IUSR é o contexto de segurança usado quando visitantes anônimos navegam em seu site. Eu recomendaria contra usá-lo para o serviço WWW.
Antes do IIS7.5, uma conta de serviço (IWAM) seria criada para você, que era uma conta local, além da conta IUSR local. O novo modelo é executado com diferentes identidades do pool de aplicativos para que um site não possa afetar outro na caixa se um site estiver comprometido. Eu provavelmente consideraria uma conta local sem privilégios para o serviço WWW, para confinar as credenciais a essa caixa específica.
Eu testei usando um usuário local para WWW e o Windows Process Activation Service, e continuei recebendo mensagens de erro de "esta conta não é privilegiada o suficiente" para o Serviço de Ativação de Processos do Windows. Por isso, adicionei a conta local ao IIS_IUSRS e a qualquer outro grupo relacionado ao IIS, e entrei na política de segurança local e adicionei os privilégios na Atribuição de direitos de usuário da Diretiva de segurança local:
- Substituir um token no nível do processo
- Ajustar cotas de memória para um processo
- Gerar auditorias de segurança
- Fazer logon como um trabalho em lotes
Isso não funcionou, então adicionei "Criar objetos globais" depois de encontrar algo no Google sugerindo que isso poderia ajudar. Isso não aconteceu. Mas então chegou a hora de eu ir para casa, então eu desfiz tudo (mesmo que fosse um ambiente de teste).
Eu então tentei
- Representar um cliente após a autenticação
Sem alegria. Os serviços são executados como sistema local e o link do qual eu estava trabalhando diz,
The Local System account is a powerful account that has full access to the computer and acts as the computer on the network. If a service uses the Local System account to log on to a domain controller, that service has access to the entire domain. Some services are configured by default to use the Local System account, and this should not be changed. The Local System account does not have a user-accessible password.
Desculpe, tentei, mas acho que você está sem sorte. Você certamente pode tentar dar uma conta com os privilégios listados aqui :
- SE_ASSIGNPRIMARYTOKEN_NAME (desativado)
- SE_AUDIT_NAME (ativado)
- SE_BACKUP_NAME (desativado)
- SE_CHANGE_NOTIFY_NAME (ativado)
- SE_CREATE_GLOBAL_NAME (ativado)
- SE_CREATE_PAGEFILE_NAME (ativado)
- SE_CREATE_PERMANENT_NAME (ativado)
- SE_CREATE_TOKEN_NAME (desativado)
- SE_DEBUG_NAME (ativado)
- SE_IMPERSONATE_NAME (ativado)
- SE_INC_BASE_PRIORITY_NAME (ativado)
- SE_INCREASE_QUOTA_NAME (desativado)
- SE_LOAD_DRIVER_NAME (desativado)
- SE_LOCK_MEMORY_NAME (ativado)
- SE_MANAGE_VOLUME_NAME (desativado)
- SE_PROF_SINGLE_PROCESS_NAME (ativado)
- SE_RESTORE_NAME (desativado)
- SE_SECURITY_NAME (desativado)
- SE_SHUTDOWN_NAME (desativado)
- SE_SYSTEM_ENVIRONMENT_NAME (desativado)
- SE_SYSTEMTIME_NAME (desativado)
- SE_TAKE_OWNERSHIP_NAME (desativado)
- SE_TCB_NAME (ativado)
- SE_UNDOCK_NAME (desativado)
Mas pode ser mais fácil simplesmente pegar um pedaço de papel da Microsoft dizendo para você não fazer isso.