IIS7.5中神秘的ApplicationPoolIdentity介绍
IIS7.5中(仅win7,win2008 SP2,win2008 R2支持),应用程序池的运行帐号,除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外,还新增了一种ApplicationPoolIdentify
win7的官方帮助上是这么说的:
ApplicationPoolIdentity – 默认情况下,选择“应用程序池标识”帐户。启动应用程序池时动态创建“应用程序池标识”帐户,因此,此帐户对于您的应用程序来说是最安全的。
也就是说"ApplicationPoolIdentity"帐号是系统动态创建的“虚拟”帐号(说它是虚拟的,是因为在用户管理里看不到该用户或用户组,在命令行下输入net user也无法显示,但该帐号又是确实存在的)
如何验证该帐号确实是存在的的?打开任务管理器,观察一下:
w3wp.exe即iis进程,上图中高亮部分表明该iis进程正在以帐号luckty运行(注意这里的luckty即为上图中的应用程序池名称)
好了,搞清楚这个有什么用?
先来做一个测试,比如我们在iis里新建一个站点,主目录设置为c:\2\,应用程序池就指定刚才图中的luckty
假如我们在该站点的default.aspx.cs里写入这样一行代码 :
File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());
前提是c盘必须先建一个目录TestDir,同时除Administrator,System保留完全控制权外,其它帐号的权限都删除掉
运行后,会提示异常: 对路径“C:\TestDir\1.txt”的访问被拒绝。
原因很明显:该站点运行时是以应用程序池(luckty)对应的虚拟帐号运行的,而这个虚拟帐号不具备c:\TestDir的访问权限
这种情况在web服务器(iis6)安全配置中很常见,比如我们把图片上传目录,常常放在主目录之外,同时以虚拟目录形式挂于站点之下,另外在IIS6中不指定该目录任何执行权限 ,这样即使有人非法上传了asp/aspx木马上去,也无法运行搞不成破坏!
言归正传,要想让那一行测试代码正常运行,解决办法很简单,把虚拟帐号的权限加入文件夹安全权限中即可,但是问题来了:这个虚拟帐号我们是不可见的,如果你直接添加名为luckty的用户到文件夹安全帐号里,根本通不过(提示找不到luckty用户),说明这个虚拟帐号名称并不是"luckty"
关键:手动输入 IIS AppPool\luckty (即IIS AppPool\应用程序池名),再确定,这回ok了.
当然除了用"IIS AppPool\应用程序池名"外,windows内部还有一个特殊的用户组Authenticated Users,把这个组加入TestDir的安全权限帐号里也可以,不过个人觉得没有"IIS AppPool\应用程序池名"来得精确.
结束语:
IIS7.5的虚拟帐号设计确实很棒,想想传统IIS6的时候,为了把同一服务器上的各站点权限分开(以防止木马捣乱),不得不创建一堆iuser_XXX,iwam_XXX帐号并指定密码,再一个个站点分配过去,累死人!而虚拟帐号设计则让这类管理轻松多了,也不用担心密码过于简单或过期问题。So,还在等什么,赶紧升级到win7/win2008 R2吧!
相关文章
- 这篇文章主要介绍了在IIS7、IIS7.5中应用程序池最优配置方案,需要的朋友可以参考下...2016-07-04
- URLScan是一个IIS下的ISAPI 筛选器,它能够限制服务器将要处理的HTTP请求的类型。通过阻止特定的 HTTP 请求,URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害...2016-01-27
Windows 2008 IIS7.5中创建独立账号的FTP站点图文教程
这篇文章主要介绍了Windows 2008 IIS7.5中创建独立账号的FTP站点图文教程,IIS7.5的FTP功能已经非常强大了,需要的朋友可以参考下...2016-01-27解决iis7.5服务器上.net 获取不到https页面的信息
让我纠结了一天多的问题,给大家看下,有相同情况的可以不用浪费时间了,本人当时找了好半天都没找到什么有用的信息,项目在本地没有问题,但部署在服务器后,获取不到https页面的信息,加入下面的代码就可以了,因为iis7.5的安全协议比较高的原因。...2021-09-22IIS7.5 HTTP 错误 500 调用loadlibraryex失败的解决方法
在IIS7.5打开网页的时候,提示: HTTP 错误 500.0 - Internal Server Error 调用 LoadLibraryEx 失败,在 ISAPI 筛选器 C:\Windows\Microsoft.NET\Framework\v4.0.30319\\aspnet_filter.dll,经过排除发现原来是两个斜杠导致...2016-01-27IIS7.5 配置自定义后缀的ASP文件 无法执行 总是提示下载的解决方法
这篇文章主要介绍了IIS7.5 配置自定义后缀的ASP文件 无法执行 总是提示下载的解决方法,需要的朋友可以参考下...2016-07-04windows server 2008R2系统 IIS7.5配置伪静态的方法(urlrewrite)
这篇文章主要介绍了windows server 2008R2系统 IIS7.5配置伪静态页面 ,需要的朋友可以参考下...2016-07-04- 今天在配置服务器的时候,需要限制一下带宽,免费被攻击或者流量跑得太高影响别的网站,这里给限制下带宽,一般使用iis6的朋友刚接触还真不容易找到,这里脚本之家小编就为大家分享下...2016-01-27
- 通过对IIS7的配置进行优化,调整IIS7应用池的队列长度,请求数限制,TCPIP连接数等方面,从而使WEB服务器的性能得以提升,保证WEB访问的访问流畅...2016-01-27
IIS7.5 提示未在本地计算机上注册“Microsoft.Jet.OleDb.4.0”提供程序
这篇文章主要介绍了在WIN7 X64平台IIS7.5,使用Asp.net连接access数据库时候,提示:未在本地计算机上注册“Microsoft.Jet.OleDb.4.0”提供程序的解决方法,需要的朋友可以参考下...2016-01-27- http 500内部服务器错误说明IIS服务器无法解析ASP代码,下面为大家介绍下Win7 IIS7.5运行ASP时出现500错误的解决办法...2016-01-27
IIS7/IIS7.5 URL 重写 HTTP 重定向到 HTTPS的方法
这篇文章主要介绍了IIS7IIS7.5 URL 重写 HTTP 重定向到 HTTPS的方法,需要的朋友可以参考下...2016-07-04- 这篇文章主要介绍了IIS7.5开启FastCGI的配置方法,IIS7.5是不需要单独安装FastCGI,只需配置一下即可,需要的朋友可以参考下...2016-01-27
IIS7.5中神秘的ApplicationPoolIdentity介绍
这篇文章主要介绍了IIS7.5中神秘的ApplicationPoolIdentity介绍,需要的朋友可以参考下...2016-01-27- 这篇文章主要介绍了IIS7.5 http 1.1 新建应用程序失败的解决方法,备注下,是ASP的网站,需要的朋友可以参考下...2016-01-27
- 这篇文章主要介绍了iis7.5 URL重写零基础入门介绍,需要的朋友可以参考下...2017-07-06
- IIS7.5使用web.config设置伪静态方法...2016-01-27
IIS7.5下301重定向的设置方法(及伪静态后301重定向出错案例)
301重定向,网络上的知识已经很多了,我在这第一次实践过程中,出现了一个算是低级的错误,但也比较典型,也许其它新手也会碰到,分享一下...2016-01-27iis 7.5 选中站点提示 错误: 无法读取配置文件的解决方法
今天在本地学习配置windows server 2008 r2的时候,点击很早以前创建的站点竟然提示错误: 无法读取配置文件,也不知道如何删除站点重新创建一个也行,经过摸索方法如下,特分享一下需要的朋友可以参考下...2016-07-04- 在日志中发现IIS7.5的应用程序池自动停止,同时访问网站提示:HTTP Error 503,The service is unavailable.. 的错误,搜遍整个互联网总算是解决了问题。小编也整理了IIS6及IIS7.5遇到此类问题汇总解决方法,欢迎大家尝试...2016-01-27