O IUSR e a IWAM datam dos primórdios do IIS quando você o instalava separadamente (não como um componente do SO). Por padrão, se um site permitir autenticação anônima, a conta IUSR será usada com relação às permissões no sistema operacional. Isso pode ser alterado a partir do padrão. Existem algumas recomendações de segurança para renomear a conta, pelo que não é uma conta "conhecida", assim como há uma recomendação para renomear a conta de administrador em um servidor. Você pode aprender mais sobre IUSR e autenticação no MSDN .
O IWAM foi projetado para qualquer aplicativo fora de processo e é usado apenas no IIS 6.0 quando você estiver no modo de isolamento do IIS 5.0. Você costumava vê-lo com objetos COM / DCOM.
Com relação às identidades do pool de aplicativos, o padrão é executar como o Serviço de Rede. Você não deve executar como sistema local porque essa conta possui direitos maiores que os de um administrador. Então, basicamente, você fica com o Serviço de rede, Serviço local ou uma conta local / de domínio que não seja as duas.
Quanto ao que fazer, depende. Uma vantagem de deixá-lo como serviço de rede é que esta é uma conta de privilégio limitado no servidor. No entanto, quando ele acessa recursos pela rede, aparece como Domain \ ComputerName $, o que significa que você pode atribuir permissões que permitem à conta do Serviço de Rede acessar recursos como o SQL Server em execução em uma caixa diferente. Além disso, como ela aparece como a conta do computador, se você habilitar a autenticação Kerberos, o SPN já estará em vigor se você estiver acessando o site pelo nome do servidor.
Um caso em que você consideraria alterar o pool de aplicativos para uma conta de domínio do Windows específica, se desejar que uma conta específica acesse recursos de rede, como uma conta de serviço que acesse o SQL Server para um aplicativo baseado na Web. Existem outras opções no ASP.NET para fazer isso sem alterar a identidade do pool de aplicativos; portanto, isso não é mais estritamente necessário. Outro motivo pelo qual você consideraria usar uma conta de usuário de domínio é que estava executando a autenticação Kerberos e tinha vários servidores da web atendendo a um aplicativo da web. Um bom exemplo é se você tivesse dois ou mais servidores Web servindo o SQL Server Reporting Services. O front-end provavelmente seria para um URL genérico, como reports.mydomain.com ou reporting.mydomain.com. Nesse caso, o SPN pode ser aplicado apenas a uma conta no AD. Se você tiver os pools de aplicativos em execução no Serviço de Rede em cada servidor, isso não funcionará, porque, quando eles saem dos servidores, eles aparecem como Domain \ ComputerName $, o que significa que você teria tantas contas quanto os servidores que atendem ao servidor. aplicativo. A solução é criar uma conta de domínio, definir a identidade do pool de aplicativos em todos os servidores para a mesma conta de usuário de domínio e criar o SPN único, permitindo assim a autenticação Kerberos. No caso de um aplicativo como o SSRS, no qual você pode passar as credenciais do usuário para o servidor de banco de dados de back-end, a autenticação Kerberos é essencial, pois você precisará configurar a delegação do Kerberos. eu tinha tantas contas quanto você tinha servidores servindo o aplicativo. A solução é criar uma conta de domínio, definir a identidade do pool de aplicativos em todos os servidores para a mesma conta de usuário de domínio e criar o SPN único, permitindo assim a autenticação Kerberos. No caso de um aplicativo como o SSRS, no qual você pode passar as credenciais do usuário para o servidor de banco de dados de back-end, a autenticação Kerberos é essencial, pois você precisará configurar a delegação do Kerberos. eu tinha tantas contas quanto você tinha servidores servindo o aplicativo. A solução é criar uma conta de domínio, definir a identidade do pool de aplicativos em todos os servidores para a mesma conta de usuário de domínio e criar o SPN único, permitindo assim a autenticação Kerberos. No caso de um aplicativo como o SSRS, no qual você pode passar as credenciais do usuário para o servidor de banco de dados de back-end, a autenticação Kerberos é essencial, pois você precisará configurar a delegação do Kerberos.
Eu sei que há muito para aceitar, mas a resposta curta é, exceto para o Sistema Local, depende.
IUSR = Usuário da Internet, ou seja, qualquer visitante anônimo e não autenticado do seu site (ou seja, praticamente todo mundo)
IWAM = Internet Web Application Manager, ou seja, todos os seus aplicativos ASP e .NET serão executados nesta conta
Geralmente, a IUSR e a IWAM SOMENTE devem ter acesso exatamente ao que precisam. Eles nunca devem ter acesso a mais nada, caso essas contas fiquem comprometidas, elas não poderão acessar nada crítico.
Isso é tudo o que posso ajudar na sua lista de perguntas, outras pessoas com mais experiência na administração do IIS poderão ajudá-lo ainda mais!
fonte
Eu sempre recorro a este guia -
http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/
Você pode encontrar muita coisa no iis.net
para simplificar - o IUSR é simplesmente contas de convidado prontas para uso que têm permissões sobre c: \ inetpub \ wwwroot por padrão.
fonte