IIS7.5的工作原理與IIS7.0基本是一樣的

   在IlS7.0里，系統(tǒng)自動(dòng)為各應(yīng)用程序新建一個(gè)應(yīng)用程序池。默認(rèn)情況下，應(yīng)用程序池被配置為以 NETWORKSERVICE 賬號(hào)運(yùn)行。而當(dāng)工作進(jìn)程被創(chuàng)建時(shí)，IIS7.0會(huì)向 NETWORKSERVICE安全令牌注入一個(gè)特殊的唯一標(biāo)識(shí)該應(yīng)用程序池的SID（通常是應(yīng)用程序池的名稱）。IIS7.0還會(huì)為工作進(jìn)程創(chuàng)建一個(gè)配置文件，并且將文件的ACL設(shè)置為僅允許應(yīng)用程序池唯一的SID訪問(wèn)。這么做的結(jié)果就是：一個(gè)應(yīng)用程序池的配置將無(wú)法被別的應(yīng)用程序池讀取。順便提醒一下，你可以更改內(nèi)容文件的ACL，從而允許應(yīng)用程序池唯一的SID進(jìn)行訪問(wèn)而不是NETWORKSERVICE賬號(hào)。這可以阻止應(yīng)用程序池A中的某個(gè)應(yīng)用程序讀取應(yīng)用程序池B中某應(yīng)用程序的內(nèi)容文件。 

   對(duì)于Web服務(wù)器來(lái)說(shuō)，使用哪個(gè)賬號(hào)作為匿名訪問(wèn)的身分憑證是關(guān)系進(jìn)程身份的重要問(wèn)題。IIS6依賴于一個(gè)本地賬戶——IUSR_計(jì)算機(jī)名，將其作為匿名用戶登錄的身份憑證。IlS7則使用了一個(gè)全新的內(nèi)置賬號(hào)——IUSR，這是一個(gè)特殊的賬戶，用戶不能使用該賬戶進(jìn)行本地登錄，它沒(méi)有密碼，所以任何基于密碼破解的攻擊對(duì)它是無(wú)效的。由于IUSR賬號(hào)總是擁有相同的SID，所以它的相關(guān)ACL在WindowsSewer2008的機(jī)器之間是可傳遞的。如果IUSR賬號(hào)不適合我們的應(yīng)用場(chǎng)景的話(也就是說(shuō)，如果匿名請(qǐng)求需要經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)訪問(wèn)的話)，可以關(guān)閉匿名用戶賬號(hào)，IIS7將為匿名請(qǐng)求使用工作者進(jìn)程身份。 

同樣全新的還有內(nèi)置的IIS_IUSRS組，這個(gè)用戶組取代了原先的IIS_WPG組。在IIS6里，IIS_WPG組提供了運(yùn)行一個(gè)工作者進(jìn)程所需的最小權(quán)限，而且必須手動(dòng)地將賬號(hào)添加到該組，從而為一個(gè)工作者進(jìn)程提供自定制的身份憑證。IIS_IUSRS組為lIS7提供了類似的角色，但是不必特意將賬號(hào)添加到該組。取而代之的是，當(dāng)賬號(hào)被指派為某一應(yīng)用程序池的身份憑證時(shí)，IIS7會(huì)自動(dòng)將這些賬號(hào)收入到IIS_IUSRS組。并且和IUSR賬號(hào)一樣，IIS_IUSRS組也是內(nèi)置的，所以在所有的WindowsServer2008機(jī)器上，它總是具有相同的名稱和SID，這就讓ACL以及其它配置在WindowsServer2008(以及WindowsVista)機(jī)器之間是完全可遷移的。