Почему у IUSR нет разрешения на wwwroot
Я пытаюсь понять модель учетной записи пользователя IIS 8.5.
IUSR: по умолчанию анонимный пользователь (может быть изменен). это личность, которая запрашивает веб-ресурс
ApplicationPoolIdentity: специальный идентификатор, используемый для пулов приложений
IIS_IUSRS: это группа, в которой находятся все специальные ApplicationPoolIdentity
IIS_IUSRS имеет разрешение на чтение / выполнение для папки wwwroot
Я не понимаю, почему у IUSR нет разрешения на папку wwwroot
Как любой веб-запрос не может привести к 401???
2 ответа
Если вы посмотрите на разрешение по умолчанию для C:\inetpub\wwwroot:
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
Вы можете увидеть Users группа имеет доступ для чтения, IUSR автоматически становится членом Users группа, поэтому он может получить доступ к файлам.
Если вы удалите разрешения для Users ты должен получить 401.3
Поскольку IUSR счет помещен в users группа в силу NT Authority\Authenticated Users группа.
В основном эти два существуют по наследственным причинам, но служат двум различным целям.
IUSRаккаунт используется для анонимной аутентификацииIIS_IUSRSгруппа используется для обеспечения контроля безопасности для пользователей пула приложений
Есть некоторые записи об истории и некоторая приличная информация об использовании учетной записи IUSR, и его предшественник IUSR_computername доступен.