IIS8のIIS_IUSRSおよびIUSR権限

ASP.NETアプリケーションをホストするために、Win2003のIIS6からWin2012のIIS8に移動しました。

アプリケーションの特定のフォルダ内で、ファイルを作成および削除する必要があります。新しいサーバーにファイルをコピーした後、ファイルを削除しようとすると、次のエラーが何度も表示されます。

パス「D：\ WebSites \ myapp.co.uk \ companydata \ filename.pdf」へのアクセスが拒否されました。

IISを確認すると、アプリケーションがDefaultAppPoolアカウントで実行されていることがわかりますが、IIS AppPool \ DefaultAppPoolを含めるようにこのフォルダのWindows権限を設定したことはありません

代わりに、叫び声を上げるのをやめるために、フォルダに次のアクセス許可を与えました。

IUSR

• 読み取りと実行
• フォルダの内容の一覧表示
• 読んだ
• 書く

IIS_IUSRS

• 修正
• 読み取りと実行
• フォルダの内容の一覧表示
• 読んだ
• 書く

これはうまくいったようですが、あまりにも多くの特権が設定されているのではないかと心配しています。ここで、IUSRが実際に必要かどうかについて、矛盾する情報をオンラインで読みました。誰でも、このフォルダでドキュメントを作成および削除するのに十分なユーザー/権限を明確にできますか？また、IUSRはIIS_IUSRSグループの一部ですか？

更新と解決策

以下の私の答えを見てください。最近のいくつかの提案がよく考えられておらず、安全でもないため（IMO）、私は悲しいことにこれを行わなければなりませんでした。

私は自分の回答を投稿するのが嫌いですが、最近、いくつかの回答が私が自分の質問に投稿した解決策を無視しており、無茶苦茶に他ならないアプローチを示唆しています。

つまり、Windowsユーザーアカウントの権限を編集する必要はまったくありません。そうすることはリスクをもたらすだけです。プロセスは、継承された特権を使用してIISで完全に管理されます。

正しいユーザーアカウントへの変更/書き込み権限の適用

1. [サイト]リストに表示されたドメインを右クリックし、[ 権限の編集]を選択します

   

   下にセキュリティ ]タブ、次のように表示されますMACHINE_NAME\IIS_IUSRS表示されます。これは、IISがディレクトリに対する読み取り専用のアクセス許可を自動的に持つことを意味します（サイトでASP.Netを実行するなど）。 このエントリを編集する必要はありません。

   

2. [ 編集 ]ボタンをクリックし、[ 追加... ]をクリックします。

3. テキストボックスに「」と入力し、ドメイン名またはサイトにアクセスしているアプリケーションプールIIS AppPool\MyApplicationPoolNameに置き換えMyApplicationPoolNameます。例：IIS AppPool\mydomain.com

   

4. 名前の確認ボタンを押します。入力したテキストが変形します（下線に注意してください）。

   

5. OKを押してユーザーを追加します

6. 新しいユーザー（ドメイン）を選択すると、変更または書き込み権限を安全に提供できるようになります

   

IUSRはIIS_IUSERグループの一部です。したがって、心配することなくIUSRのアクセス許可を削除できます。参考文献

ただし、ますます多くのWindowsシステムサービスがNETWORKSERVICEとして実行されるようになり、時間の経過とともに問題が発生しました。これは、NETWORKSERVICEとして実行されているサービスが、同じIDで実行されている他のサービスを改ざんできるためです。IISワーカープロセスは既定でサードパーティコード（クラシックASP、ASP.NET、PHPコード）を実行するため、IISワーカープロセスを他のWindowsシステムサービスから分離し、一意のIDでIISワーカープロセスを実行するときがきました。Windowsオペレーティングシステムには、IISがアプリケーションプールごとに一意のIDを作成できる「仮想アカウント」と呼ばれる機能が用意されています。DefaultAppPoolは、作成するすべてのアプリケーションプールに割り当てられるデフォルトのプールです。

より安全にするために、IIS DefaultAppPool IdentityをApplicationPoolIdentityに変更できます。

許可に関して、作成と削除は与えられるすべての権利を要約します。したがって、IIS_USERSグループに割り当てたものは何でも必要です。それ以上でもそれ以下でもありません。

お役に立てれば。

IIS_IUSRS権限をサイトフォルダーに追加したとき-jsやcssなどのリソースにアクセスできません（エラー401、禁止）。ただし、IUSRを追加すると、問題がなくなりました。したがって、「心配することなくIUSRの権限を削除することはできません」ということを確認してください。

@EvilDr AD環境内にIUSR_ [identifier]アカウントを作成し、特定のアプリケーションプールをそのIUSR_ [identifier]アカウントで実行できます。

「アプリケーションプール」>「詳細設定」>「ID」>「カスタムアカウント」

詳細設定で、Webサイトを「特定のユーザー」ではなく「アプリケーションユーザー（パススルー認証）」に設定します。

次に、そのIUSR_ [identifier]にファイルとフォルダに対する適切なNTFSアクセス許可を付与します。たとえば、companydataで変更します。

IIS_IUSRSグループは、ApplicationPool Identityを使用している場合にのみ目立つようになります。実行時にこのグループが空に見えても、Microsoftの文献によると、IISはこのグループに追加してワーカープロセスを実行します。

特定のユーザー（アプリケーションユーザーではなく）を使用します。次に、アプリケーションで偽装を有効にします。特定のユーザーとして設定されているアカウントを実行すると、それらの資格情報がそのサーバーのローカルリソースにアクセスするために使用されます（外部リソース用ではありません）。

特定のユーザー設定は、特にローカルリソースにアクセスするためのものです。