名稱應用程式集區識別
GPOIIS
類別基本設定
描述▪ 這項原則設定決定所有應用程式集區的「識別」屬性內容
▪ 應用程式集區識別中所設定的帳號,是 IIS 實際執行工作者處理序「w3wp.exe」的帳號
▪ IIS 內建 ApplicationPoolIdentity 帳戶,並賦予最小權限,供應用程式集區使用,可避免應用程式遭受威脅時,因執行帳號權限過高而造成系統更大的危害,此外,亦可避免以往使用 Network Service 帳號執行時,因網站服務需求變更 Network Service 帳號權限後,導致其他同樣以 Network Service 帳號執行之應用程式獲得非必要的權限
▪ 預設應用程式集區(DefaultAppPool) 以最小權限的 ApplicationPoolIdentity 身分執行。即使每個集區都設定 ApplicationPoolIdentity 做為識別,IIS 會為不同集區建立不同的虛擬帳號做為對應,以達到應用程式集區獨立執行的效果
設定設定路徑: IIS 管理員\伺服器\應用程式集區\DefaultAppPool 與其他自行新增的應用程式集區\動作\編輯應用程式集區\進階設定\處理序模型\識別
GCB 設定值: ApplicationPoolIdentity