深入理解IIS运行时的身份

深入理解IIS 5.0运行时的身份

Article last modified on 2002-6-27

----------------------------------------------------------------

The information in this article applies to:

- Microsoft Windows 2000 Advanced Server

- Microsoft Windows 2000 Server

- Microsoft Windows 2000 Professional

- Microsoft IIS 5.0

----------------------------------------------------------------

概要

为了更好的说明IIS 5.0运行时的身份标识，我们在IIS中新建一个虚拟目录Token，来举例说明。

在IIS 5.0中，Medium(Pooled)是主页目录和每一个新的IIS应用的应用程序保护(Application Protection)的缺省配置。

在这种情况下，所有的ASP脚本的处理线程都是在IIS Out-Of-Process Pooled Application这个COM+应用的进程下运行的！

默认情况下，InetInfo.EXE的运行身份是NT AUTHORITY/SYSTEM，而IIS Out-Of-Process Pooled Application应用的运行身份是IWAM_MachineName。

由于默认情况下，匿名访问是优先的，而它所使用的账号一般默认设置为IUSER_MachineName。所以ASP线程的运行身份就是IUSER_MachineName。

不同的配置，不同的运行身份

下面我们做四种不同的IIS配置，来看一下运行身份是怎么变化的。配置A其实就是IIS 5.0的默认情况。

配置对比如下：

区别	配置A (默认配置)	配置B	配置C	配置D
Token虚拟目录的应用程序保护	中(共用的) Medium(Pooled)	中	中	低(IIS进程) Low(IIS Process)
匿名访问的账号	IUSR_MYSERVER	一个域用户 TomoSoft/TokenTest	IUSR_MYSERVER	IUSR_MYSERVER
COM+应用 “IIS Out-Of-Process Pooled Applications”的标识	IWAM_MYSERVER	一个域用户 TomoSoft/TokenTest	一个域用户 TomoSoft/TokenTest	一个域用户 TomoSoft/TokenTest
ASP页面中所调用的组件所在的COM+应用	其他独立的应用	“IIS Out-Of-Process Pooled Applications”	“IIS Out-Of-Process Pooled Applications”	“IIS Out-Of-Process Pooled Applications”

下图给出配置A情况的IIS 运行图：

配置A的运行情况

图 1 配置A的运行身份

可以看出，配置A的情况下，将会有三个以上的进程交互数据，所以在进程之间会有大量的开销。

但是优点就是，安全。COM+应用、IIS Out-Of-Process Pooled Application应用、InetInfo.EXE三者是相互隔离的，一方崩溃不会波及其余。

配置B的运行图：

配置B的运行情况图 2 配置B的运行身份

可以看出，配置B的运行，ASP页面调用的COM+组件由于被放置在IIS Out-of-Process Pooled Application这个IIS应用池中，所以这将会大大减少进程间调用COM的开销。

由于ASP处理线程属于STA，而被调用的COM+组件也属于STA，所以COM+组件也在ASP处理线程内，所以COM+组件内部执行时的Thread Token是这个ASP处理线程的身份Tomosoft/TokenTest，它的Process Token则是IIS应用池的身份Tomosoft/TokenTest。

配置C的情况和配置B大体是一样的。唯一的区别就是COM+组件的Thread Token是IUSER_MachineName，这是和匿名访问的账号相一致的。

下图给出配置D的运行图：

配置D的运行情况

图 3 配置D的运行身份

可以看出，ASP处理线程在InetInfo.EXE进程中，而且ASP处理线程和InetInfo进程的运行身份还是不一样的!

COM+组件内部执行时的没有Thread Token，它的Process Token是IIS应用池的身份Tomosoft/TokenTest!

更多信息

在ASP页面中记录当前的Token值的测试

在Token目录下新建一个TokenTest.asp，代码如下：

<%

On Error Resume Next

Dim TokenDump

‘ 这是一个记录当前线程和进程身份的组件

Set TokenDump = Server.Createobject("Tokdumpsrv.TokDump")

Response.write TokenDump.TokenDump(&H1)

%>

IIS Out-Of-Process Pooled Application的标识保持为TomoSoft/TokenTest不变。

只是更改应用程序保护和匿名访问账号。

测试4种情况，列表如下：

序号	设置情况		ASP执行的 Thread Token	ASP执行的 Process Token
序号	应用程序保护	匿名访问账号	ASP执行的 Thread Token	ASP执行的 Process Token
1	中	TomoSoft/ TokenTest	TomoSoft/TokenTest Token Type: Impersonation Impersonation Level: Delegation	TomoSoft/TokenTest Token Type: Primary Impersonation Level: Delegation
2	中	IUSER_MachineName	MySERVER/ IUSR_MYSERVER Token Type: Impersonation Impersonation Level: Impersonation	同上
3	低	TomoSoft/ TokenTest	TomoSoft/TokenTest	NT AUTHORITY/ SYSTEM
4	低	IUSER_MachineName	MySERVER/ IUSR_MYSERVER	NT AUTHORITY/ SYSTEM