Ursprüngliche Adresse: http://www.iis.net/1026/SinglePageArticle.ashx
Übersetzt von: Tony Qu (vom BluePrint-Übersetzungsteam)
Autor: Vikas Malhotra
Letzte Aktualisierung: Dienstag, 12. September 2006, 11:48 Uhr
Einführung In früheren Versionen von IIS wurde während der Installation ein lokales Konto namens IUSR_MachineName erstellt. Sobald die anonyme Authentifizierung aktiviert ist, ist dieses IUSR_MachineName-Konto die von IIS standardmäßig verwendete Identität und wird sowohl in FTP- als auch in HTTP-Diensten verwendet. Es gibt auch eine Gruppe namens IIS_WPG, die den Container für alle Anwendungspoolkonten darstellt. Während der IIS-Installation müssen Sie sicherstellen, dass alle verfügbaren Systemressourcen mit den entsprechenden Berechtigungen für IIS_WPG eingerichtet wurden. Wenn der Administrator ein neues Anwendungspoolkonto erstellt, müssen Sie dieser Gruppe nur das neue Konto (Identität) hinzufügen.
Dieses Modell funktioniert sehr gut, hat aber wie jedes andere Design auch Nachteile. Der Hauptnachteil besteht darin, dass das Konto „IUSR_MachineName“ und die Gruppe „IIS_WPG“ lokal auf dem System sind, auf dem sie erstellt werden. Jedes Konto oder jede Gruppe in Windows verfügt über eine eindeutige Nummer namens SID (Security Identification Number), damit es von anderen Konten oder Gruppen unterschieden werden kann. Wir verwenden die SID nur zum Erstellen der ACL. Als Teil des Designs früherer Versionen von IIS haben wir IUSR_MachineName in die Datei metabase.xml aufgenommen. Wenn Sie versuchen, metabase.xml von einem Computer auf einen anderen zu kopieren, funktioniert dies nicht sofort, da die anderen Computerkonten auf einem Computer andere verwenden Namen. Außerdem können Sie xcopy /o nicht einfach zum Kopieren der ACL verwenden, da die SIDs auf verschiedenen Computern unterschiedlich sind. Eine Problemumgehung besteht darin, ein Domänenkonto zu verwenden, Sie müssen jedoch ein Active Directory zu Ihrem Schema hinzufügen. Die IIS_WPG-Gruppe weist ebenfalls das gleiche Berechtigungsproblem auf. Wenn Sie eine ACL für die IIS_WPG-Gruppe im Dateisystem eines Computers festlegen, ist die Verwendung von xcopy /o zum Kopieren der ACL auf einen anderen Computer nicht erfolgreich. IIS ist sich dieses Problems bewusst und hat es durch die Verwendung integrierter Konten und Gruppen in IIS 7.0 verbessert.
Eingebaute Konten und Gruppen werden vom Betriebssystem garantiert, wodurch eine eindeutige SID garantiert wird und sichergestellt wird, dass neue Kontonamen und Gruppennamen niemals lokalisiert werden. Unabhängig davon, welche Sprachversion von Windows Sie installieren, lautet der IIS-Kontoname beispielsweise immer IUSR und der Gruppenname immer IIS_IUSRS.
Zusammenfassend gilt in IIS 7.0:
Das integrierte IUSR-Konto ersetzt das IUSR_MachineName-Konto
Die integrierte Gruppe IIS_IUSRS ersetzt die Gruppe IIS_WPG.
Da es sich bei IUSR um ein integriertes Konto handelt, ist kein Kennwort mehr erforderlich. Logischerweise können Sie es sich als NETWORKSERVICE- oder LOCALSERVICE-Konto vorstellen. Das IUSR-Konto und die IIS_IUSRS-Gruppe werden in den folgenden Kapiteln näher vorgestellt.
Grundlegendes zum neuen IUSR-Konto Wie oben erwähnt, ersetzt das IUSR-Konto das IUSR_MachineName-Konto in IIS 7.0. Das Konto IUSR_MachineName wird nur bei der Installation des FTP-Servers erstellt und verwendet. Wenn FTP nicht installiert ist, wird das Konto nie erstellt.
Dieses integrierte Konto erfordert kein Passwort und wird als Standardbenutzeridentität verwendet, wenn die anonyme Authentifizierung aktiviert ist. Wenn Sie einen Blick auf die Datei applicationHost.config werfen, finden Sie die folgende Definition:
<anonymousAuthentication aktiviert="true" userName="IUSR" defaultLogonDomain="" />
Dadurch wird IIS angewiesen, das neue integrierte Konto für alle anonymen Authentifizierungsanforderungen zu verwenden. Der große Vorteil dabei ist, dass wir jetzt:
* Dateisystemberechtigungen für IUSR mithilfe von Windows Explorer oder vielen anderen Befehlszeilentools festlegen
können
* Sie müssen sich keine Sorgen machen, dass das Passwort dieses Kontos abläuft
* Verwenden Sie xcopy /o, um Dateien und deren Eigentums- und ACL-Informationen nahtlos auf verschiedene Computer zu kopieren.
Es ist wichtig zu erwähnen, dass das IUSR-Konto dem LOCALSERVICE-Konto insofern sehr ähnlich ist, als es anonym im Netzwerk funktioniert. NETWORKSERVICE und LOCALSYSTEM können als Maschine arbeiten, IUSR jedoch nicht, da es sich um eine privilegierte Promotion handelt. Wenn Sie ein anonymes Konto mit Netzwerkzugriff wünschen, müssen Sie ein neues Benutzerkonto erstellen und den Benutzernamen und das Passwort manuell festlegen, genau wie Sie zuvor die anonyme Authentifizierung eingerichtet haben. Um dies im IIS-Manager zu erreichen, können Sie:
* Klicken Sie auf die Schaltfläche „Start“, geben Sie „INetMgr.exe“ ein und drücken Sie die Eingabetaste (wenn ein Eingabeaufforderungsfeld angezeigt wird, drücken Sie „Weiter“, um die Berechtigungen zu eskalieren).
* Klicken Sie in Connection auf die Schaltfläche „+“ neben dem Maschinennamen
* Doppelklicken Sie im IIS-Manager auf die Site, die Sie verwalten möchten
* Doppelklicken Sie unter der Überschrift „Funktionsname“ auf das Element „Authentifizierung“.
* Wählen Sie „Anonyme Authentifizierung“ aus, klicken Sie rechts unter dem Aufgabentitel auf „Bearbeiten“. Daraufhin wird das Dialogfeld „Anmeldeinformationen angeben“ angezeigt.
* Klicken Sie auf die Option „Spezifischer Benutzer“ und klicken Sie dann auf die Schaltfläche „Einstellen“.
* Geben Sie den gewünschten Benutzernamen und das Passwort ein und drücken Sie OK,
um die neue Gruppe IIS_IUSRS zu verstehen. Wie bereits erwähnt, wird die Gruppe IIS_IUSRS verwendet, um die Gruppe IIS_WPG zu ersetzen. Sie verfügt bereits über Zugriffsrechte auf alle Dateien und Systemressourcen Das Konto wird der Gruppe hinzugefügt und es funktioniert nahtlos als Anwendungspoolidentität.
Da diese integrierte Gruppe mit integrierten Konten funktioniert, kann sie mehrere Probleme bei der xcopy-Bereitstellung lösen. Wenn Sie Berechtigungen für IIS_WPG für Dateien festlegen (dies ist in IIS6 möglich) und versuchen, diese Dateien auf ein anderes Windows-System zu kopieren, sind die Site-Einstellungen möglicherweise beschädigt, da die Gruppen-SID auf den verschiedenen Computern unterschiedlich ist.
In IIS7, da die Gruppen-SID in allen Longhorn-Systemen gleich ist. Durch die Verwendung von „xcopy /o“ bleiben ACL- und Eigentümerinformationen erhalten, wenn Sie Dateien von einem Computer auf einen anderen verschieben, was die Bereitstellung von xcopy erheblich vereinfacht!
Die zweite Anfrage von Kunden lautet: „Sobald wir die Identität des Anwendungspools konfiguriert haben, muss IIS alle notwendigen Änderungen für uns vornehmen.“ Wir haben diesen Kommentar akzeptiert und diesen Prozess in IIS7.0 noch einfacher gemacht. Wenn IIS einen Arbeitsprozess startet, muss es ein Token zur Verwendung durch den Prozess erstellen. Wenn wir nun dieses Token erstellen, fügt IIS zur Laufzeit automatisch die IIS_IUSRS-Mitgliedschaft zum Worker-Prozess-Token hinzu. Dadurch kann das Konto als Anwendungspool ausgeführt werden, ohne explizit Teil der IIS_IUSRS-Gruppe zu sein. Wir glauben, dass diese Änderung Ihnen dabei helfen wird, Ihr System einfacher einzurichten und Ihr Gesamterlebnis zu verbessern.
Wenn Sie diese Funktion deaktivieren und Konten manuell zur Gruppe IIS_IUSRS hinzufügen möchten, können Sie diese Funktion nur verwenden, indem Sie den Wert „manualGroupMembership“ auf „true“ setzen. Hier ist ein Beispiel dafür, wie Sie defaultAppPool festlegen, um diese Funktion zu deaktivieren:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools>