it-swarm-ru.tech

Что такое учетные записи IUSR и IWAM в IIS?

Я ищу хорошее объяснение учетных записей IUSR и IWAM, используемых IIS, чтобы помочь мне лучше настроить нашу среду хостинга:

  • Почему они там?
  • Какая разница между ними?
  • Названия означают что-то значимое?
  • Есть ли какие-то изменения в лучших практиках, которые я должен сделать?
  • IIS также дает мне возможность запускать пулы приложений как сетевая служба, локальная служба или локальная система. Нужно ли мне?
  • Мой веб-сервер является частью домена, как это меняет дело?

При развертывании нескольких сайтов на сервере часто возникает необходимость создавать собственные версии этих учетных записей, что вызывает некоторые дополнительные вопросы:

  • Когда я захочу создать свои собственные учетные записи IUSR и IWAM?
  • Как мне создать эти дополнительные учетные записи, чтобы они имели правильные разрешения?

Я использую как IIS 6, так и IIS 7, в основном с конфигурациями по умолчанию).

23
Generic Error

IUSR и IWAM относятся к самым ранним временам IIS, когда вы устанавливали его отдельно (не как компонент ОС). По умолчанию, если веб-сайт разрешает анонимную аутентификацию, используется учетная запись IUSR в отношении разрешений для ОС. Это можно изменить по умолчанию. Существуют некоторые рекомендации по безопасности, по крайней мере, для переименования учетной записи, так что это не "известная" учетная запись, во многом как рекомендация переименовать учетную запись администратора в сервер. Вы можете узнать больше о IUSR и аутентификация на MSDN .

IWAM был разработан для любых внепроцессных приложений и используется только в IIS 6.0, когда вы находитесь в IIS 5.0 режим изоляции. Обычно вы видели это с COM)./DCOM объекты.

Что касается идентификаторов пула приложений, по умолчанию используется сетевая служба. Вы не должны работать как локальная система, потому что эта учетная запись обладает правами, превышающими права администратора. Таким образом, это в основном оставляет вам сетевую службу, локальную службу или локальную/доменную учетную запись, отличную от этих двух.

От того, что делать, зависит. Одно из преимуществ использования его в качестве сетевой службы - это учетная запись с ограниченными правами на сервере. Однако, когда он обращается к ресурсам по сети, он отображается как Domain\ComputerName $, что означает, что вы можете назначить разрешения, которые позволяют учетной записи сетевой службы получать доступ к таким ресурсам, как SQL Server, запущенный в другом окне. Кроме того, поскольку он отображается как учетная запись компьютера, если вы включите проверку подлинности Kerberos, SPN уже используется, если вы заходите на веб-сайт по имени сервера.

Случай, когда вы захотите изменить пул приложений на конкретную учетную запись домена Windows, если вы хотите, чтобы определенная учетная запись осуществляла доступ к сетевым ресурсам, таким как учетная запись службы для доступа к SQL Server для веб-приложения. В ASP.NET есть и другие варианты, позволяющие сделать это без изменения идентификатора пула приложений, поэтому в этом больше нет необходимости. Еще одна причина, по которой вам стоит подумать об использовании учетной записи пользователя домена, заключается в том, что вы выполняете аутентификацию Kerberos, и у вас есть несколько веб-серверов, обслуживающих веб-приложение. Хороший пример - если у вас есть два или более веб-сервера, обслуживающих службы отчетов SQL Server. Внешний интерфейс, вероятно, будет с общим URL-адресом, таким как reports.mydomain.com или reports.mydomain.com. В этом случае SPN может применяться только к одной учетной записи в AD. Если на каждом сервере у вас есть пулы приложений, запущенные в разделе "Сетевая служба", это не будет работать, поскольку, когда они покидают серверы, они отображаются как Domain\ComputerName $, то есть у вас будет столько учетных записей, сколько серверов обслуживают серверы. приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вам может потребоваться передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos.

Я знаю, что это много, но краткий ответ, за исключением локальной системы, зависит.

34
K. Brian Kelley

IUSR = Интернет-пользователь, то есть любой анонимный, не прошедший проверку подлинности посетитель вашего веб-сайта (т.е. почти все)

IWAM = менеджер веб-приложений в Интернете, т. Е. Все ваши ASP и .NET будут работать под этой учетной записью

Как правило, IUSR и IWAM должны иметь ТОЛЬКО доступ к тому, что им нужно. Им никогда не следует предоставлять доступ ни к чему другому, если эти учетные записи будут взломаны, они не смогут получить доступ к чему-либо критическому.

Это все, что я могу помочь из вашего списка вопросов, другие с большим опытом в IIS может помочь вам в дальнейшем!

9
Mark Henderson

Я всегда прибегаю к этому руководству -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

Вы можете найти много на iis.net

проще говоря, IUSR просто из гостевых учетных записей, которые по умолчанию имеют разрешения на c:\inetpub\wwwroot.

7
William Hilsum