Dans IIS 7.0, quelle est la différence entre l'identité du pool d'applications et l'identité du site Web?

Dans IIS 5.0, par défaut, le compte d'identité d'un pool d'applications est ASPNET et le site Web, sauf si l'emprunt d'identité est activé, s'exécute sous le compte de l'identité de son pool d'applications.

Mais dans IIS 7.0, il y a deux endroits où je peux configurer le compte que mon site Web utilisera. Au niveau du pool d'applications et au niveau du site Web.

Je m'attendais à ce que l'identité du site Web écrase l'identité du pool d'applications, mais je viens de voir que ce n'est pas le cas.

Alors, quelle est la différence?

Les deux comptes sont des choses différentes. Pensez à l'identité du site Web représentant l'utilisateur du site. Si vous créez un nouveau site Web, ce compte est le compte IIS anonyme. Si vous désactivez "Authentification anonyme", vos utilisateurs devront s'authentifier auprès du site Web (dans un site de domaine intranet / Windows, cela pourrait être implicite en utilisant les informations d'identification réseau.)

L'identité du pool d'applications est le compte Windows requis pour exécuter vos assemblys. Normalement, c'est le " Service réseau compte " " qui est le compte le moins privilégié avec des droits et autorisations utilisateur limités. Il possède des informations d'identification réseau. Cela signifie que vous pouvez l'utiliser pour vous authentifier auprès des ressources réseau d'un domaine. Vous pouvez également l'utiliser pour accéder à une base de données SQL Server avec une sécurité intégrée.

Par exemple, si votre application ASP.NET doit écrire dans un dossier, vous devez accorder l'autorisation au compte du pool d'applications, pas au compte de site Web. Pour plus d'informations sur les identités du pool d'applications, lisez ici .

Remarque: Dans IIS 7, il existe un moyen d'utiliser le même compte de l'identité du pool d'applications pour le compte de site Web anonyme: