Как да зададете изискваните NTFS разрешения и потребителски права за уеб сървър IIS 5.0, IIS 5.1 или IIS 6.0

Преводи на статии Преводи на статии
ID на статията: 271071 - Преглед на продукти, за които се отнася тази статия.
Разгъване на всички | Сгъване на всички

На тази страница

КРАТКО ИЗЛОЖЕНИЕ

Тази статия описва стъпка по стъпка минималните разрешения, които се изискват за специален уеб сървър на Internet Information Services (IIS) 5.0, IIS 5.1 или IIS 6.0.

Предупреждение Тази статия важи само за специални уеб сървъри, които използват основна функционалност на IIS, като например да обслужват HTML статично съдържание или просто съдържание на страници в активен сървър (ASP). Изискванията за разрешения, описани в тази статия, са конкретни САМО за основните разрешения за специален уеб сървър, който изпълнява IIS 5.x или 6.0. Тази статия не взема под внимание други продукти на Microsoft или на трети страни, които може да изискват различни разрешения. Препоръчително е да преглеждате статии, които се отнасят конкретно до ролите на вашия уеб сървър, както и да изпълнявате тестове, преди да извършвате промени в разрешенията на даден производствен уеб сървър. За връзки към сродни статии за други продукти на Microsoft вижте раздел "Препратки".

Ако приложите тези разрешения към IIS сървър, който изпълнява други роли, като например Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 или приложения на трети страни, които зависят от допълнителни разрешения, е възможно продуктите да не работят по очаквания начин.

За допълнителна информация относно необходимите разрешения за IIS 6.0 щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
812614 Разрешения по подразбиране и потребителски права за IIS 6.0 (Това може да е на английски)
Тестването за този документ включва следните функционални тестове:
  • Хипертекстови документи (HTML)
  • Страници в активен сървър (ASP)
  • FrontPage Server Extensions, като например свързване, редактиране и записване, ако FPSE са разрешени, докато използвате инструмента за заключване
  • Връзки със слоеве на защитени сокети (SSL)
Документът не се отнася до никое от конкретните изисквания за защита на следните роли на сървъри или приложения:
  • Домейнов контролер на Windows 2000
  • Microsoft Exchange 5.5 или Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal или Team Services
  • Microsoft Commerce Server 2000 или Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 или Microsoft BizTalk Server 2002
  • Сървър на Microsoft за управление на съдържание 2000 или сървър на Microsoft за управление на съдържание 2002
  • Център за приложения на Microsoft 2000
Прегледайте документациите на сървъра и приложението за конкретни изисквания за сигурност. Връзки към сродни статии в базата знания са предоставени в раздел "Препратки".

Преди да приложите разрешенията, описани в тази статия, е препоръчително да изпълните най-актуалната версия на инструмента за заключване на IIS. За допълнителна информация относно инструмента посетете следния уеб сайт на Microsoft:
http://technet.microsoft.com/en-us/library/dd450372(WS.10).aspx
Следните програми и услуги са инсталирани като част от пакета тестове, използвани за тестване на защитата на сървъра след предоставянето на разрешенията, описани в тази статия:
  • Индексни услуги
  • Терминални услуги
  • Дебъгер за скриптове
  • IIS
    • Общи файлове
    • Документация
    • FrontPage Server Extensions 2000
    • Диспечер за интернет услуги (HTML)
    • WWW
    • FTP

Предоставяне на собственост и разрешения на администратора и на системата

За да зададете разрешения на системата:
  1. Отворете Windows Explorer. За да направите това, щракнете върху Start ("Старт"), щракнете върху Programs ("Програми") и след това щракнете върху Windows Explorer ("Windows Explorer").
  2. Разгънете My Computer ("Моят компютър").
  3. Щракнете с десния бутон върху системния диск (обикновено това е устройство C) и след това щракнете върху Properties ("Свойства").
  4. Щракнете върху раздела Security ("Защита") и след това щракнете върху Advanced ("Разширени"), за да отворите диалоговия прозорец Access Control Settings for Local Disk ("Достъп до настройките на управлението за локалния диск").
  5. Щракнете върху раздела Owner ("Собственик"), поставете отметка в квадратчето Replace Owner on Sub containers and Objects ("Заместване на собственика на подконтейнерите и обектите") и след това щракнете върху Apply ("Приложи").

    Ако получите следното съобщение за грешка, щракнете върху Continue ("Продължи"):
    Възникна грешка при прилагането на информация за защита към %systemdrive%\Pagefile.sys
  6. Ако получите следното съобщение за грешка, щракнете върху Yes ("Да"):
    Нямате разрешение за четене на съдържанието на директория %systemdrive%\System Volume Information - Искате ли да замените разрешението за директорията - Всички разрешения ще бъдат заменени и ще ви бъде предоставено пълен контрол
  7. Щракнете върху OK ("ОК"), за да затворите диалоговия прозорец.
  8. Щракнете върху Add ("Добави").
  9. Добавете следните потребители и след това им предоставете NTFS разрешението за пълен контрол:
    • Администратор
    • Система
    • Създател-собственик
  10. След като сте добавили тези NTFS разрешения, щракнете върху Advanced ("Разширени"), поставете отметка в квадратчето Reset permission on all child objects and enable propagation of inheritable permissions ("Подновяване на разрешенията на всички обекти-наследници и разрешаване на разпространението на наследяваните записи за разрешения") и след това щракнете върху Apply ("Приложи").
  11. Ако получите следното съобщение за грешка, щракнете върху Continue ("Продължи"):
    Възникна грешка при прилагането на информация за защита към %systemdrive%\Pagefile.sys
  12. След като подновите NTFS разрешенията, щракнете върху OK ("ОК").
  13. Щракнете върху групата Everyone ("Всеки"), щракнете върху Remove ("Премахни") и след това щракнете върху OK ("ОК").
  14. Отворете папката със свойства за %systemdrive%\Program Files\Common Files и след това щракнете върху раздела Security ("Защита"). Добавете акаунта, който се използва за анонимен достъп. По подразбиране това е акаунта IUSR_<MachineName>. След това добавете групата на потребителите. Уверете се, че само следните са избрани:
    • Read & Execute ("Четене и изпълнение")
    • List Folder Contents ("Списък на съдържанието на папката")
    • Read ("Четене")
  15. Отваряне на свойствата за главната директория, която съдържа вашето уеб съдържание. По подразбиране това е папката %systemdrive%\Inetpub\Wwwroot. Щракнете върху раздела Security ("Защита"), добавете акаунта IUSR_<MachineName> и групата на потребителите и след това се уверете, че са избрани само следните:
    • Read & Execute ("Четене и изпълнение")
    • List Folder Contents ("Списък на съдържанието на папката")
    • Read ("Четене")
  16. Ако искате да предоставите NTFS разрешение за запис за Inetpub\FTProot или пътя до директорията за вашия FTP сайт или сайтове, повторете стъпка 15.

    Забележка Не е препоръчително да предоставяте NTFS разрешения за запис на анонимния акаунт в която и да е директория, включително в директориите, използвани от FTP услугата. Това може да доведе до качване на ненужни данни на вашия уеб сървър.

Забранете наследяването в системните директории

  1. В папката %systemroot%\System32 изберете всички папки с изключение на следните:
    • Inetsrv
    • Certsrv (ако е налична)
    • COM
  2. Щракнете с десния бутон върху останалите папки, щракнете върху Properties ("Свойства") и след това щракнете върху раздела Security ("Защита").
  3. Щракнете, за да отстраните отметката от квадратчето Allow inheritable permissions ("Разрешаване на наследяваните разрешения"), щракнете върху Copy ("Копирай") и след това върхуOK ("ОК").
  4. В папката %systemroot% изберете всички папки с изключение на следните:
    • Асемблиране (ако е налична)
    • Изтеглени програмни файлове
    • Помощ
    • Microsoft.NET (ако е налична)
    • Офлайн уеб страници
    • System32
    • Задачи
    • Temp
    • Уеб
  5. Щракнете с десния бутон върху останалите папки, щракнете върху Properties ("Свойства") и след това щракнете върху раздела Security ("Защита").
  6. Щракнете, за да отстраните отметката от квадратчето Allow inheritable permissions ("Разрешаване на наследяваните разрешения"), щракнете върху Copy ("Копирай") и след това върхуOK ("ОК").
  7. Приложете разрешения към следните:
    1. Отворете свойствата за папката %systemroot%, щракнете върху раздела Security ("Защита"), добавете акаунтите IUSR_<MachineName> и IWAM_<MachineName> и групата Users ("Потребители"), след което се уверете, че са избрани само следните:
      • Read & Execute ("Четене и изпълнение")
      • List Folder Contents ("Списък на съдържанието на папката")
      • Read ("Четене")
    2. Отворете свойствата за папката %systemroot%\Temp, изберете акаунта IUSR_<MachineName> (този акаунт вече е наличен, тъй като наследява от папката Winnt) и след това поставете отметка в квадратчето Modify ("Модифициране"). Повторете тази стъпка за акаунта IWAM_<MachineName> и за групата Users ("Потребители").
    3. Ако клиенти на FrontPage Server Extension, като например FrontPage или Microsoft Visual InterDev, се използват, отворете свойствата за папката %systemdrive%\Inetpub\Wwwroot, изберете групата Authenticated Users ("Удостоверени потребители"), изберете следното и след това щракнете върху OK ("ОК"):
      • Modify ("Модифициране")
      • Read & Execute ("Четене и изпълнение")
      • List Folder Contents ("Списък на съдържанието на папката")
      • Read("Четене")
      • Write ("Запис")

NTFS разрешения

В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Забраняване на наследяването в системните директории". Тази таблица е само за справка.

За да приложите разрешенията в следната таблица:
  1. Отворете Windows Explorer. За да направите това, щракнете върху Start ("Старт"), щракнете върху Programs ("Програми"), щракнете върху Accessories ("Принадлежности") и след това щракнете върху Windows Explorer ("Windows Explorer").
  2. Разгънете My Computer ("Моят компютър").
  3. Щракнете с десния бутон на мишката върху %systemroot% и след това щракнете върху Properties ("Свойства").
  4. Щракнете върху раздела Security ("Защита") и след това щракнете върху Advanced ("Разширени").
  5. Щракнете двукратно върху Permission ("Разрешение") и след това изберете подходящата настройка от списъка Apply Onto ("Прилагане върху").
Забележка В колоната "Прилагане към" терминът "По подразбиране" се отнася към "Тази папка, подпапки и файлове".
Сгъване на таблицатаРазгъване на таблицата
Директория Потребители\Групи РазрешенияПрилагане към
%systemroot%\ (c:\winnt)АдминистраторПълен контролПо подразбиране
СистемаПълен контрол По подразбиране
ПотребителиЧетене, изпълнениеПо подразбиране
%systemroot%\system32АдминистраториПълен контрол По подразбиране
СистемаПълен контролПо подразбиране
ПотребителиЧетене, изпълнениеПо подразбиране
%systemroot%\system32\inetsrvАдминистраториПълен контролПо подразбиране
СистемаПълен контрол По подразбиране
ПотребителиЧетене, изпълнениеПо подразбиране
Inetpub\adminscripts АдминистраториПълен контролПо подразбиране
Inetpub\urlscan (ако е налична) АдминистраториПълен контролПо подразбиране
СистемаПълен контролПо подразбиране
%systemroot%\system32\inetsrv\metabackАдминистраториПълен контролПо подразбиране
СистемаПълен контролПо подразбиране
%systemroot%\help\iishelp\commonАдминистраториПълен контрол Тази папка и файлове
СистемаПълен контролТази папка и файлове
IWAM_<Machinename>Четене, изпълнениеТази папка и файлове
МрежаПълен контролТази папка и файлове
УслугаТази папка и файлове
ПотребителиЧетене, изпълнениеТази папка и файлове
Inetpub\wwwroot (или директории на съдържания)АдминистраториПълен контролТази папка и файлове
СистемаПълен контролТази папка и файлове
IWAM_<Machinename>Четене, изпълнениеТази папка и файлове
УслугаЧетене, изпълнениеТази папка и файлове
МрежаЧетене, изпълнениеТази папка и файлове
По желание **:ПотребителиЧетене, изпълнениеТази папка и файлове

** Ако използвате FrontPage Server Extensions, "Упълномощени потребители" или група "Потребители" трябва да разполага с NTFS разрешение за промяна, за да създава, преименува или предоставя функционалността, която може да е необходима на даден разработчик от клиент тип FrontPage, като например Visual InterDev 6.0 или FrontPage 2002.

Предоставяне на разрешения в системния регистър

  1. Щракнете върху Start ("Старт"), щракнете върху Run ("Изпълни"), въведете regedt32 и след това щракнете върху OK ("ОК"). Не използвайте редактора на системния регистър, тъй като той не ви позволява да променяте разрешения в Windows 2000.
  2. В редактора на системния регистър, намерете и изберете HKEY_LOCAL_MACHINE.
  3. Разгънете System ("Система"), разгънете CurrentControlSet и след това разгънете Services ("Услуги").
  4. Изберете ключа IISADMIN, щракнете върху Security ("Защита") (или натиснете ALT+S) и след това изберете Permissions ("Разрешения") (или натиснете P).
  5. Щракнете, за да изчистите отметката от квадратчето Allow inheritable permissions from parent to propagate to this object ("Разрешаване на наследяваните разрешения от родителя да се размножат до този обект"), щракнете върху Copy ("Копирай") и след това премахнете всички потребители, освен:
    • Администратори (разрешаване на четене и пълен контрол)
    • Система (разрешаване на четене и пълен контрол)
  6. Щракнете върху OK.
  7. Повторете стъпките за ключа MSFTPSVC.
  8. Изберете ключа W3SVC, щракнете върху Security ("Защита") и след това щракнете върху Permissions ("Разрешения").
  9. Щракнете, за да изчистите отметката от квадратчето Allow inheritable permissions from parent to propagate to this object ("Разрешаване на наследяваните разрешения от родителя да се размножат до този обект") и след това премахнете всички записи, освен:
    • Администратори (разрешаване на четене и пълен контрол)
    • Система (разрешаване на четене и пълен контрол)
    • Мрежа (четене)
    • Услуга (четене)
    • IWAM_<MachineName> (четене)
  10. Щракнете върху OK ("ОК").

Системен регистър

В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Предоставяне на разрешения в системния регистър". Тази таблица е само за справка.

Забележка Акронимът HKLM означава HKEY_LOCAL_MACHINE.
Сгъване на таблицатаРазгъване на таблицата
МестоположениеПотребители\ГрупиРазрешения
HKLM\System\CurrentControlSet\Services\IISAdminАдминистраториПълен контрол
СистемаПълен контрол
HKLM\System\CurrentControlSet\Services\MsFtpSvcАдминистраториПълен контрол
СистемаПълен контрол
HKLM\System\CurrentControlSet\Services\w3svcАдминистраториПълен контрол
СистемаПълен контрол
IWAM_<Machinename>Четене

Предоставяне на права в правилата за локалната защита

  1. Щракнете върху Start ("Старт"), щракнете върху Settings ("Настройки") и след това щракнете върху Control Panel ("Контролен панел").
  2. Щракнете двукратно върху Administrative Tools ("Административни инструменти"), след което пак двукратно върху Local Security Policy ("Правила за локалната защита").
  3. В диалоговия прозорец Local Security Settings ("Правила за локалната защита") разгънете Local Policies ("Локални правила") и след това щракнете върху User Rights Assignment ("Разпределяне на потребителските права").
  4. Модифициране на подходящите правила:
    1. Щракнете двукратно върху правилата.
    2. Изберете и след това щракнете върху Remove ("Премахване") за всеки потребител, който не е изброен в таблицата.
    3. Добавяне на потребител, който не е изброен. За да направите това, щракнете върху Add ("Добавяне") и след това изберете потребителя в диалоговия прозорец Select Users or Groups (Избор на потребители или групи").
Имайте предвид, че тъй като правилата за домейнов контролер заместват локалните правила, трябва да се уверите, че Effective Policy Setting ("Настройка за ефективните правила") съвпада с Local Policy Setting ("Настройка за локалните правила").

Policies

("Правила") В следната таблица са изброени разрешенията, които ще бъдат приложени, когато следвате стъпките в раздел "Предоставяне на права в правилата за локалната защита".
Сгъване на таблицатаРазгъване на таблицата
ПравилаПотребители
Локално влизанеАдминистратори
IUSR_<MachineName> (Анонимен)
Потребители (изисква се удостоверяване)
Достъп до този компютър от мрежатаАдминистратори
ASPNet (.NET Framework)
IUSR_<MachineName> (Анонимен)
IWAM_<Machinename>
Потребители
Влизане като пакетно заданиеASPNet
Мрежа
IUSR_<MachineName>
IWAM_<Machinename>
Услуга
Влизане като услугаASPNet
Мрежа
Проверка на заобикалянето на прехвърлянеАдминистратори
IUSR_<MachineName> (Анонимен)
Потребители (основни, интегрирани, хеширани)
IWAM_<Machinename>

Задължителни услуги

За допълнителна информация относно услугите, с които трябва да разполагате за IIS 4.0 щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
189271 Списък на услугите, които са необходими, за да стартирате IIS компютър с подобрена защита (Това може да е на английски)

БИБЛИОГРАФИЯ

За допълнителна информация относно възстановяването на NTFS разрешенията по подразбиране за Windows 2000 щракнете върху следните номера на статии, за да прегледате статиите в базата знания на Microsoft:
266118 Как да се възстановят NTFS разрешенията по подразбиране за Windows 2000 (Това може да е на английски)
260985 Минимални задължителни NTFS разрешения за използване на CDONTS (Това може да е на английски)
324068 Как да зададете IIS разрешения за конкретни обекти (Това може да е на английски)
815153 Как да конфигурирате NTFS файлови разрешения за сигурност на приложения на ASP.NET (Това може да е на английски)
Забележка Това е статия "БЪРЗА ПУБЛИКАЦИЯ", създадена директно в рамките на организацията за поддръжка на Microsoft. Информацията, съдържаща се тук, се ограничава до съдържащото се в нея и е дадена в отговор на появили се проблеми. В резултат на краткия срок до тяхното предлагане, материалите може да съдържат печатни грешки и могат да бъдат преработвани във всеки момент без предизвестие. Вижте Условия на ползване за други съображения.

Свойства

ID на статията: 271071 - Последна рецензия: 31 май 2012 г. - Редакция: 1.0
ВАЖИ ЗА:
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Ключови думи: 
kbhowtomaster kbhowto kbpending kbprb KB271071

Изпратете обратна информация

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com