Какая роль делает “Идентификационные данные Пула приложений”, играют для Пула приложений?

Существует два контекста аутентификации в действии. Процесс веб-сервера (который обрабатывает Ваши веб-запросы), выполнения как пользователь Идентификационных данных Пула приложений. Когда запрос наталкивается на Ваш виртуальный хост, пул приложений исполняет роль пользователя, перечисленного в "Учетных данных Анонимной аутентификации определенного сайта" - по умолчанию IUSR.

Любые скрипты, запущенные из Вашего веб-сайта, будут работать как IUSR, но вход и определенные другие функции будут работать как Пользователь Пула приложений (Сетевой службой по умолчанию - хотя это было изменено недавно для использования специального пользователя пула виртуального приложения). Идентификационные данные Пула приложений (Сетевая служба) должны смочь перечислить файлы в Вашем каталоге, поскольку определенные проверки сделаны в стопке запроса, прежде чем управление будет передано к Вашему сценарию.

Это - хорошая практика, чтобы выполнить один сайт на пул и установить Идентификационные данные Пула приложений для выполнения как тот же пользователь как Анонимный пользователь веб-сайта. Возможно убежать из контекста Анонимного пользователя (IUSR) и поднять полномочия до тех из самих Идентификационных данных Пула приложений.

Вы видите две вещи, которые обычно путают в ASP.NET:

1. «идентификация пользователя» - Аутентификация учетной записи пользователя не имеет ничего общего с учетной записью или идентификатором, который фактически запускается. как под II, так и под ASP.NET. Анонимная аутентификация позволяет любому пользователю получить доступ к любому общедоступному контенту, не запрашивая имя пользователя и пароль для браузера клиента. Анонимная учетная запись IUSR, которая по умолчанию аутентифицируется в IIS, просто применяет доступ к общедоступному содержимому веб-сайта. Это не влияет на процессы или ресурсы, используемые базовыми II или службами ASP.NET.
2. «идентификатор приложения» - это фактическая учетная запись «WindowsIdentity» на сервере, которая фактически работает за IIS и ASP.NET, которые - это учетная запись Application Pool Identity, назначенная пулу II и предоставленная ASP.NET. Ваш процесс ASP.NET по умолчанию выполняется под этой учетной записью Application Pool Identity (называемой виртуальной учетной записью в IIs версии 7.5+).

Explanation: Во-первых, «аутентификация» в ASP.NET - это просто событие, обычно настраиваемое в Интернете. config, который регистрируется в данной учетной записи пользователя, которая передается как токен пользователя II в ASP.NET как простой объект HttpContext ... то есть текущий сеанс или контекст текущего пользователя. Фактически он не меняет WindowsIdentity, на котором запущен процесс ASP.NET, просто передает ему токен идентификатора пользователя. Используя HttpContext, ваш код может использовать этот идентификатор или имя для хранения прав базы данных в различных разделах вашего веб-сайта. Но это не повлияет на доступ к файлам в ASP.NET, поскольку не влияет и не изменяет идентичность фактической учетной записи «процесса» приложения, которая запускает ASP.NET под II.

Этого не произойдет, пока вы не выполните «Олицетворение» сообщает ASP.NET олицетворять любой токен, переданный ему II, а затем запускаться под этим идентификатором учетной записи. Вы можете установить олицетворение в своем web.config. Когда вы активируете олицетворение в ASP.NET, тогда WindowsIdentity действительно изменяется в рабочем процессе на любую аутентифицированную учетную запись, переданную в ASP.NET из IIS, и затем вы можете получить доступ к файлам, конечно, в зависимости от того, какие права вы назначаете этой учетной записи пользователя. Важно отметить, что когда это происходит, это временно, и ASP.NET может вернуться к своему идентификатору процесса по умолчанию, который в текущих версиях IIs снова является учетной записью идентификатора пула приложений, назначенной данному пулу приложений.

Когда IIs просто использует простой анонимный учетная запись пользователя без явной аутентификации, установленной в ASP.NET, IIs запускает по умолчанию назначенную веб-сайту учетную запись пула приложений пула приложений и передает ее в ASP.NET и выполняющий ее рабочий процесс. Эта учетная запись удостоверения пула приложений обрабатывает все запросы для IIS и запускает ASP.NET для этого сайта.

Когда IIs запускается в этой настройке и к нему обращается пользователь, он фактически аутентифицируется за кулисами по умолчанию анонимной учетной записи IUSR, которая определяет доступ на веб-страницы и другие основные ресурсы. Но эта учетная запись НЕ передается в ASP.NET. И это не влияет на идентификацию пула приложений IIS и под которой работает ASP.NET.

Если вы установите Impersonate на «true», скажем, в вашем web.config, И вы используете анонимную учетную запись IUSR по умолчанию в II для общего доступа , И вы явно установили значение true для свойства anonymousAuthentication в файле web.config (вместо использования Windows или другой учетной записи), объекты II будут отбрасывать идентификатор пула приложений, а объекты II и ASP.NET теперь будут запускать процессы своих приложений в качестве анонимная учетная запись с аутентификацией и олицетворением IUSR.

Когда вы это сделаете, ASP.NET и его процессы теперь будут работать под учетной записью IUSR .... то есть процесс приложений ASP.NET будет запускать свою учетную запись WindowsIdentity как учетную запись IUSR. Теперь вы можете применить доступ для чтения / записи к этой анонимной учетной записи IUSR и к папкам, к которым эта учетная запись должна иметь доступ. (Примечание: не забудьте, однако, добавить учетную запись процесса по умолчанию, учетную запись пула приложений для пула, а также права на эти папки. Это соответствует рекомендации Microsoft)

Удачи!