解析:
Neork Service 是 Windows Server 2003 中的內置帳戶。Windows 操作系統中的所有帳戶都分配了壹個 SID(安全標識,Security ID)。服務器是根據 SID,而不是與 SID 相關的名稱來識別服務器上所有帳戶的,而妳我在與用戶界面進行交互時,則是使用名稱進行交互的。服務器上創建的絕大部分帳戶都是本地帳戶,都具有壹個唯壹的 SID,用於標識此帳戶隸屬於該服務器用戶數據庫的成員。由於 SID 只是相對於服務器是唯壹的,因此它在任何其他系統上無效。所以,如果您為本地帳戶分配了針對某文件或文件夾的 NTFS 權限,然後將該文件及其權限復制到另壹臺計算機上時,目標計算機上並沒有針對這個遷移 SID 的用戶帳戶,即使其上有壹個同名帳戶也是如此。這使得包含 NTFS 權限的內容復制可能出現問題。
內置帳戶是由操作系統創建的、壹類較為特別的帳戶或組,例如 System 帳戶、Neork Service 和 Everyone 組。這些對象的重要特征之壹就是,它們在所有系統上都擁有壹個相同的、眾所周知的 SID。當將分配了 NTFS 權限的文件復制到內置帳戶時,權限在服務器之間是有效的,因為內置帳戶的 SID 在所有服務器上都是相同的。Windows Server 2003 服務中的 Neork Service 帳戶是特別設計的,專用於為應用程序提供訪問網絡的足夠權限,而且在 IIS 6 中,無需提升權限即可運行 Web 應用程序。這對於 IIS 安全性來說,是壹個特大的消息,因為不存在緩沖溢出,懷有惡意的應用程序無法破譯進程標識,或是對應用程序的攻擊不能進入 System 用戶環境。更為重要的壹點是,再也不能形成針對 System 帳戶的“後門”,例如,再也無法通過 InProcessIsapiApps 元數據庫項利用加載到 Iinfo 的應用程序。
Neork Service 帳戶在創建時不僅僅考慮了在 IIS 6 中的應用。它還具有進程標識 W3WP.exe 的絕大部分(並不是全部)權限。如同 ASPNET 用戶為了運行 ASP 應用程序,需要具有 IIS 5 服務器上某些位置的訪問權限,進程標識 W3WP.exe 也需要具有類似位置的訪問權限,而且還需要壹些默認情況下沒有指派給內置組的權限。
為了管理的方便,在安裝 IIS 6 時創建了 IIS_WPG 組(也稱為 IIS 工作進程組,IIS Worker Process Group),而且它的成員包括 Local System(本地系統)、Local Service(本地服務)、Neork Service(網絡服務)和 IWAM 帳戶。IIS_WPG 的成員具有適當的 NTFS 權限和必要的用戶權限,可以充當 IIS 6 中工作進程的進程標識。以下位置具有指派給 IIS_WPG 的權限:
%windir%\help\iishelp\mon – 讀取? %windir%\IIS Temporary Compressed Files – 列出、讀取、寫入
? %windir%\system32\isrv\ASP Compiled Template – 讀取
? Ipub\root(或內容目錄)- 讀取、執行
另外,IIS_WPG 還具有以下用戶權限:
? 忽略遍歷檢查(SeChangeNotifyPrivilege)
? 作為批處理作業登錄(SeBatchLogonRight)
? 從網絡訪問此計算機(SeNeorkLogonRight)
因此,Neork Service 帳戶提供了訪問上述位置的權限,具有充當 IIS 6 工作進程的進程標識的充足權限,以及具有訪問網絡的權限。
更詳細請登陸微軟網站:microsoft/china/tech/munity/columns/insider/iisi1203.mspx