Я пытаюсь понять модель учетной записи пользователя IIS 8.5.
IUSR: анонимный пользователь по умолчанию (может быть изменен). это - идентификационные данные, которые запрашивают веб-ресурс
ApplicationPoolIdentity: специальные идентификационные данные используются для пулов приложений
IIS_IUSRS: это - группа, где все специальные ApplicationPoolIdentity находятся в
IIS_IUSRS читал/выполнял разрешение на wwwroot папке
Я не добираюсь, почему IUSR не имеет никакого разрешения на wwwroot папке
Как какой-либо веб-запрос не мог привести к 401???
Если вы посмотрите на разрешение по умолчанию для C: \ inetpub \ wwwroot
:
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
, вы увидите, что группа Пользователи
имеет доступ для чтения , IUSR автоматически становится членом группы Пользователи
, поэтому он может получить доступ к файлам.
Если вы удалите разрешения для пользователей
, вы должны получить a 401.3
Поскольку учетная запись IUSR
помещена в группу пользователей
на основании полномочий NT Authority \ Группа аутентифицированных пользователей
.
В основном эти две группы существуют по устаревшим причинам, но служат двум различным целям.
IUSR
используется для анонимной аутентификации IIS_IUSRS
используется для обеспечения контроля безопасности для пользователей пула приложений Есть некоторые записи - обновления истории и некоторая приличная информация об использовании учетной записи IUSR и ее предшественника IUSR_computername .