Festlegen der erforderlichen NTFS-Berechtigungen und Benutzerrechte für einen IIS 5.0-Webserver

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 271071 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
271071 How to set required NTFS permissions and user rights for an IIS 5.0 Web server
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Schritt für Schritt die minimalen Berechtigungen, die für einen dedizierten Internet Information Services (IIS) 5.0-Webserver benötigt werden.

Achtung: Dieser Artikel bezieht sich nur auf dedizierte Webserver, die IIS-Basisfunktionen verwenden, wie beispielsweise die Bereitstellung von statischen HTML-Inhalten oder einfachen ASP-Inhalten (Active Server Pages, ASP). Die in diesem Artikel beschriebenen Anforderungen an Zugriffsberechtigungen treffen NUR auf die Basisberechtigungen für einen dedizierten Webserver zu, auf dem Microsoft Windows 2000 und IIS 5.0 ausgeführt werden. Die Informationen in diesem Artikel gelten nicht für andere Produkte von Microsoft oder von Fremdanbietern, die eventuell andere Berechtigungen erfordern. Microsoft empfiehlt, vor dem Ändern von Berechtigungen auf einem Produktionswebserver die für die Rollen Ihres Webservers bestimmten Artikel der Microsoft Knowledge Base zu lesen und entsprechende Tests durchzuführen. Weitere Informationen zu anderen Microsoft-Produkten erhalten Sie in den im Abschnitt "Informationsquellen" aufgeführten Artikeln.

Wenn Sie diese Berechtigungen auf einen IIS-Server anwenden, der andere Rollen ausfüllt, wie beispielsweise Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 oder Anwendungen von Fremdanbietern, die von zusätzlichen Berechtigungen abhängig sind, funktionieren diese Produkte eventuell nicht erwartungsgemäß.

Hinweis: Die Informationen in diesem Artikel beziehen sich ausschließlich auf IIS 5.0, nicht auf andere Versionen von IIS.

Weitere Informationen über die erforderlichen Berechtigungen für IIS 4.0 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
187506 Erforderliche NTFS-Berechtigungen und Benutzerrechte für IIS 4.0
Weitere Informationen über die erforderlichen Berechtigungen für IIS 6.0 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
812614 Standardberechtigungen und Benutzerrechte für IIS 6.0
Zu den für dieses Dokument durchgeführten Tests gehörten folgende Funktionstests:
  • Hypertext-Dokumente (HTML)
  • Active Server Pages (ASP)
  • FrontPage-Servererweiterungen (FSPE), wie beispielsweise Verbinden, Bearbeiten und Speichern, wenn FPSE während der Verwendung des Lockdown-Tools aktiviert sind
  • Secure Socket Layer (SSL)-Verbindungen
Dieses Dokument befasst sich nicht mit den speziellen Sicherheitsanforderungen für die folgenden Serverrollen oder Anwendungen:
  • Windows 2000-Domänencontroller
  • Microsoft Exchange 5.5 oder Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal oder Team Services
  • Microsoft Commerce Server 2000 oder Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 oder Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 oder Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
Spezielle Informationen zu Sicherheitsanforderungen können Sie der jeweiligen Server- oder Anwendungsdokumentation entnehmen. Links zu relevanten Knowledge Base-Artikeln sind im Abschnitt "Informationsquellen" enthalten.

Microsoft empfiehlt, dass Sie vor der Anwendung der in diesem Artikel beschriebenen Berechtigungen die neueste Version des IIS-Lockdown-Tools ausführen. Weitere Informationen zu diesem Tool finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/technet/security/tools/locktool.mspx
Die folgenden Programme und Dienste wurden als Teil des Testpakets installiert, das zum Testen der Serversicherheit nach der Anwendung der in diesem Artikel beschriebenen Berechtigungen verwendet wurde:
  • Indexdienste
  • Terminaldienste
  • Skriptdebugger
  • IIS
    • Gemeinsame Dateien
    • Dokumentation
    • FrontPage 2000-Servererweiterungen
    • Internetdienste-Manager (HTML)
    • WWW
    • FTP

Erteilen von Besitzrechten und Berechtigungen an Administratoren und System

Gehen Sie folgendermaßen vor, um dem System Berechtigungen zu erteilen:
  1. Öffnen Sie Windows Explorer. Klicken Sie hierzu auf Start, klicken Sie auf Programme, und klicken Sie auf Windows Explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Klicken Sie mit der rechten Maustaste auf das Systemlaufwerk (in der Regel Laufwerk C), und klicken Sie auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit und anschließend auf Erweitert, um das Dialogfeld Zugriffskontrolleinstellungen für lokale Festplatte zu öffnen.
  5. Klicken Sie auf die Registerkarte Besitzer, aktivieren Sie das Kontrollkästchen Besitzer der Objekte und untergeordneten Container ersetzen, und klicken Sie auf Übernehmen.

    Klicken Sie auf Weiter, wenn die folgende Fehlermeldung angezeigt wird:
    Fehler beim Anwenden von Sicherheitsinformationen auf "%systemdrive%\Pagefile.sys"
  6. Klicken Sie auf Ja, wenn die folgende Fehlermeldung angezeigt wird:
    Sie haben keine Berechtigung, den Inhalt des Verzeichnisses "%systemdrive%\System Volume Information" zu lesen. Möchten Sie die Verzeichnisberechtigungen mit Berechtigungen ersetzen, die Ihnen "Vollzugriff" erteilen?
  7. Klicken Sie auf OK, um das Dialogfeld zu schließen.
  8. Klicken Sie auf Hinzufügen.
  9. Fügen Sie die folgenden Benutzer hinzu und erteilen Sie ihnen die NTFS-Berechtigung "Vollzugriff":
    • Administrator
    • System
    • Ersteller-Besitzer
  10. Nachdem Sie diese NTFS-Berechtigungen hinzugefügt haben, klicken Sie auf Erweitert, aktivieren Sie das Kontrollkästchen Berechtigungen für alle untergeordneten Objekte zurücksetzen und Verteilung der erbbaren Berechtigungen aktivieren, und klicken Sie auf Übernehmen.
  11. Klicken Sie auf Weiter, wenn die folgende Fehlermeldung angezeigt wird:
    Fehler beim Anwenden von Sicherheitsinformationen auf "%systemdrive%\Pagefile.sys"
  12. Nachdem Sie die NTFS-Berechtigungen neu festgelegt haben, klicken Sie auf OK.
  13. Klicken Sie auf die Gruppe Jeder, klicken Sie auf Entfernen, und klicken Sie auf OK.
  14. Öffnen Sie die Eigenschaften für den Ordner "%systemdrive%\Programme\Gemeinsame Dateien", und klicken Sie auf die Registerkarte Sicherheit. Fügen Sie das für anonymen Zugriff verwendete Konto (dies ist standardmäßig das Konto "IUSR_<Computername>") und die Gruppe "Benutzer" hinzu, und stellen Sie anschließend sicher, dass nur die folgenden Berechtigungen aktiviert sind:
    • Lesen, Ausführen
    • Ordnerinhalt auflisten
    • Lesen
  15. Öffnen Sie die Eigenschaften für das Stammverzeichnis, das Ihre Webinhalte enthält (dies ist standardmäßig der Ordner "%systemdrive%\Inetpub\Wwwroot"). Klicken Sie auf die Registerkarte Sicherheit, fügen Sie das Konto "IUSR_<Computername>" und die Gruppe "Benutzer" hinzu, und stellen Sie anschließend sicher, dass nur die folgenden Berechtigungen aktiviert sind:
    • Lesen, Ausführen
    • Ordnerinhalt auflisten
    • Lesen
  16. Wenn Sie "Inetpub\FTProot" oder dem Verzeichnispfad für Ihre FTP-Site(s) die NTFS-Berechtigung "Schreiben" erteilen möchten, wiederholen Sie Schritt 15.

    Hinweis: Microsoft rät davon ab, dem anonymen Konto in irgendeinem Verzeichnis (einschließlich der vom FTP-Dienst verwendeten Verzeichnisse) die NTFS-Berechtigung "Schreiben" zu erteilen. Dies kann dazu führen, dass unnötige Daten auf Ihren Webserver geladen werden.

Deaktivieren der Vererbung in Systemverzeichnissen

  1. Wählen Sie im Ordner "%systemroot%\System32" alle Ordner bis auf die folgenden aus:
    • Inetsrv
    • Certsrv (falls vorhanden)
    • COM
  2. Klicken Sie mit der rechten Maustaste auf die verbleibenden Ordner, klicken Sie auf Eigenschaften, und klicken Sie auf die Registerkarte Sicherheit.
  3. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen, klicken Sie auf Kopieren, und klicken Sie auf OK.
  4. Wählen Sie im Ordner "%systemroot%" alle Ordner bis auf die folgenden aus:
    • Assembly (falls vorhanden)
    • Downloaded Program Files
    • Help
    • Microsoft.NET (falls vorhanden)
    • Offline Web Pages
    • System32
    • Tasks
    • Temp
    • Web
  5. Klicken Sie mit der rechten Maustaste auf die verbleibenden Ordner, klicken Sie auf Eigenschaften, und klicken Sie auf die Registerkarte Sicherheit.
  6. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen, klicken Sie auf Kopieren, und klicken Sie auf OK.
  7. Erteilen Sie folgenden Benutzern Berechtigungen:
    1. Öffnen Sie die Eigenschaften für den Ordner "%systemroot%", klicken Sie auf die Registerkarte Sicherheit, fügen Sie die Konten IUSR_<Computername> und IWAM_<Computername> sowie die Gruppe Benutzer hinzu, und stellen Sie anschließend sicher, dass nur die folgenden Berechtigungen aktiviert sind:
      • Lesen, Ausführen
      • Ordnerinhalt auflisten
      • Lesen
    2. Öffnen Sie die Eigenschaften für den Ordner "%systemroot%\Temp", wählen Sie das Konto IUSR_<Computername> aus (dieses Konto ist bereits vorhanden, weil es vom Ordner "Winnt" vererbt wird), und aktivieren Sie das Kontrollkästchen Ändern. Wiederholen Sie diesen Schritt für das Konto IWAM_<Computername> und die Gruppe Benutzer.
    3. Wenn FrontPage-Servererweiterungen-Clients wie FrontPage oder Microsoft Visual InterDev verwendet werden, öffnen Sie die Eigenschaften für den Ordner "%systemdrive%\Inetpub\Wwwroot", wählen Sie die Gruppe Authentifizierte Benutzer aus, aktivieren Sie folgende Berechtigungen, und klicken Sie auf OK:
      • Ändern
      • Lesen, Ausführen
      • Ordnerinhalt auflisten
      • Lesen
      • Schreiben

NTFS-Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die angewendet werden, wenn Sie die Schritte im Abschnitt "Deaktivieren der Vererbung in Systemverzeichnissen" durchführen. Diese Tabelle dient nur zur Referenz.

Gehen Sie folgendermaßen vor, um die Berechtigungen in der folgenden Tabelle anzuwenden:
  1. Öffnen Sie Windows Explorer. Klicken Sie auf Start, zeigen Sie auf Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Windows-Explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Klicken Sie mit der rechten Maustaste auf den Ordner %Systemroot%, und klicken Sie auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit und anschließend auf Erweitert.
  5. Doppelklicken Sie auf Berechtigung, und wählen Sie die entsprechende Einstellung aus der Liste Übernehmen für aus.
Hinweis: Der Begriff "Standard" in der Spalte "Übernehmen für" bezieht sich auf "Diesen Ordner, Unterordner und Dateien".
Tabelle minimierenTabelle vergrößern
Verzeichnis Benutzer/Gruppen BerechtigungenÜbernehmen für
%Systemroot%\ (c:\Winnt)AdministratorVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, AusführenStandard
%Systemroot%\System32AdministratorenVollzugriff Standard
SystemVollzugriffStandard
BenutzerLesen, AusführenStandard
%Systemroot%\System32\InetsrvAdministratorenVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, AusführenStandard
Inetpub\Adminscripts AdministratorenVollzugriffStandard
Inetpub\Urlscan (falls vorhanden) AdministratorenVollzugriffStandard
SystemVollzugriffStandard
%Systemroot%\System32\Inetsrv\MetabackAdministratorenVollzugriffStandard
SystemVollzugriffStandard
%Systemroot%\Help\Iishelp\CommonAdministratorenVollzugriff Dieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<Computername>Lesen, AusführenDieser Ordner und Dateien
NetzwerkVollzugriffDieser Ordner und Dateien
DienstDieser Ordner und Dateien
BenutzerLesen, AusführenDieser Ordner und Dateien
Inetpub\Wwwroot (oder Inhaltsordner)AdministratorenVollzugriffDieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<Computername>Lesen, AusführenDieser Ordner und Dateien
DienstLesen, AusführenDieser Ordner und Dateien
NetzwerkLesen, AusführenDieser Ordner und Dateien
Optional**:BenutzerLesen, AusführenDieser Ordner und Dateien

** Wenn Sie mit FrontPage-Servererweiterungen arbeiten, muss die Gruppe "Authentifizierte Benutzer" oder "Benutzer" über die NTFS-Berechtigung "Ändern" verfügen, um das Erstellen, Umbenennen, Schreiben oder Bereitstellen der Funktionalität zu ermöglichen, die ein Entwickler von einem FrontPage-Client wie Visual InterDev 6.0 oder FrontPage 2002 benötigen könnte.

Erteilen von Berechtigungen in der Registrierung

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 ein, und klicken Sie auf OK. Verwenden Sie nicht den Registrierungs-Editor, weil dieses Programm keine Änderung von Berechtigungen in Windows 2000 zulässt.
  2. Suchen Sie im Registrierungs-Editor den Schlüssel HKEY_LOCAL_MACHINE und klicken Sie darauf.
  3. Erweitern Sie System, erweitern Sie CurrentControlSet, und erweitern Sie Services.
  4. Wählen Sie den Schlüssel IISADMIN aus, klicken Sie auf Sicherheit (oder drücken Sie [ALT]+[S]), und wählen Sie Berechtigungen aus (oder drücken Sie [P]).
  5. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen, klicken Sie auf Kopieren, und entfernen Sie alle Benutzer außer:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
  6. Klicken Sie auf OK.
  7. Wiederholen Sie diese Schritte für den Schlüssel MSFTPSVC.
  8. Wählen Sie den Schlüssel W3SVC aus, klicken Sie auf Sicherheit, und klicken Sie auf Berechtigungen.
  9. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen, und entfernen Sie alle Benutzer außer:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
    • Netzwerk (Lesen)
    • Dienst (Lesen)
    • IWAM_<Computername> (Lesen)
  10. Klicken Sie auf OK.

Registrierung

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Berechtigungen in der Registrierung" durchführen. Diese Tabelle dient nur zur Referenz.

Hinweis: Die Abkürzung HKLM steht für HKEY_LOCAL_MACHINE.
Tabelle minimierenTabelle vergrößern
Pfad Benutzer/GruppenBerechtigungen
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\w3svcAdministratorenVollzugriff
SystemVollzugriff
IWAM_<Computername>Lesen

Erteilen von Rechten in der lokalen Sicherheitsrichtlinie

  1. Klicken Sie auf Start, klicken Sie auf Einstellungen, und klicken Sie auf Systemsteuerung.
  2. Doppelklicken Sie auf Verwaltung, und doppelklicken Sie auf Lokale Sicherheitsrichtlinie.
  3. Erweitern Sie im Dialogfeld Lokale Sicherheitseinstellungen den Knoten Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.
  4. Ändern Sie die entsprechende Richtlinie:
    1. Doppelklicken Sie auf die Richtlinie.
    2. Wählen Sie jeden Benutzer aus, der nicht in der Tabelle aufgelistet ist, und klicken Sie auf Entfernen.
    3. Fügen Sie alle Benutzer hinzu, die nicht aufgelistet sind. Klicken Sie hierzu auf Hinzufügen, und wählen Sie die einzelnen Benutzer im Dialogfeld Benutzer oder Gruppen auswählen aus.
Da eine Domänencontroller-Richtlinie die lokale Richtlinie überschreibt, müssen Sie sicherstellen, dass Einstellung der effektiven Richtlinie mit Einstellung der lokalen Richtlinie übereinstimmt.

Richtlinien

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Rechten in der lokalen Sicherheitsrichtlinie" durchführen.
Tabelle minimierenTabelle vergrößern
RichtlinieBenutzer
Lokal anmeldenAdministratoren
IUSR_<Computername> (Anonym)
Benutzer (Authentifizierung erforderlich)
Auf diesen Computer vom Netzwerk aus zugreifenAdministratoren
ASPNet (.NET Framework)
IUSR_<Computername> (Anonym)
IWAM_<Computername>
Benutzer
Anmelden als StapelverarbeitungsauftragASPNet
Netzwerk
IUSR_<Computername>
IWAM_<Computername>
Dienst
Anmelden als DienstASPNet
Netzwerk
Wechselprüfung umgehenAdministratoren
IUSR_<Computername> (Anonym)
Benutzer (Basis, Integriert, Digest)
IWAM_<Computername>

Erforderliche Dienste

Weitere Informationen über die für IIS 4.0 erforderlichen Dienste finden Sie im folgenden Artikel der Microsoft Knowledge Base:
189271 Liste der Dienste, das zu dem Ausführen eines sicheren II-Computers erforderlich ist

Informationsquellen

Weitere Informationen zum Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000 finden Sie in folgenden Artikeln der Microsoft Knowledge Base:
266118 Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000
260985 XIMS: minimale NTFS-Berechtigung, die zu dem Verwenden von CDONTS benötigt wird
324068 Welcher VERFAHRENSWEISE: TO: Sie legen II-Berechtigungen für bestimmte Objekte fest
815153 Welcher VERFAHRENSWEISE: TO: Sie konfigurieren NTFS-Dateiberechtigung für Sicherheit von Asp.net-anwendung

Eigenschaften

Artikel-ID: 271071 - Geändert am: Mittwoch, 30. Mai 2007 - Version: 15.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
Keywords: 
kbhowtomaster kbhowto kbpending kbprb KB271071
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Disclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com