IUSR и IWAM относятся к самым ранним дням IIS, когда вы устанавливали его отдельно (не как компонент ОС). По умолчанию, если веб-сайт разрешает анонимную аутентификацию, учетная запись IUSR используется в отношении разрешений в ОС. Это можно изменить по умолчанию. Существуют некоторые рекомендации по безопасности, по крайней мере, для переименования учетной записи, так что это не «известная» учетная запись, очень похоже на рекомендацию переименовать учетную запись администратора на сервере. Вы можете узнать больше о IUSR и аутентификации на MSDN .
IWAM был разработан для любых внепроцессных приложений и используется только в IIS 6.0, когда вы находитесь в режиме изоляции IIS 5.0. Вы обычно видели это с объектами COM / DCOM.
Что касается идентификаторов пула приложений, по умолчанию используется сетевая служба. Вы не должны работать как локальная система, потому что эта учетная запись обладает правами, превышающими права администратора. Таким образом, это в основном оставляет вам сетевую службу, локальную службу или учетную запись локального / домена, отличную от этих двух.
От того, что делать, зависит. Одно из преимуществ использования его в качестве сетевой службы - это учетная запись с ограниченными правами на сервере. Однако, когда он получает доступ к ресурсам по сети, он отображается как Domain \ ComputerName $, что означает, что вы можете назначать разрешения, которые позволяют учетной записи сетевой службы получать доступ к таким ресурсам, как SQL Server, запущенный в другом окне. Кроме того, поскольку он отображается как учетная запись компьютера, если вы включите проверку подлинности Kerberos, SPN уже используется, если вы заходите на веб-сайт по имени сервера.
Случай, когда вы захотите изменить пул приложений на конкретную учетную запись домена Windows, если вы хотите, чтобы определенная учетная запись осуществляла доступ к сетевым ресурсам, таким как учетная запись службы для доступа к SQL Server для веб-приложения. В ASP.NET есть и другие варианты, позволяющие сделать это без изменения идентификатора пула приложений, поэтому в этом больше нет необходимости. Еще одна причина, по которой вам стоит подумать об использовании учетной записи пользователя домена, заключается в том, что вы выполняете аутентификацию Kerberos и у вас есть несколько веб-серверов, обслуживающих веб-приложение. Хороший пример - если у вас есть два или более веб-сервера, обслуживающих службы отчетов SQL Server. Внешний интерфейс, вероятно, будет с общим URL-адресом, таким как reports.mydomain.com или reports.mydomain.com. В этом случае SPN может применяться только к одной учетной записи в AD. Если на каждом сервере у вас есть пулы приложений, запущенные в разделе «Сетевая служба», это не будет работать, поскольку, когда они покидают серверы, они отображаются как Domain \ ComputerName $, то есть у вас будет столько учетных записей, сколько серверов обслуживают серверы. приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos. У меня будет столько учетных записей, сколько серверов обслуживает приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos. У меня будет столько учетных записей, сколько серверов обслуживает приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos.
Я знаю, что это много, но краткий ответ, за исключением локальной системы, зависит.
IUSR = Интернет-пользователь, то есть любой анонимный, не прошедший проверку подлинности посетитель вашего сайта (т.е. почти все)
IWAM = Internet Web Application Manager, т.е. все ваши приложения ASP и .NET будут работать под этой учетной записью
Как правило, IUSR и IWAM должны иметь ТОЛЬКО доступ к тому, что им нужно. Им никогда не следует предоставлять доступ ни к чему другому, если эти учетные записи будут взломаны, они не смогут получить доступ к чему-либо критическому.
Это все, что я могу помочь из вашего списка вопросов, другие, кто имеет больше опыта в администрировании IIS, могут помочь вам в дальнейшем!
источник
Я всегда прибегаю к этому руководству -
http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/
Вы можете найти много на iis.net
Проще говоря, IUSR - это просто гостевые учетные записи, которые по умолчанию имеют разрешения на c: \ inetpub \ wwwroot.
источник