欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

IIS 7.5中神秘的應(yīng)用程序池標(biāo)識解析(程序池賬戶)

 更新時間:2016年07月24日 14:40:48   投稿:mdxy-dxy  
在windows2008R2新版的IIS7.5里面,我絕對除了對php更好的支持以外,最重要的一個功能應(yīng)該就是“應(yīng)用程序池標(biāo)識”了,這是什么東西?我從網(wǎng)上找了篇比較不錯的使用介紹,在blog里面做一份存檔,以備自己需要的時候查詢使用

IIS7.5中(僅win7,win2008 SP2,win2008 R2支持),應(yīng)用程序池的運(yùn)行帳號,除了指定為LocalService,LocalSystem,NetWorkService這三種基本類型外,還新增了一種ApplicationPoolIdentify



win7的官方幫助上是這么說的:ApplicationPoolIdentity – 默認(rèn)情況下,選擇“應(yīng)用程序池標(biāo)識”帳戶。啟動應(yīng)用程序池時動態(tài)創(chuàng)建“應(yīng)用程序池標(biāo)識”帳戶,因此,此帳戶對于您的應(yīng)用程序來說是最安全的。
也就是說"ApplicationPoolIdentity"帳號是系統(tǒng)動態(tài)創(chuàng)建的“虛擬”帳號(說它是虛擬的,是因為在用戶管理里看不到該用戶或用戶組,在命令行下輸入net user也無法顯示,但該帳號又是確實存在的)
如何驗證該帳號確實是存在的的?打開任務(wù)管理器,觀察一下:



w3wp.exe即iis進(jìn)程,上圖中高亮部分表明該iis進(jìn)程正在以帳號luckty運(yùn)行(注意這里的luckty即為上圖中的應(yīng)用程序池名稱)
好了,搞清楚這個有什么用?


先來做一個測試,比如我們在iis里新建一個站點(diǎn),主目錄設(shè)置為c:\2\,應(yīng)用程序池就指定剛才圖中的luckty
假如我們在該站點(diǎn)的default.aspx.cs里寫入這樣一行代碼 :


File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());


前提是c盤必須先建一個目錄TestDir,同時除Administrator,System保留完全控制權(quán)外,其它帳號的權(quán)限都刪除掉
運(yùn)行后,會提示異常: 對路徑“C:\TestDir\1.txt”的訪問被拒絕。


原因很明顯:該站點(diǎn)運(yùn)行時是以應(yīng)用程序池(luckty)對應(yīng)的虛擬帳號運(yùn)行的,而這個虛擬帳號不具備c:\TestDir的訪問權(quán)限
這種情況在web服務(wù)器(iis6)安全配置中很常見,比如我們把圖片上傳目錄,常常放在主目錄之外,同時以虛擬目錄形式掛于站點(diǎn)之下,另外在IIS6中不指定該目錄任何執(zhí)行權(quán)限 ,這樣即使有人非法上傳了asp/aspx木馬上去,也無法運(yùn)行搞不成破壞!言歸正傳,要想讓那一行測試代碼正常運(yùn)行,解決辦法很簡單,把虛擬帳號的權(quán)限加入文件夾安全權(quán)限中即可,但是問題來了:這個虛擬帳號我們是不可見的,如果你直接添加名為luckty的用戶到文件夾安全帳號里,根本通不過(提示找不到luckty用戶),說明這個虛擬帳號名稱并不是"luckty"

關(guān)鍵:手動輸入 IIS AppPool\luckty (即IIS AppPool\應(yīng)用程序池名),再確定,這回ok了.



當(dāng)然除了用"IIS AppPool\應(yīng)用程序池名"外,windows內(nèi)部還有一個特殊的用戶組Authenticated Users,把這個組加入TestDir的安全權(quán)限帳號里也可以,不過個人覺得沒有"IIS AppPool\應(yīng)用程序池名"來得精確.


結(jié)束語:IIS7.5的虛擬帳號設(shè)計確實很棒,想想傳統(tǒng)IIS6的時候,為了把同一服務(wù)器上的各站點(diǎn)權(quán)限分開(以防止木馬搗亂),不得不創(chuàng)建一堆iuser_XXX,iwam_XXX帳號并指定密碼,再一個個站點(diǎn)分配過去,累死人!而虛擬帳號設(shè)計則讓這類管理輕松多了,也不用擔(dān)心密碼過于簡單或過期問題。So,還在等什么,趕緊升級到win7/win2008 R2吧!

相關(guān)文章

最新評論