IIS7.5中如何使用ApplicationPoolIdentity标识进行读写权限配置

q789321

　　http://www.05188.com/t1222481p1/
　　参考微软  https://social.microsoft.com/Forums/en-SG/2ba2ec66-2c43-4da2-98bf-e71d9e442e28/iis75applicationpoolidentity
注：此文仅限在IIS7.5中有效。　　ApplicationPoolIdentity是什么？

ApplicationPoolIdentity是一个在IIS7.5中除了之前已经存在的（LocalService,LocalSystem,NetWorkService）新增的Identity，是微软推荐的网站运行时最安全的标识。使用ApplicationPoolIdentity作为Identity运行时使用的账户微软称之为虚拟账户。“为了增强 IIS的服务隔离和可管理性，微软在 Windows  2008 R2 和 Windows 7 中引入了一种新的帐户类型，即虚拟帐户。”

　　虚拟账户有什么特点呢？

• 虚拟账号不需要进行密码管理，可以节省我们的时间。
  
• 虚拟账户是运行时动态创建的，我们在用户管理中是无法看到的，使用命令行下输入net user也无法显示。
  
• 虚拟账户权限独立且较低，默认情况下，虚拟账户只有对当前网站目录的访问权限，除非你手动设置对其他目录的权限（区别于IIS6中所有网站需要使用NetWorkServices，当某个网站使用NetWorkServices时对其他网站目录也有操作权限）。
  

　　如何设置ApplicationPoolIdentity作为运行标识呢？
在IIS7.5中，我们为一个网站创建应用程序池（ApplicationPool）后默认的运行标识Identity就是“ ApplicationPoolIdentity”。下面我们说一下如何手动设置。1、点击应用程序池按钮，找到网站对应的应用程序池，右击-高级设置。2、找到标识（Identity）栏，点击选择内置账号下的ApplicationPoolIdentity选项。 　　默认ApplicationPoolIdentity只有读取权限，如何设置它对目录的写入权限呢？
1、点击网站，选择对应的网站，右击-权限编辑。2、安全-组或用户名-编辑，组或用户名-添加，输入  IIS AppPoolwww.xxx.com（即IIS AppPool应用程序池名）。3、确定-勾选权限设置。步骤如图。 　　4、如果还是没有写入权限。你需要多做一步操作。
1）点击网站，点击身份认证功能。2）匿名身份认证，右击-编辑。3）匿名身份验证凭据-应用程序池标识。 按照以上的步骤操作完，就可以ApplicationPoolIdentity匿名账号进行网站操作了。　　参考文章：

• http://www.iis.net/learn/manage/configuring-security/application-pool-identities
  
• http://www.cnblogs.com/wanernet/archive/2013/06/15/3137060.html
  
• http://www.cnblogs.com/chenxizhang/archive/2012/06/26/2563448.html