我应该强化我们公司开发的 Web 应用程序。为此,我决定为每个网站创建单独的应用程序池。我的问题是使用应用程序池身份是否更安全,还是为每个应用程序池使用单独的本地/域帐户?
答案1
使用应用程序池标识的原因纯粹是出于安全考虑。Windows 中对此还有另一个名称 - 它们也被称为“虚拟帐户”。
默认情况下,“网络服务”和“本地计算机”帐户拥有过多特权。本地计算机可以不受限制地访问整个系统,而网络服务可以干扰以网络服务身份运行的其他 Windows 服务。应用程序池标识和虚拟帐户通常只是一种直接的机制,您可以通过该机制分配仅有的服务所需的最低权限,而不是更多权限。它还有助于从 ACL 和审计角度保持事物的连续性,因为您将很难追踪哪个“网络服务”在机器上执行了某些操作等。