IIS 7.5 下應用程序池的預定義賬戶

IIS 7.5 下的應用程序池標識的預定義賬戶有下面幾個可選項：

• ApplicationPoolIdentity 默認情況下，選擇“應用程序池標識”帳戶。啟動應用程序池時動態創建“應用程序池標識”帳戶，因此，此帳戶對于您的應用程序來說是最安全的。
• LocalService “本地服務”帳戶是用戶組的成員之一，它擁有與“網絡服務”帳戶相同的用戶權限，但僅限于在本地計算機上使用。當應用程序池中的工作進程不需要訪問它所運行在的 Web 服務器以外的內容時，可以使用此帳戶。
• LocalSystem “本地系統”帳戶擁有所有用戶權限，它是 Web 服務器上的管理員組的成員之一。應盡可能避免使用“本地系統”帳戶，因為它會給 Web 服務器帶來更嚴重的安全風險。
• NetworkService “網絡服務” 帳戶是 Users 組的成員之一，并擁有運行應用程序所需的用戶權限。通過使用計算機帳戶的憑據，它可以在整個基于 Active Directory 的網絡上進行交互。

如果應用程序池選擇的是 ApplicationPoolIdentity ， 這個賬戶的權限很低， 只屬于 IIS_IUSRS 用戶組， 甚至不屬于 Users 用戶組， 而應用程序又需要訪問本地文件系統 （比如日志輸出） ， 就需要為 ApplicationPoolIdentity 賬戶設置 NTFS 權限， 這個賬戶在安全對話框是找不到的， 只能手工輸入 IIS APPPOOL\{app pool name} 進行設置。

通過查看 IIS_IUSRS 用戶組的屬性可以看到全部的“應用程序池標識”賬戶， 如下圖：