我需要创建一个用户帐户,该帐户 A) 不在将写入文件夹的 IIS_WPG 组中,并且 B) 用作 DefaultAppPool 身份帐户。B 的目的是为了防止从服务器 1 到服务器 2 的匿名 HTTP 文件推送。
我成功创建了设置为 AppPool 的用户帐户,但服务仅在与 IIS_WPG 关联时才有效。我还可以创建其他类型的帐户吗?
答案1
你不能不拥有不属于以下成员的池身份IIS_WPG 和是应用程序池身份。该IIS_WPG组配置了适当数量的 NTFS 权限和用户特权,以允许组成员成为应用程序池身份。
看:IIS 和内置帐户 (IIS 6.0)尤其是:在 IIS 6.0 中配置应用程序池标识(IIS 6.0)
如果您想设置具有相同最低权限集的另一个组或用户,它将与IIS_WPG现有的相同。
您不应该做的一件事是IIS_WPG在您的 Web 文件夹中为该组分配任何类型的权限。IIS_WPG只是一个方便的组,允许管理员允许自定义用户帐户成为池身份。
您应该分配给 IIS Web 文件夹的权限应该是池帐户本身,其中池帐户也是该站点的匿名用户。
或者,如果您在同一个池内运行多个站点但需要不同的匿名身份,那么您可以配置其他 Windows 帐户并将其设置为匿名用户。