IIS7.5標識分析

應用到: Windows 7, Windows Server 2008, Windows Server 2008 R2, WindowsVista

應用程式池的標識是執行應用程式池的工作程式所使用的服務帳戶名稱。預設情況下，應用程式池以 Network Service使用者帳戶執行，該帳戶擁有低階別的使用者許可權。您可以將應用程式池配置為以 Windows Server® 2008 作業系統中的內建使用者帳戶之一執行。例如，您可以指定Local System 使用者帳戶，此帳戶與 Network Service 或 Local Service 內建使用者帳戶相比，具有更高階別的使用者許可權。但請注意，以具有高階別使用者許可權的帳戶執行應用程式池存在嚴重的安全風險。

您還可以配置自定義帳戶，使之用作應用程式池的標識。您選擇的任何自定義帳戶都應只具有應用程式需要的最基本的許可權。自定義帳戶在以下情況下很有用：

1、當您希望提高安全性並且使跟蹤相應應用程式的安全事件更加容易。

當您在單個 Web 伺服器上承載多個客戶的網站時。如果您為多個客戶使用同一程式帳戶，2、則一個客戶的應用程式原始碼可能能夠訪問另一客戶的應用程式原始碼。在這種情況下，您還應為匿名使用者帳戶配置自定義帳戶。

3、當應用程式不僅需要應用程式池的預設許可權，而且還需要其他許可權時。在這種情況下，您可以建立一個應用程式池，然後為新的應用程式池分配自定義標識。

除此之外，在這些系統中，還新增了一個新的標識那就是ApplicationPoolIdentify 標識，ApplicationPoolIdentity–預設情況下，選擇“應用程式池標識”帳戶。啟動應用程式池時動態建立“應用程式池標識”帳戶，因此，此帳戶對於您的應用程式來說是最安全的。

下面我來介紹他們的使用方法：

Local System標識

這個標識是內建的這幾個賬戶裡面的級別最高的一個，那麼說也就是風險最高的一個，並且也是配置起來最簡單的一個了。

只需要將程式池中的識別符號更改為LocalSystem，並且給資料夾許可權分配一個Everyone使用者許可權就可以了。

Network Service 或 Local Service標識

首先配置IIS

右鍵開啟應用程式池中該專案的高階設定，將設定中的標識選項開啟，選擇賬戶為NETWORK SERVICE，點選確定，這樣iis設定就完成了

接著我們配置SQL企業管理器。

      1）開啟SQL管理器à選擇資料庫例項à【安全性】à【登入名】，檢視是否存在NETWORK SERVICE，若不存在，則新增之

      2）新增賬戶方法：右鍵【登入名】à選擇【新建登入名】，在彈出的對話方塊中的右邊有登入名輸入框，點選右側的【搜尋】，在彈出的【選擇使用者或組】中點選【高階】，再點選【立即查詢】，找到NETWORK SERVICE使用者名稱，點選確定。

配置其他屬性

左邊導航à伺服器角色勾選sysadmin

左邊導航à使用者對映à勾選要連線的資料庫或者所有資料庫

這樣你會發現登入名中就有了NTAUTHORITYNETWORK SERVICE這個使用者，那麼恭喜你，你的SQL企業管理器就業配置好了。那麼就開始執行你的網站吧！

ApplicationPoolIdentify 標識

ApplicationPoolIdentify標識對於您的應用程式來說是最安全的。下面我們開始配置ApplicationPoolIdentify吧！

在配置中，我們要給網站資料夾分配一個ApplicationPoolIdentify賬號，首先我們知道ApplicationPoolIdentify是一個虛擬賬戶我們是找不到的，那麼我們怎樣給他分配賬號呢，如果直接新增一個NewsTest（NewsTest為我們配置的應用程式池的名稱）使用者的話，就會報錯。“找不到名稱”。

他們會提醒我們找不到名稱，那麼怎麼辦吶？那我們就需要手動配置了，手動輸入 IISAppPoolNewsTest（即IIS AppPool應用程式池名），再確定。是的通過了。

注：部分篇幅來自網上資源本人將其總結歸納。

本文轉自HDDevTeam 51CTO部落格，原文連結：http://blog.51cto.com/hddev/1218190，如需轉載請自行聯絡原作者