Dirección original: http://www.iis.net/1026/SinglePageArticle.ashx
Traducido por: Tony Qu (del equipo de traducción de BluePrint)
Autor: Vikas Malhotra
Última actualización: martes 12 de septiembre de 2006 a las 11:48
Introducción En versiones anteriores de IIS se creó una cuenta local durante la instalación llamada IUSR_MachineName. Una vez habilitada la autenticación anónima, esta cuenta IUSR_MachineName es la identidad utilizada por IIS de forma predeterminada y se utiliza tanto en servicios FTP como HTTP. También hay un grupo llamado IIS_WPG, que es el contenedor de todas las cuentas del grupo de aplicaciones. Durante la instalación de IIS, debe asegurarse de que todos los recursos disponibles del sistema se hayan configurado con los permisos adecuados para IIS_WPG. Cuando el administrador crea una nueva cuenta del grupo de aplicaciones, solo necesita agregar la nueva cuenta (identidad) a este grupo.
Este modelo funciona muy bien, pero como cualquier otro diseño, tiene sus inconvenientes, el principal inconveniente es que la cuenta IUSR_MachineName y el grupo IIS_WPG son locales del sistema en el que se crean. Cada cuenta o grupo en Windows tiene un número único llamado SID (Número de Identificación de Seguridad), para que pueda distinguirse de otras cuentas o grupos. Solo usamos el SID para crear la ACL. Como parte del diseño de versiones anteriores de IIS, incluimos IUSR_MachineName en el archivo metabase.xml. Si intenta copiar metabase.xml de una máquina a otra, no funcionará inmediatamente porque las otras cuentas de una máquina usan diferentes. nombres. Además, no puede simplemente usar xcopy /o para copiar la ACL, porque los SID son diferentes en diferentes máquinas. Una solución alternativa es utilizar una cuenta de dominio, pero deberá agregar un Active Directory a su esquema. El grupo IIS_WPG también tiene el mismo problema de permisos. Si configura una ACL para el grupo IIS_WPG en el sistema de archivos de una máquina, usar xcopy /o para copiar la ACL a otra máquina no tendrá éxito. IIS comprende este problema y lo ha mejorado mediante el uso de cuentas y grupos integrados en IIS 7.0.
Las cuentas y grupos integrados están garantizados por el sistema operativo, lo que garantiza un SID único incluso mejor y garantiza que los nuevos nombres de cuentas y grupos nunca se localicen. Por ejemplo, no importa qué versión de idioma de Windows instale, el nombre de la cuenta IIS siempre será IUSR y el nombre del grupo siempre será IIS_IUSRS.
En resumen, en IIS 7.0:
la cuenta integrada IUSR reemplaza la cuenta IUSR_MachineName
El grupo integrado IIS_IUSRS reemplaza al grupo IIS_WPG
Debido a que IUSR es una cuenta integrada, ya no requiere una contraseña. Lógicamente puedes pensar en ella como la cuenta NETWORKSERVICE o LOCALSERVICE. La cuenta IUSR y el grupo IIS_IUSRS se presentarán con más detalle en los siguientes capítulos.
Comprender la nueva cuenta IUSR Como se mencionó anteriormente, la cuenta IUSR reemplazará la cuenta IUSR_MachineName en IIS 7.0. La cuenta IUSR_MachineName se creará y utilizará únicamente al instalar el servidor FTP. Si FTP no está instalado, la cuenta nunca se creará.
Esta cuenta integrada no requiere contraseña y se utilizará como identidad de usuario predeterminada cuando esté habilitada la autenticación anónima. Si echa un vistazo al archivo applicationHost.config, encontrará la siguiente definición:
Esto le indica a IIS que utilice la nueva cuenta integrada para todas las solicitudes de autenticación anónima. La gran ventaja de hacer esto es que ahora podemos:
* Establecer permisos del sistema de archivos para IUSR usando el Explorador de Windows o muchas otras herramientas de línea de comandos.
* No hay necesidad de preocuparse por la caducidad de la contraseña de esta cuenta.
* Utilice xcopy /o para copiar archivos y su propiedad e información ACL sin problemas en diferentes máquinas.
Es importante mencionar que la cuenta IUSR es muy similar a la cuenta LOCALSERVICE en que funciona de forma anónima en la red. NETWORKSERVICE y LOCALSYSTEM pueden funcionar como máquina, pero IUSR no porque es una promoción privilegiada. Si desea tener una cuenta anónima con acceso a la red, deberá crear una nueva cuenta de usuario y configurar el nombre de usuario y la contraseña manualmente, tal como configuró anteriormente la autenticación anónima. Para lograr esto en el Administrador de IIS, puede:
* Hacer clic en el botón Inicio, escribir "INetMgr.exe" y presionar Enter (si aparece un cuadro emergente, presionar Continuar para escalar permisos)
* Haga clic en el botón "+" al lado del nombre de la máquina en Conexión
* Haga doble clic en el sitio que desea administrar en el Administrador de IIS
* Haga doble clic en el elemento Autenticación debajo del encabezado Nombre de la función
* Seleccione Autenticación anónima, haga clic en Editar debajo del título de la tarea a la derecha y aparecerá el cuadro de diálogo Especificar credenciales.
* Haga clic en la opción Usuario específico y luego presione el botón "Establecer"
* Ingrese el nombre de usuario y la contraseña deseados y presione Aceptar
para comprender el nuevo grupo IIS_IUSRS. Como se mencionó anteriormente, el grupo IIS_IUSRS se usa para reemplazar el grupo IIS_WPG. Ya tiene derechos de acceso a todos los archivos y recursos del sistema, por lo que si. La cuenta se agrega al grupo y funcionará perfectamente como una identidad del grupo de aplicaciones.
Debido a que funciona con cuentas integradas, este grupo integrado puede resolver varios problemas de implementación de xcopy. Si establece permisos para IIS_WPG en archivos (esto es posible en IIS6) e intenta copiar esos archivos a otro sistema Windows, la configuración del sitio puede estar dañada ya que el SID del grupo es diferente en las diferentes máquinas.
En IIS7, ya que el grupo SID es el mismo en todos los sistemas Longhorn. El uso de 'xcopy /o' preserva la ACL y la información de propiedad cuando mueve archivos de una máquina a otra, lo que simplifica mucho las implementaciones de xcopy.
La segunda solicitud de los clientes es "Una vez que configuramos la identidad del grupo de aplicaciones, necesitamos que IIS realice todos los cambios necesarios por nosotros". Aceptamos este comentario y simplificamos aún más este proceso en IIS7.0. Cuando IIS inicia un proceso de trabajo, necesita crear un token para que lo utilice el proceso. Ahora, cuando creamos este token, IIS agregará automáticamente la membresía IIS_IUSRS al token del proceso de trabajo en tiempo de ejecución. Esto permitirá que la cuenta se ejecute como el grupo de aplicaciones sin ser parte explícita del grupo IIS_IUSRS. Creemos que este cambio le ayudará a configurar su sistema más fácilmente y mejorará su experiencia general.
Si desea deshabilitar esta función y agregar cuentas manualmente al grupo IIS_IUSRS, solo puede usar esta función configurando el valor manualGroupMembership en verdadero. A continuación se muestra un ejemplo de cómo configurar defaultAppPool para desactivar esta función: