IIS에서 IUSR 및 IWAM 계정은 무엇입니까? 풀을 네트워크 서비스, 로컬 서비스

호스팅 환경을보다 잘 구성 할 수 있도록 IIS에서 사용하는 IUSR 및 IWAM 계정에 대한 적절한 설명을 찾고 있습니다.

  • 왜 거기에 있습니까?
  • 그들 사이의 차이점은 무엇입니까?
  • 그 이름은 의미있는 것을 의미합니까?
  • 모범 사례를 변경해야합니까?
  • IIS는 또한 응용 프로그램 풀을 네트워크 서비스, 로컬 서비스 또는 로컬 시스템으로 실행할 수있는 옵션을 제공합니다. 내가해야합니까?
  • 내 웹 서버가 도메인의 일부입니다. 어떻게 변경합니까?

여러 사이트를 서버에 배포 할 때 몇 가지 추가 질문이있는 경우 이러한 계정의 고유 한 버전을 만드는 것이 일반적입니다.

  • 언제 자신의 IUSR 및 IWAM 계정을 만들 수 있습니까?
  • 올바른 권한을 갖도록 이러한 추가 계정을 어떻게 만들어야합니까?

주로 기본 구성으로 IIS 6과 IIS 7을 모두 사용하고 있습니다.



답변

IUSR과 IWAM은 IIS를 별도로 설치할 때 (OS 구성 요소가 아닌) IIS의 초기 시절로 거슬러 올라갑니다. 기본적으로 웹 사이트가 익명 인증을 허용하는 경우 IUSR 계정이 OS의 권한과 관련하여 사용됩니다. 기본값에서 변경할 수 있습니다. 최소한 계정 이름을 바꾸는 몇 가지 보안 권장 사항이 있으므로 서버에서 관리자 계정 이름을 바꾸는 권장 사항과 마찬가지로 “알려진”계정이 아닙니다. MSDN에서 IUSR 및 인증에 대해 자세히 알아볼 수 있습니다 .

IWAM은 프로세스 외부 응용 프로그램을 위해 설계되었으며 IIS 5.0 격리 모드에있을 때 IIS 6.0에서만 사용됩니다. 당신은 보통 COM / DCOM 객체로 그것을 보았다.

응용 프로그램 풀 ID와 관련하여 기본값은 네트워크 서비스로 실행되는 것입니다. 해당 계정의 관리자 권한보다 큰 권한이 있으므로 로컬 시스템으로 실행해서는 안됩니다. 따라서 기본적으로 네트워크 서비스, 로컬 서비스 또는이 두 가지 이외의 로컬 / 도메인 계정으로 연결됩니다.

무엇을해야하는지에 따라 다릅니다. 네트워크 서비스로 남겨두면 서버의 제한된 권한 계정이라는 이점이 있습니다. 그러나 네트워크를 통해 리소스에 액세스하면 Domain \ ComputerName $로 나타납니다. 즉, 네트워크 서비스 계정이 다른 상자에서 실행되는 SQL Server와 같은 리소스에 액세스 할 수있는 권한을 할당 할 수 있습니다. 또한 컴퓨터 계정으로 표시되므로 Kerberos 인증을 사용하면 서버 이름으로 웹 사이트에 액세스하는 경우 SPN이 이미 설치되어 있습니다.

웹 기반 응용 프로그램의 SQL Server에 액세스하는 서비스 계정과 같은 네트워크 리소스에 액세스하는 특정 계정을 원할 경우 응용 프로그램 풀을 특정 Windows 도메인 계정으로 변경하려는 경우. ASP.NET에는 응용 프로그램 풀 ID를 변경하지 않고이를 수행 할 수있는 다른 옵션이 있으므로 더 이상 필요하지 않습니다. 도메인 사용자 계정 사용을 고려해야하는 또 다른 이유는 Kerberos 인증을 수행하고 있고 웹 응용 프로그램을 서비스하는 여러 웹 서버가 있기 때문입니다. SQL Server Reporting Services를 제공하는 두 개 이상의 웹 서버가있는 경우를 예로들 수 있습니다. 프런트 엔드는 reports.mydomain.com 또는 reports.mydomain.com과 같은 일반 URL 일 수 있습니다. 이 경우 SPN은 AD 내의 한 계정에만 적용 할 수 있습니다. 각 서버에서 네트워크 서비스로 실행되는 앱 풀이있는 경우 작동하지 않습니다. 서버를 떠날 때 도메인 \ 컴퓨터 이름 $으로 표시되므로 서버를 서비스하는 서버 수만큼 많은 계정을 가지고 있기 때문입니다 앱. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다. 서버가 앱을 제공하는 것만 큼 많은 계정이 있어야합니다. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다. 서버가 앱을 제공하는 것만 큼 많은 계정이 있어야합니다. 해결 방법은 도메인 계정을 만들고 모든 서버의 앱 풀 ID를 동일한 도메인 사용자 계정으로 설정 한 다음 하나의 SPN을 만들어 Kerberos 인증을 허용하는 것입니다. 사용자 자격 증명을 백엔드 데이터베이스 서버로 전달하려는 SSRS와 같은 앱의 경우 Kerberos 위임을 구성해야하기 때문에 Kerberos 인증이 필수입니다.

나는 그것이 많은 것을 알고 있지만 짧은 대답은 로컬 시스템을 제외하고는 다릅니다.


답변

IUSR = 인터넷 사용자, 즉 익명의 인증되지 않은 웹 사이트 방문자 (예 : 거의 모든 사람)

IWAM = 인터넷 웹 응용 프로그램 관리자, 즉 모든 ASP 및 .NET 응용 프로그램이이 계정으로 실행됩니다

일반적으로 IUSR과 IWAM은 필요한 것에 정확하게 액세스 할 수 있어야합니다. 계정이 도용 된 경우 중요한 정보에 액세스 할 수없는 경우 다른 정보에 액세스 할 수 없습니다.

그것은 당신의 질문 목록에서 내가 도울 수있는 모든 것에 관한 것입니다 .IIS 관리에 더 많은 경험을 가진 사람들이 당신을 더 도울 수 있습니다!


답변

나는 항상이 가이드에 의지한다-

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

iis.net에서 많은 것을 찾을 수 있습니다

간단히 말해-IUSR은 기본적으로 c : \ inetpub \ wwwroot에 대한 권한이있는 기본 게스트 계정입니다.