一直以来IIS中的网站默认都是以network service在运行,但是从IIS7开始,默认会以ApplicationPoolIdentity运行。
这个账户比较特殊,是一种虚拟帐户,你无法在计算机用户列表中看到它,但是可以在任务管理器的进程列表中看到(显示出来的w3wp.exe的运行身份就是应用程序池的名称),据说是在应用程序池启动时动态创建的。
这种帐户的默认权限应该和原来的network service差不多,都只分配了最小的权限。
但是我们经常有设置允许某应用程序池(website)对某本地资源或网络文件夹进行访问的需求。那么如何来为这个虚拟帐户赋权呢?
对本地文件夹赋权时,可以用"IIS AppPoolApplicationPoolName",注意:查找范围需要是当前计算机而不是域。
当网站访问外部资源时他的身份是那台计算机,所以当为共享目录赋权时,赋权对象应该是计算机名,注意,查找对象类型需要选择Machine。