IIS 5.0 では、既定ではアプリケーション プールの ID アカウントは ASPNET であり、偽装が有効になっていない限り、Web サイトはアプリケーション プールの ID アカウントで実行されます。
しかし、IIS 7.0 では、Web サイトが使用するアカウントを構成できる場所が 2 つあります。アプリケーション プール レベルと Web サイト レベルです。
ウェブサイトの ID がアプリケーション プールの ID を上書きすると予想していましたが、そうではないことがわかりました。
それで、違いは何でしょうか?
答え1
2 つのアカウントは別物です。Web サイトの ID はサイトのユーザーを表すと考えてください。新しい Web サイトを作成する場合、このアカウントは匿名の IIS アカウントです。「匿名認証」を無効にすると、ユーザーは Web サイトに対して認証を行う必要があります (イントラネット/Windows ドメイン サイトでは、ネットワーク資格情報を使用して暗黙的に認証が行われる場合があります)。
アプリケーションプールIDは、アセンブリを実行するために必要なWindowsアカウントです。通常は「ネットワークサービス「アカウント」は、ユーザー権限とアクセス許可が制限された、最小限の特権を持つアカウントです。このアカウントにはネットワーク資格情報があります。つまり、このアカウントを使用して、ドメイン内のネットワーク リソースに対して認証することができます。また、このアカウントを使用して、統合セキュリティを備えた SQL Server データベースにアクセスすることもできます。
たとえば、ASP.NET アプリケーションがフォルダーに書き込む必要がある場合、Web サイト アカウントではなく、アプリケーション プール アカウントに権限を付与する必要があります。アプリケーション プール ID の詳細については、こちらで読む。
注記:IIS 7 では、匿名 Web サイト アカウントにアプリケーション プール ID と同じアカウントを使用する方法があります。
