Почему у нового удостоверения пула приложений есть доступ на запись?
Я использую IIS 8.5 с PHP (различные версии) через FastCGI. Олицетворение включено в конфигурации PHP для FastCGI. Пул приложений настроен на использование идентификатора пула приложений. На самом деле, если я на самом деле специально запрещаю доступ для записи в файл, он ведет себя соответствующим образом, однако по умолчанию кажется, что все файлы доступны для записи на моем сайте.
Просмотр действующих разрешений говорит о том, что у моего удостоверения пула приложений (IIS AppPool\PoolName) вообще не должно быть назначено никаких разрешений. Существует ли какая-либо учетная запись по умолчанию, которую наследует идентификатор пула приложений, и которую мне нужно настроить, чтобы запретить доступ на запись по умолчанию. Все, что я читал, казалось, указывало на то, что удостоверение пула приложений по умолчанию должно иметь доступ только для чтения к виртуальной папке, которой назначено приложение, но это не соответствует наблюдаемому поведению (в частности, PHPBB3 жалуется, что файл конфигурации доступен для записи и без настройка доступа для записи, я могу загружать файлы через форум).
Что может мешать разрешениям или мое понимание предполагаемого поведения по умолчанию неверно?
1 ответ
Я еще немного покопался и наконец смог найти ответ на этот вопрос. Похоже, что была применена настройка, которая делала файлы изменяемыми для "Authenticated Users". Разрушение наследства и удаление этого разрешения решили проблему.
По-видимому, он включен в группу "Пользователи", а также в группу "Прошедшие проверку", чтобы обеспечить доступ к загрузочным библиотекам и т. Д. Я нашел этот ответ на SO, который был очень полезен для понимания этого.