הבנת אימות אנונימי וחשבון IUSR

עודכן לאחרונה בתאריך 27 באפריל 2021
פתק

Dreamweaver UltraDev כבר לא נתמך, ומרכז התמיכה של Dreamweaver UltraDev כבר לא יעודכן באופן פעיל. הפונקציונליות הזמינה ב-Dreamweaver UltraDev זמינה ב-Dreamweaver, החל מ-Dreamweaver MX.

גישה אנונימית, שיטת בקרת הגישה הנפוצה ביותר לאתרי אינטרנט, מאפשרת לכל אחד לבקר באזורים הציבוריים של אתר אינטרנט תוך מניעת גישה של משתמשים לא מורשים לתכונות הניהוליות הקריטיות ולמידע הפרטי של שרת האינטרנט.אימות אנונימי מעניק למשתמשים גישה לאתר האינטרנט מבלי לבקש מהם שם משתמש או סיסמה.כאשר משתמש מנסה להתחבר לאתר אינטרנט ציבורי, שרת האינטרנט מקצה את המשתמש לחשבון המשתמש של Windows שנקרא IUSR_computername, כאשר computername הוא השם של השרת שעליו IIS פועל.

כברירת מחדל, החשבון IUSR_computername כלול בקבוצת המשתמשים Guests של Windows כש-IIS מותקן על השרת. לקבוצה הזאת יש הגבלות אבטחה, שנכפות על ידי הרשאות NTFS, שקובעות את רמת הגישה ואת סוג התוכן הזמין למשתמשי אינטרנט ציבוריים. אפשר לבצע שינויים בחשבון שמשמש לאימות אנונימי ב-Internet Service Manager ברמת שרת האינטרנט או עבור ספריות וירטואליות וקבצים בודדים. אפשר לשנות הרשאות אבטחה עבור החשבון IUSR_computername עם User Manager עבור Windows NT, ו-Local Users and Groups בקונסולת Computer Management עבור Windows 2000.

IIS משתמש בחשבון IUSR_computername בצורה הבאה:

החשבון IUSR_computername מתווסף לקבוצת Guests במחשב.
כשמתקבלת בקשת עמוד, IIS יחקה את החשבון IUSR_computername לפני הרצת קוד כלשהו או גישה לקבצים כלשהם. IIS מסוגל לחקות את החשבון IUSR_computername כי שם המשתמש והסיסמה עבור החשבון הזה ידועים ל-IIS.
לפני החזרת עמוד לדפדפן, IIS בודק הרשאות קבצים וספריות של NTFS כדי לראות אם החשבון IUSR_computername מורשה לגשת לקובץ.
אם הגישה מורשית, האימות מושלם והמשאבים הופכים זמינים למשתמש.
אם הגישה לא מורשית, IIS ינסה להשתמש בשיטת אימות אחרת. אם שום שיטה לא נבחרה, IIS מחזיר הודעת שגיאה "HTTP 403 Access Denied" לדפדפן.

הערה: החשבון האנונימי חייב לקבל הרשאה להתחבר באופן מקומי.אם לחשבון אין הרשאת Log On Locally, IIS לא יוכל לשרת בקשות אנונימיות כלשהן. התקנת IIS נותנת באופן ספציפי הרשאת Log On Locally לחשבון IUSR_computername. בנוסף, אם לחשבון המשתמש האנונימי אין הרשאה לגשת לקובץ או משאב ספציפי, שרת האינטרנט יסרב ליצור חיבור אנונימי למשאב הזה.

מידע נוסף

למידע מפורט יותר על אימות אנונימי ועל חשבון IUSR, עיינו בתיעוד הטכני של IIS. אם IIS מותקן, תוכלו לצפות בתיעוד המוצר על ידי הקלדת http://localhost/iisHelp/ בסרגל הכתובות של הדפדפן ולחיצה על Enter.

למידע נוסף, עיינו בהגדרת הרשאות שרת ה-web של IIS.

למידע מצוין על בעיות אבטחה עם IIS, עיינו במרכז הבטיחות והאבטחה של Microsoft.