理解IIS7的用户和组

2009-11-30 16:11:29 作者：管理员 来源：未知 访问： 次

在以前的IIS版本中有一个本地帐号，是在安装时创建的，叫做IUSR_MachineName。一旦启用匿名身份认证，这个IUSR_MachineName帐号就是IIS默认使用的身份(identity)，它同时在FTP和HTTP服务中使用。另外还...

在以前的IIS版本中有一个本地帐号，是在安装时创建的，叫做IUSR_MachineName。一旦启用匿名身份认证，这个IUSR_MachineName帐号就是IIS默认使用的身份(identity)，它同时在FTP和HTTP服务中使用。另外还有一个叫做IIS_WPG的组，它是所有应用程序池帐号的容器。在IIS安装期间，必须保证所有的系统可用资源已经为IIS_WPG设置了适当的权限，当管理员创建一个新的应用程序池帐号时，只需要把新帐号（身份）加入这个组即可。

这个模型运转得很好，但是和其他任何设计一样，它们有他们的缺点，主要的缺点是IUSR_MachineName帐号和IIS_WPG组对于创建它们的系统来说都是本地的。 Windows中的每个帐号或组都有一个唯一的号码叫做SID（安全识别号），这样就可以区别于其它的帐号或组。我们仅使用SID来创建创建ACL。作为以前版本的IIS设计的组成部分，我们将IUSR_MachineName包含在了metabase.xml文件中，如果你尝试从一台机器拷贝metabase.xml到另一台机器上，它并不会马上运转起来，因为另一台机器上的帐号使用的名字是不同的。另外，你不能仅用xcopy /o来拷贝ACL，因为不同机器上的SID也是不同的。一个解决方法是使用域帐号，但是你需要在你的架构中添加一个活动目录。IIS_WPG组也有同样的权限问题，如果你在一个机器的文件系统上为IIS_WPG组设置ACL，使用xcopy /o来拷贝ACL到另一台机器上是无法成功的。IIS了解了这一问题，并通过在IIS7.0中使用内建的帐号和组对其作了改进。

内建的帐号和组是由操作系统保证的，这样就可以保证有一个唯一的SID，IIS甚至做得更好，它保证了新的帐号名称和组名称永远不会被本地化。例如，无论你安装的是那种语言版本的Windows，IIS帐号名称将永远是IUSR，而组名称将永远是IIS_IUSRS。

总的来说，在IIS 7.0中：

IUSR内建帐号替代了IUSR_MachineName帐号
IIS_IUSRS内建组替代了IIS_WPG组

因为IUSR是一个内建帐号，它不再需要密码。逻辑上你可以认为它就是NETWORKSERVICE或LOCALSERVICE帐号。IUSR帐号和IIS_IUSRS组将在下面的章节中做进一步介绍。

理解新的IUSR帐号
正如上面所说的，在IIS 7.0中IUSR帐号将替代IUSR_MachineName 帐号。仅在安装FTP服务器时，IUSR_MachineName 帐号才会被创建和使用。如果不安装FTP，那么这个帐号将永远不会被创建。

这个内建帐号并不需要密码，当启用匿名身份认证时，该帐号并将被作为默认的用户身份使用。如果你看一看applicationHost.config文件，你会发现下面的定义：
 

这就告诉了IIS对所有的匿名身份认证请求使用新的内建帐号。这样做的最大优点在于，我们现在可以：

* 使用Windows Explorer或许多其他命令行工具为IUSR设置文件系统权限
* 不用再担心这个帐号的密码会过期
* 使用xcopy /o无缝拷贝文件以及它们的所有权和ACL信息到不同的机器上