IIS7.5的工作原理與IIS7.0基本是一樣的

   在IlS7.0里，系統(tǒng)自動為各應用程序新建一個應用程序池。默認情況下，應用程序池被配置為以 NETWORKSERVICE 賬號運行。而當工作進程被創(chuàng)建時，IIS7.0會向 NETWORKSERVICE安全令牌注入一個特殊的唯一標識該應用程序池的SID（通常是應用程序池的名稱）。IIS7.0還會為工作進程創(chuàng)建一個配置文件，并且將文件的ACL設置為僅允許應用程序池唯一的SID訪問。這么做的結果就是：一個應用程序池的配置將無法被別的應用程序池讀取。順便提醒一下，你可以更改內容文件的ACL，從而允許應用程序池唯一的SID進行訪問而不是NETWORKSERVICE賬號。這可以阻止應用程序池A中的某個應用程序讀取應用程序池B中某應用程序的內容文件。 

   對于Web服務器來說，使用哪個賬號作為匿名訪問的身分憑證是關系進程身份的重要問題。IIS6依賴于一個本地賬戶——IUSR_計算機名，將其作為匿名用戶登錄的身份憑證。IlS7則使用了一個全新的內置賬號——IUSR，這是一個特殊的賬戶，用戶不能使用該賬戶進行本地登錄，它沒有密碼，所以任何基于密碼破解的攻擊對它是無效的。由于IUSR賬號總是擁有相同的SID，所以它的相關ACL在WindowsSewer2008的機器之間是可傳遞的。如果IUSR賬號不適合我們的應用場景的話(也就是說，如果匿名請求需要經(jīng)身份驗證的網(wǎng)絡訪問的話)，可以關閉匿名用戶賬號，IIS7將為匿名請求使用工作者進程身份。 

同樣全新的還有內置的IIS_IUSRS組，這個用戶組取代了原先的IIS_WPG組。在IIS6里，IIS_WPG組提供了運行一個工作者進程所需的最小權限，而且必須手動地將賬號添加到該組，從而為一個工作者進程提供自定制的身份憑證。IIS_IUSRS組為lIS7提供了類似的角色，但是不必特意將賬號添加到該組。取而代之的是，當賬號被指派為某一應用程序池的身份憑證時，IIS7會自動將這些賬號收入到IIS_IUSRS組。并且和IUSR賬號一樣，IIS_IUSRS組也是內置的，所以在所有的WindowsServer2008機器上，它總是具有相同的名稱和SID，這就讓ACL以及其它配置在WindowsServer2008(以及WindowsVista)機器之間是完全可遷移的。