修改iis应用程序池标识添加系统用户

I. XP IIS5.1环境下一、将访问IIS的用户账户设置为“IW AM_主机名”。

二、将“IUSER_主机名”和“IWAM_主机名”加入Administrators用户组。

三、重新启动计算机。

一、将访问IIS的用户账户设置为“IWAM_主机名”。

1. 右击“我的电脑”→“管理”，打开“计算机管理”2. 右击“默认网站”→“属性”，打开默认网站属性3. 选择“目录安全性”选项卡下的“编辑”按钮，打开身份验证。

4. 点击“浏览”，打开“选择用户”界面5. 点击“高级”按钮6. 点击“立即查找”7. 选中以“IW AM_主机名”用户，单击“确定”。

8. 该对话框关闭后，依次点击“确定”关闭所有打开的对话框。

二、将“IUSER_主机名”和“IWAM_主机名”加入Administrators用户组。

1. 右击“我的电脑” “管理”，打开“计算机管理”2. 点击“用户”文件夹图标3.右击“IUSR_主机名” “属性”4. 选择“隶属于”选项卡，并选中“guests”5.单击“删除”，此时“隶属于”框内显示为空。

6. 点击“添加”按钮7. 手动输入“Administrators”，点击“确定”8. 确保出现以下界面后，依次点击“确定”退出设置。

9. 对“IW AM_主机名”用户重复以上设置，确保出现以下界面。

三、重新启动计算机。

I. 2003 IIS6.0环境下一、启用父路径二、允许Active Server Pages三、将“IUSER_主机名”和“IWAM_主机名”加入Administrators用户组。

四、将“用户预定义账户”设为“本地系统”。

五、重启计算机一、参考XP IIS5.1的第二大步，将“IUSER_主机名”和“IWAM_主机名”加入Administrators用户组。

二、将“用户预定义账户”设为“本地系统”，详细如下(有一些03的系统没有DefaultAppPool，此项可以忽略)。

1、右击“我的电脑”，打开“计算机管理”。

IIS安全权限设置-电脑资料系统用户情况为：administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名匿名访问web用户iwam_服务器名启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组■盘符安全访问权限△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘(如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.■目录安全访问权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrator s(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe△些文件都设置成 administrators 完全控制权限■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建wwwroot目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲根目录里新建logfiles目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建database目录▲数据库目录、用来存放ACCESS数据库△administrators(组) 完全控制权限▲根目录里新建others目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnn sc_org(用户)完全控制权限▲在FTP(登陆消息文件里填)IIS日志说明：〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓欢迎您使用本虚拟主机.请使用CUTEFTP或者LEAFTP等软件上传您的网页.注意、如果上传不了、请把FTP软件的PASV模式关掉再试.您登陆进去的根目录为FTP根目录\--wwwroot网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放ACCESS数据库.\--others 用于存放您的其它文件，该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、类网站、大型论坛、软件下载等耗费系统资源的程序.IIS日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的Internet服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的IP地址\--cs-method客户端企图执行的动作(例如GET方法)\--cs-uri-stem被访问的资源、例如Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端IP地址\--cs(User-Agent) 客户所用的浏览器\--sc-status用HTTP或者FTP术语所描述的动作状态\--sc-win32-status用Microsoft Windows的术语所描述的动作状态〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓■禁止下载Access数据库△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.mdb▲如果你还想禁止下载其它的东东△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.(改成你要禁止的文件名)▲然后删除扩展名：shtml stm shtm cdx idc cer■防止列出用户组和系统进程:△开始→程序→管理工具→服务△找到 Workstation 停止它、禁用它■卸载最不安全的组件：△开始→运行→cmd→回车键▲cmd里输入：△regsvr32/u C:\WINDOWS\system32\wshom.ocx△del C:\WINDOWS\system32\wshom.ocx△regsvr32/u C:\WINDOWS\system32\shell32.dll△del C:\WINDOWS\system32\shell32.dll△也可以设置为禁止guests用户组访问■解除FSO上传程序小于200k限制：△在服务里关闭IIS admin service服务△打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml△找到ASPMaxRequestEntityAllowed△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务■禁用IPC连接△开始→运行→regedit△找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a)中的(restrictanonymous)子键△将其值改为1即■清空远程可访问的注册表路径：△开始→运行→gpedit.msc△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”△在右侧窗口中找到“网络访问：可远程访问的注册表路径”△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即■关闭不必要的服务△开始→程序→管理工具→服务△Telnet、TCP\IP NetBIOS Helper■解决终端服务许可证过期的办法△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权服务△我的电脑--右键属性--远程---远程桌面、打勾、应用△重启服务器、OK了、再也不会提示过期了■取消关机原因提示△开始→运行→gpedit.msc△打开组策略编辑器、依次展开△计算机配置→管理模板→系统△双击右侧窗口出现的(显示“关闭事件跟踪程序”)△将(未配置)改为(已禁用)即可。

Wind ows2008 R2下配置IIS（）1. 先要设置应用程序池(ApplicationPool) 为 AppPool，而不是默认的DefaultAppPool，可以在网站目录里对每个站点设置，也可以在站点进行单独设置。

控制面板--系统和维护--管理工具--Internet信息服务（IIS）管理器，打开IIS管理器。

选中左侧的默认网站，单击右侧的高级设置，将应用程序池设置为AppPool，如图1；图 12. 选中左侧的“应用程序池”，选中“AppPool”，单击右侧的高级设置，将标识改为localSystem或NetworkService，如图2；图23. 选中默认网站，点击右侧的基本设置，点击“连接为”，选择“特定用户”，点击设置，输入系统用户名密码，如图3。

这里必须用操作系统的登录名和密码，不然无权访问硬盘分区；息服务(IIS)管理器后，选择默认网站，双击主界面IIS栏目下“身份验证”配置项，如图4。

安装IIS时增加的几个身份验证，需要在要调试的站点上启用。

注意：是要调试的站点，而不是要调试的应用程序目录！图 45. 然后，控制面板--> 管理工具-->Internet 信息服务(IIS)管理器-->应用程序池，选中对应的IIS 应用程序池中，单击右侧“设置应用程序池默认属性”/“常规”/"启用32位应用程序"，设置为true，如下图，这里设置很重要；图 56. 让同一局域网里面的人也能访问自己的电脑上的网站。

（1）依次选择：开始-->控制面板-->系统和维护-->管理工具-->高级安全Windows 防火墙，如下图，双击打开如图6；图 6（2）在高级安全Windows 防火墙的左边栏，选择“入站规则”，在右边栏选择“新建规则”，如图7；图7（3）在弹出的窗口依次选择：选中端口（如图8）-->下一步-->选中TCP以及特定本地端口，填入要开放的端口号（如图9）-->下一步-->选中允许连接（如图10）-->下一步-->选中所有选项(如图11)-->下一步-->填入名称（这里填入IIS，如图12）-->完成。

在IIS下新建虚拟目录sss，并对其进行相干的配置如下（图）：
说明：
新建应用程序名sss，设置如下：
1)配置计算机用户组：
右击桌面我的电脑，选择“管理”，双击打开的“计算机管理”对话框中的“本地用户和组”下的“组” 在右边的窗口中双击“Remote Desktop Users”组，在打开的
“Remote Desktop Users”属性对话框中单击添加，在打开的“添加用户”对话框中单击“高级”，再单击“立即查找”按钮，在“搜索”结果中双击ASPNET再点击完成添加“用户” ：
2)配置SQL登录用户：
单击“开始”--“所有程序”--“Microsoft SQL Server”--“企业管理器”在打开的“控制台根目录” 选择相应的数据库，右击该数据库的中的“用户”，选择“新建数据库用户”。

在“新建用户”对话框中点击“登陆名”右侧的下拉列表框，选择“新建”，打开“新建登陆对话框”。

点击名称右侧的省略号按钮，在打开的对话框中将“列出的名称”中选择“本机的名称”，再在下面的名称框中选定“Remote Desktop Users”，然后点击“成员”按钮，双击 ASPNET，然后点击确定，在“新建登陆对话框”
中的默认设置的“数据库”选项中选择相应的数据库名称，再在“数据库访问”选项下勾选相应的数据库点击确定，完成将默认的匿名用户添加到SQL
3)设置该用户的权限为db_owner：
4)完成基本设置。

可以在IIS下预览了～～～。

教你如何设置IIS应用程序池什么是应用程序池呢？这是微软的一个全新概念：应用程序池是将一个或多个应用程序链接到一个或多个工作进程集合的配置。

因为应用程序池中的应用程序与其他应用程序被工作进程边界分隔，所以某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。

Windows 2003同时支持两种工作模式，默认为ISS 6.0工作进程隔离模式。

工作进程隔离模式防止一个应用程序或站点停止了而影响另一个应用程序或站点，大大增强了IIS的可靠性。

那么如何设置两种工作模式呢？启动IIS管理器，右击网站，选择“属性”，打开属性对话框（图1）。

在IIS 6.0工作进程隔离模式下，所有的应用程序代码都在隔离环境中运行，它们是如何进行隔离的呢？Windows 2003新增了应用程序池，工作进程隔离模式允许客户创建多个应用程序池，每个应用程序池都可以有不同的配置。

因为这些应用程序池直接从内核（而非WWW服务）接收它们的请求，所以性能和可靠性得到了增强。

要隔离运行在同一台计算机上但属于不同网站的Web应用程序，需要为每个网站创建单独的应用程序池。

创建应用程序池在IIS管理器中，打开本地计算机，右键单击“应用程序池”，选择新建“应用程序池” （必须在工作进程隔离模式下才能建立应用程序池）。

“应用程序池名称”框中，输入新的应用程序池名称。

如果在“应用程序池ID”框中出现的 ID （如：AppPool #1）不是您想要的，可进行重命名。

如果您单击了“将现有应用程序池作为模板”，请在“应用程序池名称”框中右键单击想要用来作为模板的应用程序池。

最后单击[确定]。

指派应用程序池在 IIS 管理器中，右键单击您要为其指派应用程序池的应用程序，然后单击“属性”。

单击“主目录”选项卡，确认您正在指派的目录或虚拟目录的“应用程序名”是否已被填写。

如果“应用程序名”框尚未被填写，请单击“创建”，然后输入名称。

在“应用程序池”列表框中，选择您想要为其指派的应用程序池的名称。

IIS应用程序池设置指南(佳人减肥网推荐)通过回收应用程序池设置，可以控制如何恢复系统资源。

以下几节介绍如何指定回收应用程序池设置。

指定回收应用程序池设置回收应用程序池设置是在应用程序池的属性对话框的“回收”选项卡中指定的。

设置回收应用程序池设置打开 IIS 管理控制台，单击加号展开本地计算机。

单击加号展开“应用程序池”文件夹。

右击适当的应用程序池，然后单击“属性”。

出现应用程序池的属性对话框。

单击“回收”选项卡，然后设置适当的应用程序池设置。

应用程序池“属性”对话框的“回收”选项卡内存回收“内存回收”是等效于memoryLimit 进程模型设置的应用程序池设置。

它指定辅助进程可以使用的最大内存量。

如果辅助进程超出了这一数量，将创建新的进程来替换它，并且当前所有请求都被重新分配给该新进程。

在memoryLimit 进程模型设置与“内存回收”应用程序池设置之间有两个重要的区别：memoryLimit 进程模型设置只使用物理内存。

“内存回收”应用程序池设置允许您为物理内存和虚拟内存分别指定限制。

由于公共语言运行库的垃圾回收器工作的方式，物理内存（或物理内存和虚拟内存的组合）常用于 应用程序。

虚拟内存常用于将堆划分为多个片断的传统本机应用程序。

“内存回收”应用程序池设置是按兆字节 (MB) 指定的，而不是按相对于总内存的百分比指定的。

回收辅助进程“回收辅助进程”是等效于requestLimit 进程模型设置的应用程序池设置。

它指定导致辅助进程或应用程序池被回收的请求的数目。

默认情况下“回收辅助进程”是禁用的。

若要启用“回收辅助进程”，请选取该复选框并在数值调节框中指定请求数。

回收多个辅助进程“回收多个辅助进程”是等效于timeout 进程模型设置的应用程序池设置。

它指定回收辅助进程或应用程序池的时间间隔。

默认情况下“回收多个辅助进程”是启用的而且设置为 120 分钟。

通过更改数值调节框中的值，可以指定一个不同的时间间隔。

IIS应⽤程序池配置详解及优化参数说明1.常规属性名称属性详解NET CLR 版本配置应⽤程序池，以加载特定版本的 .NET CLR。

选定的 CLR版本应与应⽤程序所使⽤的相应版本的 .NET Framework 对应。

选择“⽆托管代码”将导致所有的 请求失败。

队列长度HTTP.sys 将针对应⽤程序池排队的最⼤请求数。

如果队列已满，新请求将收到 503“服务不可⽤”的响应。

默认队列长度设置是1000，范围在10-65535 之间。

名称应⽤程序池名称是应⽤程序池的唯⼀标识符。

启动模式将应⽤程序池配置为在按需运⾏模式或始终运⾏模式下运⾏。

启⽤ 32 位应⽤程序如果针对 64 位操作系统上的应⽤程序池将该属性设为 True,则为应⽤程序池提供服务的⼯作进程将处于 WOW64 （Windows on Windows64）模式。

WOW64模式下的进程是仅加载 32 位应⽤程序的 32 位进程。

托管管道模式将 配置成作为 ISAPI 扩展并以经典模式来运⾏。

在后⼀种情况下，托管代码集成到请求处理管道中。

Classic模式：指的是与IIS 6或者之前版本保持兼容的⼀种模式，⼀个典型问题就是，在处理这种动态⽹站的时候，它是通过⼀个所谓的ISAPI程序，作为插件的⽅式来⼯作的。

针对不同的动态应⽤程序（例如ASP,PHP等），会需要不同的ISAPI。

Integrated模式：这种全新的模式，允许我们将更好地与IIS集成，甚⾄允许我们在中编写⼀些功能（例如Module）来改变IIS的⾏为（扩展）。

集成的好处是，不再通过ISAPI的⽅式，提⾼了速度和稳定性。

⾄于扩展，则可以使得我们对于IIS，以及其他类型的请求有更多的控制。

2.CUP属性名称属性详解处理器关联掩码强制此应⽤程序池的⼯作进程在特定 CPU 上运⾏的⼗六进制掩码。

如果启⽤了处理器关联，则值 0 将导致错误。

处理器关联掩码（64位选项）为64位计算机制定强制此应⽤程序池的⼯作进程在特定 CPU 上运⾏的⾼顺序 DWORD ⼗六进制掩码。

IIS7.5中神秘的应⽤程序池标识解析（程序池账户）IIS7.5中(仅win7,win2008 SP2,win2008 R2⽀持)，应⽤程序池的运⾏帐号，除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外，还新增了⼀种ApplicationPoolIdentifywin7的官⽅帮助上是这么说的:ApplicationPoolIdentity – 默认情况下，选择“应⽤程序池标识”帐户。

启动应⽤程序池时动态创建“应⽤程序池标识”帐户，因此，此帐户对于您的应⽤程序来说是最安全的。

也就是说"ApplicationPoolIdentity"帐号是系统动态创建的“虚拟”帐号(说它是虚拟的，是因为在⽤户管理⾥看不到该⽤户或⽤户组，在命令⾏下输⼊net user也⽆法显⽰，但该帐号⼜是确实存在的)如何验证该帐号确实是存在的的？打开任务管理器，观察⼀下:w3wp.exe即iis进程，上图中⾼亮部分表明该iis进程正在以帐号luckty运⾏(注意这⾥的luckty即为上图中的应⽤程序池名称)好了，搞清楚这个有什么⽤?先来做⼀个测试，⽐如我们在iis⾥新建⼀个站点，主⽬录设置为c:\2\，应⽤程序池就指定刚才图中的luckty假如我们在该站点的default.aspx.cs⾥写⼊这样⼀⾏代码 :File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());前提是c盘必须先建⼀个⽬录TestDir，同时除Administrator,System保留完全控制权外，其它帐号的权限都删除掉运⾏后，会提⽰异常：对路径“C:\TestDir\1.txt”的访问被拒绝。

原因很明显:该站点运⾏时是以应⽤程序池(luckty)对应的虚拟帐号运⾏的，⽽这个虚拟帐号不具备c:\TestDir的访问权限这种情况在web服务器（iis6）安全配置中很常见，⽐如我们把图⽚上传⽬录，常常放在主⽬录之外，同时以虚拟⽬录形式挂于站点之下，另外在IIS6中不指定该⽬录任何执⾏权限，这样即使有⼈⾮法上传了asp/aspx⽊马上去，也⽆法运⾏搞不成破坏!⾔归正传，要想让那⼀⾏测试代码正常运⾏，解决办法很简单，把虚拟帐号的权限加⼊⽂件夹安全权限中即可，但是问题来了：这个虚拟帐号我们是不可见的，如果你直接添加名为luckty的⽤户到⽂件夹安全帐号⾥，根本通不过(提⽰找不到luckty ⽤户)，说明这个虚拟帐号名称并不是"luckty"关键：⼿动输⼊ IIS AppPool\luckty （即IIS AppPool\应⽤程序池名），再确定，这回ok了.当然除了⽤"IIS AppPool\应⽤程序池名"外，windows内部还有⼀个特殊的⽤户组Authenticated Users，把这个组加⼊TestDir 的安全权限帐号⾥也可以，不过个⼈觉得没有"IIS AppPool\应⽤程序池名"来得精确.结束语：IIS7.5的虚拟帐号设计确实很棒，想想传统IIS6的时候，为了把同⼀服务器上的各站点权限分开(以防⽌⽊马捣乱)，不得不创建⼀堆iuser_XXX,iwam_XXX帐号并指定密码，再⼀个个站点分配过去，累死⼈！⽽虚拟帐号设计则让这类管理轻松多了，也不⽤担⼼密码过于简单或过期问题。

∙打开IIS 管理器。

有关如何打开IIS 管理器的信息，请参阅打开IIS 管理器(IIS 7)。

∙在“连接”窗格中，展开服务器节点，然后单击“应用程序池”。

∙在“应用程序池”页中，选择要为其指定标识的应用程序池，然后单击“操作”窗格中的“高级设置”。

∙对于“标识”属性，单击...按钮以打开“应用程序池标识”对话框。

∙如果您要使用内置帐户，请选中“内置帐户”选项，然后从列表中选择一个帐户。

∙如果要使用自定义标识，请选中“自定义帐户”选项，然后单击“设置”以打开“设置凭据”对话框。

接着，在“用户名”文本框中键入自定义帐户名，在“密码”文本框中键入密码，在“确认密码”文本框中重新键入密码，然后单击“确定”。

∙单击“确定”关闭“应用程序池标识”对话框。

如果出现以下错误：应用程序池×××的标识无效。

可能是为标识指定的用户名或密码不正确，或者用户不具有批登录权限。

如果不更正标识，则当应用程序池接收到它的第一个请求时，应用程序池将被禁用。

如果是批登录权限导致的此问题，则必须在授予权限之后更改IIS 配置存储中的标识，然后Windows Process Activation Service (WAS)才可以重试登录。

如果在处理对应用程序池的第一个请求之后标识仍然无效，应用程序池将被禁用。

数据字段包含错误号。

需要在控制面板-》管理工具-》本地安全策略-》本地策略-》用户权利指派-》做为批处理作业登录添加用户进去。

另外应用程序池的集成模式，不能设置模拟，要在web.config里面干掉这段<configuration> <system.web> <identity impersonate="true"/> </system.web> </configuration>。

iis使用手册IIS（Internet Information Services）是微软公司开发的一种Web服务器，用于提供Web服务。

IIS具有易于使用、功能强大、安全性高等特点，是微软Windows操作系统中常用的Web服务器软件。

下面是一个简要的IIS使用手册，以帮助您快速了解如何使用IIS。

一、安装IIS在Windows操作系统中，您可以通过“控制面板”中的“程序和功能”来安装IIS。

在列表中找到“打开或关闭Windows功能”，在弹出的窗口中找到“Internet Information Services”并勾选，然后点击“确定”。

安装完成后，您可以在开始菜单中找到IIS管理器应用程序。

二、配置IIS打开IIS管理器应用程序，您将看到一个树形结构，其中包含您的计算机上的所有网站和应用程序池。

右键单击您想要配置的网站或应用程序池，选择“编辑绑定”来配置端口和IP地址。

您还可以设置其他选项，如SSL和HTTP/2支持。

三、创建虚拟主机虚拟主机允许您在同一台服务器上托管多个网站。

要创建虚拟主机，请右键单击“网站”节点，选择“添加虚拟主机”。

在弹出的窗口中，输入您想要使用的域名和应用程序池名称，并选择绑定到的端口和IP地址。

单击“确定”以创建虚拟主机。

四、管理网站目录您可以使用IIS管理器来管理网站目录。

右键单击网站节点，选择“管理网站目录”。

在弹出的窗口中，您可以创建、删除、重命名和复制目录，还可以设置目录权限。

五、配置应用程序池应用程序池是用于托管Web应用程序的独立运行时环境。

要配置应用程序池，请右键单击应用程序池节点，选择“管理应用程序池”。

在弹出的窗口中，您可以创建、删除、重命名和回收应用程序池。

您还可以设置应用程序池的托管管道模式和其他选项。

六、安全性和身份验证IIS提供了多种安全性和身份验证选项，以确保只有授权用户才能访问您的网站或应用程序。

要配置身份验证方法，请右键单击网站或应用程序池节点，选择“编辑身份验证”。

分享一下iis应用程序池设置(教程讲解) 涅槃灰太狼收藏于2012-04-01阅读数：1被转藏：1审核中原文来源修改如何标记批注?这段时间人都要搞崩溃了，服务器经常就如死机般，网站不响应，远程登陆也连接不上，每次都要持续半个多钟头。

事件查看器中报错：引用为应用程序池'DefaultAppPool' 提供服务的进程启动时间超过了限制为应用程序池'DefaultAppPool' 提供服务的进程无法响应Ping经过多方查找资料，认真观察服务器进程，终于了解了些这个程序池运行的原理。

以下仅供新手参考，欢迎高手指正错误。

原先事件查看器中经常报错：引用为应用程序池'DefaultAppPool' 提供服务的进程关闭时间超过了限制。

查网上资料，根本没搞懂原理，就照着胡乱设置，结果搞的问题愈加严重，出现了如帖子头所提到的故障。

先看下应用程序池的默认设置：回收工作进程(分钟)(P): 1740 ，换算一下，每29小时系统就自动回收，所以有可能是在网站访问量很大，系统繁忙的时候回收工作进程(请求数目)(R): 35000 ，网站达到35000点击数就自动回收w3wp.exe工作进程，这个是网上资料说的在下列时间回收工作进程(T): 设定一个具体回收的时间最大虚拟内存 500最大使用内存 192当达到w3wp.exe 达到以上内存占用时开始回收在空闲此段时间后关闭工作进程20 ，估计是网站没人访问自动关闭工作进程核心请求队列限制为4000 ，请求队列达到4000关闭，不了解具体原理启用CPU监视工作进程超过限制，事件查看器中就会出现警告，如果CPU超过最大使用率时执行的操作选择关闭，也会出现预想不到的错误web 园最大工作进程数1 ，据说超过此数目会出错启用ping 每隔下列时间ping 工作线程30，每隔30秒检查一下网站是否开启启用快速失败保护这个不明白，网上资料建议不选择启动时间限制 90 w3wp.exe 进程必须在90秒内启动关闭时间限制 90 w3wp.exe 进程必须在90秒内关闭，这个必须根据自己网站的w3wp.exe的内存占用情况来具体制定，内存如果很高，设置短了会出错这时候要说说进程w3wp.exe，当w3wp.exe达到以上要求，就会重新启动一个w3wp.exe进程，原来的那个w3wp.exe会在设置规定的时间内回收掉使用的内存并关闭，如果这时w3wp内存过高，但设置回收关闭时间过短，那么就会出现这个错误引用为应用程序池'DefaultAppPool' 提供服务的进程关闭时间超过了限制。

IIS权限高级设置以Windows Server 2003为例，虚拟主机用户不必进行此项设置。

首先，我们需要用到以下的组:IIS_WPG 组（也称为 IIS 工作进程组，IIS Worker Process Group）Guests组（来宾组，在系统中拥有最少的权限）以及以下的帐号:Internet 来宾帐户（匿名访问 Internet 信息服务的内置帐户）启动 IIS 进程帐户（用于启动进程外应用程序的 Internet 信息服务的内置帐户）首先我们新建两个帐号，打开控制面版中的管理工具然后找到计算机管理。

双击用户后展开用户的列表，在用户列表内点鼠标右键选择新用户。

如下图：点击新用户后出现下图：在用户名等位置输入您要使用的用户名，全名以及描述是做说明用的可以不填写。

这里建议您的用户名用"_iusr"和"_iwam"来做后缀以区别开IIS来宾帐号，和IIS的进程启动帐号。

一般来说iusr为IIS来宾，iwam为IIS进程启动帐号。

当然您也可以按照您的习惯来做后缀区分两个帐号已方便以后使用。

帐号的密码我建议您使用一个12位以上的数字字母和符号混合密码，或者是一个MD5两次后的密码。

这样可以有效的防止密码被人暴力破解。

帐号建立完成我们来更改一下帐号的所属组，首先更改siteserver_iusr的组为Guests.如下图所示。

接着更改siteserver_iwam的组为IIS_WPG.如下图所示。

这样我们就有了访问网站时用户连接服务器的帐号siteserver_iusr，和服务器用来启动程序池运行.net程序的帐号siteserver_iwam。

下面更改IIS的配置：在控制面板→管理工具→Internet 信息服务(IIS)管理器，打您的站点属性找到目录安全性选项卡，点身份验证和访问控制的编辑出现下图。

用户名中输入我们刚刚新添加的来宾组的帐号siteserver_iusr。

给IIS添加⽹站配置权限
1.新建⼀个⽹站，填好名字，路径和主机名端⼝等等
2.为⽹站添加⼀个⽤户
3.⽤户⾪属于Guests，和IIS_IUSRS
4.把⽹站的完全控制权限赋给刚才的⽤户。

在⽹站右键－－编辑权限－－安全
或者在⽹站⽂件夹右键－－属性－－安全
权限⼀定要完全控制
5.更改应⽤程序池的⽤户为刚才新建的⽤户
在应⽤程序池－－右键⾼级设置
如果你的是64位的服务器，但⽹站是32位的或者使⽤了32位的DLL，那么需要把下图红线处设置为True
（还有.NET CLR版本也要设置成⾃⼰使⽤的版本。

有时候它默认是2.0，⽽⽹站是4.0）
把标识改为刚才建⽴的⽤户
6.更改⽹站⾝份认证⽤户
在⽹站－－⾝份认证－－匿名⾝份认证（确保启⽤）－－右键－－编辑把特定⽤户－－》改为使⽤应⽤程序池标识。

完成。

修改iis应用程序池标识，添加系统用户By ynhu33 85076921通过应用程序池，你可以配置IIS要启动的工作进程数以及这些进程的更多配置细节。

对于IIS管理器中配置的所有应用程序池，Web服务器至少启动一个工作进程。

在每个工作进程里，可以容纳多种类型的应用程序--从ISAPI DLL到传统的ASP，当然还有。

为了管理应用程序池，IIS 6.0管理器包含了一个新的配置结点，它是应用程序池。

一旦创建了应用程序池，就可以在这个池里运行Web应用程序了。

前面提到过，现在通过应用程序池来实现对Web应用程序的隔离；因此，配置虚拟目录和网站时，应用程序池的设定取代了原先在IIS 5.x里介绍的隔离模式设置。

你可以用应用程序池实现的一个有用的隔离策略是安全性。

对于每个具有特殊安全权限的应用程序，你可以创建一个具有那些权限的单独的Windows用户，并配置应用程序池把该Windows用户作为标识。

你可以选择的预定义账号如下所示。

网络服务。

这是一个受限的账号，具有比本地系统账号小很多的权限。

这个账号适合需要访问网络且需从其他机器访问的应用程序使用。

本地服务。

这个账号的限制比网络服务账号的限制更多，它适合不需要额外网络访问的服务使用。

使用这个账号运行的服务没有访问其他网络资源的权限，它们只能够访问本地资源。

本地系统。

著名的本地系统账号当然仍然存在。

不过，我们不再推荐任何类型的Web应用程序使用这个账号，因为它是系统最强大的账号。

它可以在本地系统上执行任意活动，所以用该账号运行的系统也可以做这一切。

从根本上说，你的策略应该是应用程序总是运行在"最小权限"账号下，也就是说，这个账号不应该有任何应用程序实际不需要的权限。

因此，如果某人能够攻破该应用程序，危害将被限制到最小，因为应用程序运行的账号是受限的。

Windows 2003默认标识是“网络服务”，可以使用黑海洋asp木马验证一下。

运行的用户是network service，权限很低，只能查看用户，不能添加用户。

IIS7.5标识介绍应⽤程序池的标识是运⾏应⽤程序池的⼯作进程所使⽤的服务帐户名称。

默认情况下，应⽤程序池以 Network Service ⽤户帐户运⾏，该帐户拥有低级别的⽤户权限。

您可以将应⽤程序池配置为以 Windows Server® 2008 操作系统中的内置⽤户帐户之⼀运⾏。

例如，您可以指定Local System ⽤户帐户，此帐户与 Network Service 或 Local Service 内置⽤户帐户相⽐，具有更⾼级别的⽤户权限。

但请注意，以具有⾼级别⽤户权限的帐户运⾏应⽤程序池存在严重的安全风险。

您还可以配置⾃定义帐户，使之⽤作应⽤程序池的标识。

您选择的任何⾃定义帐户都应只具有应⽤程序需要的最基本的权限。

⾃定义帐户在以下情况下很有⽤：1、当您希望提⾼安全性并且使跟踪相应应⽤程序的安全事件更加容易。

当您在单个 Web 服务器上承载多个客户的⽹站时。

如果您为多个客户使⽤同⼀进程帐户，2、则⼀个客户的应⽤程序源代码可能能够访问另⼀客户的应⽤程序源代码。

在这种情况下，您还应为匿名⽤户帐户配置⾃定义帐户。

3、当应⽤程序不仅需要应⽤程序池的默认权限，⽽且还需要其他权限时。

在这种情况下，您可以创建⼀个应⽤程序池，然后为新的应⽤程序池分配⾃定义标识。

除此之外，在这些系统中，还添加了⼀个新的标识那就是ApplicationPoolIdentify 标识，ApplicationPoolIdentity– 默认情况下，选择“应⽤程序池标识”帐户。

启动应⽤程序池时动态创建“应⽤程序池标识”帐户，因此，此帐户对于您的应⽤程序来说是最安全的。

下⾯我来介绍他们的使⽤⽅法：Local System标识这个标识是内置的这⼏个账户⾥⾯的级别最⾼的⼀个，那么说也就是风险最⾼的⼀个，并且也是配置起来最简单的⼀个了。

只需要将程序池中的标识符更改为LocalSystem，并且给⽂件夹权限分配⼀个Everyone⽤户权限就可以了。

给服务器安装IIS添加WEB服务器角色
新安装的win server服务器，想要搭建网站并让其他人访问需要给服务器安装IIS添加WEB服务器角色，下面以windows server 2016数据中心为例来看看怎么添加WEB服务器角色。

点击下一步
默认下面的选项
勾选
这里默认就好，如果有其他需求请自行勾选（我勾选了 .NET Framework 3.5，勾选这个安装需要指定源，没有源的不要勾选）这里可以根据需求自己勾选，我的勾选如下（CGI一定要勾选）
点击下一步后就开始安装选中的功能了（如果安装失败了返回重新操作，一切保持默认会成功的）
然后就可以看见角色里多了IIS
此时web服务器IIS就已经安装完成了，在“管理工具”里就可以看到Internet信息服务了。