ASP.Net应用程序IIS7中匿名Web用户帐户的NTFS权限

我想知道是否有人对在IIS7中运行ASP.Netv3.5应用程序所需的匿名Web用户帐户的最小权限设置有丰富的经验

我习惯于设置在II6下运行的ASP.NETv1.1应用程序。在这种情况下，我们通常会授予应用程序池（工作进程）帐户相当广泛的权限，但匿名web用户帐户（如IUSR）的权限非常严格。我们只允许它读取web应用程序本身中的文件，不允许它访问系统驱动器（C:），而且一切正常

出于某种原因，每当我尝试在IIS7下设置一个开发人员asp.netv3.5应用程序时，无论该应用程序是什么，匿名web用户帐户似乎都要求几乎整个C:驱动器都具有读取属性和列出内容NTFS权限。根据应用程序的不同，它还需要对system32文件夹中的某些.DLL进行读取访问

---

我不介意授予对应用程序池帐户（IIS7中的IIS用户或IIS6中以前称为IIS\U WPG的用户）的这种访问权限，但我认为匿名Web用户帐户不应该寻找这种访问权限。任何人在IIS7（服务器2008R2）下使用ASP.NET应用程序时都有类似的经验，他们真的需要所有C的读取属性和列表内容吗：对于匿名Web用户帐户？

这可能更适合serverfault.com对于任何感兴趣的人，我找到了问题的根源。我们没有使用“直通式身份验证”，显然，当您指定一个特定帐户来访问网站文件所在路径上的资源时（“连接为”），IIS7不仅使用该帐户访问这些特定资源，还使用Worker Process帐户以其他方式对系统级资源的大量访问。