کاربر و گروه پیش ساخته در IIS7.0

در ورژن قبلی IIS یعنی ورژن ۶٫۰ یک کاربر پیش ساخته به نام IUSR_MachineName وجود داشته که در آن MachineName نام کامپیوتر است. به صورت پیش فرض چنانچه anonymous authentication فعال باشد از این کاربر استفاده می شد. همچنین گروهی به نام IIS_WPG موجود بود که اکثر مدیران شبکه به این گروه مجوز های دسترسی لازم را می دادند و زمانی که مثلا زمانی که یک Application Pool Account جدید می ساختند تنها کافی بود کاربر مورد نظر را عضو این گروه کنند. این روش به خوبی کار می کرد هر چند مشکلاتی را ایجاد می کرد مثل این سناریو:

 

در ویندوز هر user یک عدد یکتا مخصوص به خود دارد که به آن SID گفته می شود. SID کوتاه شده ی security identifier است. زمانی که یک ACL ایجاد می شود(۱)، فقط از SID ها برای ذخیره سازی مجوز های داده شده استفاده می شود. در طراحی ورژن قبلی IIS کاربر IUSR_MachineName در فایل metabase.xml استفاده می شد بنابراین اگر می خواستید metabase.xml  را از یک سیستم کپی و در سیستم دیگری paste کنید، کار نمی کرد چرا که اکانت مربوط به IIS در کامپیوتر دیگر، نام دیگری داشت. همچنین با دستور Xcopy /o نیز امکان کپی کردن مجوز ها موجود نبود چرا که SID ها نیز در بین دو سیستم متفاوت بود. همین مسئله در خصوص گروه IIS_WPG وجود داشت.

۱: برای دسترسی به فایل ها باید مجوز های NTFS داشت. لیست این مجوز ها ACL گفته می شود. برای اطلاعات بیشتر این مقاله را بخوانید.

 

در نسخه جدید IIS یعنی IIS 7.0 بهبود های امنیتی و کارایی چشمگری صورت گرفته که یکی از مهمترین آن ها این مورد است. چرا که سناریوی انتقال، سناریوی تقریبا متداولی است.

 

۱٫ کاربر IUSR :

کاربر  IUSR جایگزین کاربر IUSR_MachineName شده است. از آنجایی که این کاربر پیش ساخته است نیازی به داشتن پسورد وجود ندارد. هر چند این تصور اشتباه است، اما فرض کنید مشابه LOCALSERVICE عمل می کند. اما همانطوری که در گذشته اشاره شد، IIS 7.0 ابزار مدیریتی FTP ندارد و همچنان از ابزار IIS 6.0 استفاده می کند. بنابراین به اجبار اکانت IUSR_MachineName همچنان وجود دارد. البته این اکانت تنها زمانی ساخته می شود که FTP یا IIS 6.0 Manager نصب شود. اگر فایل applicationHost.config را نگاه کنید تعریف زیر را در مورد اکانت IUSR می بینید:

 

<anonymousAuthentication enabled="true" userName="IUSR" defaultLogonDomain="" />

این خط به سرویس IIS می گوید که می خواهیم از اکانت IUSR برای دسترسی های ناشناس (anonymous) استفاده شود. با IIS 7.0 دیگر نگران Expire شدن پسورد نباشید و یا به راحتی هر مجوز NTFS دلخواه را بدهید و با XCOPY /o می توانید آنها را به کامپیوتر دیگری منتقل کنید.

نقطه ای نگران کننده ای که وجود دارد این است که همانطوری که گفته شد، IUSR مشابه LOCALSERVICE عمل می کند. مسئله این است که IUSR دارای برتری هایی نسبت به LOCALSERVICE است. اگر می خواهید که سیاست های خاصی را به anonymous authentication اعمال کنید، تنها راه ان است که یک اکانت بسازید و سپس در IIS تنظیمات لازم را انجام دهید:

۱٫در Run وارد کنید INetMgr.exe .

۲٫در نوار Connections سایت مورد نظر را انتخاب کنید و authentication را بزنید.

۳٫Anonymous Authentication را انتخاب کنید و اکانت مورد نظر خود را وارد کنید.

۲٫ گروه IIS_IUSRS :

همانطوری که در قبل اشاره شده،گروه IIS_IUSRS جایگزین گروه IIS_WPG شده است. این گروه برای تضمین دسترسی به فایل ها و منابع موجود روی سیستم است. از آنجایی که یک گروه Built-in است، مشکلات Xcopy دیگر وجود نخواهند داشت چرا که SID این گروه در تمام ویندوز های سرور ۲۰۰۸ که IIS 7.0 آن فعال شده است، یکسان است. ویژگی جدید IIS 7.0 این است که چنانچه یک اکانت برای اجرای یک Application Pool انتخاب شود دیگر نیازی نیست که عضو گروه IIS_IUSRS شود، چنانچه می خواهید این ویژگی غیر فعال باشه همانند کد زیر مقدار manualGroupMembership را به True تغییر دهید:

<applicationPools><add name="DefaultAppPool"><processModel manualGroupMembership="true" /></add></applicationPools >

3 دیدگاه در کاربر و گروه پیش ساخته در IIS7.0

  1. ftp برای iis 7.0 – 7.5 با sp1 به ۲۰۰۸ r2 اضافه شده با sp2 به ۲۰۰۸ اضافه شده. در ضمن چرا به هموتنانت میگی متقلب در امتحانات mcse ابرانی ها همیشه تو این موارد اول بودنند .

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *