In IIS 5.0 ist das Identitätskonto eines Anwendungspools standardmäßig ASPNET, und die Website wird, sofern die Identitätswechsel nicht aktiviert ist, unter dem Konto der Identität ihres Anwendungspools ausgeführt.
Aber in IIS 7.0 gibt es zwei Stellen, an denen ich das von meiner Website zu verwendende Konto konfigurieren kann. Auf Anwendungspoolebene und auf Websiteebene.
Ich hatte erwartet, dass die Website-Identität die Identität des Anwendungspools überschreibt, aber ich habe gerade gesehen, dass dies nicht der Fall ist.
Also, was ist der Unterschied?
Antwort1
Die beiden Konten sind verschiedene Dinge. Stellen Sie sich vor, die Website-Identität repräsentiert den Benutzer der Site. Wenn Sie eine neue Website erstellen, ist dieses Konto das anonyme IIS-Konto. Wenn Sie „Anonyme Authentifizierung“ deaktivieren, müssen sich Ihre Benutzer gegenüber der Website authentifizieren (auf einer Intranet-/Windows-Domänensite könnte dies implizit über die Netzwerkanmeldeinformationen erfolgen).
Die Anwendungspoolidentität ist das Windows-Konto, das zum Ausführen Ihrer Assemblys benötigt wird. Normalerweise ist es das "Netzwerkdienst"-Konto, das ein Konto mit den geringsten Privilegien und eingeschränkten Benutzerrechten und Berechtigungen ist. Es verfügt über Netzwerkanmeldeinformationen. Das bedeutet, dass Sie es zur Authentifizierung gegenüber Netzwerkressourcen in einer Domäne verwenden können. Sie können es auch verwenden, um auf eine SQL Server-Datenbank mit integrierter Sicherheit zuzugreifen.
Wenn Ihre ASP.NET-Anwendung beispielsweise in einen Ordner schreiben muss, müssen Sie die Berechtigung dem Anwendungspoolkonto erteilen, nicht dem Websitekonto. Weitere Informationen zu Anwendungspoolidentitäten finden Sie unterLies hier.
Notiz:In IIS 7 gibt es eine Möglichkeit, dasselbe Konto der Anwendungspool-Identität für das anonyme Website-Konto zu verwenden:
