A maioria das pessoas tem dificuldade em entender a diferença entre o usuário anônimo do IIS (IUSR _...) e a conta usada na execução de binários (a conta do pool de aplicativos).
A conta IUSR é usada quando o usuário não está autenticado no servidor, que é - para sites "normais" - é o caso de uso padrão. Para sites de intranet, você pode desabilitar o acesso anônimo ao servidor IIS e permitir que os usuários (automaticamente) enviem suas credenciais de rede / domínio.
As permissões da conta anônima em arquivos e pastas determinam quais recursos (arquivos) o usuário da Web normal pode acessar nesse servidor. Normalmente, todos os arquivos (estáticos) são somente leitura e você não permite a listagem do conteúdo da pasta.
A identidade do pool de aplicativos (por exemplo, a conta do Serviço de Rede) é algo diferente. É a conta que executa seus scripts ou montagens, a identidade do processo. Por exemplo, se seu aplicativo quiser gravar em uma determinada pasta (por exemplo, C:\temp
), essa conta deverá ter permissão do sistema de arquivos para modificar arquivos nessa pasta.
Aqui estão alguns links para informações adicionais:
- Entendendo o usuário e o grupo incorporados Contas no IIS 7 (learn.iis.net)
- Quais são as contas IUSR e IWAM no IIS? (Serverfault)