Почему новый идентификатор пула приложений имеет доступ для записи?
Я запускаю IIS 8.5 с PHP (различные версии) через FastCGI. Олицетворение включено в конфигурации PHP для FastCGI. Пул приложений настроен на использование удостоверения пула приложений. Фактически, если я на самом деле специально запрещаю доступ для записи в файл, он ведет себя соответствующим образом, однако, по умолчанию кажется, что все файлы доступны для записи на моем сайте.
Просмотр действующих разрешений показывает, что моему удостоверению пула приложений (IIS AppPool \ PoolName) не должно быть назначено никаких разрешений. Есть ли какая-то учетная запись по умолчанию, которую наследует идентификатор пула приложений, от которой мне нужно настроить, чтобы по умолчанию запретить доступ на запись. Все, что я читал, похоже, указывает на то, что идентификатор пула приложений по умолчанию должен иметь доступ только для чтения к виртуальной папке, которой назначено приложение, но это не соответствует наблюдаемому поведению (в частности, PHPBB3 жалуется, что файл конфигурации доступен для записи и без специального установив доступ для записи, я могу загружать файлы через форум).
Что может мешать работе с разрешениями, или я неправильно понимаю предполагаемое поведение по умолчанию?
Я еще немного покопался и, наконец, нашел ответ на этот вопрос. Похоже, что была применена настройка, которая сделала файлы доступными для изменения на «Прошедшие проверку». Нарушение наследования и удаление этого разрешения решили проблему.
По-видимому, он включен в группу «Пользователи», а также в группу «Прошедшие проверку», чтобы обеспечить доступ к загрузке библиотек DLL и т.п. Я нашел этот ответ на SO, который очень помог в понимании этого.