修改iis应用程序池标识添加系统用户.pdf

修改 iis 应用程序池标识，添加系统用户 By ynhu33 通过应用程序池，你可以配置 IIS 要启动的工作进程数以及这些进程的更多配置细节。对于 IIS 管理器中配置的所有应用程序池， Web 服务器至少启动一个工 作进程。 在每个工作进程 里，可以容纳多种类型的应用程序 --从 ISAPI DLL到传统的 ASP，当然还有 ASP.NET。为了管 理应用程序池， IIS 6.0 管理器包含了一个新的配置结点，它是应用程序池。 一旦创建了应用程序池，就可以在这个池里运行 Web 应用程序了。前面提到过，现在通过 应用程序池来实现对 Web 应用程序的隔离；因此，配置虚拟目录和网站时，应用程序池的 设定取代了原先在 IIS 5.x里介绍的隔离模式设置。 你可以用应用程序池实现的一个有用的隔离策略是安全性。 对于每个具有特殊安全权限的应 用程序，你可以创建一个具有那些权限的单独的 Windows 用户，并配置应用程序池把该 Windows 用户作为标识。 你可以选择的预定义账号如下所示。 网络服务。 这是一个受限的账号， 具有比本地系统账号小很多的权限。 这个账号适合需要访 问网络且需从其他机器访问的应用程序使用。 本地服务。 这个账号的限制比网络服务账号的限制更多， 它适合不需要额外网络访问的服务 使用。使用这个账号运行的服务没有访问其他网络资源的权限，它们只能够访问本地资源。 本地系统。著名的本地系统账号当然仍然存在。不过，我们不再推荐任何类型的 Web 应用 程序使用这个账号， 因为它是系统最强大的账号。 它可以在本地系统上执行任意活动， 所以 用该账号运行的系统也可以做这一切。从根本上说，你的策略应该是应用程序总是运行在 " 最小权限 "账号下，也就是说，这个账号不应该有任何应用程序实际不需要的权限。因此， 如果某人能够攻破该应用程序，危害将被限制到最小，因为应用程序运行的账号是受限的。 Windows 2003 默认标识是“网络服务”，可以使用黑海洋 asp 木马验证一下。 运行的用户是 network service ，权限很低，只能查看用户，不能添加用户。 修改应用池的标识为本地系统，再次查看用户身份为 system ，可以执行任何命令，包括添 加用户。 一 辈子时光在匆忙中流逝，谁都无法挽留。多少人前半生忙忙碌碌，奔波追逐，后半生回望过去， 难免感叹一生的碌碌无为，恨时光短暂，荒废了最好的光阴。 人过中年，不停跟时间妥协，之所以不争抢，处世淡然，完全是经过世故的淬炼，达到心智的成熟。 有朋友问我，怎样写出滋润心灵的文字？是要查字典，引用名言，还是有什么规律？我笑着回，随心随意，不为难自己。你为难自己，就要刻意去效仿，你不随心随意就要被名利世俗困 扰，自然心态会有偏差，文字也染上了俗气。 现实生活中，不乏完美主义者，终日在不食人间烟火的意境中活着，虚拟不切合实际。如此，唯有活在当下，才是真正的人生笺言。常常想，不想活在过去的人，是经历了太多的大起大 落，不想被束缚在心灵蜗居里的人，是失去的太多，一番大彻大悟后，对视的眼神定会愈发清澈，坦然笑对人生的雨雪冰霜。 对于随波逐流的人们，难免要被世俗困扰，不问过去，不畏将来又将是怎么样的一种纠葛，无从知晓。 不得不说，人是活在矛盾中的。既要简单，又难淡然，挣扎在名利世俗中，一切身不由己，又有那样的生活是我们自己想要的呢？ 人前，你笑脸相迎，带着伪装的面具，不敢轻易得罪人；人后，黯然伤怀，