IIS 7 和 Windows 身份验证

Question

我们在 Windows 2008 Server 上运行 IIS 7，该服务器托管许多 Intranet 网站。我们希望对网站使用 Windows 身份验证，其 url 将为 http://pay

因此，我添加了 C:\InetPub\ pay 文件夹并将其绑定到 IIS7。
禁用匿名身份验证模式。 启用 Windows 身份验证模式。

当我从另一台计算机访问网站 http://pay 时，我收到消息：

未经授权您无权查看此目录或页面 使用您提供的凭据。

因此，我转到 Windows 资源管理器并添加 Local\IUSR 帐户并授予对该文件夹的访问权限。但我仍然遇到同样的错误。

最后，我添加了 Everyone 帐户并授予对该文件夹的访问权限。这次，它成功了，Windows 身份验证也运行良好。

我担心的是，它是否开放了Everyone对\MyServer\C$\Inetpub\pay文件夹的读取权限？它包含包含服务器和用户凭据的 web.config，这将是一个重大的安全漏洞。

如何在不授予 Everyone 帐户访问权限的情况下使用 Windows 身份验证？

提前致谢。

Answer 1

我相信您正在寻找的是 IIS_IUSRS 组，在使用 Windows 身份验证时，您应该向该组授予对网站文件夹的读取访问权限。您尝试的 IUSR 帐户将用于匿名身份验证场景。

有关 IIS7 中这些组的更多信息，请参见此处：
了解内置IIS 7 中的用户和组帐户