應用程序池的標識是運行應用程序池的工作進程所使用的服務帳戶名稱。默認情況下,應用程序池以 Network Service 用戶帳戶運行,該帳戶擁有低級別的用戶權限。您可以將應用程序池配置為以 Windows Server® 2008 操作系統中的內置用戶帳戶之一運行。例如,您可以指定Local System 用戶帳戶,此帳戶與 Network Service 或 Local Service 內置用戶帳戶相比,具有更高級別的用戶權限。但請注意,以具有高級別用戶權限的帳戶運行應用程序池存在嚴重的安全風險。
您還可以配置自定義帳戶,使之用作應用程序池的標識。您選擇的任何自定義帳戶都應只具有應用程序需要的最基本的權限。自定義帳戶在以下情況下很有用:
1、當您希望提高安全性並且使跟蹤相應應用程序的安全事件更加容易。
當您在單個 Web 服務器上承載多個客戶的網站時。如果您為多個客戶使用同一進程帳戶,2、則一個客戶的應用程序源代碼可能能夠訪問另一客戶的應用程序源代碼。在這種情況下,您還應為匿名用戶帳戶配置自定義帳戶。
3、當應用程序不僅需要應用程序池的默認權限,而且還需要其他權限時。在這種情況下,您可以創建一個應用程序池,然后為新的應用程序池分配自定義標識。
除此之外,在這些系統中,還添加了一個新的標識那就是ApplicationPoolIdentify 標識,ApplicationPoolIdentity– 默認情況下,選擇“應用程序池標識”帳戶。啟動應用程序池時動態創建“應用程序池標識”帳戶,因此,此帳戶對於您的應用程序來說是最安全的。
下面我來介紹他們的使用方法:
Local System標識
這個標識是內置的這幾個賬戶里面的級別最高的一個,那么說也就是風險最高的一個,並且也是配置起來最簡單的一個了。
只需要將程序池中的標識符更改為LocalSystem,並且給文件夾權限分配一個Everyone用戶權限就可以了。
Network Service 或 Local Service標識
首先配置IIS
右鍵打開應用程序池中該項目的高級設置,將設置中的標識選項打開,選擇賬戶為NETWORK SERVICE,點擊確定,這樣iis設置就完成了
接着我們配置SQL企業管理器。
1)打開SQL管理器à選擇數據庫實例à【安全性】à【登錄名】,查看是否存在NETWORK SERVICE,若不存在,則添加之
2)添加賬戶方法:右鍵【登錄名】à選擇【新建登錄名】,在彈出的對話框中的右邊有登錄名輸入框,點擊右側的【搜索】,在彈出的【選擇用戶或組】中點擊【高級】,再點擊【立即查找】,找到NETWORK SERVICE用戶名,點擊確定。
配置其他屬性
左邊導航à服務器角色勾選sysadmin
左邊導航à用戶映射à勾選要連接的數據庫或者所有數據庫
這樣你會發現登錄名中就有了NTAUTHORITY\NETWORK SERVICE這個用戶,那么恭喜你,你的SQL企業管理器就業配置好了。那么就開始運行你的網站吧!
ApplicationPoolIdentify 標識
ApplicationPoolIdentify標識對於您的應用程序來說是最安全的。下面我們開始配置ApplicationPoolIdentify吧!
在配置中,我們要給網站文件夾分配一個ApplicationPoolIdentify賬號,首先我們知道ApplicationPoolIdentify是一個虛擬賬戶我們是找不到的,那么我們怎樣給他分配賬號呢,如果直接添加一個NewsTest(NewsTest為我們配置的應用程序池的名稱)用戶的話,就會報錯。“找不到名稱”。
他們會提醒我們找不到名稱,那么怎么辦吶?那我們就需要手動配置了,手動輸入 IISAppPool\NewsTest(即IIS AppPool\應用程序池名),再確定。是的通過了。
