在以前的 IIS 版本中,工作进程以本地系统帐户的身份运行。因为本地系统帐户几乎可以访问操作系统上的所有资源,所以它可能会产生严重的安全隐患。IIS 6.O 提供了更高的安全性能,因为默认情况下工作进程以新的内置网络服务帐户的身份运行。IIS 6.0 还允许配置工作进程以哪种帐户的身份运行。您可以选择使用三种预定义的帐户之一,或者创建您自己的帐户。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
使用预定义的帐户为应用程序池配置工作进程标识
注意 网络服务、本地服务和本地系统是 IIS_WPG 组的成员。
使用可配置的帐户为应用程序池配置工作进程标识
要点 当您使用可配置的帐户为应用程序池配置工作进程标识时,必须将创建的帐户添加到 IIS_WPG 组中以便工作进程能够运行。
IIS_WPG 组是由 IIS 6.0 提供的用户组。IIS_WPG 组成员提供了运行应用程序所需的最小一组用户特权和权限。它提供了一种方便的方法,将特定的用户帐户(IIS_WPG 成员)用于工作进程标识帐户,而无需手动为帐户指派用户特权和权限。如果帐户不在 IIS_WPG 组中且不具备相应的权限,则工作进程将无法启动。
注意 默认情况下,IIS_WPG 组没有启动 CGI 进程的权限。如果创建一个新的帐户并将其添加到 IIS_WPG 组中以运行工作进程标识,则还必须为该新帐户指派两个用户权限以启动 CGI 进程。这些用户权限是“调整进程的内存配额”和“替换进程级令牌”。
应用程序隔离是指按进程边界来隔离应用程序以防应用程序互相影响。
对于工作进程隔离模式,可以使用应用程序池来配置隔离。可以将单个应用程序放在其自己的应用程序池中,或者将多个应用程序分为一个应用程序池。
配置应用程序独立运行
© 1997-2003 Microsoft Corporation。保留所有权利。