IIS6.0の匿名アクセスについて

> 認証されないアクセスとは、 > 例えば「Windows統合認証」にチェックが入っている場合は、 > Windows統合認証に失敗した場合、 > 匿名アクセスで設定したユーザー権限が利用されるという理解で宜しいでしょうか。 　確かそうだったと思う。最近IISいじってないので記憶が若干あいまいでごめん。 　全てにチェックが入っていた場合、 ・統合Windows認証(あるいはNTLM認証)を行う→成功するとアクセスできる →失敗するとDIGEST認証を行う→成功するとアクセスできる →失敗するとBASIC認証を行う→成功するとアクセスできる →失敗すると非認証でアクセス なのだと思いますです。 　もしEtherealやHTTP Proxy、TCPキャプチャなどがあれば、一度通信の中身を見てみると良いでしょう。 　例えば統合Windows認証してて、アクセスしたらすぐ開いてるように見えても実は結構な数の401レスポンスが帰ってきていたりします。 　という事で、最初の質問である匿名ユーザだが、これは代表って事やね。動作する場合、なんらか(誰か)の権限で動作しないといけないため(でないとファイルを開かせて良いのか悪いのか、プログラムを実行させて良いのか悪いのかの判断がつかないからね)、代表でIUSER_<コンピュータ名>君がアクセスしているという事にして処理しましょう、って事。 　そこで、ASPに不備があってシェルを獲得できるような <!-- exec -->があったとしましょう。すると、そのシェルはIUSR_COMPがプロセスのオーナーとなる。基本的にIUSR_COMPはIISコンテンツ配下以外にはアクセス権限を付与しないでしょう。なので、Everyoneフルコントロールであるような場所には好き勝手されるかも知れないが、Users以上が必要なフォルダは触れない。Cドラ直下をEveryoneフルコントロールにすんなってのはこういう意味があるんですな。 　もちろん、ここがBASIC認証あたりになってて、ユーザAnmochiがAdministratorsグループで、パスワードがもれてましたなんて事になっていたら大変ですね。