IIS में IUSR और IWAM खाते क्या हैं?

मैं आईयूएसआर और आईडब्ल्यूएएम खातों की एक अच्छी व्याख्या की तलाश कर रहा हूं जो आईआईएस द्वारा उपयोग किए जाते हैं ताकि मुझे हमारे होस्टिंग वातावरण को बेहतर ढंग से कॉन्फ़िगर करने में मदद मिल सके:

• वो लोग वहाँ क्यों हैं?
• उनमें क्या अंतर है?
• क्या नाम कुछ सार्थक के लिए खड़े हैं?
• क्या मुझे कोई सर्वोत्तम अभ्यास परिवर्तन करना चाहिए?
• IIS मुझे नेटवर्क सेवा, स्थानीय सेवा या स्थानीय प्रणाली के रूप में एप्लिकेशन पूल चलाने के लिए विकल्प भी देता है। क्या मैं?
• मेरा वेब सर्वर एक डोमेन का हिस्सा है, यह चीजों को कैसे बदलता है?

कई साइटों को सर्वर पर तैनात करने के लिए इन खातों के अपने संस्करण बनाना आम बात लगती है जो कुछ अतिरिक्त प्रश्न उठाते हैं:

• मैं कब अपना खुद का आईयूएसआर और आईडब्ल्यूएएम अकाउंट बनाना चाहता हूं?
• मुझे ये अतिरिक्त खाते कैसे बनाने चाहिए ताकि उनके पास सही अनुमति हो?

मैं ज्यादातर डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ IIS 6 और IIS 7 दोनों का उपयोग कर रहा हूं।

IUSR और IWAM जब आप इसे अलग से स्थापित करते हैं तो IIS के बहुत शुरुआती दिनों में वापस आ जाते हैं (OS घटक के रूप में नहीं)। डिफ़ॉल्ट रूप से, यदि कोई वेब साइट अनाम प्रमाणीकरण की अनुमति देती है, तो IUSR खाते का उपयोग OS पर अनुमतियों के संबंध में किया जाता है। इसे डिफॉल्ट से बदला जा सकता है। कम से कम खाते का नाम बदलने के लिए कुछ सुरक्षा सिफारिशें हैं, इसलिए यह "ज्ञात" खाता नहीं है, बहुत कुछ सर्वर पर व्यवस्थापक खाते का नाम बदलने की सिफारिश है। आप MSDN पर IUSR और प्रमाणीकरण के बारे में अधिक जान सकते हैं ।

IWAM को किसी भी प्रक्रिया के अनुप्रयोग के लिए डिज़ाइन किया गया था और इसका उपयोग केवल IIS 6.0 में किया जाता है जब आप IIS 5.0 अलगाव मोड में होते हैं। आपने आमतौर पर इसे COM / DCOM ऑब्जेक्ट्स के साथ देखा था।

एप्लिकेशन पूल पहचान के संबंध में, डिफ़ॉल्ट को नेटवर्क सेवा के रूप में चलाना है। आपको स्थानीय सिस्टम के रूप में नहीं चलना चाहिए क्योंकि उस खाते में एक व्यवस्थापक की तुलना में अधिक अधिकार हैं। ताकि मूल रूप से आप नेटवर्क सेवा, स्थानीय सेवा, या उन दोनों के अलावा एक स्थानीय / डोमेन खाता छोड़ दें।

क्या करना है, यह निर्भर करता है। नेटवर्क सेवा के रूप में इसे छोड़ने का एक फायदा यह है कि यह सर्वर पर एक सीमित विशेषाधिकार खाता है। हालाँकि, जब यह पूरे नेटवर्क में संसाधनों का उपयोग करता है, तो यह डोमेन \ ComputerName $ के रूप में प्रकट होता है, जिसका अर्थ है कि आप अनुमति दे सकते हैं जो नेटवर्क सेवा खाते को SQL बॉक्स जैसे विभिन्न बॉक्स पर चलने वाले संसाधनों तक पहुँचने की अनुमति देता है। इसके अलावा, चूंकि यह कंप्यूटर खाते के रूप में प्रकट होता है, यदि आप केर्बरोस प्रमाणीकरण सक्षम करते हैं, तो एसपीएन पहले से ही है यदि आप वेबसाइट को सर्वर नाम से एक्सेस कर रहे हैं।

एक ऐसा मामला जहां आप एक विशेष विंडोज डोमेन खाते के लिए एप्लिकेशन पूल को बदलने पर विचार करेंगे, यदि आप एक विशेष खाते जैसे नेटवर्क आधारित संसाधनों को एक्सेस करना चाहते हैं, जैसे कि वेब आधारित एप्लिकेशन के लिए SQL सर्वर पर पहुंचना। ASP.NET के भीतर अनुप्रयोग पूल पहचान को बदलने के बिना ऐसा करने के लिए अन्य विकल्प हैं, इसलिए यह कड़ाई से आवश्यक नहीं है। एक अन्य कारण जो आप एक डोमेन उपयोगकर्ता खाते का उपयोग करने पर विचार करेंगे, वह है कि आप केर्बरोस प्रमाणीकरण कर रहे थे और आपके पास एक वेब अनुप्रयोग प्रदान करने वाले कई वेब सर्वर थे। एक अच्छा उदाहरण है यदि आपके पास SQL ​​Server रिपोर्टिंग सेवा पर दो या अधिक वेब सर्वर हैं। फ्रंट एंड शायद जेनेरिक यूआरएल जैसे कि रिपोर्ट.mydomain.com या रिपोर्टिंग.mydomain.com। उस स्थिति में, SPN केवल AD के भीतर एक खाते में लागू किया जा सकता है। यदि आपके पास प्रत्येक सर्वर पर नेटवर्क सेवा के तहत ऐप पूल चल रहे हैं, तो यह काम नहीं करेगा, क्योंकि जब वे सर्वर छोड़ते हैं, तो वे डोमेन \ ComputerName $ के रूप में दिखाई देते हैं, जिसका अर्थ है कि आपके पास जितने खाते हैं, वे सर्वर की सेवा कर रहे हैं। एप्लिकेशन। समाधान एक डोमेन खाता बनाना है, सभी सर्वर पर ऐप पूल की पहचान को एक ही डोमेन उपयोगकर्ता खाते में सेट करें और एक एसपीएन बनाएं, जिससे केर्बरोस प्रमाणीकरण की अनुमति मिलती है। SSRS जैसे ऐप के मामले में, जहाँ आप बैक-एंड डेटाबेस सर्वर के माध्यम से उपयोगकर्ता क्रेडेंशियल्स को पास करना चाहते हैं, तो केर्बरोस प्रमाणीकरण एक होना चाहिए क्योंकि तब आपको केर्बरोस प्रतिनिधिमंडल को कॉन्फ़िगर करना होगा। d में उतने ही खाते हैं जितने कि आपके पास सर्वर थे जो ऐप को परोस रहे थे। समाधान एक डोमेन खाता बनाना है, सभी सर्वर पर ऐप पूल की पहचान को एक ही डोमेन उपयोगकर्ता खाते में सेट करें और एक एसपीएन बनाएं, जिससे केर्बरोस प्रमाणीकरण की अनुमति मिलती है। SSRS जैसे ऐप के मामले में, जहाँ आप बैक-एंड डेटाबेस सर्वर के माध्यम से उपयोगकर्ता क्रेडेंशियल्स को पास करना चाहते हैं, तो केर्बरोस प्रमाणीकरण एक होना चाहिए क्योंकि तब आपको केर्बरोस प्रतिनिधिमंडल को कॉन्फ़िगर करना होगा। d में उतने ही खाते हैं जितने कि आपके पास सर्वर थे जो ऐप को परोस रहे थे। समाधान एक डोमेन खाता बनाना है, सभी सर्वर पर ऐप पूल की पहचान को एक ही डोमेन उपयोगकर्ता खाते में सेट करें और एक एसपीएन बनाएं, जिससे केर्बरोस प्रमाणीकरण की अनुमति मिलती है। SSRS जैसे ऐप के मामले में, जहाँ आप बैक-एंड डेटाबेस सर्वर के माध्यम से उपयोगकर्ता क्रेडेंशियल्स को पास करना चाहते हैं, तो केर्बरोस प्रमाणीकरण एक होना चाहिए क्योंकि तब आपको केर्बरोस प्रतिनिधिमंडल को कॉन्फ़िगर करना होगा।

मुझे पता है कि इसमें बहुत कुछ लेना है, लेकिन संक्षिप्त जवाब है, स्थानीय प्रणाली को छोड़कर, यह निर्भर करता है।

IUSR = इंटरनेट उपयोगकर्ता, यानी आपकी वेबसाइट पर कोई भी अनाम, गैर-प्रमाणित आगंतुक (यानी हर कोई बहुत ज्यादा)

IWAM = इंटरनेट वेब अनुप्रयोग प्रबंधक, अर्थात आपके सभी ASP और .NET अनुप्रयोग इस खाते के अंतर्गत चलेंगे

आम तौर पर, IUSR और IWAM को केवल उसी चीज तक पहुंच प्राप्त करनी चाहिए जो उन्हें चाहिए। उन्हें कभी भी किसी और चीज की एक्सेस नहीं दी जानी चाहिए, अगर इन खातों में समझौता हो जाता है तो वे कुछ भी महत्वपूर्ण नहीं कर सकते हैं।

इस बारे में मैं आपके सवालों की सूची से बाहर निकलने में मदद कर सकता हूं, IIS प्रशासन में अधिक अनुभव वाले अन्य लोग आपकी आगे मदद करने में सक्षम हो सकते हैं!

मैं हमेशा इस गाइड का सहारा लेता हूं -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

आप iis.net पर बहुत कुछ पा सकते हैं

इसे सीधे शब्दों में कहें - IUSR केवल उन बॉक्स अतिथि खातों से बाहर है जिनके पास डिफ़ॉल्ट रूप से c: \ inetpub \ wwwroot पर अनुमतियाँ हैं।