Windows-技术

IIS_IUSRS

By wooblog

什么是 IIS_IUSRS 权限?

  • 定义: IIS_IUSRS 是一个内置安全组,全称是“IIS Internet User Security”,用于表示运行 IIS 应用程序池的默认账户(通常是应用程序池身份)。它在安装 IIS 时自动创建。

  • 作用: IIS_IUSRS 组的成员被授予对 IIS 相关资源(如 Web 站点目录)的访问权限,以确保 Web 应用程序正常运行,而无需赋予完整的系统权限。

  • SID: 其安全标识符(SID)为 S-1-5-32-568。

IIS_IUSRS 权限的具体能力

IIS_IUSRS 的权限主要围绕 IIS 的运行需求,默认包括:

  1. 文件和文件夹管理:

    • 默认权限:

      • 对 IIS Web 站点根目录(如 C:\inetpub\wwwroot)有读取和执行权限。

      • 对临时文件夹(如 C:\Windows\Temp)可能有读取和写入权限,用于处理临时文件。

    • 限制:

      • 默认无权修改系统文件夹(如 C:\Windows)或用户私有文件夹,除非明确授权。

  2. 应用程序池运行:

    • 允许以应用程序池身份运行 Web 应用程序,访问相关资源。

    • 权限由应用程序池配置决定(如默认的 ApplicationPoolIdentity)。

  3. 系统配置:

    • 无权修改系统设置或注册表,仅限于 IIS 运行所需。

  4. 网络访问:

    • 可以处理传入的 HTTP/HTTPS 请求,权限受限于 IIS 配置。

与 IUSR、Administrators 和其他组的关系

  • 与 IUSR 的对比:

    • IUSR: 用于匿名访问 IIS 站点的默认账户。

    • IIS_IUSRS: 表示应用程序池身份,运行 Web 应用程序的进程。

    • 示例:匿名用户访问站点时使用 IUSR,而应用程序池处理请求时使用 IIS_IUSRS。

  • 与 Administrators 的对比:

    • Administrators: 拥有完全控制权。

    • IIS_IUSRS: 权限受限,仅服务于 IIS 运行。

  • 与 Users 的对比:

    • Users: 标准用户权限高于 IIS_IUSRS 的默认权限。

    • IIS_IUSRS: 专注于 Web 应用程序,权限更低。

  • 与 TrustedInstaller 的关系:

    • IIS_IUSRS 无权修改受 TrustedInstaller 保护的系统文件。

IIS_IUSRS 权限的特点

  • 默认成员: 默认情况下,IIS_IUSRS 不包含具体用户,而是动态包含所有应用程序池身份(ApplicationPoolIdentity)。

  • 动态身份: 每个应用程序池创建一个唯一的虚拟账户(如 IIS AppPool\DefaultAppPool),这些账户属于 IIS_IUSRS 组。

  • 安全性: 通过低权限设计,限制 Web 应用程序对系统的访问。

如何管理 IIS_IUSRS 权限?

  1. 查看组成员:

    • 打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 组 → IIS_IUSRS。

    • 默认显示为内置组,可能无具体用户。

  2. 检查权限:

    • 右键 Web 站点文件夹(如 C:\inetpub\wwwroot)→ 属性 → 安全选项卡 → 查看 IIS_IUSRS 的权限。

  3. 调整权限:

    • 为站点文件夹添加权限:

      • 右键文件夹 → 属性 → 安全 → 编辑 → 添加 IIS_IUSRS → 设置读取/写入权限。

    • 命令行:icacls "C:\inetpub\wwwroot" /grant "IIS_IUSRS:(RX)"(授予读取和执行权限)。

  4. 配置应用程序池:

    • IIS 管理器(inetmgr)→ 应用程序池 → 选择池 → 高级设置 → 身份 → 确认使用 ApplicationPoolIdentity。

实际应用场景

  • Web 托管: 运行 ASP.NET 网站,IIS_IUSRS 访问 wwwroot 中的文件。

  • 文件上传: 网站需要写入上传文件夹,授予 IIS_IUSRS 写入权限。

  • 安全性隔离: 每个应用程序池使用独立身份(属于 IIS_IUSRS),防止跨站点权限泄露。

注意事项

  • 权限最小化: 只授予 IIS_IUSRS 必要的权限(如读取),避免过多权限导致安全风险。

  • 与 IUSR 配合: 匿名访问需同时配置 IUSR 和 IIS_IUSRS 的权限。

  • 依赖 IIS: 该组仅在安装 IIS 后有效,未安装 IIS 的系统无此组。

总结

IIS_IUSRS 权限是为运行 IIS 应用程序池设计的权限,允许 Web 应用程序访问必要资源(如站点文件夹)。它比 Users 权限低,远低于 Administrators 和 TrustedInstaller,仅限于 IIS 运行需求。默认包含应用程序池身份,通过低权限设计确保安全,广泛用于 Web 托管场景。管理时需关注站点目录权限和应用程序池配置。

Hyper-V Administrators
IUSR

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。