Windows Server 2008為我們提供了一種全新的特性，這種新的特性允許內(nèi)置Windows用戶將輔助性的獨特信息注入到工作進程和Windows安全令牌中，從而使各個工作進程的資源彼此之間相互隔離。

創(chuàng)新互聯(lián)建站專注于山東網(wǎng)站建設服務及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。 熱誠為您提供山東營銷型網(wǎng)站建設，山東網(wǎng)站制作、山東網(wǎng)頁設計、山東網(wǎng)站官網(wǎng)定制、微信小程序開發(fā)服務，打造山東網(wǎng)絡公司原創(chuàng)品牌,更為您提供山東網(wǎng)站排名全網(wǎng)營銷落地服務。

當使用先前版本的 IIS 時，有時候很難將不同的 Web 應用程序池彼此隔離開來。如果多個 Web 應用程序池需要以同一個身份標識運行（例如：Network Service），那么運行在一個 Web 應用程序池中的代碼就可以使用 File System 對象來訪問屬于其他 Web 應用程序池的配置文件、Web 頁面等資源。這是因為當多個進程以 Network Service 身份運行時，我們無法既允許其中的某一個進程訪問某個文件，同時又禁止其他進程訪問同一個文件。
然而，IIS 7.0 為我們提供了隔離機制。在 IIS 7.0 中，每個 web 應用程序池都擁有一個 web 應用程序池配置文件，這個配置文件是在啟動應用程序池的過程中根據(jù)啟動情況自動生成的。默認情況下，這些隨機生成的配置文件將保存在 C:\inetpub\temp\appPools 文件夾中。每個 web 應用程序池都生成了一個附加的 SID（Security Identifier，安全標識），并且將這個 SID 注入到 w3wp.exe 進程中。應用程序池的配置文件是使用訪問列表進行訪問控制的，只允許使用了相關(guān) SID 的那些進程訪問。因為每個 w3wp.exe 進程都擁有自己的 SID，所以每個應用程序池的配置文件都只能由一個擁有相同 SID 的進程訪問。

文章名稱：配置應用程序池沙箱-創(chuàng)新互聯(lián)
分享地址：http://weahome.cn/article/dsceep.html