IIS 7.5中的ApplicationPoolIdentity究竟是什么？

在IIS7.5中，ApplicationPoolIdentity是一种用于应用程序池的运行账号，这种账号类型是系统动态创建的“虚拟”账号，对于提高应用程序的安全性和管理便捷性具有重要意义。

1、定义：ApplicationPoolIdentity是IIS7.5（仅支持win7,win2008 SP2,win2008 R2）中新增的一种应用程序池的运行账号类型，它不同于之前的LocalService、LocalSystem和NetWorkService三种基本类型，而是一种动态创建的“虚拟”账号。

2、特点：

虚拟性：ApplicationPoolIdentity账号是系统动态创建的，用户无法直接在用户管理界面或命令行下看到或显示该账号。

安全性：由于其虚拟性，ApplicationPoolIdentity对于应用程序来说是最安全的账号选择，因为它不暴露任何真实的用户账户信息。

低权限：默认情况下，虚拟账户只有对当前网站目录的访问权限，除非手动设置对其他目录的权限。

应用场景

1、Web服务器安全配置：在Web服务器（如IIS6）的安全配置中，图片上传目录等敏感资源通常放在主目录之外，并通过虚拟目录形式挂载，为了防止非法上传的asp/aspx木马运行破坏，通常会限制这些目录的执行权限，在IIS7.5中，通过使用ApplicationPoolIdentity，可以更精细地控制不同站点和应用的权限，从而提高安全性。

2、简化权限管理：与传统的IIS6相比，IIS7.5中的ApplicationPoolIdentity设计大大简化了权限管理，在IIS6中，为了将同一服务器上的各站点权限分开以防止木马捣乱，需要创建大量的iuser_XXX和iwam_XXX账号并指定密码，而在IIS7.5中，只需为每个应用程序池指定一个ApplicationPoolIdentity即可实现类似的效果，无需担心密码过于简单或过期问题。

配置方法

1、验证账号存在：可以通过打开任务管理器观察w3wp.exe进程来验证ApplicationPoolIdentity账号的存在，该进程会以应用程序池的名称（如luckty）作为标识运行。

2、配置读写权限：如果需要在代码中访问某个文件夹（如C:TestDir），需要确保该文件夹对应用程序池对应的虚拟帐号具有读写权限，可以通过手动输入“IIS AppPool应用程序池名”来添加权限，如果应用程序池名为luckty，则应输入“IIS AppPoolluckty”并赋予相应的读写权限。

FAQs

1、什么是ApplicationPoolIdentity？

答：ApplicationPoolIdentity是IIS7.5中新增的一种应用程序池的运行账号类型，它是一种系统动态创建的虚拟账号，对于应用程序来说是最安全的。

2、如何验证ApplicationPoolIdentity账号的存在？

答：可以通过打开任务管理器观察w3wp.exe进程来验证，该进程会以应用程序池的名称作为标识运行。

3、如何为ApplicationPoolIdentity配置读写权限？

答：需要手动输入“IIS AppPool应用程序池名”来添加权限，如果应用程序池名为luckty，则应输入“IIS AppPoolluckty”并赋予相应的读写权限。

4、ApplicationPoolIdentity与传统账号类型有什么区别？

答：与传统的LocalService、LocalSystem和NetWorkService三种基本类型相比，ApplicationPoolIdentity是一种虚拟账号，它不暴露任何真实的用户账户信息，因此对于应用程序来说是更安全的，它还简化了权限管理流程。

5、为什么说ApplicationPoolIdentity设计很棒？

答：因为ApplicationPoolIdentity设计不仅提高了应用程序的安全性和管理便捷性，还避免了传统IIS6中需要创建大量账号和指定密码的繁琐过程。