千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

应用程序池用户

发表于:2025-02-16 作者:千家信息网编辑
千家信息网最后更新 2025年02月16日,应用程序池(w3wp.exe 工作进程)是以我们指定的用户身份运行的,IIS 需要使用这个用户身份访问各种系统资源和网络资源,如访问磁盘资源、执行某些系统功能、访问寄存器,以及访问网络资源等。IIS
千家信息网最后更新 2025年02月16日应用程序池用户

应用程序池(w3wp.exe 工作进程)是以我们指定的用户身份运行的,IIS 需要使用这个用户身份访问各种系统资源和网络资源,如访问磁盘资源、执行某些系统功能、访问寄存器,以及访问网络资源等。IIS 默认的用户身份是 Network Service 账号,这个账号对 Web 服务器和网络只有有限的访问权限,但是在运行标准 Web 网站时具有完全的权限。 IIS 7.0 为用户提供了 3 种内置的账户。
内置的账户包括:Network Service、Local Service、Local System

Network Service 账号
应用程序池默认的用户是内置的 Network Service 账号。 Network Service 账号对本地计算机和网络资源只拥有最小访问权限。当访问同一个域中(或同一个信任域中)的另一个设备中的某个资源时,服务器可以使用 Network Service 账号的网络证书进行身份验证。这个设备可以是一个数据库,也可以是一个 UNC 共享,还可以是任何能够通过网络访问的资源。Network Service 账号的证书形式为 DomainName\ServerName$。例如,在 DomainA 域中,如果一个名为 WebServer1 的服务器使用 Network Service 账号运行一个网站的过程中,同时还运行了一个名为 SQLServer1 的数据库,那么为了正常运行名为 SQLServer1 的数据库,我们必须为 DomainA\WebServer1$ 账号授予必要的 SQL 访问权限。
下面的权限将被显式地指派给 Network Service 账号。
1、为一个进程调整内存配额
2、绕过漫游检查
3、创建全局对象
4、生成安全审计
5、身份验证过程结束之后模拟一个客户
6、替换一个进程级令牌
作为 Everyone 组的成员,Network Service 账号还继承了以下权限:
7、从网络访问计算机
最后,作为 IIS_IUSRS 组的成员,Network Service 账号还继承了以下权限:
8、作为一个批处理作业登录

Local Service 账号
内置的 Local Service 账号无法像 Network Service 账号那样访问网络资源,但是具有与 Network Service 账号类似的本地资源访问权限。在 Windows Vista 和 Windows Server 2008 中,Local Service 账号拥有以下本地资源访问权限,而这些权限是 Network Service 账号所不具备的:
1、修改系统时间
2、修改系统时区
如果不需要访问网络资源,那么就可以使用 Local Service 账号。

Local System 账号
内置的 Local System 账号具有对本地系统的完全访问权限。但是当我们使用 Local System 账号时,务必加以小心,尽可能地避免使用这个账号。当一个未授权的用户浏览服务器中的某个网站时,或者当这个未授权的用户上传自己的内容时,如果应用程序池以 Local System 账号身份运行,那么这个用户可以在 Web 服务器中执行任何操作。
尽管 Local System 账号可能会带来大量的安全风险,但是 Local System 账号仍然具有实际用途。如果需要对 Web 网站中的错误进行定位,同时,将应用程序池标识设置为 Local System 账号标识,并在此基础上进行测试,且假设网站的错误是由应用程序池身份标识的权限问题所引发的,那么我们就可以迅速发现问题的根源。当然,这种错误定位方式还需要考虑其他因素。成功定位错误之后,我们必须将应用程序池身份标识设置为具有合理权限的用户身份。

自定义的用户账号
与 IIS 6.0 类似,IIS 7.0 同样允许我们创建一个自定义用户。这个用户既可以是一个本地 Windows 用户,也可以是一个域用户。至于创建哪一类用户,完全取决于 IIS 7.0 的应用环境以及我们的具体需要。如果创建的是一个域用户,那么便可以像使用 UNC 共享那样访问网络资源,或者像访问一个数据库那样访问网络资源。此时我们只需要令应用程序池用户具备访问网络资源的权限即可。之所以需要创建一个自定义用户,处于以下几个原因:
1、现有的内置账户无法满足我们的需求。例如,假如 Local Service 账号权限不足,而 Local System 账号权限又太高,那么就可以根据所需要的权限创建一个合适的账号。
2、为了保护网站,需要将网站进行分隔。在一个共享环境中,如果一个 Web 服务器中运行了多个网站,而这些网站彼此之间又互不信任,那么我们就可以使用自定义用户的方法解决问题。一个共享的 Web 主机环境是使用自定义用户的主要原因。即使在同一个机构中,将不同的 Web 网站彼此分隔也非常有意义,这是因为:在共享的 Web 主机环境中,如果一个 Web 网站受到了危害,那么,只要我们对系统进行了合理配置,其他 Web 网站、应用程序池中的应用程序都不会受到影响。
3、需要使用应用程序池身份访问一个网络资源。如果需要访问一个网络资源,那么可以创建一个自定义的域用户,并将应用程序池的用户标识指派为这个自定义用户。这样一来,如果以这个应用程序池的用户标识运行的程序需要访问一个网络资源,那么,程序将使用这个自定义用户身份访问网络资源。

很赞哦!
账号 用户 资源 权限 网络 程序 应用 应用程序 网站 网络资源 身份 运行 服务器 标识 系统 服务 数据 数据库 环境 错误 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 游戏王md游戏服务器没有响应 阿里云 小程序服务器 实况8联机对战是哪个服务器 学习通信息系统与数据库 互联网金融前沿科技 大一计算机网络技术 如何往数据库中写入数据库 数据库应用开发师报考条件 数据库有哪六个范式 数据库标点符号什么时候放 如何学习数据库系统架构 江苏陈彬网络安全 中国电信对服务器的要求 开发区网络安全领导小组 中电兴发是网络安全概念股吗 日照网络技术有限公司怎么样 筑梦中国网络安全宣传 mongo查重复的数据库 推理服务器什么价位 数据库系统如何复制 在数据库中一般会遇到哪些锁 为想互联网科技 惠州商城软件开发方案 泰安平台软件开发解决方案 如何往数据库中写入数据库 网络技术学院哪个专业好 收到学校网络安全部警告 数据库第三范式满足的条件 一台服务器需要多少光模块 怎样删除app数据库

相关文章

0