web-dev-qa-db-ja.com

IISのIUSRアカウントとIWAMアカウントは何ですか?

IISがホスティング環境をより適切に構成するために使用するIUSRおよびIWAMアカウントの適切な説明を探しています。

  • なぜそこにいるのですか?
  • それらの違いは何ですか?
  • 名前は意味のあるものを表していますか?
  • 私がすべきベストプラクティスの変更はありますか?
  • IISには、アプリケーションプールをネットワークサービス、ローカルサービス、またはローカルシステムとして実行するオプションもあります。したほうがいい?
  • 私のWebサーバーはドメインの一部ですが、どのように変更されますか?

複数のサイトをサーバーに展開するときに、これらのアカウントの独自のバージョンを作成することはよくあるようで、追加の質問がいくつか発生します。

  • 自分のIUSRアカウントとIWAMアカウントをいつ作成したいですか?
  • これらの追加のアカウントを作成して、適切な権限を付与するにはどうすればよいですか?

私はIIS 6とIIS 7の両方を使用しており、ほとんどがデフォルトの構成です。

23
Generic Error

IUSRおよびIWAMは、IIS(OSコンポーネントとしてではなく)を個別にインストールした場合)のごく初期にさかのぼります。デフォルトでは、Webサイトが匿名認証を許可している場合、IUSRアカウントが使用されますOSの権限に関して。これはデフォルトから変更できます。少なくともアカウントの名前を変更するセキュリティの推奨事項があるため、「既知の」アカウントではなく、管理者アカウントの名前を変更するように推奨されています。サーバー。 MSDNでのIUSRおよび認証 について詳しく学ぶことができます。

IWAMはアウトプロセスアプリケーション用に設計されており、IIS 6.0でのみ使用されます。IIS 5.0分離モードです。通常はCOMで見られます/ DCOMオブジェクト。

アプリケーションプールIDに関しては、デフォルトではネットワークサービスとして実行されます。そのアカウントには管理者よりも大きな権限があるため、ローカルシステムとして実行しないでください。そのため、基本的には、ネットワークサービス、ローカルサービス、またはこれら2つ以外のローカル/ドメインアカウントが使用されます。

何をすべきかについては、それは異なります。 Network Serviceのままにしておくことの利点の1つは、サーバー上の特権アカウントが制限されていることです。ただし、ネットワーク全体のリソースにアクセスする場合、Domain\ComputerName $として表示されます。つまり、別のボックスで実行されているSQL ServerなどのリソースにNetwork Serviceアカウントがアクセスできるようにするアクセス許可を割り当てることができます。また、コンピューターアカウントとして表示されるため、Kerberos認証を有効にすると、サーバー名でWebサイトにアクセスしている場合、SPNは既に配置されています。

WebベースのアプリケーションのSQL Serverにアクセスするサービスアカウントなど、ネットワークリソースにアクセスする特定のアカウントが必要な場合に、アプリケーションプールを特定のWindowsドメインアカウントに変更することを検討するケース。 ASP.NETには、アプリケーションプールIDを変更せずにこれを実行するための他のオプションがあるため、これはもはや厳密には必要ありません。ドメインユーザーアカウントの使用を検討するもう1つの理由は、Kerberos認証を行っていて、Webアプリケーションにサービスを提供する複数のWebサーバーがあったことです。良い例は、SQL Server Reporting Servicesを提供する2つ以上のWebサーバーがある場合です。フロントエンドは、おそらくreports.mydomain.comやreporting.mydomain.comなどの一般的なURLになります。その場合、SPNはAD内の1つのアカウントにのみ適用できます。各サーバーのネットワークサービスで実行されているアプリプールがある場合、サーバーを離れるとDomain\ComputerName $として表示されるため、機能しません。つまり、サーバーがサービスを提供していたのと同じ数のアカウントが存在することになります。アプリ。解決策は、ドメインアカウントを作成し、すべてのサーバーのアプリプールIDを同じドメインユーザーアカウントに設定し、1つのSPNを作成して、Kerberos認証を許可することです。ユーザーの資格情報をバックエンドデータベースサーバーに渡す必要があるSSRSなどのアプリの場合、Kerberos委任を構成する必要があるため、Kerberos認証は必須です。

理解することはたくさんありますが、簡単な答えは、ローカルシステムを除いて、状況によって異なります。

34
K. Brian Kelley

IUSR =インターネットユーザー、つまりWebサイトへの匿名の非認証ビジター(つまり、ほとんど全員)

IWAM = Internet Web Application Manager、つまり、すべてのASPおよび.NETアプリケーションはこのアカウントで実行されます

一般的に、IUSRとIWAMは、必要なものだけにアクセスできる必要があります。これらのアカウントが危険にさらされた場合に備えて、重要なものにはアクセスできません。

質問のリストから私がお手伝いできるのはこれですべてです。IIS管理の経験が豊富な方は、さらにお手伝いできるかもしれません!

9
Mark Henderson

私はいつもこのガイドに頼ります-

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

あなたはiis.netでたくさん見つけることができます

簡単に言えば、IUSRは、デフォルトでc:\ inetpub\wwwrootに対するアクセス許可を持つ単純なゲストアカウントです。

7
William Hilsum