Endereço original: http://www.iis.net/1026/SinglePageArticle.ashx
Traduzido por: Tony Qu (da equipe de tradução do BluePrint)
Autor: Vikas Malhotra
Última atualização: terça-feira, 12 de setembro de 2006 às 11h48
Introdução Nas versões anteriores do IIS, havia uma conta local criada durante a instalação chamada IUSR_MachineName. Depois que a autenticação anônima estiver habilitada, essa conta IUSR_MachineName será a identidade usada pelo IIS por padrão e será usada nos serviços FTP e HTTP. Há também um grupo chamado IIS_WPG, que é o contêiner para todas as contas do pool de aplicativos. Durante a instalação do IIS, você deve garantir que todos os recursos do sistema disponíveis foram definidos com permissões apropriadas para IIS_WPG. Quando o administrador cria uma nova conta de pool de aplicativos, você só precisa adicionar a nova conta (identidade) a este grupo.
Este modelo funciona muito bem, mas como qualquer outro design, eles têm suas desvantagens, sendo a principal desvantagem que a conta IUSR_MachineName e o grupo IIS_WPG são locais no sistema no qual foram criados. Cada conta ou grupo no Windows possui um número exclusivo chamado SID (Número de Identificação de Segurança), para que possa ser diferenciado de outras contas ou grupos. Usamos apenas o SID para criar a ACL. Como parte do design das versões anteriores do IIS, incluímos IUSR_MachineName no arquivo metabase.xml. Se você tentar copiar metabase.xml de uma máquina para outra, não funcionará imediatamente porque as outras contas de máquina em uma máquina usam contas diferentes. nomes. Além disso, você não pode simplesmente usar xcopy /o para copiar a ACL, porque os SIDs são diferentes em máquinas diferentes. Uma solução alternativa é usar uma conta de domínio, mas você precisará adicionar um Active Directory ao seu esquema. O grupo IIS_WPG também tem o mesmo problema de permissões. Se você definir uma ACL para o grupo IIS_WPG no sistema de arquivos de uma máquina, usar xcopy /o para copiar a ACL para outra máquina não terá êxito. O IIS entende esse problema e o melhorou usando contas e grupos internos no IIS 7.0.
As contas e grupos integrados são garantidos pelo sistema operacional, o que garante um SID exclusivo. O IIS é ainda melhor e garante que novos nomes de contas e grupos nunca sejam localizados. Por exemplo, independentemente do idioma da versão do Windows que você instalar, o nome da conta IIS sempre será IUSR e o nome do grupo será sempre IIS_IUSRS.
Em resumo, no IIS 7.0:
a conta interna IUSR substitui a conta IUSR_MachineName
O grupo interno IIS_IUSRS substitui o grupo IIS_WPG
Como IUSR é uma conta interna, ele não requer mais uma senha. Logicamente, você pode pensar nisso como uma conta NETWORKSERVICE ou LOCALSERVICE. A conta IUSR e o grupo IIS_IUSRS serão apresentados mais detalhadamente nos capítulos seguintes.
Compreendendo a nova conta IUSR Conforme mencionado acima, a conta IUSR substituirá a conta IUSR_MachineName no IIS 7.0. A conta IUSR_MachineName será criada e usada somente durante a instalação do servidor FTP. Se o FTP não estiver instalado, a conta nunca será criada.
Esta conta integrada não requer senha e será usada como identidade de usuário padrão quando a autenticação anônima estiver habilitada. Se você der uma olhada no arquivo applicationHost.config, encontrará a seguinte definição:
<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />
Isso informa ao IIS para usar a nova conta interna para todas as solicitações de autenticação anônimas. A grande vantagem de fazer isso é que agora podemos:
* Definir permissões do sistema de arquivos para IUSR usando o Windows Explorer ou muitas outras ferramentas de linha de comando
* Não há necessidade de se preocupar com a expiração da senha desta conta
* Use xcopy /o para copiar arquivos e suas informações de propriedade e ACL para diferentes máquinas.
É importante mencionar que a conta IUSR é muito semelhante à conta LOCALSERVICE, pois funciona anonimamente na rede. NETWORKSERVICE e LOCALSYSTEM podem funcionar como máquina, mas IUSR não porque é uma promoção privilegiada. Se desejar ter uma conta anônima com acesso à rede, você precisará criar uma nova conta de usuário e definir o nome de usuário e a senha manualmente, assim como configurou anteriormente a autenticação anônima. Para conseguir isso no Gerenciador do IIS, você pode:
* Clique no botão Iniciar, digite "INetMgr.exe" e pressione Enter (se uma caixa de prompt aparecer, pressione Continuar para escalar as permissões)
* Clique no botão "+" ao lado do nome da máquina no Connection
* Clique duas vezes no site que deseja gerenciar no Gerenciador do IIS
* Clique duas vezes no item Autenticação sob o título Nome do recurso
* Selecione Autenticação anônima, clique em Editar sob o título da tarefa à direita e a caixa de diálogo Especificar credenciais aparecerá.
* Clique na opção Usuário Específico e depois pressione o botão "Definir"
* Digite o nome de usuário e a senha desejados e pressione OK
para entender o novo grupo IIS_IUSRS Conforme mencionado anteriormente, o grupo IIS_IUSRS é usado para substituir o grupo IIS_WPG Ele já possui direitos de acesso a todos os arquivos e recursos do sistema, portanto, se for um. conta é adicionada ao grupo e funcionará perfeitamente como uma identidade de pool de aplicativos.
Por funcionar com contas integradas, esse grupo integrado pode resolver vários problemas de implantação do xcopy. Se você definir permissões para IIS_WPG em arquivos (isso é possível no IIS6) e tentar copiar esses arquivos para outro sistema Windows, as configurações do site poderão ser corrompidas, pois o SID do grupo é diferente nas diferentes máquinas.
No IIS7, já que o SID do grupo é o mesmo em todos os sistemas Longhorn. O uso de 'xcopy /o' preserva a ACL e as informações de propriedade quando você move arquivos de uma máquina para outra, tornando as implantações do xcopy muito mais simples!
A segunda solicitação dos clientes é “Depois de configurarmos a identidade do pool de aplicativos, precisamos que o IIS faça todas as alterações necessárias para nós”. Aceitamos este comentário e simplificamos ainda mais esse processo no IIS7.0. Quando o IIS inicia um processo de trabalho, ele precisa criar um token para ser usado pelo processo. Agora, quando criarmos esse token, o IIS adicionará automaticamente a associação IIS_IUSRS ao token do processo de trabalho em tempo de execução. Isso permitirá que a conta seja executada como o pool de aplicativos sem fazer parte explicitamente do grupo IIS_IUSRS. Acreditamos que essa mudança ajudará você a configurar seu sistema com mais facilidade e a melhorar sua experiência geral.
Se desejar desabilitar esse recurso e adicionar contas manualmente ao grupo IIS_IUSRS, você só poderá usar esse recurso definindo o valor manualGroupMembership como true. Aqui está um exemplo de como configurar defaultAppPool para desativar esse recurso:
<applicationPools>
<add name="DefaultAppPool">
<processModel manualGroupMembership="true" />
</add>
</applicationPools>