Estou executando o IIS 8.5 com PHP (várias versões) via FastCGI. A representação está ativada na configuração do PHP para FastCGI. O pool de aplicativos está configurado para usar a identidade do pool de aplicativos. Na verdade, se eu realmente negar especificamente o acesso para gravar em um arquivo, ele se comportará de acordo, no entanto, por padrão, parece que todos os arquivos são graváveis em meu site.
A exibição de permissões efetivas diz que minha Identidade do Pool de Aplicativos (IIS AppPool \ PoolName) não deve ter permissões atribuídas. Existe alguma conta padrão que a Identidade do Pool de Aplicativos herda de que preciso ajustar para impedir o acesso de gravação por padrão. Tudo que eu li parecia indicar que a Identidade do Pool de Aplicativos deve usar apenas o acesso de leitura à pasta virtual à qual o aplicativo está atribuído, mas isso não corresponde ao comportamento observado (especificamente, o PHPBB3 reclama que o arquivo de configuração é gravável e sem especificamente definindo o acesso de gravação, eu posso fazer upload de arquivos através do fórum).
O que poderia estar interferindo nas permissões ou meu entendimento do comportamento padrão pretendido está incorreto?
Eu fiz mais algumas pesquisas e finalmente consegui uma resposta para isso. Parece que há uma configuração que foi aplicada que tornou os arquivos modificáveis para "Usuários autenticados". Quebrar a herança e remover essa permissão resolveu o problema.
Aparentemente, ele está incluído no grupo Usuários, bem como no grupo Usuários autenticados, para garantir que tenha acesso ao carregamento de dlls e outros. Eu encontrei esta resposta no SO que foi muito útil para entender isso.
Tags permissions php fastcgi iis-8.5 phpbb