IUSR e IWAM se remontan a los primeros días de IIS cuando lo instaló por separado (no como un componente del sistema operativo). De manera predeterminada, si un sitio web permite la autenticación anónima, la cuenta IUSR se usa con respecto a los permisos en el sistema operativo. Esto se puede cambiar de forma predeterminada. Hay algunas recomendaciones de seguridad para al menos cambiar el nombre de la cuenta, por lo que no es una cuenta "conocida", al igual que hay una recomendación para cambiar el nombre de la cuenta de administrador en un servidor. Puede obtener más información sobre IUSR y la autenticación en MSDN .
IWAM fue diseñado para cualquier aplicación fuera de proceso y solo se usa en IIS 6.0 cuando está en modo de aislamiento IIS 5.0. Usualmente lo viste con objetos COM / DCOM.
Con respecto a las identidades del grupo de aplicaciones, el valor predeterminado es ejecutarse como el Servicio de red. No debe ejecutarse como Sistema local porque esa cuenta tiene derechos mayores que los de un administrador. Entonces, eso básicamente lo deja en el Servicio de red, Servicio local o una cuenta local / de dominio que no sean esos dos.
En cuanto a qué hacer, depende. Una ventaja de dejarlo como Servicio de red es que es una cuenta de privilegios limitados en el servidor. Sin embargo, cuando accede a los recursos a través de la red, aparece como Domain \ ComputerName $, lo que significa que puede asignar permisos que permiten que la cuenta del Servicio de red acceda a recursos como SQL Server que se ejecuta en un cuadro diferente. Además, dado que aparece como la cuenta de la computadora, si habilita la autenticación Kerberos, el SPN ya está en su lugar si accede al sitio web por el nombre del servidor.
Un caso en el que consideraría cambiar el grupo de aplicaciones a una cuenta de dominio de Windows en particular si desea que una cuenta en particular acceda a recursos en red, como una cuenta de servicio que acceda a SQL Server para una aplicación basada en la web. Hay otras opciones dentro de ASP.NET para hacer esto sin cambiar la identidad del grupo de aplicaciones, por lo que esto ya no es estrictamente necesario. Otra razón por la que consideraría usar una cuenta de usuario de dominio es que estaba haciendo la autenticación Kerberos y tenía varios servidores web que daban servicio a una aplicación web. Un buen ejemplo es si tenía dos o más servidores web que sirven SQL Server Reporting Services. El front end probablemente tenga una url genérica, como reports.mydomain.com o reporting.mydomain.com. En ese caso, el SPN solo se puede aplicar a una cuenta dentro de AD. Si tiene los grupos de aplicaciones ejecutándose bajo el Servicio de red en cada servidor, eso no funcionará, porque cuando salen de los servidores, aparecen como Dominio \ NombreDeEquipo $, lo que significa que tendría tantas cuentas como servidores de servidores. aplicación La solución es crear una cuenta de dominio, establecer la identidad del grupo de aplicaciones en todos los servidores en la misma cuenta de usuario de dominio y crear el único SPN, permitiendo así la autenticación Kerberos. En el caso de una aplicación como SSRS, donde es posible que desee pasar las credenciales de usuario al servidor de base de datos de fondo, la autenticación Kerberos es imprescindible porque tendrá que configurar la delegación Kerberos. d tener tantas cuentas como servidores tenía para servir la aplicación. La solución es crear una cuenta de dominio, establecer la identidad del grupo de aplicaciones en todos los servidores en la misma cuenta de usuario de dominio y crear el único SPN, permitiendo así la autenticación Kerberos. En el caso de una aplicación como SSRS, donde es posible que desee pasar las credenciales de usuario al servidor de base de datos de fondo, la autenticación Kerberos es imprescindible porque tendrá que configurar la delegación Kerberos. d tener tantas cuentas como servidores tenía para servir la aplicación. La solución es crear una cuenta de dominio, establecer la identidad del grupo de aplicaciones en todos los servidores en la misma cuenta de usuario de dominio y crear el único SPN, permitiendo así la autenticación Kerberos. En el caso de una aplicación como SSRS, donde es posible que desee pasar las credenciales de usuario al servidor de base de datos de fondo, la autenticación Kerberos es imprescindible porque tendrá que configurar la delegación Kerberos.
Sé que es mucho para asimilar, pero la respuesta corta es, a excepción del sistema local, depende.
IUSR = Usuario de Internet, es decir, cualquier visitante anónimo y no autenticado de su sitio web (es decir, casi todos)
IWAM = Administrador de aplicaciones web de Internet, es decir, todas sus aplicaciones ASP y .NET se ejecutarán con esta cuenta
En general, IUSR e IWAM SOLO deberían tener acceso a exactamente lo que necesitan. Nunca se les debe dar acceso a nada más, en caso de que estas cuentas se vean comprometidas, entonces no pueden acceder a nada crítico.
Eso es todo lo que puedo ayudar con su lista de preguntas, ¡otras personas con más experiencia en la administración de IIS podrían ayudarlo más!
fuente
Siempre recurro a esta guía:
http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/
Puedes encontrar mucho en iis.net
En pocas palabras: IUSR es simplemente cuentas de invitado listas para usar que tienen permisos sobre c: \ inetpub \ wwwroot de forma predeterminada.
fuente