в Windows Server 2012 R2 IIS работает как веб-сервер в обычных условиях. Веб-контент, однако, не от c:inetpubwwwroot
но из другой папки. Веб-приложения по-прежнему работают под своим пользователем из defaultAppPool.
я на самом деле забыл когда-нибудь дать IIS_IUSRS
права на чтение / выполнение папки веб-материалов. Папка дала доступ к users
хотя. Я только добавил IIS_IUSRS
чтение/исполнение/запись права если папку нужно перезаписываемый.
желая немного ужесточить безопасность, я прошел через права доступа к папке веб-контента и узнал методом проб и ошибок, что теперь доступ для IIS_IUSRS
отсутствовал, это доступ для users
группа, которая отвечает за все до сих пор работают. Потому что когда я удаляю доступ к users
группа, приложение перестает работать.
я пытался дать доступ к некоторым другим счетам/группы и я понял, что давая доступ к users
и IIS_IUSRS
индивидуально запустить приложение. Предоставление доступа только к IIS APPPOOL
не делает. Но предоставление доступа к моему конкретному пользователю пула приложений (например,IISAPPPOOLnl-x-homepage
), нет. И этот самый последний бит-это то, что я хочу, так как я не хочу, чтобы одно приложение могло получать доступ к файлам другого приложения.
но мне было интересно... Как именно работают учетные записи IIS как? Зачем предоставлять доступ к users
также работать для моего пула приложений для доступа к папке веб-содержимого? Я не вижу конкретный пользователь пула приложений в lusrmgr, но я предполагаю, что мой конкретный пользователь пула приложений находится в users
группа, или в какой-то другой группе, которая находится в users
группы. Кто-нибудь может это подтвердить?
и в качестве последнего вопроса к этому вопросу: чтобы иметь конкретные папки "защищен паролем" я создал нормальный пользователь в Windows, удалил этого пользователя из users
группа, и в диспетчере IIS я пошел в эту папку и сделал аутентификацию - > обычная аутентификация - > включено, и в Правила проверки подлинности я установил правило разрешения для моей вновь созданной учетной записи пользователя Windows. Эта работа. Но анализируя доступ на чтение / запись, я с удивлением узнал, что, хотя приложение работает под пользователем пула приложений, пользователю пула приложений нужны только права на чтение (без прав на запись), а недавно созданный пользователь Windows должен иметь права на чтение и запись, чтобы папка была доступна для записи. Может кто-нибудь помочь объяснить, почему это работает таким образом?