IIS安全性：关于自定义用户的验证权限

来源：北大青鸟飞迅校区|发布时间：2013-04-23 15:59:47

　　为了保证ASP.NET应用程序运行的安全性,最安全的一个方法是定义一个权限有限的自定义用户,然后对IIS进行配置,使之能够在执行ASP.NET应用程序的时候,能够作为自定义用户运行,来确保访问ASP.NET应用程序的每一个用户都只具有管理员希望具有的权限。

　　1.首先是打开“控制面板→用户和密码”，然后要增加一个新的用户，我们命名为dotNet,并为其设置一个密码，然后将其添加到Guests组中。同时在“高级”选项卡中，选择“高级”，修改该用户的属性，选择“用户不能更改密码”和“密码永不过期”，这样将生成一个权限有限的用户。

　　2.打开“控制面板→管理工具→Internet服务管理器”，在左边的树形上选择要修改的ASP.NET应用程序，单击鼠标右键，从菜单中选择“属性”命令，然后选择“目录安全性”选项卡，选择“匿名访问和验证控制”中的“编辑”按钮，弹出“身份验证方法”对话框，选中“匿名访问”复选框后，在“匿名访问使用的帐号”填入刚才新增的帐号，并取消“允许IIS控制密码”复选框。单击“确定”按钮以后，IIS将在一个规定了权限的自定义帐户下运行。访问者访问在配置了IIS安全性的ASP.NET应用程序的网页时，都将以指定的自定义用户身份运行，且只具有该自定义用户的验证权限。