Поделиться через

Общие сведения об учетных записях пользователей и групп Built-In в IIS 7

  • Статья

Саад Ладки (Saad Ladki)

Введение

В более ранних версиях IIS во время установки создается локальная учетная запись с именем IUSR_MachineName. СЛУЖБЫ IIS использовали учетную запись IUSR_MachineName по умолчанию при включенной анонимной проверке подлинности. Он использовался службами FTP и HTTP.

Существовала также группа под названием IIS_WPG, которая использовалась в качестве контейнера для всех удостоверений пула приложений. Во время установки IIS всем соответствующим ресурсам в системе были предоставлены правильные права пользователя для IIS_WPG группы, поэтому администратору нужно было добавить свое удостоверение в группу только при создании учетной записи пула приложений.

Эта модель работала хорошо, но имела свои недостатки: учетная запись IUSR_MachineName и группа IIS_WPG были локальными для системы, в которую они были созданы. Каждой учетной записи и группе в Windows присваивается уникальный номер, называемый идентификатором безопасности (SID), который отличает их от других учетных записей. При создании ACL используется только идентификатор безопасности. В рамках проектирования в более ранних версиях IIS IUSR_MachineName были включены в файл metabase.xml, поэтому при попытке скопировать metabase.xml с одного компьютера на другой он не будет работать. Учетная запись на другом компьютере будет иметь другое имя.

Кроме того, нельзя было использовать списки управления доступом xcopy /o от одного компьютера к другому, так как идентификаторы безопасности отличались от компьютера к компьютеру. Одним из обходных решений было использование учетных записей домена, но для этого требовалось добавить Active Directory в инфраструктуру. У группы IIS_WPG были аналогичные проблемы с правами пользователя. Если вы задали списки управления доступом в файловой системе одного компьютера для IIS_WPG и попытались перенаправить их xcopy /o на другой компьютер, произойдет сбой. Эта возможность была улучшена в IIS 7 и более поздних версий с помощью встроенной учетной записи и группы.

Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный идентификатор безопасности. Службы IIS 7 и более поздних версий повысят это и гарантируют, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от устанавливаемого языка Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

Таким образом, СЛУЖБЫ IIS 7 и более поздних версий предлагают следующее:

  • Встроенная учетная запись IUSR заменяет учетную запись IUSR_MachineName.
  • Встроенная группа IIS_IUSRS заменяет группу IIS_WPG.

Для учетной записи IUSR больше не требуется пароль, так как это встроенная учетная запись. Логически его можно рассматривать как то же, что и учетные записи NETWORKSERVICE или LOCALSERVICE. Как новая учетная запись IUSR, так и группа IIS_IUSRS рассматриваются более подробно в разделах ниже.

Общие сведения о новой учетной записи IUSR

Учетная запись IUSR заменяет учетную запись IUSR_MachineName в IIS 7 и более поздних версиях. Учетная запись IUSR_MachineName будет по-прежнему создана и использоваться при установке сервера, совместимого с FTP 6, который входит в состав Windows Server 2008. Если не установить FTP-сервер, который входит в состав Windows Server 2008, эта учетная запись не будет создана.

Эта встроенная учетная запись не требует пароля и будет удостоверением по умолчанию, которое используется при включенной анонимной проверке подлинности. Если вы заглянете в файл applicationHost.config, вы увидите следующее определение:

<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />

Это указывает службам IIS использовать новую встроенную учетную запись для всех анонимных запросов проверки подлинности. Самыми большими преимуществами является то, что вы можете:

  • Настройте разрешения файловой системы для учетной записи IUSR с помощью windows Обозреватель или любого из множества программ командной строки.
  • Больше не нужно беспокоиться об истечении срока действия паролей для этой учетной записи.
  • Используйте xcopy /o для удобного копирования файлов вместе с информацией об их владельцах и ACL на разные компьютеры.

Примечание

Учетная запись IUSR похожа на LOCALSERVICE тем, как она анонимно действует в сети. Учетные записи NETWORKSERVICE и LOCALSYSTEM могут выступать в качестве удостоверения компьютера, но учетная запись IUSR не может, так как для этого потребуется повышение прав пользователя. Если анонимная учетная запись должна иметь права в сети, необходимо создать новую учетную запись пользователя и задать имя пользователя и пароль вручную, как это было в прошлом для анонимной проверки подлинности.

Чтобы предоставить анонимные права учетной записи в сети с помощью диспетчера IIS, выполните следующие действия.

  1. Нажмите кнопку Пуск, введитеINetMgr.exe, а затем нажмите клавишу ВВОД. При появлении запроса нажмите кнопку Продолжить , чтобы повысить уровень разрешений.
  2. В разделе Подключения нажмите кнопку + рядом с именем компьютера.
  3. В диспетчере IIS дважды щелкните сайт, который требуется администрировать.
  4. В представлении компонентов дважды щелкните элемент Проверка подлинности.
  5. Выберите Анонимная проверка подлинности и нажмите кнопку Изменить в области Действия .
  6. В диалоговом окне Изменение учетных данных анонимной проверки подлинности выберите параметр Конкретный пользователь и нажмите кнопку Задать.
  7. В диалоговом окне Настройка учетных данных введите имя пользователя и пароль, а затем нажмите кнопку ОК.

Общие сведения о новой группе IIS_IUSRS

Группа IIS_IUSRS заменяет группу IIS_WPG. Эта встроенная группа имеет доступ ко всем необходимым файловым и системным ресурсам, чтобы учетная запись при добавлении в эту группу беспрепятственно выступала в качестве удостоверения пула приложений.

Как и в случае со встроенной учетной записью, эта встроенная группа решает несколько препятствий для развертывания xcopy. Если вы задали разрешения на файлы для группы IIS_WPG (которая была доступна в системах IIS 6.0) и попытались скопировать эти файлы на другой компьютер Windows, идентификатор безопасности группы будет отличаться на всех компьютерах, и конфигурации сайта будут нарушены.

Так как идентификатор безопасности группы в IIS 7 и более поздних версиях одинаков во всех системах под управлением Windows Server 2008, можно использовать xcopy /o для сохранения сведений о списке управления правами доступа и владельце при перемещении файлов с компьютера на компьютер. Это упрощает развертывание xcopy.

СЛУЖБЫ IIS 7 и более поздних версий также упрощают процесс настройки удостоверения пула приложений и внесения всех необходимых изменений. Когда службы IIS запускают рабочий процесс, необходимо создать маркер, который будет использоваться процессом. При создании этого маркера службы IIS автоматически добавляют членство в IIS_IUSRS в маркер рабочих процессов во время выполнения. Учетные записи, которые выполняются как "удостоверения пула приложений", больше не должны быть явно частью группы IIS_IUSRS. Это изменение поможет вам настроить системы с меньшим количеством препятствий и сделать общее взаимодействие более благоприятным.

Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу IIS_IUSRS, отключите эту новую функцию, задав для параметра manualGroupMembershipзначение true. В следующем примере показано, как это можно сделать с defaultAppPool:

<applicationPools>
    <add name="DefaultAppPool">
        <processModel manualGroupMembership="true" />
    </add>
</applicationPools >