深入理解IIS运行时的身份

时间:2022-03-29 16:16:43

深入理解IIS 5.0运行时的身份

Article last modified on 2002-6-27<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

----------------------------------------------------------------

The information in this article applies to:

- Microsoft Windows 2000 Advanced Server

- Microsoft Windows 2000 Server

- Microsoft Windows 2000 Professional

- Microsoft IIS 5.0

----------------------------------------------------------------

概要

为了更好的说明IIS 5.0运行时的身份标识,我们在IIS中新建一个虚拟目录Token,来举例说明。

IIS 5.0中,Medium(Pooled)是主页目录和每一个新的IIS应用的应用程序保护(Application Protection)的缺省配置。

在这种情况下,所有的ASP脚本的处理线程都是在IIS Out-Of-Process Pooled Application这个COM+应用的进程下运行的!

默认情况下,InetInfo.EXE的运行身份是NT AUTHORITY/SYSTEM,而IIS Out-Of-Process Pooled Application应用的运行身份是IWAM_MachineName

由于默认情况下,匿名访问是优先的,而它所使用的账号一般默认设置为IUSER_MachineName。所以ASP线程的运行身份就是IUSER_MachineName

不同的配置,不同的运行身份

下面我们做四种不同的IIS配置,来看一下运行身份是怎么变化的。配置A其实就是IIS 5.0的默认情况。

配置对比如下:

区别

配置A

(默认配置)

配置B

配置C

配置D

Token虚拟目录的应用程序保护

(共用的)

Medium(Pooled)

(IIS进程)

Low(IIS Process)

匿名访问的账号

IUSR_MYSERVER

一个域用户

TomoSoft/TokenTest

IUSR_MYSERVER

IUSR_MYSERVER

COM+应用

“IIS Out-Of-Process Pooled Applications”的标识

IWAM_MYSERVER

一个域用户

TomoSoft/TokenTest

一个域用户

TomoSoft/TokenTest

一个域用户

TomoSoft/TokenTest

ASP页面中所调用的组件所在的COM+应用

其他独立的应用

“IIS Out-Of-Process Pooled Applications”

“IIS Out-Of-Process Pooled Applications”

“IIS Out-Of-Process Pooled Applications”

 

 

 

下图给出配置A情况的IIS 运行图:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

深入理解IIS运行时的身份 

               1 配置A的运行身份

可以看出,配置A的情况下,将会有三个以上的进程交互数据,所以在进程之间会有大量的开销。

但是优点就是,安全。COM+应用、IIS Out-Of-Process Pooled Application应用、InetInfo.EXE三者是相互隔离的,一方崩溃不会波及其余。

 

配置B的运行图:

 

深入理解IIS运行时的身份                2 配置B的运行身份

可以看出,配置B的运行,ASP页面调用的COM+组件由于被放置在IIS Out-of-Process Pooled Application这个IIS应用池中,所以这将会大大减少进程间调用COM的开销。

由于ASP处理线程属于STA,而被调用的COM+组件也属于STA,所以COM+组件也在ASP处理线程内,所以COM+组件内部执行时的Thread Token是这个ASP处理线程的身份Tomosoft/TokenTest,它的Process Token则是IIS应用池的身份Tomosoft/TokenTest

配置C的情况和配置B大体是一样的。唯一的区别就是COM+组件的Thread TokenIUSER_MachineName,这是和匿名访问的账号相一致的

 

下图给出配置D的运行图:

 

深入理解IIS运行时的身份 

                     3 配置D的运行身份

可以看出,ASP处理线程在InetInfo.EXE进程中,而且ASP处理线程和InetInfo进程的运行身份还是不一样的!

COM+组件内部执行时的没有Thread Token,它的Process TokenIIS应用池的身份Tomosoft/TokenTest!

更多信息

ASP页面中记录当前的Token值的测试

Token目录下新建一个TokenTest.asp,代码如下:

<%

       On Error Resume Next

      

   Dim TokenDump

   这是一个记录当前线程和进程身份的组件

   Set TokenDump = Server.Createobject("Tokdumpsrv.TokDump")

   Response.write TokenDump.TokenDump(&H1)  

%>

IIS Out-Of-Process Pooled Application的标识保持为TomoSoft/TokenTest不变。

只是更改应用程序保护和匿名访问账号。

测试4种情况,列表如下:

序号

设置情况

ASP执行的

Thread Token

ASP执行的

Process Token

应用程序保护

匿名访问账号

1

TomoSoft/

TokenTest

TomoSoft/TokenTest

 

Token Type:

Impersonation
Impersonation Level:

Delegation

TomoSoft/TokenTest

 

Token Type:

Primary
Impersonation Level:

Delegation

2

IUSER_MachineName

MySERVER/

IUSR_MYSERVER

 

Token Type:

Impersonation
Impersonation Level:

Impersonation

同上

3

TomoSoft/

TokenTest

TomoSoft/TokenTest

NT AUTHORITY/

SYSTEM

4

IUSER_MachineName

MySERVER/

IUSR_MYSERVER

NT AUTHORITY/

SYSTEM

 

在应用程序保护为中的情况下,可以观察到,ASP处理线程的Thread Token是和该虚拟目录的匿名访问账号一致的,而Process Token是和IIS Out-of-Process Pooled Application应用的标识一致的。

这就符合图1和图2的说法了。

在应用程序保护为的情况下,可以观察到,ASP处理线程的Thread Token是和该虚拟目录的匿名访问账号一致的,而Process Token就是InetInfo.EXE的身份SYSTEM账号。

这就是图3的说法了。

这种测试在三台不同服务器上得到了验证。

 

Written by zhengyun@tomosoft.com

 

 



Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=12679