IIS 中的 IUSR 用户与权限配置：最佳实践与常见误区

概述

在配置 IIS 网站时，正确理解与使用 IUSR 用户 以及为其设置正确权限至关重要。IUSR 用户通常用于提供匿名访问权限，允许没有登录的用户访问网站内容。然而，如何正确设置权限，尤其是在涉及文件上传或修改时，需要特别小心。本文将详细讨论 IUSR 的使用场景，并为你提供如何为 IIS 网站正确赋予权限的最佳实践。

IUSR 用户的角色

• IUSR 用户的作用：
  IUSR 是一个内置的、用于匿名访问的用户账号。在 IIS 中启用匿名访问时，IUSR 是匿名用户的身份标志。默认情况下，IIS 会使用 IUSR 用户来标识那些未登录的访问者。

• IUSR 和实际访问的用户身份：
  在现代 IIS 配置中，匿名身份通常由应用池的身份来处理，而不是 IUSR。默认情况下，IIS 使用应用池身份（ApplicationPoolIdentity）来读取文件。因此，实际访问文件的用户通常是应用池账户，而非 IUSR。

如何正确赋予权限？

一、匿名访问的基本权限

在正常情况下，IUSR 只需要以下 最小权限 来浏览网站内容：

这些权限足以让 IUSR 浏览网站的静态内容和运行一些基础的动态内容。重要的是，IUSR 不应该被赋予任何写入权限，这样可以避免潜在的安全风险。

二、文件上传或生成文件时的权限配置

当你的网站需要允许匿名用户上传文件（如头像、日志等），在这种情况下，不应直接为整个网站目录赋予写入权限。应该仅在特定的子目录（如 uploads 文件夹）中为应用池身份或 IIS_IUSRS 用户授予必要的权限。

最佳做法：

• 不要给整个网站目录赋予写权限，因为这可能会导致安全漏洞。

• 为特定子目录授予写权限，例如：

  • C:\inetpub\wwwroot\MySite\uploads （上传文件夹）

对于上传目录，应该为 应用池身份（如 IIS APPPOOL\YourAppPoolName）或 IIS_IUSRS 用户授予写权限。IUSR 用户并不是适合授予写权限的目标。

IIS 权限设置示例

以下是如何为上传目录授予正确权限的步骤和脚本：

PowerShell 脚本

$uploadPath = "C:\inetpub\wwwroot\MySite\uploads"
$appPoolName = "YourAppPoolName"  # 替换为你的应用池名
$user = "IIS APPPOOL\$appPoolName"

# 授予权限
icacls $uploadPath /grant "$user:(OI)(CI)(M)" /T

这个脚本会将写权限（Modify）授予指定的应用池账户，并递归应用到该目录下的所有文件和子目录。

icacls 命令行示例

icacls "C:\inetpub\wwwroot\MySite\uploads" /grant "IIS APPPOOL\YourAppPoolName:(OI)(CI)(M)" /T

使用 IIS_IUSRS 修改目录权限

最简便的方式给某个目录修改权限并使用 IIS_IUSRS 用户组，是通过 icacls 命令。IIS_IUSRS 是一个默认的组，包含了运行 IIS 应用池的所有用户。

命令格式

icacls "目录路径" /grant "IIS_IUSRS:(OI)(CI)(M)" /T

命令说明：

• "目录路径"：需要修改权限的目标目录（如 C:\inetpub\wwwroot\MySite\uploads）。

• IIS_IUSRS：授予权限的用户组，默认包含所有 IIS 应用池用户。

• (OI)：表示对象继承，应用到目录中的文件。

• (CI)：表示容器继承，应用到目录中的子目录。

• (M)：表示修改权限，包括读取、写入、删除、修改文件等权限。

• /T：递归地将权限应用到目录中的所有子文件和子目录。

示例：

若要为 C:\inetpub\wwwroot\MySite\uploads 目录授予 IIS_IUSRS 用户组修改权限：

icacls "C:\inetpub\wwwroot\MySite\uploads" /grant "IIS_IUSRS:(OI)(CI)(M)" /T

执行后的效果：

• IIS_IUSRS 用户组 将会获得该目录及其子文件夹的 修改权限，包括读取、写入、删除等操作。

注意事项与常见误区

1. IUSR 不直接访问文件系统

• IUSR 是匿名身份的标志，但在现代 IIS 配置中，实际访问文件的是 应用池身份。因此，赋予权限时，不应将 IUSR 作为目标用户。

• 最佳做法： 赋予应用池账户（如 IIS APPPOOL\YourAppPoolName）或 IIS_IUSRS 适当权限。

2. 避免授予写权限给整个网站目录

• 为了安全，不要为整个网站目录（如 wwwroot）授予写权限。仅为需要上传或修改内容的子目录（如 uploads）授予写权限。

• 最佳做法： 只为 uploads 或类似目录授予 Modify 权限。

3. 只授予“读取”权限是错误的

• IUSR 需要的权限不仅仅是**“读取（Read）”权限**，还应包括**“列出文件夹内容”和“读取和执行”**权限，以确保正常访问网站。

• 只赋予“读取”权限是错误的，因为它忽略了文件夹内容列出和脚本执行的需要。正确的权限应包括：

  • ✅ 读取（Read）

  • ✅ 列出文件夹内容（List Folder Contents）

  • ✅ 读取和执行（Read & Execute）

4. 避免删除 IUSR 用户

• 虽然 IUSR 是一个内置账户，不建议删除，因为它可能与 IIS 的匿名访问配置有关。如果你不打算使用它，可以禁用它，但不要删除。

结论

正确配置 IIS 网站的权限不仅能保证功能正常，还能提高安全性。尤其是在涉及匿名访问和文件上传时，确保只为必要的目录授予适当的写权限，并避免过度赋予权限给 IUSR 用户。最安全的做法是使用应用池身份来管理文件访问权限，确保只有正确的账户能够进行文件修改操作。

通过遵循本文的最佳实践，你可以有效减少潜在的安全风险，确保网站在安全、稳定的环境中运行。