Содержание

Где открыть ИИС (Индивидуальный Инвестиционный Счёт)

Как называются организации, которые открывают ИИС

Организации, обслуживающие ИИС, часто работают на инфраструктуре банков, например, Сбербанк или ВТБ (упоминание данных организаций не является рекомендацией открывать ИИС именно в них, к выбору такой организации надо подойти обдуманно и серьёзно — об этом в следующих статьях)

Однако, правильно называть эти организации «брокеры», т.к. услуги, которые они предоставляют не относятся к банковским. Правильное название такой организации — «Брокеры».

Отличие от банков


Мы все привыкли открывать и закрывать счета в банке. Вклад в банке кажется нам понятным и простым. Открыть ИИС не сложнее, и тот факт, что около половины взрослого населения западных стран имеют подобные счета (у них они называются по-другому), говорит о том, что это не только просто, но и во многих случаях необходимо.

На Индивидуальном Инвестиционном Счёте (ИИС), в отличие от вклада в банке, можно хранить не только деньги, но и права-обязанности, закреплённые в специальных документах — ценных бумагах.

Это может быть, например, право получать проценты по государственному займу (когда «в долг» берёт не банк, а государство — это и выгоднее и безопаснее), которое закреплено в документе (ценной бумаге), который называется «Облигация Федерального Займа».

Список организаций, открывающих и обслуживающих Индивидуальные Инвестиционные Счета (ИИС) на 01.08.2016г выглядит следующим образом:

Список отсортирован по количеству открытых Индивидуальных Инвестиционных Счетов (первая позиция в списке — максимальное кол-во открытых ИИС), а каждое название является ссылкой на сайт конкретного брокера, на страницу, посвящённую открытию ИИС.

Альфа-Банк

Точнее, Управляющая Компания «Альфа Капитал», указанная в списке на 6й позиции, на самом деле не открывает ИИС для самостоятельного управления.

ИИС, которые открывает данная организация не предусматривают самостоятельных действий гражданина (предлагают готовые решения и структурные продукты), что нам воспринимается как однозначный минус, и из материалов данного сайта вы узнаете, почему.

Какого выбрать брокера

Несмотря на то, что налоговая льгота «Индивидуальный Инвестиционный Счёт» стандартизирована в основной своей части, некоторые вопросы отданы на усмотрение брокерам. Например, вопросы тарифов, минимального первоначального взноса на ИИС и многие другие важные вопросы.

Поэтому мы рекомендуем внимательно и терпеливо отнестись к вопросу выбора брокера для ИИС, т.к. некоторые решения могут сильно повлиять на выгодность данной налоговой льготы.

Ответственный выбор брокера может стать нелёгкой задачей, так как посещение и изучение сайтов всех компаний из предложенного списка может занять продолжительное время.

В настоящее время мы разрабатываем и актуализируем сравнительную таблицу условий обслуживания ИИС у разных брокеров, которая поможет сократить процедуру выбора брокера до нескольких минут

Брокера можно сменить

Хорошая новость заключается в том, что в течение срока действия договора ИИС (3 года) брокера можно сменить по собственному желанию в одностороннем порядке в любое время.

Такое может произойти, например, в ситуации, когда через некоторое время в нашем городе появляется офис брокера, чьи условия обслуживания кажутся нам более привлекательными, но открыть ИИС в данной организации ранее мы не могли из-за того, что в нашем городе офиса данной организации не было, а ехать в соседний регион нам было неудобно.

Наличие такой важной возможности очень сильно облегчает нам процесс принятия решения — если что-то не устраивает в работе брокера, где открыт Индивидуальный Инвестиционный Счёт, можно всегда без потерь поменять его на другого из предложенного списка.

Удачных инвестиций!

Читайте также:

  1. Как выбрать брокера ИИС, сравнение условий
  2. Стоимость ИИС: тарифная ловушка
  3. Минимальный взнос на ИИС
  4. Сравнение тарифов на ИИС
  5. Как выбрать надёжного брокера ИИС и снизить риски
  6. Что такое облигация
  7. Доходность облигаций

на Ваш сайт.

Какой счет открыть начинающему инвестору и как не заморозить свои средства на 3 года?

ИИС или брокерский счет? Что за налоговые льготы и почему банки помогают клиентам возненавидеть мир инвестиций.

{«id»:38275,»url»:»https:\/\/vc.ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda»,»title»:»\u041a\u0430\u043a\u043e\u0439 \u0441\u0447\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0435\u043c\u0443 \u0438\u043d\u0432\u0435\u0441\u0442\u043e\u0440\u0443 \u0438 \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u043c\u043e\u0440\u043e\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043d\u0430 3 \u0433\u043e\u0434\u0430?»,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.

com\/share.php?url=https:\/\/vc.ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda&title=\u041a\u0430\u043a\u043e\u0439 \u0441\u0447\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0435\u043c\u0443 \u0438\u043d\u0432\u0435\u0441\u0442\u043e\u0440\u0443 \u0438 \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u043c\u043e\u0440\u043e\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043d\u0430 3 \u0433\u043e\u0434\u0430?»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda&text=\u041a\u0430\u043a\u043e\u0439 \u0441\u0447\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0435\u043c\u0443 \u0438\u043d\u0432\u0435\u0441\u0442\u043e\u0440\u0443 \u0438 \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u043c\u043e\u0440\u043e\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043d\u0430 3 \u0433\u043e\u0434\u0430?»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.
ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda&text=\u041a\u0430\u043a\u043e\u0439 \u0441\u0447\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0435\u043c\u0443 \u0438\u043d\u0432\u0435\u0441\u0442\u043e\u0440\u0443 \u0438 \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u043c\u043e\u0440\u043e\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043d\u0430 3 \u0433\u043e\u0434\u0430?»,»short_name»:»TG»,»title»:»Telegram»,»width»:600,»height»:450},»odnoklassniki»:{«url»:»http:\/\/connect.ok.ru\/dk?st.cmd=WidgetSharePreview&service=odnoklassniki&st.shareUrl=https:\/\/vc.ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda»,»short_name»:»OK»,»title»:»\u041e\u0434\u043d\u043e\u043a\u043b\u0430\u0441\u0441\u043d\u0438\u043a\u0438″,»width»:600,»height»:450},»email»:{«url»:»mailto:?subject=\u041a\u0430\u043a\u043e\u0439 \u0441\u0447\u0435\u0442 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0435\u043c\u0443 \u0438\u043d\u0432\u0435\u0441\u0442\u043e\u0440\u0443 \u0438 \u043a\u0430\u043a \u043d\u0435 \u0437\u0430\u043c\u043e\u0440\u043e\u0437\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043d\u0430 3 \u0433\u043e\u0434\u0430?&body=https:\/\/vc.
ru\/finance\/38275-kakoy-schet-otkryt-nachinayushchemu-investoru-i-kak-ne-zamorozit-svoi-sredstva-na-3-goda»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}

5786 просмотров

Недавно на сайте газеты «Ведомости» была опубликована интересная статья. Факт освещения данной темы в авторитетном издании подтвердил наши интуитивные опасения: снова заработала любимая российская «палочная система» и банки пытаются «выполнить план» по открытию индивидуальных инвестиционных счетов, дискредитируя в глазах населения возможность зарабатывать на инвестициях. Вместо того, чтобы объяснить клиенту «как есть», менеджеры банка рассказывают «как может быть», забывая рассказать обо всех нюансах пользования ИИС и рисках инвестиций в различные инструменты.

Для начала, чтобы все понимали, уточним: любое частное лицо может стать инвестором, открыв индивидуальный инвестиционный счет (ИИС) или брокерский счет. Чаще всего клиенту предлагают именно первый вариант, мотивируя тем, что ИИС позволяет получить налоговые льготы. При этом банки совершенно забывают упомянуть о том, что средства, зачисленные на ИИС будут, по сути, заморожены на 3 года с момента открытия счета. То есть, все внесенные на ИИС средства и вся полученная прибыль от инвестиций не может быть выведена на обычный расчетный счет с заявленными льготами до истечения 3 лет. Если же клиент все-таки захочет (или, скорее, будет вынужден) забрать свои средства, обещанные налоговые льготы, простите за выражение, превратятся в тыкву: будет осуществлен вычет по НДФЛ со всей суммы, что в лучшем случае, сведет все старания инвестора в ноль. В худшем — в минус.

Для чего все это банкам? Разумеется, все ради комиссии. В то же время, существует более простой вариант, более подходящий начинающим инвесторам, которые не готовы замораживать свои средства на 3 года. Это обычный брокерский счет. На него нет никаких ограничений по возможности снятия средств. Конечно, нет и налоговых вычетов. Однако, освобождение от НДФЛ на него также распространяется, о чем также банки не спешат говорить: с 1 января 2018 года отменен налог на купонный доход по облигациям государственного и корпоративного сектора, размещенных на «Московской бирже». А это очень большой сегмент и многие клиенты, решившие открыть специальный счет в банке, настроены именно на такие инвестиции — сам принцип работы с облигациями более подходящий для начинающих инвесторов, чем, например, акции. Просто потому, что основной доход при работе с облигациями — это фиксированные выплаты купона (то есть процента), а не спекуляция (купля-продажа), которая требует от инвестора глубокого понимания рынка.

Таким образом, начинающий инвестор, который уже в курсе возможностей зарабатывать с помощью облигаций, попадая в банк, вдруг становится счастливым обладателем счета ИИС, который ему совершенно не нужен: ведь законом и так предусмотрено освобождение от уплаты НДФЛ с купонного дохода с небольшими поправками.

Так, например, купон по недавно размещенным облигациям «Грузовчикоф» — 17% годовых. Согласно закону, налог НЕ платится со ставки ЦБ+5%. На данный момент ставка ЦБ 7,25+5%=12,25% — налог не платится. Но и здесь есть, как обычно, налоговая уловка. С повышенного дохода платится и повышенный процент — 35%. Но даже если 35% будет уплачено только с 4,75%, то доходность инвестора составит 15,3% — более, чем в два раза больше, чем по депозиту. И зачем клиенту замораживать свои средства на ИИС на три года, если разница не существенна? К тому же, доходность по большинству облигаций (особенно от крупных компаний и банков) существенно ниже, а значит с них налог не платится вообще.

Еще одна проблема в том, что банки не просто предоставляют услуги по открытию счетов для инвесторов, а активно продают и свою «стратегию», то есть — предлагают клиенту приобрести именно те ценные бумаги, которые им выгодно на данный момент продать. Не рассказывая о рисках (а инвестиции — это всегда риск, и мы не устаем повторять это своим клиентам). Рисуя светлое будущее с гарантированным доходом, без предупреждения, что конечный результат усилий начинающего инвестора может значительно отличаться от рекламного изображения.

Итого, что мы имеем: начинающие инвесторы, решившие перевести свои средства из банковских депозитов с низкой доходностью, в силу отсутствия знаний, рискуют обжечься ещё на стадии открытия счета, сделать выводы о несправедливости всей системы и. .. снова вернуть свои средства на банковский депозит. Кто в плюсе? Как всегда, банки.

Ни к в коем случае не хочу обвинять всех и каждого, но тенденция есть, и тенденция нехорошая: финансовая грамотность населения хромает, а в результате не совсем этичных действий некоторых сотрудников некоторых банков, дискредитируется рынок инвестиций как таковой. Тем самым тормозится важный естественный процесс — привлечение частных инвестиций в развитие российских компаний. Без которого — никуда.

Выводов не будет, однако главный совет, который можно дать начинающему инвестору: разбирайтесь во всем сами. Какой счет открыть, во что инвестировать, как оценить риски — все это ваша задача и не стоит полагаться на банки или брокера.

Вебинар «Зачем, как и где открывать индивидуальный инвестиционный счет (ИИС)?»

 

 

Не так много времени прошлого с того момента, как у российских инвесторов появилась возможность открывать для себя индивидуальные инвестиционные счета (ИИС). По данным Московской биржи, на начало 2016 г. открыто около 90 000 счетов, что превышает первоначальные прогнозы самой биржи.

При этом в поддержку индивидуальных инвестиционных счетов периодически проводятся информационные кампании, а в различных источниках существует множество сведений о том, что такое ИИС.

Тем не менее, у многих частных инвесторов по-прежнему остается немало  вопросов о том, в каких случаях и как именно наиболее оптимально воспользоваться преимуществами индивидуального инвестиционного счета.

Кроме того, часто задаваемым (но, на самом деле, далеко не самым первым по важности) является вопрос: «Где открыть индивидуальный инвестиционный счет?». Российские инвесторы сталкиваются с большим количеством предложений от разных брокеров и управляющих компаний об открытии ИИС именно у них. Однако, рассказывая о преимуществах своих вариантов, многие брокеры и управляющие компании часто забывают рассказать и об их недостатках.

И если вы хотите услышать объективную и независимую информацию обо всем, что связано с ИИС, предлагаю вам прослушать данный вебинар.

* * *

В программе вебинара:

  • Стоит ли открывать ИИС?
  • Нюансы при инвестировании через ИИС
  • С чем нужно определиться до открытия ИИС?
  • Как можно использовать ИИС для различных инвестиционных целей и стратегий?
  • Особенности открытия ИИС у разных брокеров и управляющих компаний
  • Где лучше всего открыть ИИС?
  • Как получить налоговый вычет по ИИС?

 

Отзыв о вебинаре, оставленный в моем блоге в Живом Журнале (Livejournal):

Огромное спасибо за вебинар! Уверен, что этот вебинар многие начинающие инвесторы будут смотреть как учебник по ИИС. Самое исчерпывающее из того, что я только видел.

Сергей


 

Получить ссылку на запись и презентацию вебинара можно, заполнив форму ниже:


* Нажимая кнопку, вы даете свое согласие на обработку персональных данных. Все поля обязательны к заполнению

 

Посмотреть список всех бесплатных вебинаров

🔵 Можно ли открыть брокерский счет и ИИС на ребенка?

MPO-252: Сегодня Тимур отвечает на вопрос подписчика:

Можно ли открыть ИИС и брокерский счет на ребенка (с прицелом 10-15-ти- летнего инвестирования), чтобы родитель (кто открыл счет и инвестирует) не мог с него вывести бумаги/деньги?

(*) Полезные по теме материалы и ссылки, Вы найдёте ниже на данной странице.

Ответ

 

📑 Все вопросы и ответы — здесь
🔴 См. другие видео на YouTube — здесь
📢 Слушайте аудиоверсию – здесь

Ребенок до 14 лет считается малолетним. Открыть брокерский счет для малолетнего можно только с разрешения органов опеки. Также разрешение опеки понадобится для совершения каждой из сделок за счет имущества, находящегося на счете малолетнего, оплаты комиссий, вывода денег со счета. За несовершеннолетних детей, которым еще нет 14 лет, сделки от их имени могут совершать только их родители, усыновители или опекуны. Самостоятельно ребенок управлять своим счетом не может.

Мини-гид по ИИС в PDF. Ответы на 20 самых главных вопросов, которые Вы должны знать, чтобы правильно открыть ИИС, понимать, что с ним делать и получать налоговые вычеты! Скачайте бесплатно — здесь.

Ребенок в возрасте от 14 до 18 лет может совершать сделки с письменного согласия своего законного представителя: родителя, усыновителя или попечителя. Соответственно, только после 18 лет ребенок сможет ограничить доступ к своему счету для своего родителя.

Ряд брокеров готов открыть брокерский счет и ИИС 14-летним клиентам, если есть согласие от родителей. Условия вывода денег с брокерского счета у разных брокеров отличаются, поэтому сразу уточните у брокера, может ли ребенок вывести деньги до 18 лет с разрешения родителя или для этого потребуется разрешение органов опеки.

Когда ребенку стоит открывать ИИС

В отличие от обычного брокерского счета, на ИИС можно получать налоговые льготы — вычеты. Чтобы оценить, стоит ли открывать ИИС ребенку, надо понять, сможет ли он пользоваться этими вычетами.

Вычет по ИИС ребенок может использовать, если у него есть официальный доход, облагаемый по ставке 13%.

Мы обзвонили брокеров

Мы обзвонили несколько крупнейших брокеров России. На данный момент Сбербанк, ВТБ, Открытие, Тинькофф и БКС не открывают брокерские счета детям. Это можно сделать, например, в Финам. Для этого нужно прийти в офис с ребенком и написать  заявление хотя бы от одного родителя, также понадобится свидетельство о рождении.

Будет полезным!

——————-

PDF Малоизвестные Лайфхаки продвинутых инвесторов по счетам ИИС. Как получить 5 вычетов за 3 года, вместо 3-х? Как получить 2 вычета за год, вместо одного? Как выводить с ИИСа деньги раньше срока? Как утроить вычет за год? И другие лайфхаки! Скачайте бесплатно здесь.

В тему:

▫️  Что такое ИИС и почему его нужно открыть прямо сейчас!
▫️  Лучшие брокеры России
▫️  Как правильно выбрать лучшего брокера для торговли на фондовом рынке и ИИС
▫️  Открытие брокерского счета в России для налоговых нерезидентов
▫️  ИИС для нерезидентов. Что нужно знать про налоги, ответственность, статус нерезидента и т.д.

📢 Аудиоверсия

Аудиоверсия в i-tunes здесь

👍  Если Вы прочитали для себя что-то полезное, то, пожалуйста, поддержите проект MoneyPapa и сделайте следующее:

1️⃣   подпишитесь на мои новости здесь
2️⃣   подпишитесь на меня на ютубе, в инстаграм, в телеграм и в фейсбуке
3️⃣   и лайк, подписка, комментарий!

Так я буду знать, что Вам нравится то, что я делаю и я буду создавать полезные материалы ещё! Заранее большое спасибо!

***

👋 А я желаю Вам благополучия в финансах, в семье и по жизни!
С Вами был Тимур Мазаев, он же MoneyPapa

ADD_THIS_TEXT Безопасность

— каковы все учетные записи пользователей для IIS / ASP.NET и чем они отличаются?

Это очень хороший вопрос, и, к сожалению, многие разработчики не задают достаточно вопросов о безопасности IIS / ASP.NET в контексте работы веб-разработчика и настройки IIS. Итак, начнем ….

Для лиц, перечисленных в списке:

IIS_IUSRS:

Это аналог старой группы IIS6 IIS_WPG . Это встроенная группа, безопасность которой настроена таким образом, что любой член этой группы может действовать как удостоверение пула приложений.

IUSR:

Эта учетная запись аналогична старой локальной учетной записи IUSR_ , которая была анонимным пользователем по умолчанию для веб-сайтов IIS5 и IIS6 (т. Е. Настроена на вкладке «Безопасность каталога» свойств сайта).

Для получения дополнительной информации о IIS_IUSRS и IUSR см .:

Общие сведения о встроенных учетных записях пользователей и групп в IIS 7

DefaultAppPool:

Если пул приложений настроен для запуска с использованием функции удостоверения пула приложений, то «синтезированная» учетная запись с именем IIS AppPool \ <имя пула> будет создана на лету для использования в качестве удостоверения пула. В этом случае будет синтезированная учетная запись с именем IIS AppPool \ DefaultAppPool , созданная на время жизни пула. Если вы удалите пул, эта учетная запись больше не будет существовать. При применении разрешений к файлам и папкам их необходимо добавить с помощью IIS AppPool \ <имя пула> . Вы также не увидите эти учетные записи пула в диспетчере пользователей вашего компьютера. Для получения дополнительной информации см. Следующее:

Удостоверения пула приложений

ASP.NET v4.0:

Это будет идентификатор пула приложений для пула приложений ASP.NET v4.0. См. DefaultAppPool выше.

СЕТЕВОЕ ОБСЛУЖИВАНИЕ:

Учетная запись NETWORK SERVICE — это встроенное удостоверение, представленное в Windows 2003. NETWORK SERVICE — это учетная запись с низким уровнем привилегий, под которой вы можете запускать пулы приложений и веб-сайты. Веб-сайт, работающий в пуле Windows 2003, по-прежнему может олицетворять анонимную учетную запись сайта (IUSR_ или что-то еще, что вы настроили как анонимное удостоверение).

В ASP.NET до Windows 2008 вы могли заставить ASP.NET выполнять запросы под учетной записью пула приложений (обычно NETWORK SERVICE ). В качестве альтернативы вы можете настроить ASP.NET на олицетворение анонимной учетной записи сайта с помощью параметра в файле web.config локально (если этот параметр заблокирован, это необходимо сделать с помощью admin в файле machine.config ).

Параметр часто встречается в средах общего хостинга, где используются общие пулы приложений (в сочетании с параметрами частичного доверия для предотвращения раскручивания олицетворенной учетной записи).

В IIS7.x / ASP.NET управление олицетворением теперь настраивается с помощью функции конфигурации аутентификации сайта. Таким образом, вы можете настроить запуск в качестве идентификатора пула, IUSR или конкретной пользовательской анонимной учетной записи.

МЕСТНОЕ ОБСЛУЖИВАНИЕ:

Учетная запись LOCAL SERVICE — это встроенная учетная запись, используемая диспетчером управления службами. Он имеет минимальный набор привилегий на локальном компьютере. Имеет довольно ограниченную сферу применения:

Учетная запись LocalService

МЕСТНАЯ СИСТЕМА:

Вы не спрашивали об этом, но я добавляю для полноты картины.Это локальная встроенная учетная запись. Имеет довольно обширные привилегии и доверие. Никогда не следует настраивать веб-сайт или пул приложений для работы под этим удостоверением.

Учетная запись LocalSystem

На практике:

На практике предпочтительный подход к защите веб-сайта (если у сайта есть собственный пул приложений — что по умолчанию для нового сайта в MMC IIS7) — запускать под Application Pool Identity . Это означает установку идентификатора сайта в расширенных настройках его пула приложений на Идентификатор пула приложений :

Затем на веб-сайте необходимо настроить функцию аутентификации:

Щелкните правой кнопкой мыши и отредактируйте запись анонимной аутентификации:

Убедитесь, что выбран «Идентификатор пула приложений» :

Когда вы приступаете к применению разрешений для файлов и папок, вы предоставляете удостоверению пула приложений любые требуемые права.Например, если вы предоставляете удостоверение пула приложений для разрешений пула ASP.NET v4.0 , вы можете сделать это либо через Explorer:

Нажмите кнопку «Проверить имена»:

Или вы можете сделать это с помощью утилиты ICACLS.EXE :

 icacls c: \ wwwroot \ mysite / grant «IIS AppPool \ ASP.NET v4.0» :( CI) (OI) (M) 

… или … если пул приложений вашего сайта называется BobsCatPicBlog , тогда:

 icacls c: \ wwwroot \ mysite / grant "IIS AppPool \ BobsCatPicBlog" :( CI) (OI) (M) 

Надеюсь, это поможет прояснить ситуацию.

Обновление:

Я только что наткнулся на этот отличный ответ от 2009 года, который содержит кучу полезной информации, которую стоит прочитать:

Чем отличается учетная запись «Локальная система» от учетной записи «Сетевая служба»?

Как вручную создать удостоверение сайта и пула приложений в IIS7

Мы рекомендуем запускать каждый веб-сайт на своем сервере, используя собственный пул приложений и идентификатор (пользователя).

Следующие шаги демонстрируют, как создать пользователя IUSR, создать новый пул приложений для сайта и создать веб-сайт.

СОЗДАЙТЕ ПОЛЬЗОВАТЕЛЯ IUSER (ИДЕНТИЧНОСТЬ ВЕБ-САЙТА):

Чтобы создать пользователя веб-сайта, перейдите на панель управления «Редактировать локальных пользователей и группы» :

Щелкните правой кнопкой мыши папку Users и выберите « New User… »

В окне New User добавьте имя пользователя, пароль и установите пароль, который никогда не истечет, и нажмите «Create»

Закройте окно New User и щелкните правой кнопкой мыши нового пользователя, которого вы только что создали , и выберите Properties :

Щелкните вкладку « Член » и УДАЛИТЕ группу «Пользователи». Членство:

Затем нажмите кнопку Добавить и добавьте пользователя в группу IIS_IUSRS :

Теперь у вас должен быть только пользователь, входящий в группу IIS_IUSRS.

Щелкните OK и закройте панель управления «Локальные пользователи и группы».

СОЗДАТЬ ПУЛ ПРИЛОЖЕНИЙ:

Откройте IIS, щелкните правой кнопкой мыши папку «Пулы приложений» и выберите «Добавить пул приложений»

Назовите свой пул приложений и нажмите OK:

Затем щелкните правой кнопкой мыши новый пул приложений и выберите «Дополнительные настройки» :

В окне дополнительных настроек нажмите кнопку обзора рядом с идентификатором по умолчанию:

Выберите «Custom Account» , нажмите « Set » и введите информацию о пользователе, которую вы создали ранее:

Нажмите OK несколько раз, чтобы закрыть все окна.

Теперь добавьте свой веб-сайт в IIS (или измените существующий сайт, если вы уже создали сайт)

ДОБАВИТЬ НОВЫЙ ВЕБ-САЙТ:

Введите данные своего сайта, а затем нажмите кнопку «Test Settings» для проверки:

и убедитесь, что все тесты пройдены:

УСТАНОВИТЬ РАЗРЕШЕНИЯ NTFS

Теперь вам необходимо предоставить пользователю IUSR, созданному выше, права доступа к папке веб-сайта.Найдите на жестком диске папку, которую вы создали для своего веб-сайта, щелкните папку правой кнопкой мыши и выберите «Свойства»

.

Перейдите на вкладку « Security » и нажмите « Edit »

На следующем экране нажмите « Добавить »

В окне «Выбор пользователей, компьютеров, учетных записей служб или групп» нажмите кнопку « Locations» :

НАЖМИТЕ ОТМЕНА , если вас попросят предоставить учетные данные:

и на следующем экране щелкните ИМЯ ВАШЕГО СЕРВЕРА и щелкните ОК:

Теперь в окне Select Users or Groups введите имя пользователя, созданное ранее , и нажмите OK:

Убедитесь, что выбран ваш пользователь IUSR. При необходимости вы можете добавить разрешения на запись, но в противном случае, чтобы принять настройки по умолчанию, нажмите OK:

Щелкните OK во всех оставшихся окнах, чтобы закрыть настройки.

Теперь вы настроили пользователя идентификации веб-сайта, пул приложений и веб-сайт.

Управление IIS локально с учетной записью без прав администратора — TheWindowsUpdate.com

Этот пост был переиздан через RSS; Изначально он появился по адресу: Новые статьи в блогах в техническом сообществе Microsoft.

Администраторы в основном используют локальную или доменную учетную запись с правами локального администратора для управления IIS. Как насчет учетных записей без прав администратора? Может ли учетная запись без прав администратора использовать диспетчер IIS?

Ответ: ДА , но это также зависит от того, чем вы управляете и как вы получаете доступ к диспетчеру IIS.

Если вы войдете на сервер с учетной записью без прав администратора и перейдете в диспетчер IIS, вы сможете управлять только

По умолчанию аккаунты без прав администратора не могут управлять пулами приложений локально.

Однако, если вы откроете диспетчер IIS на другом сервере и подключите его к своему фактическому серверу оттуда, вы сможете управлять:

  • Пулы приложений
  • Сайты
  • Приложения

Следующие шаги предназначены для веб-сайта. Вы можете использовать аналогичные шаги для приложений.

  1. Открыть диспетчер IIS
  2. Перейти на веб-сайт
  3. Дважды щелкните « Разрешения диспетчера IIS »
  4. Щелкните « Разрешить пользователю ».Добавьте свой домен или локальных пользователей (я использовал домен IISTEAM — см. Скриншот)
  5. Выйти из системы администратора
  6. Войдите в систему как пользователь без прав администратора
  7. Откройте диспетчер IIS
  8. Выберите « Файл> Подключиться к сайту ».
  9. Введите « localhost » в качестве имени сервера. Введите название вашего сайта. Нажмите « Далее »
  10. Введите имя пользователя и пароль (пользователь из списка разрешений диспетчера IIS). Нажмите « Finish »
  11. Веб-сайт отобразится в диспетчере IIS

Шаг 3. Разрешения диспетчера IIS

Шаг 7 — Подключение удаленного сайта

Для удаленного управления пулами приложений с пользователем без прав администратора добавьте пользователей в разрешения диспетчера IIS (как мы это делали выше).Затем перейдите в «Диспетчер IIS> Служба управления» и включите его. После этого изменения вы можете открыть диспетчер IIS на другом сервере и добавить этот сервер в качестве нового соединения (сообщение в блоге).

Эта запись была размещена в разделе «Повторно опубликованные материалы» Syndicated News. Добавьте в закладки постоянную ссылку.

Создание и настройка пула приложений в IIS 6 или IIS 7

Создание и применение нового пула приложений

  1. Откройте Internet Information Service Manager.
  2. Разверните сервер IIS.
  3. Выберите Пул приложений .
  4. На правой панели щелкните Добавить пул приложений или щелкните правой кнопкой мыши среднюю панель и выберите Добавить пул приложений .
  5. Когда появится окно Добавить пул приложений, введите имя пула приложений в поле Имя (например, ОБСЕ).
    • В поле Версия .NET Framework установлено значение .NET Framework v2.0.50727. Это будет зависеть от версии вашей платформы .NET.
    • В поле Управляемый режим конвейера значение Интегрированный .
    • Запустить пул приложений немедленно проверяется.
  6. После создания пула приложений щелкните пул приложений и на правой панели щелкните Дополнительные параметры .
  7. Перейдите в раздел Process Module и в поле Identity измените значение с NetworkService на LocalSystem , затем щелкните OK .

Использование вновь созданного пула приложений

  1. Разверните Сайты и найдите виртуальный каталог, в котором вы хотите использовать пул приложений.
  2. Выберите виртуальный каталог и на правой панели щелкните Advanced Setting .
  3. Перейдите в раздел General и в пуле приложений нажмите Обзор и выберите созданный пул приложений.

Не удалось исправить пул приложений при запуске приложений CGI

Пул приложений может перестать запускать приложения CGI. Чтобы решить проблему:

  1. Перейдите к функции аутентификации виртуального каталога.
  2. Выберите виртуальный каталог и на средней панели щелкните функцию проверки подлинности .
  3. Щелкните Анонимная проверка подлинности и убедитесь, что статус — Включено .
  4. На правой панели нажмите Изменить .
  5. Изменить Идентификатор анонимного пользователя на Идентификатор пула приложений .

Не удается найти учетную запись пользователя «IIS APPPOOL \ {имя пула приложений}» в Windows Server 2008

Это краткое описание заставило меня понять и прояснить для меня предмет.

Учетные записи удостоверений пула приложений

Рабочие процессы в IIS 6.0 и IIS 7 по умолчанию выполняются как сетевая служба. Сетевая служба — это встроенная идентификация Windows. Он не требует пароля и имеет только права пользователя; то есть он относительно низкоприоритетный. Запуск в качестве учетной записи с низким уровнем привилегий является хорошей практикой безопасности, потому что в этом случае злоумышленник не сможет использовать программную ошибку для захвата всей системы.

Однако со временем возникла проблема, поскольку все больше и больше системных служб Windows начинали работать как сетевые службы.Это связано с тем, что службы, работающие как сетевая служба, могут вмешиваться в работу других служб, работающих под тем же идентификатором. Поскольку рабочие процессы IIS по умолчанию запускают сторонний код (классический код ASP, ASP.NET, PHP), пришло время изолировать рабочие процессы IIS от других системных служб Windows и запустить рабочие процессы IIS с уникальными идентификаторами. Операционная система Windows предоставляет функцию, называемую «виртуальные учетные записи», которая позволяет IIS создавать уникальные удостоверения для каждого из своих пулов приложений. Щелкните здесь для получения дополнительной информации о виртуальных счетах.

Настройка идентификаторов пула приложений IIS

Если вы используете IIS 7.5 в Windows Server 2008 R2 или более поздней версии IIS, вам не нужно ничего делать для использования нового удостоверения. Для каждого создаваемого пула приложений для свойства Identity нового пула приложений по умолчанию установлено значение ApplicationPoolIdentity. Процесс администрирования IIS (WAS) создаст виртуальную учетную запись с именем нового пула приложений и по умолчанию будет запускать рабочие процессы пула приложений под этой учетной записью.

Для использования этой виртуальной учетной записи при запуске IIS 7.0 на Windows Server 2008, вам необходимо изменить свойство Identity пула приложений. который вы создаете в ApplicationPoolIdentity. Вот как:

  1. Откройте консоль управления IIS (INETMGR.MSC).
  2. Откройте узел «Пулы приложений» под узлом компьютера. Выбирать пул приложений, который вы хотите изменить для запуска под автоматически созданным удостоверением пула приложений.
  3. Щелкните правой кнопкой мыши пул приложений и выберите «Дополнительные параметры»…

  1. Выберите элемент списка удостоверений и щелкните многоточие (кнопка с тремя точками).
  2. Появится следующий диалог:

  1. Нажмите кнопку Встроенная учетная запись, а затем выберите удостоверение. введите ApplicationPoolIdentity из поля со списком.

Чтобы сделать тот же шаг с помощью командной строки, вы можете вызвать инструмент командной строки appcmd следующим образом:

 % windir% \ system32 \ inetsrv \ appcmd.exe set AppPool  -processModel. identityType: ApplicationPoolIdentity
  

Полный документ можно прочитать по адресу: Application Pool Identities

404 Не найдено

  • Профессиональные услуги

    Сформируйте свою стратегию и преобразуйте гибридную ИТ-среду.


  • Профессиональные услуги по продуктам
  • Аналитика и большие данные

    Помогите вам внедрить безопасность в цепочку создания стоимости ИТ и наладить сотрудничество между ИТ-операциями, приложениями и группами безопасности.

  • Кибербезопасность

    Помогите вам быстрее реагировать и получить конкурентное преимущество благодаря гибкости предприятия.

  • DevOps

    Ускорьте получение результатов гибридного облака с помощью услуг по консультированию, трансформации и внедрению.

  • Консультации по цепочке создания стоимости IT4IT

    Службы управления приложениями, которые позволяют поручить управление решениями экспертам, разбирающимся в вашей среде.

  • Управление доставкой приложений

    Услуги стратегического консалтинга для разработки вашей программы цифровой трансформации.

  • Жизненный цикл мобильного приложения

    Полнофункциональное моделирование сценариев использования с предварительно созданными интеграциями в портфеле программного обеспечения Micro Focus, демонстрирующее реальный сценарий использования

  • Управление гибридным облаком и брокерские услуги

    Услуги экспертной аналитики безопасности, которые помогут вам быстро спроектировать, развернуть и проверить реализацию технологии безопасности Micro Focus.

  • Автоматизация ЦОД

    Служба интеграции и управления услугами, которая оптимизирует доставку, гарантии и управление в условиях нескольких поставщиков.

  • Управление операциями

    Анализируйте большие данные с помощью аналитики в реальном времени и ищите неструктурированные данные.

  • Управление услугами

    Анализируйте большие данные с помощью аналитики в реальном времени и ищите неструктурированные данные.

  • Vertica

    Анализируйте большие данные с помощью аналитики в реальном времени и ищите неструктурированные данные.

  • Глобальная аутентификация продукта

    Мобильные услуги, которые обеспечивают производительность и ускоряют вывод на рынок без ущерба для качества.

  • Управляемые службы

    Анализируйте большие данные с помощью аналитики в реальном времени и ищите неструктурированные данные.

  • Модельные офисы

    Комплексные услуги по работе с большими данными для продвижения вашего предприятия.

  • Настройка аутентификации Windows AD | Kentico 10 Документация

    Настройка проверки подлинности Windows

    Выполните следующие действия, чтобы переключить приложение в режим проверки подлинности Windows :

    1. Отредактируйте web.config веб-проекта.
    2. Установите для атрибута режима элемента в разделе web> значение Windows :

          
    3. (Необязательно) Вы также можете сделать проверку подлинности Windows необходимой для доступа к действующему сайту. Чтобы добиться этого результата, раскомментируйте следующий элемент в вашем web.конфиг:

        
        
          <авторизация>
            
          
        
        
    4. Сохраните измененный файл web.config.
    5. Закройте все браузеры с помощью Kentico, откройте веб-сайт в новом браузере и попробуйте получить доступ к интерфейсу администрирования ( <домен сайта> / admin ).
      • Если вы столкнулись с ошибкой 401 , перейдите к разделу Включение проверки подлинности Windows в IIS ниже.

    В этой конфигурации система автоматически аутентифицирует пользователей из Windows Active Directory и импортирует их в базу данных Kentico.

    Вам необходимо вручную настроить доступ администратора для вашей новой учетной записи пользователя AD.

    Отсутствует кнопка выхода при проверке подлинности Windows

    Когда включена проверка подлинности Windows, кнопка Выход в меню пользователя в правом верхнем углу интерфейса администрирования не отображается.То же самое относится к действующему сайту, где ссылка для выхода отображается не во всех веб-частях, которые можно использовать для выхода.

    Включение проверки подлинности Windows в IIS

    Если при проверке подлинности Windows возникает ошибка 401 , необходимо включить проверку подлинности Windows в IIS:

    1. Запустите Internet Information Services (IIS) Manager .
    2. Найдите и выберите свой сайт в дереве IIS.
    3. Дважды щелкните значок Authentication .

      Проверка подлинности Windows отсутствует в списке

      Если ваша установка IIS не содержит проверки подлинности Windows по умолчанию, вам необходимо установить ее:

      1. Перейдите в Панель управления -> Программы и компоненты -> Включение или отключение компонентов Windows .
      2. Разверните Internet Information Services -> World Wide Web Services .
      3. В разделе Security установите флажок Windows Authentication .
      4. Щелкните OK , чтобы завершить настройку.

      Проверка подлинности Windows отображается как параметр в настройках проверки подлинности веб-сайта IIS.

    4. Выберите Проверка подлинности Windows .
    5. Щелкните Включить в меню Действия .

    IIS теперь разрешает проверку подлинности Windows на вашем сайте.

    Настройка доступа администратора после включения проверки подлинности Windows

    При первом доступе к интерфейсу администрирования Kentico ( <домен сайта> / admin ) после настройки проверки подлинности Windows вы увидите сообщение Доступ запрещен .При проверке подлинности Windows вы входите в систему под новой учетной записью, которую система автоматически создала на основе вашего имени пользователя Active Directory, но эта учетная запись не имеет никаких разрешений.

    Чтобы разрешить доступ ко всем функциям в качестве администратора при проверке подлинности Windows, вам необходимо вручную предоставить права администратора вашей новой учетной записи:

    1. Получите доступ к интерфейсу администрирования Kentico хотя бы один раз при проверке подлинности Windows (чтобы гарантировать, что система импортирует ваш Пользователь AD).
    2. Отредактируйте файл проекта web. config и вернитесь к Forms аутентификации (установите атрибут режима элемента в разделе обратно на Forms ) .
    3. Снова войдите в систему администрирования Kentico, используя проверку подлинности с помощью форм (под своей исходной учетной записью администратора).
    4. Откройте приложение Пользователи .
    5. Измените нового пользователя, который соответствует имени пользователя вашего домена (формат: имя-пользователя домена , например office-johns ).
    6. На вкладке Общие установите уровень привилегий на Глобальный администратор .
    7. Щелкните Сохранить и выйдите из системы.
    8. Отредактируйте файл web.config и снова переключитесь на проверку подлинности Windows .

    Закройте все браузеры с помощью Kentico, откройте веб-сайт в новом браузере и получите доступ к интерфейсу администрирования. Убедитесь, что система распознает вас как глобального администратора без необходимости вручную входить в систему.

    Замена запрещенных символов во время импорта Active Directory

    При импорте пользователей и ролей запрещенные символы в именах заменяются символом, определенным в Настройки -> URL-адреса и SEO -> Замена запрещенных символов .

    Значение по умолчанию — прочерк «-» ( имя пользователя домена вместо домен \ имя пользователя ). Если вы используете другой символ, пожалуйста, измените введенное имя пользователя соответствующим образом.

    Вы можете переопределить этот параметр, добавив следующие ключи в раздел AppSettings вашего веб-сайта .config файл. В обоих случаях значение должно состоять из одного символа:

    .
        
        

    Если вы хотите достичь той же функциональности, что и в более старых версиях Kentico ( офис \ имя пользователя ), замену запрещенных символов можно полностью отключить с помощью следующих двух клавиш.




    Добавить комментарий

    Ваш адрес email не будет опубликован.