IUSR과 IWAM은 IIS를 별도로 설치할 때 (OS 구성 요소가 아닌) IIS의 초기 시절로 거슬러 올라갑니다. 기본적으로 웹 사이트가 익명 인증을 허용하는 경우 IUSR 계정이 OS의 권한과 관련하여 사용됩니다. 기본값에서 변경할 수 있습니다. 최소한 계정 이름을 바꾸는 몇 가지 보안 권장 사항이 있으므로 서버에서 관리자 계정 이름을 바꾸는 권장 사항과 마찬가지로 “알려진”계정이 아닙니다. MSDN에서 IUSR 및 인증에 대해 자세히 알아볼 수 있습니다 .

IWAM은 프로세스 외부 응용 프로그램을 위해 설계되었으며 IIS 5.0 격리 모드에있을 때 IIS 6.0에서만 사용됩니다. 당신은 보통 COM / DCOM 객체로 그것을 보았다.

응용 프로그램 풀 ID와 관련하여 기본값은 네트워크 서비스로 실행되는 것입니다. 해당 계정의 관리자 권한보다 큰 권한이 있으므로 로컬 시스템으로 실행해서는 안됩니다. 따라서 기본적으로 네트워크 서비스, 로컬 서비스 또는이 두 가지 이외의 로컬 / 도메인 계정으로 연결됩니다.

무엇을해야하는지에 따라 다릅니다. 네트워크 서비스로 남겨두면 서버의 제한된 권한 계정이라는 이점이 있습니다. 그러나 네트워크를 통해 리소스에 액세스하면 Domain \ ComputerName $로 나타납니다. 즉, 네트워크 서비스 계정이 다른 상자에서 실행되는 SQL Server와 같은 리소스에 액세스 할 수있는 권한을 할당 할 수 있습니다. 또한 컴퓨터 계정으로 표시되므로 Kerberos 인증을 사용하면 서버 이름으로 웹 사이트에 액세스하는 경우 SPN이 이미 설치되어 있습니다.

웹 기반 응용 프로그램의 SQL Server에 액세스하는 서비스 계정과 같은 네트워크 리소스에 액세스하는 특정 계정을 원할 경우 응용 프로그램 풀을 특정 Windows 도메인 계정으로 변경하려는 경우. ASP.NET에는 응용 프로그램 풀 ID를 변경하지 않고이를 수행 할 수있는 다른 옵션이 있으므로 더 이상 필요하지 않습니다. 도메인 사용자 계정 사용을 고려해야하는 또 다른 이유는 Kerberos 인증을 수행하고 있고 웹 응용 프로그램을 서비스하는 여러 웹 서버가 있기 때문입니다. SQL Server Reporting Services를 제공하는 두 개 이상의 웹 서버가있는 경우를 예로들 수 있습니다. 프런트 엔드는 reports.mydomain.com 또는 reports.mydomain.com과 같은 일반 URL 일 수 있습니다. 이 경우 SPN은 AD 내의 한 계정에만 적용 할 수 있습니다. 각 서버에서 네트워크 서비스로 실행되는 앱 풀이있는 경우 작동하지 않습니다. 서버를 떠날 때 도메인 \ 컴퓨터 이름 $으로 표시되므로 서버를 서비스하는 서버 수만큼 많은 계정을 가지고 있기 때문입니다 앱. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다. 서버가 앱을 제공하는 것만 큼 많은 계정이 있어야합니다. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다. 서버가 앱을 제공하는 것만 큼 많은 계정이 있어야합니다. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다.

나는 그것이 많은 것을 알고 있지만 짧은 대답은 로컬 시스템을 제외하고는 다릅니다.

답변