應用程序池用戶

應用程序池（w3wp.exe 工作進程）是以我們指定的用戶身份運行的，IIS 需要使用這個用戶身份訪問各種系統資源和網絡資源，如訪問磁盤資源、執行某些系統功能、訪問寄存器，以及訪問網絡資源等。IIS 默認的用戶身份是 Network Service 賬號，這個賬號對 Web 服務器和網絡只有有限的訪問權限，但是在運行標準 Web 網站時具有完全的權限。 IIS 7.0 為用戶提供了 3 種內置的賬戶。
內置的賬戶包括：Network Service、Local Service、Local System

Network Service 賬號
應用程序池默認的用戶是內置的 Network Service 賬號。 Network Service 賬號對本地計算機和網絡資源只擁有最小訪問權限。當訪問同一個域中（或同一個信任域中）的另一個設備中的某個資源時，服務器可以使用 Network Service 賬號的網絡證書進行身份驗證。這個設備可以是一個數據庫，也可以是一個 UNC 共享，還可以是任何能夠通過網絡訪問的資源。Network Service 賬號的證書形式為 DomainName\ServerName$。例如，在 DomainA 域中，如果一個名為 WebServer1 的服務器使用 Network Service 賬號運行一個網站的過程中，同時還運行了一個名為 SQLServer1 的數據庫，那么為了正常運行名為 SQLServer1 的數據庫，我們必須為 DomainA\WebServer1$ 賬號授予必要的 SQL 訪問權限。
下面的權限將被顯式地指派給 Network Service 賬號。
1、為一個進程調整內存配額
2、繞過漫游檢查
3、創建全局對象
4、生成安全審計
5、身份驗證過程結束之后模擬一個客戶
6、替換一個進程級令牌
作為 Everyone 組的成員，Network Service 賬號還繼承了以下權限：
7、從網絡訪問計算機
最后，作為 IIS_IUSRS 組的成員，Network Service 賬號還繼承了以下權限：
8、作為一個批處理作業登錄

Local Service 賬號
內置的 Local Service 賬號無法像 Network Service 賬號那樣訪問網絡資源，但是具有與 Network Service 賬號類似的本地資源訪問權限。在 Windows Vista 和 Windows Server 2008 中，Local Service 賬號擁有以下本地資源訪問權限，而這些權限是 Network Service 賬號所不具備的：
1、修改系統時間
2、修改系統時區
如果不需要訪問網絡資源，那么就可以使用 Local Service 賬號。

Local System 賬號
內置的 Local System 賬號具有對本地系統的完全訪問權限。但是當我們使用 Local System 賬號時，務必加以小心，盡可能地避免使用這個賬號。當一個未授權的用戶瀏覽服務器中的某個網站時，或者當這個未授權的用戶上傳自己的內容時，如果應用程序池以 Local System 賬號身份運行，那么這個用戶可以在 Web 服務器中執行任何操作。
盡管 Local System 賬號可能會帶來大量的安全風險，但是 Local System 賬號仍然具有實際用途。如果需要對 Web 網站中的錯誤進行定位，同時，將應用程序池標識設置為 Local System 賬號標識，并在此基礎上進行測試，且假設網站的錯誤是由應用程序池身份標識的權限問題所引發的，那么我們就可以迅速發現問題的根源。當然，這種錯誤定位方式還需要考慮其他因素。成功定位錯誤之后，我們必須將應用程序池身份標識設置為具有合理權限的用戶身份。

自定義的用戶賬號
與 IIS 6.0 類似，IIS 7.0 同樣允許我們創建一個自定義用戶。這個用戶既可以是一個本地 Windows 用戶，也可以是一個域用戶。至于創建哪一類用戶，完全取決于 IIS 7.0 的應用環境以及我們的具體需要。如果創建的是一個域用戶，那么便可以像使用 UNC 共享那樣訪問網絡資源，或者像訪問一個數據庫那樣訪問網絡資源。此時我們只需要令應用程序池用戶具備訪問網絡資源的權限即可。之所以需要創建一個自定義用戶，處于以下幾個原因：
1、現有的內置賬戶無法滿足我們的需求。例如，假如 Local Service 賬號權限不足，而 Local System 賬號權限又太高，那么就可以根據所需要的權限創建一個合適的賬號。
2、為了保護網站，需要將網站進行分隔。在一個共享環境中，如果一個 Web 服務器中運行了多個網站，而這些網站彼此之間又互不信任，那么我們就可以使用自定義用戶的方法解決問題。一個共享的 Web 主機環境是使用自定義用戶的主要原因。即使在同一個機構中，將不同的 Web 網站彼此分隔也非常有意義，這是因為：在共享的 Web 主機環境中，如果一個 Web 網站受到了危害，那么，只要我們對系統進行了合理配置，其他 Web 網站、應用程序池中的應用程序都不會受到影響。
3、需要使用應用程序池身份訪問一個網絡資源。如果需要訪問一個網絡資源，那么可以創建一個自定義的域用戶，并將應用程序池的用戶標識指派為這個自定義用戶。這樣一來，如果以這個應用程序池的用戶標識運行的程序需要訪問一個網絡資源，那么，程序將使用這個自定義用戶身份訪問網絡資源。