Дозволи IIS_IUSRS та IUSR в IIS8

Я щойно відійшов від IIS6 на Win2003 до IIS8 на Win2012 для розміщення програм ASP.NET.

У межах однієї конкретної папки в моїй програмі мені потрібно створити та видалити файли. Після копіювання файлів на новий сервер я постійно намагався видалити файли:

Доступ до шляху "D: \ WebSites \ myapp.co.uk \ companydata \ filename.pdf" заборонено.

Перевіряючи IIS, я бачу, що програма працює під обліковим записом DefaultAppPool, однак я ніколи не налаштовував дозволи Windows на цю папку, щоб включати IIS AppPool \ DefaultAppPool

Натомість, щоб перестати кричати клієнтів, я надав наступні дозволи на папку:

IUSR

• Читання та виконання
• Перерахуйте зміст папок
• Прочитайте
• Пишіть

IIS_IUSRS

• Змінити
• Читання та виконання
• Перерахуйте зміст папок
• Прочитайте
• Пишіть

Здається, це спрацювало, але я стурбований тим, що було встановлено занадто багато привілеїв. Я читав в Інтернеті суперечливу інформацію про те, чи дійсно тут потрібен IUSR . Чи може хтось уточнити, яких користувачів / дозволів вистачить для створення та видалення документів у цій папці? Також, чи є IUSR частиною групи IIS_IUSRS?

Оновлення та рішення

Будь ласка, дивіться мою відповідь нижче . Мені довелося це робити сумно, оскільки деякі останні пропозиції були недостатньо продумані або навіть безпечні (ІМО).

Я ненавиджу публікувати власну відповідь, але останні відповіді останнім часом ігнорували рішення, яке я опублікував у своєму власному запитанні, пропонуючи підходи, які не відрізняються від дурного.

Коротше кажучи - вам взагалі не потрібно редагувати будь-які привілеї облікового запису користувача Windows . Це лише вводить ризик. Процесом повністю керується в IIS з використанням успадкованих привілеїв.

Застосування дозволу на зміну / запис до правильного облікового запису користувача

1. Клацніть правою кнопкою миші домен, коли він відображається у списку Сайтів, і виберіть Редагувати дозволи

   

   На вкладці Безпека ви побачите, що MACHINE_NAME\IIS_IUSRSв списку. Це означає, що IIS автоматично має дозвіл лише для читання в каталозі (наприклад, для запуску ASP.Net на сайті). Вам не потрібно редагувати цей запис .

   

2. Натисніть кнопку Редагувати , а потім Додати ...

3. У текстовому полі введіть IIS AppPool\MyApplicationPoolName, замінюючи MyApplicationPoolNameдоменне ім’я або будь-який пул додатків, що отримує доступ до вашого сайту, наприкладIIS AppPool\mydomain.com

   

4. Натисніть кнопку Перевірити імена . Текст, який ви ввели, перетвориться (зауважте підкреслення):

   

5. Натисніть ОК, щоб додати користувача

6. З обраним новим користувачем (вашим доменом) тепер ви можете безпечно надати будь-які дозволи для зміни чи запису

   

IUSR є частиною IIS_IUSER group. тому я думаю, ви можете видалити дозволи для IUSR, не хвилюючись. Подальше читання

Однак з часом виникла проблема, коли все більше системних служб Windows почали працювати як NETWORKSERVICE. Це відбувається тому, що служби, що працюють як NETWORKSERVICE, можуть змінювати інші служби, що працюють під однаковою ідентичністю. Оскільки IIS-робочі процеси за замовчуванням виконують сторонній код (Classic ASP, ASP.NET, PHP-код), настав час ізолювати робочі процеси IIS від інших системних служб Windows та запускати процеси IIS-робочого під унікальними особами. Операційна система Windows надає функцію під назвою "Віртуальні облікові записи", яка дозволяє IIS створювати унікальні ідентичності для кожного свого пулу додатків. DefaultAppPool - пул за замовчуванням, який призначається всім створеним пулом програм.

Щоб зробити це більш безпечним, ви можете змінити ідентифікатор замовчування IIS DefaultAppPool на ApplicationPoolIdentity.

Щодо дозволу "Створити та видалити" узагальнює всі права, які можна надати. Тому все, що ви призначили до групи IIS_USERS, це те, що вони вимагатимуть. Нічого більше, нічого менше.

сподіваюся, що це допомагає.

Коли я додав дозвіл IIS_IUSRS до папки сайту - такі ресурси, як js та css, все ще були недоступними (помилка 401, заборонено). Однак, коли я додав IUSR - це стало нормально. Тож точно "ви НЕ МОЖЕТЕ видаляти дозволи для IUSR, не хвилюючись", шановний @Travis G @

@EvilDr Ви можете створити обліковий запис IUSR_ [ідентифікатор] у вашому середовищі AD і дозволити конкретному пулу додатків працювати під цим обліковим записом IUSR_ [ідентифікатор]:

"Пул програми"> "Розширені налаштування"> "Ідентифікація"> "Спеціальний обліковий запис"

Встановіть свій веб-сайт на "Додаткові користувачі (через автентифікацію)", а не на "Конкретний користувач", у Додаткові налаштування.

Тепер дайте цьому IUSR_ [ідентифікатору] відповідні дозволи NTFS для файлів і папок, наприклад: змінити на даних про компанію.

Група IIS_IUSRS має чільне місце лише в тому випадку, якщо ви використовуєте Identity ApplicationPool. Незважаючи на те, що ця група виглядає порожньою під час виконання, IIS додає до цієї групи для запуску робочого процесу згідно з літературою про Microsoft.

Я б використовував конкретного користувача (а НЕ користувача додатка). Тоді я вмикаю себе в заяві. Як тільки ви зробите це для будь-якого облікового запису, визначеного для конкретного користувача, ці облікові дані будуть використовуватися для доступу до локальних ресурсів на цьому сервері (не для зовнішніх ресурсів).

Конкретні налаштування користувача призначені спеціально для доступу до місцевих ресурсів.