问设置Win2008 R2 Server - IIS_IUSRS权限

EN

您可以阅读文章http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/。正如TomTom所说，是的安全与IIS6.0相比已经发生了很大的变化。本文详细介绍了IIS7.0中发生的用户级和组级更改。

下面是网站链接和IIS 7中提供的帮助的一部分。

IIS_IUSRS组已被授予对所有必要的文件和系统资源的访问权，以便当帐户添加到该组时，可以无缝地充当应用程序池标识。默认情况下，选择ApplicationPoolIdentity帐户。ApplicationPoolIdentity帐户是在启动应用程序池时动态创建的，因此该帐户为您的应用程序提供了最安全的服务。

我的理解是：

根据这里的说法：

IIS 7还使配置应用程序池标识和简化所有必要更改的过程变得更容易。当IIS启动工作进程时，它需要创建进程将使用的令牌。创建此令牌时，IIS 7会在运行时自动向辅助进程令牌添加IIS_IUSRS成员资格。作为“应用程序池标识”运行的帐户不再需要成为IIS_IUSRS组的显式部分。这一变化有助于你建立你的系统，减少障碍，使你的整体经验更有利。

因此，可以说，无论我们使用哪个帐户作为应用程序池标识，该帐户都将在运行时被动态和隐式地授予IIS_IUSRS组权限。这种所谓的便利据说提供了最安全的东西.无论如何，如果帐户是作为应用程序池标识运行的，那么谁不需要IIS_IUSRS权限。但我只是喜欢一切都在阳光下。

谢谢

我建议您仔细阅读IIS 7中的权限处理--它与您所知道的权限处理完全不同。(完全;)

我通常设置：*每个网站都有一个用户*一个revery网站的应用程序池，运行在用户身份下*也就是说，版权归应用程序用户。