К сожалению, еще нет хорошего решения в этом пространстве. Сообщество приветствовало бы что-либо, что можно сделать на скорую руку, или можно назвать Возвращающий Labs и дать им некоторый консультационный бизнес. Я посмотрел на выполнение этого некоторое время назад и нашел, что это было немного более сложным, чем у меня было время для занятия.
Не стесняйтесь подбрасывать канал IRC ударом (#puppet на Freenode) - существует много действительно услужливых людей там, которые были бы рады дать совет, особенно если он приводит к инструменту, который внесен Марионеточной экосистеме.
Можно пройти статью http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/. Как TomTom заявил, да, безопасность изменилась много, от какого это было в IIS 6.0. Статья дает хороший всесторонний на изменениях уровня Пользователя и Группы, который произошел в IIS 7.0.
Ниже часть из ссылки веб-сайта и от справки, доступной в IIS 7.
Группа IIS_IUSRS была предоставленным доступом на всем необходимом файле и системных ресурсах так, чтобы учетная запись при добавлении к этой группе могла действовать как идентификационные данные пула приложений беспрепятственно. По умолчанию учетная запись ApplicationPoolIdentity выбрана. Учетная запись ApplicationPoolIdentity динамично создается, когда пул приложений запускается, и поэтому эта учетная запись обеспечивает большую часть безопасности для Ваших приложений.
Я предлагаю y oureally чтение на обработке разрешения в IIS 7 - это ПОЛНОСТЬЮ отличается от того, которое Вы знаете. Полностью ;)
Я обычно настроил: * Один пользователь для каждого веб-сайта * Один пул приложений fo revery веб-сайт, работающий под пользовательскими идентификационными данными *, Который является этим - права, переходит к пользователю приложения.
Вот мое понимание:
Согласно здесь:
IIS 7 также делает процесс из конфигурирования идентификационных данных пула приложений и внесения всех необходимых изменений легче. Когда IIS запускает рабочий процесс, он должен создать маркер, который будет использовать процесс. Когда этот маркер создается, IIS 7 автоматически добавляет членство IIS_IUSRS в маркере рабочих процессов во времени выполнения. Учетные записи, которые не работают как 'идентификационные данные пула приложений' больше, должны быть явной частью группы IIS_IUSRS. Это изменение помогает Вам настроить свои системы с меньшим количеством препятствий и делает Ваш общий опыт более благоприятным.
Так, это могло быть сказано, неважно, которые считают, мы используем в качестве Идентификационных данных Пула приложений, этот отчет будет сделан разрешение группы IIS_IUSRS во времени выполнения динамично и неявно. Это так называемое удобство, как утверждают, обеспечивает большую часть безопасности. Так или иначе, кто не хочет полномочия IIS_IUSRS, если учетная запись работает как Идентификационные данные Пула приложений. Но я точно так же, как все, чтобы быть на солнце.
Спасибо