?
This is from MS
------------------
虽然每个系统管理员可以根据各自的需求设置权限,但最好使用 Everyone 组,而不要
只使用 IUSR_MACHINE 帐户。实际上,如果只为 IUSR_MACHINE 帐户添加权限,ASP 和
ASP.NET 将无法运行。如果使用 Everyone 组,当 Web 站点对匿名用户和经过身份验
证的用户都有高、中或低的保护级别设置时,ASP 能够正常运行。
另外,如果只需要匿名访问,管理员可以创建 InternetGuests 本地组,然后将
IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到该组,将 Everyone 组替换为
InternetGuests 组。不过,Everyone 组包括 Users 组(对于经过身份验证的 Web 用
户)、IUSR_MACHINE 帐户(对于匿名 HTM 访问)、IWAM_MACHINE 帐户(对于匿名
ASP 功能)以及 ASPNET(对于 ASP.NET 功能)。
IIS 5.0 使用两个单独的帐户执行 Web 页。使用匿名身份验证时,IIS 使用
IUSR_MACHINE 帐户查看 Web 页。不过,IWAM_MACHINE 用于启动一个单独的进程,该
进程称为 Dllhost.exe,所有 Active Server Pages (ASP)、组件对象模型 (COM) 组
件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行。这样做的目的主
要是保持稳定。如果从 ASP 页调用的自定义 COM 组件崩溃(也即,导致访问冲突,从
而致使进程停止),它不会影响到 Inetinfo.exe,因此 Web 服务将继续运行。
IIS 4.0 中的两个保护级别如下:
默认:IIS 4.0 在进程内(也即 Inetinfo.exe 进程内)运行所有应用程序,该进程由
SYSTEM 帐户启动。查看 Web 页时,为 Web 页提供服务的特定线程在 IUSR_MACHINE
帐户的上下文中运行。HTM、ASP 和其他任何 ISAPI 扩展都在 Inetinfo.exe 进程内运
行。
在单独的内存空间运行(独立进程):这也称为进程外。它使用 IWAM_MACHINE 帐户生
成单独的 Mtx.exe 进程,用于运行 ASP 和其他 ISAPI 扩展。