每个 IT 商店均不同，它们具有其自身独特的一组需求和目标，特别是在网站或服务托管方面。Web 服务器可能需要各种修补或更改以满足组织的需求，但伴随而来的挑战是要将此方案

复制到多台服务器上，同时对所有服务器进行有效的管理。IIS 7.0 中一些最大的变化旨在帮助 IT 商店在构建 Web 服务器或 Web 场时应对这些挑战。

看过 IIS 7.0 中所有强大功能的列表后，我迫切地想与您一同分享这些功能的详细信息。当我意识到不可能在此介绍所有这些信息后，我决定重点介绍 IIS 7.0 一些最重要的功能和最大的变化。如果希望了解更多信息，请访问 IIS 社区网站 IIS.net。

新体系结构

IIS 7.0 中的核心变化与体系结构、请求处理、PHP 应用程序框架支持和配置存储相关。在 IIS 6.0 中，功能基本上是要么全有要么全无的概念。您必须安装所有功能，并且只能使用 ISAPI 来自定义 IIS。

IIS 构建在这样一个假定基础之上：Web 管理员希望从最基本的一组功能开始，然后分层添加所在环境中需要的其他功能。只有您才最了解自己所在的环境，因此 IIS 7.0 为您提供了构建块，以创建您自己的自定义 Web 服务器。这样做可以降低您的管理开销，因为它减少了服务器的攻击面，而且无需更新未使用的组件。这种新方法的核心是 IIS 7.0 的模块化体系结构。

IIS 7.0 采用的新设计使您能够选择将要安装到服务器上的功能，也称为模块。这些模块直接插入到集成请求管道中。这种新的模块化设计具有许多优势，包括减少攻击面和 Web 服务器的占用量。

IIS 目前包含 40 个默认模块（例如，基本模块、匿名模块），而且 Windows® 身份验证现在已成为能够独立添加到请求管道中的单独模块。为简化分类，所有模块分成了八个子类别（请参阅图 1）。

远程管理和委派管理

IIS 7.0 提供了多种新方法来远程管理服务器、站点、Web 应用程序，以及非管理员的安全委派管理权限。首先，让我们讨论一下新的远程管理功能，以及它们如何使您的生活变得更加轻松。

过去，远程管理 IIS 服务器的方法有两种：通过使用远程管理网站或使用远程桌面/终端服务来访问 UI。但是，如果您在防火墙之外或不在现场，则这些选项作用有限。IIS 7.0 通过在 UI 中直接构建远程管理功能（通过不受防火墙影响的 HTTPS 工作）来对此进行补救。

IIS 7.0 中的远程管理可以在多个方面简化工作。首先，您可以获得与本地登录相同的 UI 体验。其次，由于使用 HTTPS 协议进行通信，因此无需在防火墙上开放端口。最后，您现在可以在单个 UI 中管理多台服务器，而不必同时打开多个远程桌面或远程网站窗口。

IIS 7.0 中的实际远程管理服务在本质上是一个小型 Web 应用程序，它作为单独的服务、在名为 NT Service\WMSVC 的 Windows NT® 本地服务账户下运行。此设计使得即使在 IIS 服务器自身无响应的情况下仍可维持远程管理功能。

与 IIS 7.0 中的大多数功能类似，出于安全性考虑，远程管理并不是默认安装的。要安装远程管理功能，请将 Web 服务器角色的角色服务添加到 Windows Server 2008 的服务器管理器中，该管理器可在“管理”工具中找到。安装此功能后，还必须启用远程连接并启动 WMSVC 服务，因为该服务在默认情况下处于停止状态。

WMSVC 服务的默认启动设置为手动。如果希望该服务在重启后自动启动，则需要将设置更改为自动。可通过在命令行中键入以下命令来完成此操作：

当通过管理服务启用远程连接时，您将看到一个设置列表，其中包含如“身份凭据”、“连接”和“IPV4 地址限制”之类的设置。此时，唯一的关键决策是确定为哪组身份凭据授予连接到 IIS 7.0 的权限：仅限 Windows 凭据，还是 Windows 和 IIS 管理器凭据。

第一个选项比较直观，指出您希望仅允许 Windows 用户帐户，本地和域帐户均可。第二个选项包括 Windows 用户和 IIS 7.0 中全新提供的一种与 Windows 用户帐户不关联的帐户类型：IIS 管理器用户。有了 IIS 管理器用户，管理员可以创建仅在 IIS 7.0 的上下文中已知、但无法访问 OS 的用户帐户。最后，在默认情况下，IIS 会在开始时提供一个自签名证书，但建议您添加有效签名的 SSL 证书。现在只需应用您的设置并启动服务即可。

为了获取更多控制和安全性，IT 管理员可以安全地将各个站点或 Web 应用程序的管理任务委派给非管理员。

委派管理实质上是远程管理，但它限制对各个站点或 Web 应用程序的访问范围。IIS 管理器用户功能此时显得尤为方便。您可以为那些一次性站点所有者创建 IIS 用户，并委派他们管理自己的站点或应用程序的权限。他们无法访问服务器范围设置，仅限于访问其特定站点或 Web 应用程序的设置。

您还可以指定用户可以更改哪些功能和设置，甚至指定 UI 中应该出现哪些内容。例如，如果您不希望某人更改其站点所使用的身份验证类型，则可将此功能设置为只读或非继承。当某项功能为只读时，用户仍然可以访问该功能并确定设置，但无法进行更改；如果设置为非继承，则该功能的图标将不会出现在委派用户的 IIS 管理器视图中。此类功能委派可以让您提供对其他内容的严格受控访问，而无需提供对 Web 服务器的管理控制。