажмите кнопку Продолжить , чтобы повысить уровень разрешений.
- В разделе Подключения нажмите кнопку + рядом с именем компьютера.
- В диспетчере IIS дважды щелкните сайт, который требуется администрировать.
- В представлении компонентов дважды щелкните элемент Проверка подлинности.
- Выберите Анонимная проверка подлинности и нажмите кнопку Изменить в области Действия .
- В диалоговом окне Изменение учетных данных анонимной проверки подлинности выберите параметр Конкретный пользователь и нажмите кнопку Задать.
- В диалоговом окне Настройка учетных данных введите имя пользователя и пароль, а затем нажмите кнопку ОК.
Общие сведения о новой группе IIS_IUSRS
Группа IIS_IUSRS заменяет группу IIS_WPG. Эта встроенная группа имеет доступ ко всем необходимым файловым и системным ресурсам, чтобы учетная запись при добавлении в эту группу беспрепятственно выступала в качестве удостоверения пула приложений.
Как и в случае со встроенной учетной записью, эта встроенная группа решает несколько препятствий для развертывания xcopy. Если вы задали разрешения на файлы для группы IIS_WPG (которая была доступна в системах IIS 6.0) и попытались скопировать эти файлы на другой компьютер Windows, идентификатор безопасности группы будет отличаться на всех компьютерах, и конфигурации сайта будут нарушены.
Так как идентификатор безопасности группы в IIS 7 и более поздних версиях одинаков во всех системах под управлением Windows Server 2008, можно использовать xcopy /o для сохранения сведений о списке управления правами доступа и владельце при перемещении файлов с компьютера на компьютер. Это упрощает развертывание xcopy.
СЛУЖБЫ IIS 7 и более поздних версий также упрощают процесс настройки удостоверения пула приложений и внесения всех необходимых изменений. Когда службы IIS запускают рабочий процесс, необходимо создать маркер, который будет использоваться процессом. При создании этого маркера службы IIS автоматически добавляют членство в IIS_IUSRS в маркер рабочих процессов во время выполнения. Учетные записи, которые выполняются как "удостоверения пула приложений", больше не должны быть явно частью группы IIS_IUSRS. Это изменение поможет вам настроить системы с меньшим количеством препятствий и сделать общее взаимодействие более благоприятным.
Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу IIS_IUSRS, отключите эту новую функцию, задав для параметра manualGroupMembershipзначение true. В следующем примере показано, как это можно сделать с defaultAppPool:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools >
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по