Це тому, що це дві різні речі. IIS_IUSRS - це група облікових записів робочих процесів IIS . Це означає ідентичність, під якою працює сам пул додатків. IUSR - це анонімна особа користувача. Це означає особу, яку IIS вважає користувачем, який переходить на сайт.
Тепер, навіть якщо ви цього не сказали, дозвольте здогадатися - це додаток класичний asp? (В іншому випадку, якщо це .Net, тоді ви повинні використовувати себе під себе). У будь-якому випадку, що трапляється, це те, що до ресурсів звертаються як до себе особової особи, тобто анонімного користувача у вашому випадку, що означає IUSR. Ось чому ви повинні надати йому права. У .Net, якщо ви вимкнете себе, ви побачите, що IIS_IUSRS прийде в гру, як ви очікуєте. У класичному ASP (і для статичних файлів) у вас немає вибору, себе за себе завжди "ввімкнено"; тому його завжди використовується ідентичність користувача, а не ідентифікація пулу. Отже, оскільки IIS_IUSRS призначений для ідентичності пулу, він не грає.
Редагувати після додавання ОП додаткової інформації:
Легко плутати IUSR та IIS_IUSRS через їхні назви. Щоб побачити, що вони різні, слід пам’ятати, що IIS_IUSRS є заміною IIS_WPG в IIS6, яка була Групою робочих процесів. До цих груп ви додаєте облікові записи, під якими ви хочете запускати свої пули, а не ідентичності, а привілеї anon повинні бути обмеженішими. напр. іноді ви можете використовувати обліковий запис домену для запуску пулу для делегування kerberos на інші мережеві ресурси. Тоді ви додасте цей обліковий запис служби до цієї групи.
Якщо ввімкнути себе, це пул / процес прикидається користувачем, тому що йому було сказано. У разі не автентифікації (ваш випадок) цим користувачем є IUSR. У випадку авторизації Windows, це буде ідентифікатор windows \ домен користувача. Це також, чому ви отримуєте хіт ефективності з себе за себе, оскільки процес має перейти на іншу ідентичність для доступу до ресурсів.
Якщо ви використовуєте .NET та анонімну автентифікацію, я не розумію, чому ви б увімкнули себе, опублікувавши себе. Якщо ви не використовуєте себе або не потребуєте себе в іншому особі, вам слід знати про ще деякі хитрощі у випадку IIS7: ви можете змусити ваш IUSR повністю піти і покінчити з усією плутаниною. Я думаю, що вам це сподобається, і це теж мій кращий метод. Все, що вам потрібно зробити, - це сказати йому, щоб повторно використовувати ідентифікацію пулу як анонімну особу .
Тож після цього вам доведеться мати справу лише з групою IIS_IUSRS. Але не заплутайтеся, це все ще не означає, що ці двоє однакові! Ідентичність процесу може замінити IUSR, але не навпаки!
Ще кілька хитрощів IIS7, про які слід знати: якщо ви подивитеся на IIS_IUSRS, він може бути порожнім. Це тому, що ваші віртуальні ідентичності пулу автоматично додаються до нього при запуску пулу, тому вам не доведеться турбуватися про ці речі.
Ця таблиця повинна допомогти краще уточнити, як визначається ідентичність виконання потоку:
Анонімні анонімні ресурси доступу, доступні як
Увімкнено Увімкнено IUSR_комп'ютер у IIS5 / 6 або,
IUSR в IIS7 або,
Якщо ви змінили обліковий запис користувача anon
в IIS, що б ви там не встановили
Увімкнено вимкнено MYDOM \ MyName
Вимкнено Увімкнено повноваження NT \ Мережева служба (ідентифікація пулу)
Інваліди з обмеженими можливостями NT Authority \ Network Service (ідентифікація пулу)