試圖了解 IIS 權限

我試圖了解 IIS 權限是如何工作的，因為我今天遇到了一個奇怪的場景。

因此，其中一位開發人員在伺服器上安裝了 IIS 10，並在 C:\WebSites\Site1 下創建了一個站點

現在，該特定站點也在將一些 txt 日誌文件寫入 C:\Site1-Logs。

Site1 的應用程序池作為“ApplicationPoolIdentity”執行。

從理論上講，執行站點的使用者（IIS AppPool\Site1）應該有權在 C:\Site1-Logs 目錄下寫入/創建 txt 文件，而無需手動設置權限？

因為我在安全選項卡下找不到任何與 IIS_USRS 組或“IIS AppPool\Site1”使用者相關的內容。

當我嘗試將寫入的日誌移動到另一個分區 (E:) 時，我必須向“IIS AppPool\Site1”授予寫入權限，我實際上可以在“安全”選項卡下看到該權限。

所以也許我錯過了什麼？預設情況下，IIS 安裝為系統服務，並且他已經授予寫入 C: 的權限？

在安全性方面有最佳實踐嗎？可以在 C: 下執行 Web 應用程序嗎？

感謝並抱歉解釋不好：P

icacls C:\Site1-Logs
C:\Site1-Logs        NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                        BUILTIN\Administrators:(I)(OI)(CI)(F)
                        BUILTIN\Users:(I)(OI)(CI)(RX)
                        BUILTIN\Users:(I)(CI)(AD)
                        BUILTIN\Users:(I)(CI)(WD)
                        CREATOR OWNER:(I)(OI)(CI)(IO)(F)

該組對您的目錄BUILTIN\Users具有寫入權限。C:\Site1-Logs

使用者IIS AppPool\Site1自動成為該Users組的成員，因為這是 Windows 下的一個特殊組。

這就是您的網站具有寫入權限的原因。

您不能從中刪除IIS AppPool\Site1，users但可以users從目錄中刪除組的權限。

引用自：https://serverfault.com/questions/1089034