Was ist der Unterschied zwischen der Anwendungspoolidentität und der Websiteidentität in IIS 7.0?

In IIS 5.0 lautet das Identitätskonto eines Anwendungspools standardmäßig ASPNET, und die Website wird, sofern der Identitätswechsel nicht aktiviert ist, unter dem Konto der Identität des Anwendungspools ausgeführt.

In IIS 7.0 gibt es jedoch zwei Bereiche, in denen ich das Konto konfigurieren kann, das auf meiner Website verwendet wird. Auf der Ebene des Anwendungspools und der Website.

Ich habe erwartet, dass die Website-Identität die Identität des Anwendungspools überschreibt, aber ich habe gerade gesehen, dass dies nicht der Fall ist.

Was ist der Unterschied?

Die beiden Konten sind verschiedene Dinge. Denken Sie an die Website-Identität, die den Benutzer der Website repräsentiert. Wenn Sie eine neue Website erstellen, handelt es sich bei diesem Konto um das anonyme IIS-Konto. Wenn Sie die "Anonyme Authentifizierung" deaktivieren, müssen sich Ihre Benutzer bei der Website authentifizieren (auf einer Intranet- / Windows-Domain-Site kann dies unter Verwendung der Netzwerkanmeldeinformationen erforderlich sein.)

Die Anwendungspoolidentität ist das Windows-Konto, das zum Ausführen Ihrer Assemblys erforderlich ist. Normalerweise handelt es sich bei dem Konto " Netzwerkdienst " um ein Konto mit den geringsten Berechtigungen und eingeschränkten Benutzerrechten. Es verfügt über Netzwerkanmeldeinformationen. Dies bedeutet, dass Sie es verwenden können, um sich bei Netzwerkressourcen in einer Domäne zu authentifizieren. Sie können damit auch auf eine SQL Server-Datenbank mit integrierter Sicherheit zugreifen.

Wenn Ihre ASP.NET-Anwendung beispielsweise in einen Ordner schreiben muss, müssen Sie die Berechtigung dem Anwendungspoolkonto und nicht dem Websitekonto erteilen. Weitere Informationen zu Anwendungspoolidentitäten finden Sie hier .

Hinweis: In IIS 7 gibt es eine Möglichkeit, dasselbe Konto der Anwendungspoolidentität für das anonyme Websitekonto zu verwenden: