概要
为了更好的说明IIS 5.0运行时的身份标识,我们在IIS中新建一个虚拟目录Token,来举例说明。
在IIS 5.0中,Medium(Pooled)是主页目录和每一个新的IIS应用的应用程序保护(Application Protection)的缺省配置。
在这种情况下,所有的ASP脚本的处理线程都是在IIS Out-Of-Process Pooled Application这个COM+应用的进程下运行的!
默认情况下,InetInfo.EXE的运行身份是NT AUTHORITY\SYSTEM,而IIS Out-Of-Process Pooled Application应用的运行身份是IWAM_MachineName。
由于默认情况下,匿名访问是优先的,而它所使用的账号一般默认设置为IUSER_MachineName。所以ASP线程的运行身份就是IUSER_MachineName。
不同的配置,不同的运行身份
下面我们做四种不同的IIS配置,来看一下运行身份是怎么变化的。配置A其实就是IIS 5.0的默认情况。
配置对比如下:
区别
配置A
(默认配置)
配置B
配置C
配置D
Token虚拟目录的应用程序保护
中(共用的)
Medium(Pooled)
中
中
低(IIS进程)
Low(IIS Process)
匿名访问的账号
IUSR_MYSERVER
一个域用户
TomoSoft\TokenTest
IUSR_MYSERVER
IUSR_MYSERVER
COM+应用
“IIS Out-Of-Process Pooled Applications”的标识
IWAM_MYSERVER
一个域用户
TomoSoft\TokenTest
一个域用户
TomoSoft\TokenTest
一个域用户
TomoSoft\TokenTest
ASP页面中所调用的组件所在的COM+应用
其他独立的应用
“IIS Out-Of-Process Pooled Applications”
“IIS Out-Of-Process Pooled Applications”
“IIS Out-Of-Process Pooled Applications”
下图给出配置A情况的IIS 运行图:
图 1 配置A的运行身份
可以看出,配置A的情况下,将会有三个以上的进程交互数据,所以在进程之间会有大量的开销。
但是优点就是,安全。COM+应用、IIS Out-Of-Process Pooled Application应用、InetInfo.EXE三者是相互隔离的,一方崩溃不会波及其余。