Đó là bởi vì đây là hai điều khác nhau. IIS_IUSRS là nhóm dành cho Tài khoản quy trình công nhân IIS . Điều này có nghĩa là danh tính mà nhóm ứng dụng tự chạy. IUSR là danh tính người dùng ẩn danh. Điều đó có nghĩa là danh tính mà IIS tin là người dùng đang truy cập trang web.
Bây giờ mặc dù bạn không nói ra, hãy để tôi đoán - ứng dụng này là asp cổ điển? (Nếu không, nếu là .Net thì bạn phải sử dụng mạo danh). Dù bằng cách nào, điều xảy ra là các tài nguyên được truy cập dưới dạng danh tính mạo danh, nghĩa là người dùng ẩn danh trong trường hợp của bạn, nghĩa là IUSR. Đó là lý do tại sao bạn phải cấp cho nó quyền. Trong .Net, nếu bạn tắt mạo danh, bạn sẽ thấy rằng IIS_IUSRS sẽ hoạt động như bạn mong đợi. Trong Classic ASP (và đối với các tệp tĩnh), bạn không có lựa chọn nào, việc mạo danh luôn được "bật"; vì vậy, nó luôn luôn là danh tính người dùng được sử dụng, không phải danh tính nhóm. Vì vậy, vì IIS_IUSRS dành cho danh tính nhóm, nên nó không hoạt động.
Chỉnh sửa sau khi OP thêm thông tin:
Rất dễ nhầm lẫn giữa IUSR và IIS_IUSRS vì tên của chúng. Để thấy rằng chúng khác nhau là hãy nhớ rằng IIS_IUSRS là sự thay thế cho IIS_WPG trong IIS6, đó là Nhóm quy trình công nhân. Đối với các nhóm này, bạn thêm tài khoản mà bạn muốn chạy nhóm của mình bên dưới, không phải danh tính anon, đặc quyền anon được cho là hạn chế hơn. ví dụ. đôi khi bạn có thể muốn sử dụng tài khoản miền để chạy nhóm cho phép kerberos đến các tài nguyên mạng khác. Sau đó, bạn sẽ thêm tài khoản dịch vụ đó vào nhóm này.
Khi tính năng mạo danh được kích hoạt, pool / process giả vờ là người dùng vì nó được thông báo. Trong trường hợp anon auth (trường hợp của bạn), người dùng đó là IUSR. Trong trường hợp windows auth, đó sẽ là danh tính windows \ domain của người dùng. Đây cũng là lý do tại sao bạn nhận được một hiệu suất với sự mạo danh, bởi vì quá trình này phải chuyển sang một danh tính khác để truy cập tài nguyên.
Nếu bạn đang sử dụng .NET và xác thực ẩn danh, thì tôi không hiểu tại sao bạn lại cho phép mạo danh. Trong trường hợp bạn không sử dụng hoặc không cần mạo danh, bạn nên lưu ý thêm một số mánh khóe trong trường hợp IIS7: bạn có thể khiến IUSR của mình biến mất hoàn toàn và chấm dứt mọi sự nhầm lẫn. Tôi nghĩ bạn sẽ thích điều đó, và đó cũng là phương pháp ưa thích của tôi. Tất cả bạn phải làm là bảo nó sử dụng lại danh tính nhóm làm danh tính ẩn danh .
Vì vậy, sau này, bạn sẽ chỉ phải đối phó với nhóm IIS_IUSRS. Nhưng đừng nhầm lẫn, điều này vẫn không có nghĩa là hai cái này giống nhau! Có thể nhận dạng quá trình có thể thay thế cho IUSR, nhưng không phải là cách khác!
Một số mẹo nhỏ khác của IIS7 cần lưu ý: nếu bạn nhìn vào IIS_IUSRS, nó có thể trống. Đó là bởi vì danh tính nhóm ảo của bạn được tự động thêm vào nó khi nhóm bắt đầu, vì vậy bạn không phải lo lắng về những điều này.
Bảng này sẽ giúp làm rõ hơn cách xác định danh tính thực thi luồng:
Mạo danh Tài nguyên truy cập ẩn danh được truy cập dưới dạng
Đã bật IUSR_computer đã bật trong IIS5 / 6 hoặc,
IUSR trong IIS7 hoặc,
Nếu bạn thay đổi tài khoản người dùng anon
trong IIS, bất cứ điều gì bạn đặt ở đó
Đã vô hiệu hóa MYDOM \ MyName
Vô hiệu hóa NT Author \ Network Service (danh tính nhóm)
Cơ quan NT bị vô hiệu hóa \ Dịch vụ mạng (danh tính nhóm)