在早期的IIS版本中如IIS6.0，隨著IIS的安裝，系統(tǒng)會(huì)創(chuàng)建一個(gè)IUSR_MachineName用戶。IIS啟用匿名訪問(wèn)，就是通過(guò)此用戶進(jìn)行身份認(rèn)證的，包括FTP匿名訪問(wèn)，HTTP匿名訪問(wèn)。

 

在創(chuàng)建IUSR_MachineName用戶的同時(shí)，IIS_WPG用戶組也會(huì)被創(chuàng)建出來(lái)。此用戶組是一個(gè)包含所有預(yù)定義應(yīng)用程序池標(biāo)識(shí)用戶的容器。在安裝IIS的時(shí)候，系統(tǒng)里所有IIS需要用到的資源都被授予IIS_WPG用戶組適當(dāng)?shù)臋?quán)限。因此，當(dāng)管理員為應(yīng)用程序池標(biāo)識(shí)為一個(gè)新創(chuàng)建的用戶時(shí)，只需將該用戶加入IIS_WPG用戶組，即可保證應(yīng)用程序池正常工作。

 

在這樣的架構(gòu)下，IIS可以很好地工作，但也有其不足之處：IUSR_MachineName用戶和IIS_WPG用戶組都是本地系統(tǒng)里的用戶（組），同系統(tǒng)中的其他用戶（組）一樣，都有各自的唯一安全標(biāo)識(shí)符SID。IIS的配置文件metabase.xml有調(diào)用IUSR_MachineName用戶。由于此用戶在其他計(jì)算機(jī)上有著不同的SID及名稱，所以當(dāng)我們把metabase.xml復(fù)制到其他計(jì)算機(jī)上時(shí)，IIS將無(wú)法正常工作。

 

另外，也正是由于SID的緣故，我們無(wú)法將IUSR_MachineName用戶相關(guān)的ACL成功復(fù)制到其他計(jì)算機(jī)上。IIS_WPG用戶組也一樣。

 

IIS 7成功解決了這兩個(gè)問(wèn)題。

 

IIS 7的內(nèi)置用戶（組）突破了SID的限制，因?yàn)镮IS7在調(diào)用這些內(nèi)置用戶（組）時(shí)，使用的是用戶名而非SID。而且在不同語(yǔ)言版本的系統(tǒng)中，IIS 7的內(nèi)置用戶（組）都是IUSR（IIS_IUSRS）。其中，IUSR用于取代IUSR_MachineName，IIS_IUSRS用于取代IIS_WPG。

 

由于IUSR屬于內(nèi)置用戶，所以使用時(shí)，不需要輸入密碼。你可以把它理解為NETWORK SERVICE或LOCAL SERVICE一類的用戶。下面具體講一下IUSR和IIS_IUSRS。

 

 

在IIS 7中，IUSR用戶取代了IUSR_MachineName用戶。IUSR在認(rèn)證時(shí)不需要密碼。IIS 7的匿名身份認(rèn)證，就是通過(guò)此用戶進(jìn)行的。打開(kāi)IIS 7配置文件applicationHost.config ，可以看到這樣一段設(shè)置：

 

 

這表明IIS 7是通過(guò)IUSR來(lái)實(shí)現(xiàn)所有的匿名訪問(wèn)。這樣一來(lái)，你就可以：

 

通過(guò)Explorer或cmd來(lái)設(shè)置IUSR的權(quán)限；
不用擔(dān)心IUSR密碼過(guò)期的問(wèn)題；
將IUSR相關(guān)的ACL無(wú)縫遷移至其他計(jì)算機(jī)上。

 

當(dāng)然，我們也可以將IIS 7的匿名身份標(biāo)識(shí)為成其他用戶：

 

1、打開(kāi)IIS Manager，雙擊你想要設(shè)置的站點(diǎn)。
2、在功能視圖中，雙擊身份驗(yàn)證。
3、選擇匿名身份驗(yàn)證，點(diǎn)擊編輯。
4、點(diǎn)擊特定用戶，設(shè)置。
5、輸入該用戶的用戶名密碼，確定。

 

 

IIS_IUSRS用戶組取代了IIS_WPG用戶組。此內(nèi)置用戶組擁有應(yīng)用程序池訪問(wèn)系統(tǒng)資源所需的足夠權(quán)限。因此，任何加入此用戶組的用戶，都可以成為一個(gè)合格的應(yīng)用程序池標(biāo)識(shí)用戶。

 

和IUSR用戶一樣，IIS_IUSRS用戶組也可以實(shí)現(xiàn)不同計(jì)算機(jī)之間的ACL復(fù)制。

 

當(dāng)IIS啟動(dòng)工作進(jìn)程時(shí)，需要用戶來(lái)標(biāo)識(shí)進(jìn)程，而IIS_IUSRS用戶組成員ApplicationPoolIdentity就是默認(rèn)的標(biāo)識(shí)。

 

ApplicationPoolIdentity并不是指一個(gè)用戶，而是所有程序池默認(rèn)標(biāo)識(shí)用戶的統(tǒng)稱。這些用戶與程序池是一一對(duì)應(yīng)的。例如，程序池DefaultAppPool的ApplicationPoolIdentity是用IISAPPPOOL\DefaultAppPool。

 

因此，有了IIS_IUSRS用戶組，管理應(yīng)用程序池標(biāo)識(shí)就變得簡(jiǎn)單多了，至少你不需要再為不同程序池下的站點(diǎn)設(shè)置不同的程序池標(biāo)識(shí)用戶權(quán)限。

關(guān)鍵字：IUSR、IIS_IUSRS 、IIS