IUSR และ IWAM ย้อนกลับไปในยุคต้น ๆ ของ IIS เมื่อคุณติดตั้งแยกต่างหาก (ไม่ใช่คอมโพเนนต์ระบบปฏิบัติการ) ตามค่าเริ่มต้นหากเว็บไซต์อนุญาตให้มีการตรวจสอบสิทธิ์แบบไม่ระบุชื่อบัญชี IUSR จะถูกใช้ในส่วนที่เกี่ยวกับการอนุญาตบนระบบปฏิบัติการ สิ่งนี้สามารถเปลี่ยนแปลงได้จากค่าเริ่มต้น มีคำแนะนำด้านความปลอดภัยบางอย่างเพื่อเปลี่ยนชื่อบัญชีอย่างน้อยดังนั้นจึงไม่ใช่บัญชี "รู้จัก" เหมือนกับว่ามีคำแนะนำให้เปลี่ยนชื่อบัญชีผู้ดูแลระบบบนเซิร์ฟเวอร์ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับIUSR และการตรวจสอบที่ MSDN
IWAM ได้รับการออกแบบสำหรับแอปพลิเคชันที่ไม่ได้ใช้งานกระบวนการใด ๆ และจะใช้เฉพาะใน IIS 6.0 เมื่อคุณอยู่ในโหมดแยก IIS 5.0 คุณมักจะเห็นมันด้วยวัตถุ COM / DCOM
ด้วยความเคารพต่อกลุ่มแอพพลิเคชั่นค่าเริ่มต้นคือการทำงานเป็นบริการเครือข่าย คุณไม่ควรเรียกใช้เป็น Local System เนื่องจากบัญชีนั้นมีสิทธิ์มากกว่าของผู้ดูแลระบบ ดังนั้นโดยทั่วไปจะนำคุณไปยังบริการเครือข่ายบริการท้องถิ่นหรือบัญชีท้องถิ่น / โดเมนนอกเหนือจากสองบัญชีนั้น
เป็นสิ่งที่ต้องทำมันขึ้นอยู่กับ ข้อดีอย่างหนึ่งของการปล่อยให้เป็นบริการเครือข่ายนี่เป็นบัญชีสิทธิ์พิเศษบนเซิร์ฟเวอร์ อย่างไรก็ตามเมื่อเข้าถึงทรัพยากรในเครือข่ายจะปรากฏเป็น Domain \ ComputerName $ ซึ่งหมายความว่าคุณสามารถกำหนดสิทธิ์ที่อนุญาตให้บัญชีบริการเครือข่ายเข้าถึงทรัพยากรเช่น SQL Server ที่ทำงานในกล่องอื่น นอกจากนี้เนื่องจากมันปรากฏเป็นบัญชีคอมพิวเตอร์หากคุณเปิดใช้งานการตรวจสอบสิทธิ์ Kerberos SPN จะมีอยู่แล้วหากคุณเข้าถึงเว็บไซต์ด้วยชื่อเซิร์ฟเวอร์
กรณีที่คุณจะต้องพิจารณาการเปลี่ยนกลุ่มแอปพลิเคชันเป็นบัญชีโดเมน Windows โดยเฉพาะหากคุณต้องการให้บัญชีเฉพาะเข้าถึงทรัพยากรเครือข่ายเช่นบัญชีบริการที่เข้าถึง SQL Server สำหรับแอปพลิเคชันที่ทำงานบนเว็บ มีตัวเลือกอื่น ๆ ภายใน ASP.NET สำหรับการทำเช่นนี้โดยไม่เปลี่ยนรหัสประจำตัวกลุ่มแอปพลิเคชันดังนั้นจึงไม่จำเป็นอีกต่อไป อีกเหตุผลหนึ่งที่คุณควรพิจารณาใช้บัญชีผู้ใช้โดเมนคือคุณกำลังทำการตรวจสอบสิทธิ์ Kerberos และคุณมีเว็บเซิร์ฟเวอร์หลายแห่งที่ให้บริการเว็บแอปพลิเคชัน ตัวอย่างที่ดีคือถ้าคุณมีเว็บเซิร์ฟเวอร์สองแห่งขึ้นไปที่ให้บริการ SQL Server Reporting Services ส่วนหน้าอาจเป็น URL ทั่วไปเช่น reports.mydomain.com หรือ Reporting.mydomain.com ในกรณีนั้น SPN สามารถใช้ได้กับหนึ่งบัญชีภายใน AD เท่านั้น หากคุณมีแอพที่ทำงานภายใต้บริการเครือข่ายในแต่ละเซิร์ฟเวอร์นั่นจะไม่ทำงานเพราะเมื่อพวกเขาออกจากเซิร์ฟเวอร์พวกเขาจะปรากฏเป็น Domain \ ComputerName $ ซึ่งหมายความว่าคุณมีบัญชีมากเท่ากับที่คุณมีเซิร์ฟเวอร์ที่ให้บริการ แอป วิธีแก้ปัญหาคือการสร้างบัญชีโดเมนตั้งค่ารหัสประจำตัวของแอพในเซิร์ฟเวอร์ทั้งหมดให้เป็นบัญชีผู้ใช้โดเมนเดียวกันและสร้างหนึ่ง SPN ซึ่งอนุญาตให้ใช้การตรวจสอบสิทธิ์ของ Kerberos ในกรณีของแอพอย่าง SSRS ซึ่งคุณอาจต้องการส่งผ่านข้อมูลรับรองผู้ใช้ไปยังเซิร์ฟเวอร์ฐานข้อมูลแบ็คเอนด์การพิสูจน์ตัวตน Kerberos นั้นเป็นสิ่งที่ต้องทำเพราะคุณจะต้องกำหนดค่าการมอบหมาย Kerberos มีบัญชีมากเท่ากับที่คุณมีเซิร์ฟเวอร์ที่ให้บริการแอพ วิธีแก้ปัญหาคือการสร้างบัญชีโดเมนตั้งค่ารหัสประจำตัวของแอพในเซิร์ฟเวอร์ทั้งหมดให้เป็นบัญชีผู้ใช้โดเมนเดียวกันและสร้างหนึ่ง SPN ซึ่งอนุญาตให้ใช้การตรวจสอบสิทธิ์ของ Kerberos ในกรณีของแอพอย่าง SSRS ซึ่งคุณอาจต้องการส่งผ่านข้อมูลรับรองผู้ใช้ไปยังเซิร์ฟเวอร์ฐานข้อมูลแบ็คเอนด์การพิสูจน์ตัวตน Kerberos นั้นเป็นสิ่งที่ต้องทำเพราะคุณจะต้องกำหนดค่าการมอบหมาย Kerberos มีบัญชีมากเท่ากับที่คุณมีเซิร์ฟเวอร์ที่ให้บริการแอพ วิธีแก้ปัญหาคือการสร้างบัญชีโดเมนตั้งค่ารหัสประจำตัวของแอพในเซิร์ฟเวอร์ทั้งหมดให้เป็นบัญชีผู้ใช้โดเมนเดียวกันและสร้างหนึ่ง SPN ซึ่งอนุญาตให้ใช้การตรวจสอบสิทธิ์ของ Kerberos ในกรณีของแอพอย่าง SSRS ซึ่งคุณอาจต้องการส่งผ่านข้อมูลรับรองผู้ใช้ไปยังเซิร์ฟเวอร์ฐานข้อมูลแบ็คเอนด์การพิสูจน์ตัวตน Kerberos นั้นเป็นสิ่งที่ต้องทำเพราะคุณจะต้องกำหนดค่าการมอบหมาย Kerberos
ฉันรู้ว่าเป็นสิ่งที่ต้องทำมากมาย แต่คำตอบสั้น ๆ คือยกเว้น Local System ขึ้นอยู่กับ