IIS7.5中如何使用ApplicationPoolIdentity标识进行读写权限配置
http://www.05188.com/t1222481p1/
注:此文仅限在IIS7.5中有效。
ApplicationPoolIdentity是什么?
ApplicationPoolIdentity是一个在IIS7.5中除了之前已经存在的(LocalService,LocalSystem,NetWorkService)新增的Identity,是微软推荐的网站运行时最安全的标识。使用ApplicationPoolIdentity作为Identity运行时使用的账户微软称之为虚拟账户。“为了增强 IIS的服务隔离和可管理性,微软在 Windows 2008 R2 和 Windows 7 中引入了一种新的帐户类型,即虚拟帐户。”
虚拟账户有什么特点呢?
- 虚拟账号不需要进行密码管理,可以节省我们的时间。
- 虚拟账户是运行时动态创建的,我们在用户管理中是无法看到的,使用命令行下输入net user也无法显示。
- 虚拟账户权限独立且较低,默认情况下,虚拟账户只有对当前网站目录的访问权限,除非你手动设置对其他目录的权限(区别于IIS6中所有网站需要使用NetWorkServices,当某个网站使用NetWorkServices时对其他网站目录也有操作权限)。
如何设置ApplicationPoolIdentity作为运行标识呢?
在IIS7.5中,我们为一个网站创建应用程序池(ApplicationPool)后默认的运行标识Identity就是“ ApplicationPoolIdentity”。下面我们说一下如何手动设置。
1、点击应用程序池按钮,找到网站对应的应用程序池,右击-高级设置。
2、找到标识(Identity)栏,点击选择内置账号下的ApplicationPoolIdentity选项。
默认ApplicationPoolIdentity只有读取权限,如何设置它对目录的写入权限呢?
1、点击网站,选择对应的网站,右击-权限编辑。
2、安全-组或用户名-编辑,组或用户名-添加,输入 IIS AppPoolwww.xxx.com(即IIS AppPool应用程序池名)。
3、确定-勾选权限设置。步骤如图。
4、如果还是没有写入权限。你需要多做一步操作。
1)点击网站,点击身份认证功能。
2)匿名身份认证,右击-编辑。
3)匿名身份验证凭据-应用程序池标识。
按照以上的步骤操作完,就可以ApplicationPoolIdentity匿名账号进行网站操作了。
参考文章:
