Alamat asli: http://www.iis.net/1026/SinglePageArticle.ashx
Diterjemahkan oleh: Tony Qu (dari Tim Penerjemah BluePrint)
Penulis: Vikas Malhotra
Terakhir diperbarui: Selasa, 12 September 2006 pukul 11:48
Pendahuluan Dalam versi IIS sebelumnya terdapat akun lokal yang dibuat saat instalasi bernama IUSR_MachineName. Setelah autentikasi anonim diaktifkan, akun IUSR_MachineName ini adalah identitas yang digunakan oleh IIS secara default, dan digunakan di layanan FTP dan HTTP. Ada juga grup bernama IIS_WPG, yang merupakan wadah untuk semua akun kumpulan aplikasi. Selama instalasi IIS, Anda harus memastikan bahwa semua sumber daya sistem yang tersedia telah diatur dengan izin yang sesuai untuk IIS_WPG. Saat administrator membuat akun kumpulan aplikasi baru, Anda hanya perlu menambahkan akun (identitas) baru ke grup ini.
Model ini bekerja dengan sangat baik, tetapi seperti desain lainnya, model ini memiliki kekurangannya, kelemahan utamanya adalah akun IUSR_MachineName dan grup IIS_WPG bersifat lokal pada sistem tempat model tersebut dibuat. Setiap akun atau grup di Windows memiliki nomor unik yang disebut SID (Security Identification Number), sehingga dapat dibedakan dengan akun atau grup lain. Kami hanya menggunakan SID untuk membuat ACL. Sebagai bagian dari desain IIS versi sebelumnya, kami menyertakan IUSR_MachineName dalam file metabase.xml. Jika Anda mencoba menyalin metabase.xml dari satu mesin ke mesin lain, itu tidak akan langsung berfungsi karena mesin lain Akun pada mesin menggunakan berbeda nama. Selain itu, Anda tidak bisa hanya menggunakan xcopy /o untuk menyalin ACL, karena SID berbeda pada mesin yang berbeda. Salah satu solusinya adalah dengan menggunakan akun domain, namun Anda harus menambahkan Direktori Aktif ke skema Anda. Grup IIS_WPG juga memiliki masalah izin yang sama. Jika Anda menetapkan ACL untuk grup IIS_WPG pada sistem file satu mesin, menggunakan xcopy /o untuk menyalin ACL ke komputer lain tidak akan berhasil. IIS memahami masalah ini dan memperbaikinya dengan menggunakan akun dan grup bawaan di IIS 7.0.
Akun dan grup bawaan dijamin oleh sistem operasi, yang menjamin SID unik. IIS bahkan menjadi lebih baik dan menjamin bahwa nama akun dan nama grup baru tidak pernah dilokalkan. Misalnya, apa pun versi bahasa Windows yang Anda instal, nama akun IIS akan selalu IUSR, dan nama grup akan selalu IIS_IUSRS.
Singkatnya, di IIS 7.0:
Akun bawaan IUSR menggantikan akun IUSR_MachineName
Grup bawaan IIS_IUSRS menggantikan grup IIS_WPG.
Karena IUSR adalah akun bawaan, maka tidak lagi memerlukan kata sandi. Logikanya Anda dapat menganggapnya sebagai akun NETWORKSERVICE atau LOCALSERVICE. Akun IUSR dan grup IIS_IUSRS akan diperkenalkan lebih lanjut pada bab berikutnya.
Memahami akun IUSR baru Seperti disebutkan di atas, akun IUSR akan menggantikan akun IUSR_MachineName di IIS 7.0. Akun IUSR_MachineName akan dibuat dan digunakan hanya saat menginstal server FTP. Jika FTP tidak diinstal, akun tidak akan pernah dibuat.
Akun bawaan ini tidak memerlukan kata sandi dan akan digunakan sebagai identitas pengguna default ketika otentikasi anonim diaktifkan. Jika Anda melihat file applicationHost.config, Anda akan menemukan definisi berikut:
Ini memberitahu IIS untuk menggunakan akun bawaan baru untuk semua permintaan otentikasi anonim. Keuntungan besar dari melakukan hal ini adalah sekarang kita dapat:
* Mengatur izin sistem file untuk IUSR menggunakan Windows Explorer atau banyak alat baris perintah lainnya
* Tidak perlu khawatir kata sandi akun ini akan habis masa berlakunya
* Gunakan xcopy /o untuk menyalin file dan kepemilikannya serta informasi ACL dengan lancar ke mesin yang berbeda.
Penting untuk disebutkan bahwa akun IUSR sangat mirip dengan akun LOCALSERVICE karena ia bekerja secara anonim di jaringan. NETWORKSERVICE dan LOCALSYSTEM dapat bekerja sebagai mesin, tetapi IUSR tidak karena merupakan promosi istimewa. Jika Anda ingin memiliki akun anonim dengan akses jaringan, Anda perlu membuat akun pengguna baru dan mengatur nama pengguna dan kata sandi secara manual, sama seperti Anda sebelumnya mengatur otentikasi anonim. Untuk mencapai hal ini di IIS Manager, Anda dapat:
* Klik tombol Start, ketik "INetMgr.exe" dan tekan Enter (jika kotak prompt muncul, tekan Lanjutkan untuk meningkatkan izin)
* Klik tombol "+" di sebelah nama mesin di Connection
* Klik dua kali situs yang ingin Anda kelola di IIS Manager
* Klik dua kali item Otentikasi di bawah judul Nama Fitur
* Pilih Otentikasi Anonim, klik Edit di bawah judul Tugas di sebelah kanan, dan dialog Tentukan Kredensial akan muncul.
* Klik pada opsi Pengguna Tertentu lalu tekan tombol "Set".
* Masukkan nama pengguna dan kata sandi yang diinginkan, dan tekan OK
untuk memahami grup IIS_IUSRS yang baru. Seperti disebutkan sebelumnya, grup IIS_IUSRS digunakan untuk menggantikan grup IIS_WPG. Grup tersebut sudah memiliki hak akses ke semua file dan sumber daya sistem, jadi jika a akun ditambahkan ke grup dan itu akan berfungsi dengan lancar sebagai identitas kumpulan aplikasi.
Karena berfungsi dengan akun bawaan, grup bawaan ini dapat menyelesaikan beberapa masalah penerapan xcopy. Jika Anda menetapkan izin untuk IIS_WPG pada file (ini dimungkinkan di IIS6) dan mencoba menyalin file tersebut ke sistem Windows lain, pengaturan situs mungkin rusak karena SID grup berbeda pada mesin yang berbeda.
Di IIS7, karena grup SID sama di semua sistem Longhorn. Menggunakan 'xcopy /o' mempertahankan ACL dan informasi kepemilikan saat Anda memindahkan file dari satu mesin ke mesin lainnya, membuat penerapan xcopy menjadi lebih sederhana!
Permintaan kedua dari pelanggan adalah "Setelah kami mengonfigurasi identitas kumpulan aplikasi, kami memerlukan IIS untuk membuat semua perubahan yang diperlukan untuk kami." Kami menerima komentar ini dan menjadikan proses ini lebih sederhana di IIS7.0. Ketika IIS memulai proses pekerja, IIS perlu membuat token untuk digunakan oleh proses tersebut. Sekarang, saat kita membuat token ini, IIS akan secara otomatis menambahkan keanggotaan IIS_IUSRS ke token proses pekerja saat runtime. Ini akan memungkinkan akun dijalankan sebagai kumpulan aplikasi tanpa secara eksplisit menjadi bagian dari grup IIS_IUSRS. Kami yakin perubahan ini akan membantu Anda menyiapkan sistem dengan lebih mudah dan menjadikan pengalaman Anda secara keseluruhan lebih baik.
Jika Anda ingin menonaktifkan fitur ini dan secara manual menambahkan akun ke grup IIS_IUSRS, Anda hanya dapat menggunakan fitur ini dengan mengatur nilai manualGroupMembership ke true. Berikut ini contoh cara menyetel defaultAppPool untuk menonaktifkan fitur ini: