在早期的IIS版本中如IIS6.0，隨著IIS的安裝，系統(tǒng)會創(chuàng)建一個IUSR_MachineName用戶。IIS啟用匿名訪問，就是通過此用戶進(jìn)行身份認(rèn)證的，包括FTP匿名訪問，HTTP匿名訪問。

 

在創(chuàng)建IUSR_MachineName用戶的同時，IIS_WPG用戶組也會被創(chuàng)建出來。此用戶組是一個包含所有預(yù)定義應(yīng)用程序池標(biāo)識用戶的容器。在安裝IIS的時候，系統(tǒng)里所有IIS需要用到的資源都被授予IIS_WPG用戶組適當(dāng)?shù)臋?quán)限。因此，當(dāng)管理員為應(yīng)用程序池標(biāo)識為一個新創(chuàng)建的用戶時，只需將該用戶加入IIS_WPG用戶組，即可保證應(yīng)用程序池正常工作。

 

在這樣的架構(gòu)下，IIS可以很好地工作，但也有其不足之處：IUSR_MachineName用戶和IIS_WPG用戶組都是本地系統(tǒng)里的用戶（組），同系統(tǒng)中的其他用戶（組）一樣，都有各自的唯一安全標(biāo)識符SID。IIS的配置文件metabase.xml有調(diào)用IUSR_MachineName用戶。由于此用戶在其他計算機(jī)上有著不同的SID及名稱，所以當(dāng)我們把metabase.xml復(fù)制到其他計算機(jī)上時，IIS將無法正常工作。

 

另外，也正是由于SID的緣故，我們無法將IUSR_MachineName用戶相關(guān)的ACL成功復(fù)制到其他計算機(jī)上。IIS_WPG用戶組也一樣。

 

IIS 7成功解決了這兩個問題。

 

IIS 7的內(nèi)置用戶（組）突破了SID的限制，因為IIS7在調(diào)用這些內(nèi)置用戶（組）時，使用的是用戶名而非SID。而且在不同語言版本的系統(tǒng)中，IIS 7的內(nèi)置用戶（組）都是IUSR（IIS_IUSRS）。其中，IUSR用于取代IUSR_MachineName，IIS_IUSRS用于取代IIS_WPG。

 

由于IUSR屬于內(nèi)置用戶，所以使用時，不需要輸入密碼。你可以把它理解為NETWORK SERVICE或LOCAL SERVICE一類的用戶。下面具體講一下IUSR和IIS_IUSRS。

 

 

在IIS 7中，IUSR用戶取代了IUSR_MachineName用戶。IUSR在認(rèn)證時不需要密碼。IIS 7的匿名身份認(rèn)證，就是通過此用戶進(jìn)行的。打開IIS 7配置文件applicationHost.config ，可以看到這樣一段設(shè)置：

 

 

這表明IIS 7是通過IUSR來實現(xiàn)所有的匿名訪問。這樣一來，你就可以：

 

通過Explorer或cmd來設(shè)置IUSR的權(quán)限；
不用擔(dān)心IUSR密碼過期的問題；
將IUSR相關(guān)的ACL無縫遷移至其他計算機(jī)上。

 

當(dāng)然，我們也可以將IIS 7的匿名身份標(biāo)識為成其他用戶：

 

1、打開IIS Manager，雙擊你想要設(shè)置的站點。
2、在功能視圖中，雙擊身份驗證。
3、選擇匿名身份驗證，點擊編輯。
4、點擊特定用戶，設(shè)置。
5、輸入該用戶的用戶名密碼，確定。

 

 

IIS_IUSRS用戶組取代了IIS_WPG用戶組。此內(nèi)置用戶組擁有應(yīng)用程序池訪問系統(tǒng)資源所需的足夠權(quán)限。因此，任何加入此用戶組的用戶，都可以成為一個合格的應(yīng)用程序池標(biāo)識用戶。

 

和IUSR用戶一樣，IIS_IUSRS用戶組也可以實現(xiàn)不同計算機(jī)之間的ACL復(fù)制。

 

當(dāng)IIS啟動工作進(jìn)程時，需要用戶來標(biāo)識進(jìn)程，而IIS_IUSRS用戶組成員ApplicationPoolIdentity就是默認(rèn)的標(biāo)識。

 

ApplicationPoolIdentity并不是指一個用戶，而是所有程序池默認(rèn)標(biāo)識用戶的統(tǒng)稱。這些用戶與程序池是一一對應(yīng)的。例如，程序池DefaultAppPool的ApplicationPoolIdentity是用IISAPPPOOL\DefaultAppPool。

 

因此，有了IIS_IUSRS用戶組，管理應(yīng)用程序池標(biāo)識就變得簡單多了，至少你不需要再為不同程序池下的站點設(shè)置不同的程序池標(biāo)識用戶權(quán)限。

關(guān)鍵字：IUSR、IIS_IUSRS 、IIS