什么是 Network Service?
问:在 IIS 6 中,Web 应用程序的工作进程设置为以进程标识“Network Service”运行。在 IIS 5 中,进程外 Web 应用程序则设置为以 IWAM_<服务器名> 帐户运行,这个帐户是普通的本地用户帐户。可否提供有关这个新帐户的信息,它对于安全性以及管理来说很重要吗?
答:Network Service 是 Windows Server 2003 中的内置帐户。您说得很对,了解 IIS 5 上的本地用户帐户(IUSR 和 IWAM)与这个内置帐户之间的区别是非常重要的。为了理解这一点,您应该知道,Windows 操作系统中的所有帐户都分配了一个 SID(安全标识,Security ID)。服务器是根据 SID,而不是与 SID 相关的名称来识别服务器上所有帐户的,而你我在与用户界面进行交互时,则是使用名称进行交互的。服务器上创建的绝大部分帐户都是本地帐户,都具有一个唯一的 SID,用于标识此帐户隶属于该服务器用户数据库的成员。由于 SID 只是相对于服务器是唯一的,因此它在任何其他系统上无效。所以,如果您为本地帐户分配了针对某文件或文件夹的 NTFS 权限,然后将该文件及其权限复制到另一台计算机上时,目标计算机上并没有针对这个迁移 SID 的用户帐户,即使其上有一个同名帐户也是如此。这使得包含 NTFS 权限的内容复制可能出现问题。
内置帐户是由操作系统创建的、一类较为特别的帐户或组,例如 System 帐户、Network Service 和 Everyone 组。这些对象的重要特征之一就是,它们在所有系统上都拥有一个相同的、众所周知的 SID。当将分配了 NTFS 权限的文件复制到内置帐户时,权限在服务器之间是有效的,因为内置帐户的 SID 在所有服务器上都是相同的。Windows Server 2003 服务中的 Network Service 帐户是特别设计的,专用于为应用程序提供访问网络的足够权限,而且在 IIS 6 中,无需提升权限即可运行 Web 应用程序。这对于 IIS 安全性来说,是一个特大的消息,因为不存在缓冲溢出,怀有恶意的应用程序无法破译进程标识,或是对应用程序的攻击不能进入 System 用户环境。更为重要的一点是,再也不能形成针对 System 帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。
Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的应用。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)权限。如同 ASPNET 用户为了运行 ASP.net 应用程序,需要具有 IIS 5 服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。
为了管理的方便,在安装 IIS 6 时创建了 IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group),而且它的成员包括 Local System(本地系统)、Local Service(本地服务)、Network Service(网络服务)和 IWAM 帐户。IIS_WPG 的成员具有适当的 NTFS 权限和必要的用户权限,可以充当 IIS 6 中工作进程的进程标识。以下位置具有指派给 IIS_WPG 的权限:
•%windir%/help/iishelp/common – 读取
•%windir%/IIS Temporary Compressed Files – 列出、读取、写入
•%windir%/system32/inetsrv/ASP Compiled Template – 读取
•Inetpub/wwwroot(或内容目录)- 读取、执行
另外,IIS_WPG 还具有以下用户权限: •忽略遍历检查(SeChangeNotifyPrivilege)
•作为批处理作业登录(SeBatchLogonRight)
•从网络访问此计算机(SeNetworkLogonRight)
因此,Network Service 帐户提供了访问上述位置的权限,具有充当 IIS 6 工作进程的进程标识的充足权限,以及具有访问网络的权限。
什么是 Network Service?相关推荐
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“的写访问权限。
当前标识(NT AUTHORITY\NETWORK SERVICE)没有对"C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary A ...
- 用户'NT AUTHORITY\NETWORK SERVICE' 登录失败
当连接sql server使用信任连接时就会出这个错误,在Windows XP当中,ASP.NET的运行帐号是ASPNET,而在Windows server 2003当中,运行帐号则改为了Networ ...
- centos重启网络失败Job for network.service failed,ping不通网络
遇到的问题 执行systemctl restart network时报错 Restarting network (via systemctl): Job for network.service fai ...
- 问题解决笔记,Restarting network (via systemctl):: Job for network.service failed. ...
问题解决笔记,Restarting network (via systemctl):: Job for network.service failed. ... 参考文章: (1)问题解决笔记,Rest ...
- windows2003中mssql连接的NT AUTHORITY\NETWORK SERVICE登录失败的问题
正在开发的系统突然连不上数据库,报出如题的错误,记得曾经遇到过,但忘了如何解决,后来找了半天才找到问题 原因是: 同SQL数据库无法建立信任连接.在win2000中,IIS进程中验证的用户名是aspn ...
- Job for network.service failed because the control process exited with error code问题
最小化安装了centos7 当配置静态ip的时候,执行 重启网卡的命令 systemctl restart network 但是报了 Job for network.service failed be ...
- 当前标识(NT AUTHORITY\NETWORK SERVICE)没有对“C:\WINDOWS\Microsoft.NET\Frame 的写访
当前标识(NT AUTHORITY\NETWORK SERVICE)没有对"C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary A ...
- Network Service 权限问题
今天在做asp.net的定时删除服务器上的文件时,出了错误,在本地测试都好着呢,可是一部署到服务器上,删除文件的那个方法就不执行,后来在网站查了是Network Service权限设置问题,Netwo ...
- Centos7 虚拟机复制后网卡问题 Job for network.service failed
在运行"/etc/init.d/network restart"命令时,出现错误"Job for network.service failed. See 'systemc ...
- 用户 NT AUTHORITY\NETWORK SERVICE 登录失败解决方法
首次使用SQL Server 2008在Vista旗舰版下进行ASP.NET开发就遇到了不少令人困惑的问题,其中之一就是"用户 NT AUTHORITY\NETWORK SERVICE登陆失 ...
最新文章
- 18个Java8日期处理的实践,太有用了!
- linux下查找文件及内容 grep
- maven 设置打包路径为模块_4、Jenkins持续集成之maven编译
- 精彩回顾|2021 中国 .NET 开发者峰会
- Spark初识-弹性分布式数据集RDD
- [SharePoint]如何防止从代码跳到“拒绝访问”页面
- 12muduo_base库源码分析(三)
- 用JNDI连接数据库
- 服务器存储技术千人群为:39472354
- Python之 多重循环
- 三菱梯形图转换c语言软件,三菱PLC编程软件的梯形图程序的生成与编辑
- windows下命令行格式化U盘
- md文件的简洁打开方式
- 超级马里奥代码_任天堂源代码泄露,引出《超级马里奥64》隐藏24年的角色
- 模拟丢包、慢网速的测试工具
- java设置小数点格式_java指定小数点后位数格式
- 苏州优步车主之家司机端下载
- 基于卷积神经网络的人脸表情识别应用--AR川剧变脸(一)
- 论文主要要点记录《Rethinking BiSeNet For Real-time Semantic Segmentation》
- Linux中修改ip地址,并且设置静态的ip