IISのIUSRアカウントとIWAMアカウントは何ですか？

IUSRおよびIWAMは、IIS（OSコンポーネントとしてではなく）を個別にインストールした場合）のごく初期にさかのぼります。デフォルトでは、Webサイトが匿名認証を許可している場合、IUSRアカウントが使用されますOSの権限に関して。これはデフォルトから変更できます。少なくともアカウントの名前を変更するセキュリティの推奨事項があるため、「既知の」アカウントではなく、管理者アカウントの名前を変更するように推奨されています。サーバー。 MSDNでのIUSRおよび認証 について詳しく学ぶことができます。

IWAMはアウトプロセスアプリケーション用に設計されており、IIS 6.0でのみ使用されます。IIS 5.0分離モードです。通常はCOMで見られます/ DCOMオブジェクト。

アプリケーションプールIDに関しては、デフォルトではネットワークサービスとして実行されます。そのアカウントには管理者よりも大きな権限があるため、ローカルシステムとして実行しないでください。そのため、基本的には、ネットワークサービス、ローカルサービス、またはこれら2つ以外のローカル/ドメインアカウントが使用されます。

何をすべきかについては、それは異なります。 Network Serviceのままにしておくことの利点の1つは、サーバー上の特権アカウントが制限されていることです。ただし、ネットワーク全体のリソースにアクセスする場合、Domain\ComputerName $として表示されます。つまり、別のボックスで実行されているSQL ServerなどのリソースにNetwork Serviceアカウントがアクセスできるようにするアクセス許可を割り当てることができます。また、コンピューターアカウントとして表示されるため、Kerberos認証を有効にすると、サーバー名でWebサイトにアクセスしている場合、SPNは既に配置されています。

WebベースのアプリケーションのSQL Serverにアクセスするサービスアカウントなど、ネットワークリソースにアクセスする特定のアカウントが必要な場合に、アプリケーションプールを特定のWindowsドメインアカウントに変更することを検討するケース。 ASP.NETには、アプリケーションプールIDを変更せずにこれを実行するための他のオプションがあるため、これはもはや厳密には必要ありません。ドメインユーザーアカウントの使用を検討するもう1つの理由は、Kerberos認証を行っていて、Webアプリケーションにサービスを提供する複数のWebサーバーがあったことです。良い例は、SQL Server Reporting Servicesを提供する2つ以上のWebサーバーがある場合です。フロントエンドは、おそらくreports.mydomain.comやreporting.mydomain.comなどの一般的なURLになります。その場合、SPNはAD内の1つのアカウントにのみ適用できます。各サーバーのネットワークサービスで実行されているアプリプールがある場合、サーバーを離れるとDomain\ComputerName $として表示されるため、機能しません。つまり、サーバーがサービスを提供していたのと同じ数のアカウントが存在することになります。アプリ。解決策は、ドメインアカウントを作成し、すべてのサーバーのアプリプールIDを同じドメインユーザーアカウントに設定し、1つのSPNを作成して、Kerberos認証を許可することです。ユーザーの資格情報をバックエンドデータベースサーバーに渡す必要があるSSRSなどのアプリの場合、Kerberos委任を構成する必要があるため、Kerberos認証は必須です。

理解することはたくさんありますが、簡単な答えは、ローカルシステムを除いて、状況によって異なります。