无法选择 IUSR 来运行服务

Question

我们有一个运行 IIS 7.5 的 Windows 2008 R2 机器，出于安全要求，我们需要将万维网发布服务设置为在 IUSR 下运行。我可以给 IUSR 文件夹权限就好了。但是，当我尝试为要在万维网发布服务下运行的帐户选择 IUSR 时，我收到一条消息，说找不到用户。目前，我们在“本地系统帐户”下运行该服务。任何帮助将不胜感激。

Answer 1

IUSR 是匿名访问者浏览您网站时使用的安全上下文。我建议不要将它用于 WWW 服务。

在 IIS7.5 之前，会为您创建一个服务帐户 (IWAM)，它是本地 IUSR 帐户之外的本地帐户。新模型将使用不同的应用程序池标识运行，以便在站点受到威胁时，一个网站不会影响机器上的另一个网站。我可能会考虑使用 WWW 服务的非特权本地帐户，以将凭据限制在该特定框内。

我使用本地用户对 WWW 和 Windows Process Activation Service 进行了测试，并不断收到 Windows Process Activation Service 的“此帐户权限不足”的错误消息。所以我将本地帐户添加到 IIS_IUSRS 和任何其他与 IIS 相关的组，并进入本地安全策略并在本地安全策略的用户权限分配中添加权限：

• 替换进程级令牌
• 调整进程的内存配额
• 生成安全审计
• 作为批处理作业登录

那没有用，所以我在谷歌中找到了一些建议可能有帮助的东西后添加了“创建全局对象”。它没有。但是到了我回家的时间，所以我把这一切都解开了（即使这是一个测试环境）。

然后我尝试

• 身份验证后模拟客户端

没有喜悦。这些服务作为本地系统运行，我工作的链接说，

本地系统帐户是一个强大的帐户，可以完全访问计算机并充当网络上的计算机。如果服务使用本地系统帐户登录到域控制器，则该服务可以访问整个域。某些服务默认配置为使用本地系统帐户，不应更改此设置。本地系统帐户没有用户可访问的密码。

抱歉，我试过了，但我认为你不走运。您当然可以尝试为帐户授予此处列出的权限：

• SE_ASSIGNPRIMARYTOKEN_NAME（已禁用）
• SE_AUDIT_NAME（启用）
• SE_BACKUP_NAME（已禁用）
• SE_CHANGE_NOTIFY_NAME（启用）
• SE_CREATE_GLOBAL_NAME（启用）
• SE_CREATE_PAGEFILE_NAME（启用）
• SE_CREATE_PERMANENT_NAME（启用）
• SE_CREATE_TOKEN_NAME（已禁用）
• SE_DEBUG_NAME（启用）
• SE_IMPERSONATE_NAME（启用）
• SE_INC_BASE_PRIORITY_NAME（启用）
• SE_INCREASE_QUOTA_NAME（已禁用）
• SE_LOAD_DRIVER_NAME（已禁用）
• SE_LOCK_MEMORY_NAME（启用）
• SE_MANAGE_VOLUME_NAME（已禁用）
• SE_PROF_SINGLE_PROCESS_NAME（启用）
• SE_RESTORE_NAME（已禁用）
• SE_SECURITY_NAME（已禁用）
• SE_SHUTDOWN_NAME（已禁用）
• SE_SYSTEM_ENVIRONMENT_NAME（已禁用）
• SE_SYSTEMTIME_NAME（已禁用）
• SE_TAKE_OWNERSHIP_NAME（已禁用）
• SE_TCB_NAME（启用）
• SE_UNDOCK_NAME（已禁用）

但是，从 Microsoft 获取一张纸告诉您不要这样做可能会更容易。